vpn android strongswan lancom mit zertifikaten

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
averlon
Beiträge: 232
Registriert: 05 Okt 2012, 09:48

vpn android strongswan lancom mit zertifikaten

Beitrag von averlon »

Hallo,
nachdem hier im Forum einige Beiträge existieren, dass VPN mit PSK durch einen Update von Android in 07/2024 nicht mehr funktionieren, wollte ich VPN mit Zertifikaten nutzen. Ich blicke es aber nicht so richtig und bitte um Hilfestellung.

Ich habe keine eigene CA, zumindest nicht auf Windows Server, wie im Referenzhandbuch beschrieben. Insofern würde ich gerne die CA des LANCOM 1906VA nutzen.

Diese habe ich aktiviert und die Namen angepasst:

Code: Alles auswählen

/CN=AVERLON CA/O=LANCOM SYSTEMS/C=DE

Code: Alles auswählen

/CN=AVERLON RA/O=LANCOM SYSTEMS/C=DE
Es gibt diese Beschreibung:
aktuelle-lancom-router-serie-f41/1781va ... tml#p90462

die teilweise auf eine andere Beschreibung verweist:
fragen-zum-thema-vpn-f14/windows-phone- ... 15356.html

Code: Alles auswählen

show vpn cert

Certificate for application VPN1
Failure reading PKCS12 file /flash/security/vpn/vpn_pkcs12_int
Failure reading certificate /flash/security/vpn/vpn_devcert, no such file

Certificate for application VPN2
Failure reading PKCS12 file /flash/security/vpn/vpn_pkcs12_int2

Certificate for application VPN3
Failure reading PKCS12 file /flash/security/vpn/vpn_pkcs12_int3

Certificate for application VPN4
Failure reading PKCS12 file /flash/security/vpn/vpn_pkcs12_int4

Certificate for application VPN5
Failure reading PKCS12 file /flash/security/vpn/vpn_pkcs12_int5

Certificate for application VPN6
Failure reading PKCS12 file /flash/security/vpn/vpn_pkcs12_int6

Certificate for application VPN7
Failure reading PKCS12 file /flash/security/vpn/vpn_pkcs12_int7

Certificate for application VPN8
Failure reading PKCS12 file /flash/security/vpn/vpn_pkcs12_int8

Certificate for application VPN9
Failure reading PKCS12 file /flash/security/vpn/vpn_pkcs12_int9
Hier fehlt offensichtlich noch was - aber wie bekomme ich das rein?

Code: Alles auswählen

show vpn ca

CA-Certificate for application VPN1
Failure reading PKCS12 file /flash/security/vpn/vpn_pkcs12_int
Failure reading certificate /flash/security/vpn/vpn_rootcert, no such file

CA-Certificate for application VPN2
Failure reading PKCS12 file /flash/security/vpn/vpn_pkcs12_int2

CA-Certificate for application VPN3
Failure reading PKCS12 file /flash/security/vpn/vpn_pkcs12_int3

CA-Certificate for application VPN4
Failure reading PKCS12 file /flash/security/vpn/vpn_pkcs12_int4

CA-Certificate for application VPN5
Failure reading PKCS12 file /flash/security/vpn/vpn_pkcs12_int5

CA-Certificate for application VPN6
Failure reading PKCS12 file /flash/security/vpn/vpn_pkcs12_int6

CA-Certificate for application VPN7
Failure reading PKCS12 file /flash/security/vpn/vpn_pkcs12_int7

CA-Certificate for application VPN8
Failure reading PKCS12 file /flash/security/vpn/vpn_pkcs12_int8

CA-Certificate for application VPN9
Failure reading PKCS12 file /flash/security/vpn/vpn_pkcs12_int9
Könnte mir bitte jemand mit einer Schritt-für-Schritt Dokumentation helfen wie ich das mit VPN mit Zertifikaten hinbekomme.

Danke
Gruß
Karl-Heinz
Nach oben
averlon
Beiträge: 232
Registriert: 05 Okt 2012, 09:48

Re: vpn android strongswan lancom mit zertifikaten

Beitrag von averlon »

ich glaube, ich bin einen Schritt weiter gekommen:

Code: Alles auswählen

show vpn cert

Certificate for application VPN1
File /flash/security/vpn/vpn_pkcs12_int was read successfully

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 999471 (0xf402f)
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: CN=AVERLON CA,O=LANCOM SYSTEMS,C=DE
        Validity
            Not Before: Aug 12 07:35:27 2024 GMT
            Not After : Aug 12 07:35:27 2025 GMT
        Subject: CN=F4225221,O=Averlon
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:d4:d8:42:a6:9e:e5:21:aa:e9:65:9c:a9:2d:55:
                    2b:67:62:bb:e7:6d:f7:ac:2f:23:5d:a4:d6:e9:86:
                    84:59:62:fa:fb:75:16:87:ab:36:7d:3b:1c:02:b2:
                    f2:b6:61:b6:d1:99:42:80:41:bf:db:9f:b3:41:13:
                    c1:aa:8a:2e:87:c7:bf:50:2a:b3:25:fe:d1:7a:60:
                    a3:e3:ea:75:40:5f:2a:77:3e:39:7c:37:1f:d5:5d:
                    ff:e9:ce:70:8e:b5:5c:3a:ba:19:30:36:14:72:b5:
                    f5:ef:50:4c:ba:10:41:0f:48:85:35:63:ac:88:b2:
                    f7:4d:e4:e5:b5:b0:1f:05:2f:d4:a3:b7:cf:df:ec:
                    ac:0b:d4:68:1d:bf:34:f4:3c:53:c6:56:0e:c9:81:
                    43:78:5c:f9:79:16:87:ef:c3:1d:d0:35:5d:7e:b1:
                    75:d2:17:62:5d:44:7d:e7:60:3d:5d:f8:5b:fe:a3:
                    70:a5:c0:4c:6a:db:66:28:bd:33:2e:9b:af:bb:6b:
                    63:94:fe:6b:9b:29:14:4f:bf:7e:fe:2e:c8:45:1e:
                    65:c9:87:9b:e2:9b:26:3c:4b:21:18:0e:bb:c1:05:
                    e7:37:15:5b:ac:9b:5d:c3:d5:ba:f7:b0:d8:70:7b:
                    30:0e:64:cc:21:0c:d4:ab:5d:95:96:2f:0e:1e:ab:
                    2b:45
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment
            X509v3 Extended Key Usage:
                TLS Web Server Authentication, TLS Web Client Authentication
            X509v3 Basic Constraints: critical
                CA:FALSE
            X509v3 Subject Key Identifier:
                04:92:AF:EA:7F:AA:BE:47:65:F4:5C:37:C2:DD:79:68:F5:D6:33:82
            X509v3 Authority Key Identifier:
                E6:B5:0B:5E:22:12:B8:2B:A7:A2:67:43:A2:3F:42:BC:94:BE:E7:D0
    Signature Algorithm: sha256WithRSAEncryption
    Signature Value:
        23:a8:e8:0c:8b:03:53:6b:b5:9a:3d:c2:91:45:06:d2:27:38:
        e1:40:0b:5b:6b:3b:8e:dc:5b:34:4d:67:09:87:34:8a:01:a9:
        dc:8c:50:fb:93:a7:c3:0f:f8:b2:ba:3f:66:16:23:95:77:fd:
        83:e6:1e:0f:74:93:dc:16:89:4f:a3:32:e6:1d:63:13:83:1d:
        18:6e:a5:e0:b1:d5:20:04:96:31:4f:b9:10:8b:0f:84:be:35:
        a9:a4:70:60:9e:68:d6:be:ba:6e:f1:ec:8d:65:10:36:32:a4:
        82:3e:7c:aa:cf:1e:8b:36:1f:8b:70:af:24:61:fb:a7:c6:35:
        62:35:08:5b:82:68:67:aa:c7:c9:09:11:8b:a5:8f:c9:4d:48:
        2b:8d:36:96:ac:29:e2:88:b9:3f:93:57:38:d5:25:1c:47:2c:
        e0:17:99:e6:d2:18:7e:87:93:7d:fb:7a:1b:46:22:42:ec:25:
        bc:9e:e2:45:0b:92:45:76:17:83:78:91:37:4a:c1:b2:f9:b7:
        03:b1:b6:88:9f:ac:9f:72:d7:a1:67:7d:ed:57:74:ee:f3:e7:
        29:47:7a:cb:26:ec:47:cf:23:62:b7:11:c4:fa:8a:4c:a7:62:
        44:be:ad:17:f8:6b:df:7f:1e:19:15:41:4a:3d:89:64:5f:52:
        ea:cf:6c:fd
No Trusted Uses.
No Rejected Uses.
Alias: LCOS internal PKCS#12 file
Key Id: 46:4B:40:76:A5:88:BC:30:0E:B5:1D:0B:0D:E0:DD:C5:9A:C5:B1:BC


Certificate for application VPN2
Failure reading PKCS12 file /flash/security/vpn/vpn_pkcs12_int2

Certificate for application VPN3
Failure reading PKCS12 file /flash/security/vpn/vpn_pkcs12_int3

Certificate for application VPN4
Failure reading PKCS12 file /flash/security/vpn/vpn_pkcs12_int4

Certificate for application VPN5
Failure reading PKCS12 file /flash/security/vpn/vpn_pkcs12_int5

Certificate for application VPN6
Failure reading PKCS12 file /flash/security/vpn/vpn_pkcs12_int6

Certificate for application VPN7
Failure reading PKCS12 file /flash/security/vpn/vpn_pkcs12_int7

Certificate for application VPN8
Failure reading PKCS12 file /flash/security/vpn/vpn_pkcs12_int8

Certificate for application VPN9
Failure reading PKCS12 file /flash/security/vpn/vpn_pkcs12_int9
Das Zertifikat .p12 habe ich auch auf das SmartPhone geladen und im StrongSwan als Benutzerzertifikat ausgewählt.
Gruß
Karl-Heinz
Nach oben
averlon
Beiträge: 232
Registriert: 05 Okt 2012, 09:48

Re: vpn android strongswan lancom mit zertifikaten

Beitrag von averlon »

wenn ich jetzt die Verbindung vom Android aufbaue kommt folgendes Log:

Code: Alles auswählen

Aug 12 10:36:11 00[DMN] +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Aug 12 10:36:11 00[DMN] Starting IKE service (strongSwan 5.9.14, Android 14 - UP1A.231005.007.G990B2XXS8GXF3/2024-07-01, SM-G990B2 - samsung/r9q2xeea/samsung, Linux 5.4.254-qgki-28582291-abG990B2XXS8GXF3, aarch64, org.strongswan.android)
Aug 12 10:36:11 00[LIB] providers loaded by OpenSSL: default legacy
Aug 12 10:36:11 00[LIB] loaded plugins: androidbridge charon android-log socket-default openssl nonce pkcs1 pem x509 xcbc kdf revocation eap-identity eap-mschapv2 eap-md5 eap-gtc eap-tls
Aug 12 10:36:11 00[JOB] spawning 16 worker threads
Aug 12 10:36:11 07[CFG] loaded user certificate 'O=Averlon, CN=F4225221' and private key
Aug 12 10:36:11 07[CFG] loaded CA certificate 'C=DE, O=LANCOM SYSTEMS, CN=AVERLON CA'
Aug 12 10:36:12 07[IKE] initiating IKE_SA android[5] to 84.190.107.180
Aug 12 10:36:12 07[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Aug 12 10:36:12 07[NET] sending packet: from 192.0.0.2[60838] to 84.190.107.180[500] (948 bytes)
Aug 12 10:36:12 08[NET] received packet: from 84.190.107.180[500] to 192.0.0.2[60838] (38 bytes)
Aug 12 10:36:12 08[ENC] parsed IKE_SA_INIT response 0 [ N(INVAL_KE) ]
Aug 12 10:36:12 08[IKE] peer didn't accept DH group ECP_256, it requested ECP_512_BP
Aug 12 10:36:12 08[IKE] initiating IKE_SA android[5] to 84.190.107.180
Aug 12 10:36:12 08[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Aug 12 10:36:12 08[NET] sending packet: from 192.0.0.2[60838] to 84.190.107.180[500] (1012 bytes)
Aug 12 10:36:12 11[NET] received packet: from 84.190.107.180[500] to 192.0.0.2[60838] (377 bytes)
Aug 12 10:36:12 11[ENC] parsed IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(HASH_ALG) N(FRAG_SUP) CERTREQ V ]
Aug 12 10:36:12 11[ENC] received unknown vendor ID: 81:75:2e:b5:91:4d:73:5c:df:cd:c8:58:c3:a8:ed:7c:1c:66:d1:42
Aug 12 10:36:12 11[CFG] selected proposal: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_512_BP
Aug 12 10:36:12 11[IKE] local host is behind NAT, sending keep alives
Aug 12 10:36:12 11[IKE] received 1 cert requests for an unknown ca
Aug 12 10:36:12 11[IKE] sending cert request for "C=DE, O=LANCOM SYSTEMS, CN=AVERLON CA"
Aug 12 10:36:12 11[IKE] authentication of 'CN=f4225221.invalid' (myself) with RSA_EMSA_PSS_SHA2_256_SALT_32 successful
Aug 12 10:36:12 11[IKE] sending end entity cert "O=Averlon, CN=F4225221"
Aug 12 10:36:12 11[IKE] establishing CHILD_SA android{5}
Aug 12 10:36:12 11[ENC] generating IKE_AUTH request 1 [ IDi CERT N(INIT_CONTACT) CERTREQ IDr AUTH CPRQ(ADDR ADDR6 DNS DNS6) SA TSi TSr N(MOBIKE_SUP) N(NO_ADD_ADDR) N(EAP_ONLY) N(MSG_ID_SYN_SUP) ]
Aug 12 10:36:12 11[ENC] splitting IKE message (1824 bytes) into 2 fragments
Aug 12 10:36:12 11[ENC] generating IKE_AUTH request 1 [ EF(1/2) ]
Aug 12 10:36:12 11[ENC] generating IKE_AUTH request 1 [ EF(2/2) ]
Aug 12 10:36:12 11[NET] sending packet: from 192.0.0.2[57944] to 84.190.107.180[4500] (1364 bytes)
Aug 12 10:36:12 11[NET] sending packet: from 192.0.0.2[57944] to 84.190.107.180[4500] (532 bytes)
Aug 12 10:36:12 12[NET] received packet: from 84.190.107.180[4500] to 192.0.0.2[57944] (80 bytes)
Aug 12 10:36:12 12[ENC] parsed IKE_AUTH response 1 [ N(AUTH_FAILED) ]
Aug 12 10:36:12 12[IKE] received AUTHENTICATION_FAILED notify error
Gruß
Karl-Heinz
Nach oben
tobiasr
Beiträge: 246
Registriert: 22 Mär 2015, 12:03

Re: vpn android strongswan lancom mit zertifikaten

Beitrag von tobiasr »

Schau gleichzeitig auch mal in trace # VPN-Status und trace # VPN-Packet auf dem Lancom.
Hast du die CA des Lancoms auf dem Android und der StrongSwan App als 'Vertrauenswürdig' hinterlegt und gleichzeitig das Zertifikat des Endgeräts mit der Lancom CA erstellt? Das Root-CA muss (ob per Hand oder per Magie automatisch weiß ich gerade nicht) in den Router Speicher 'für VPN nutzen 1 (oder 2,3,4)' geladen werden.

Hat der 1906 die Zertifizierungsstelle ohne Lizenz dabei? Manche Geräte benötigen dafür ein Lizenzupdate.
Nach oben
averlon
Beiträge: 232
Registriert: 05 Okt 2012, 09:48

Re: vpn android strongswan lancom mit zertifikaten

Beitrag von averlon »

tobiasr hat geschrieben: 12 Aug 2024, 11:27 Schau gleichzeitig auch mal in trace # VPN-Status und trace # VPN-Packet auf dem Lancom.
Habe ich gemacht - zeigt mir aber nix was ich identifizieren könnte.
tobiasr hat geschrieben: 12 Aug 2024, 11:27 Hast du die CA des Lancoms auf dem Android und der StrongSwan App als 'Vertrauenswürdig' hinterlegt und gleichzeitig das Zertifikat des Endgeräts mit der Lancom CA erstellt? Das Root-CA muss (ob per Hand oder per Magie automatisch weiß ich gerade nicht) in den Router Speicher 'für VPN nutzen 1 (oder 2,3,4)' geladen werden.
1) ich finde keinen Punkt im Android oder StrongSwan wo ich etwas "vertrauenswürdig" festlegen könnte. Auch nicht beim Import selbst.
2) ja, das Zertifikat für das Endgerät habe ich mit dem Lancom erzeugt und dann - das war ja zuerst der Punkt der mir gefehlt hatte - in VPN1 erfolgreich importiert. Steht ja weiter oben.
tobiasr hat geschrieben: 12 Aug 2024, 11:27 Hat der 1906 die Zertifizierungsstelle ohne Lizenz dabei? Manche Geräte benötigen dafür ein Lizenzupdate.
Soweit ich das feststellen kann funktioniert mit der CA alles. Insofern glaube ich, dass der 1906VA die Lizenz für die CA drin hat.
Gruß
Karl-Heinz
Nach oben
averlon
Beiträge: 232
Registriert: 05 Okt 2012, 09:48

Re: vpn android strongswan lancom mit zertifikaten

Beitrag von averlon »

ich habe mal einen trace mitgeschrieben:

Code: Alles auswählen

[TraceData]

(Version)            9.10.0036
(Tracesessions)      0
(Comment)            {N/A}
(NumberOfMessages)   32
(OffsetToIndex)      280014
[EndOfHeader]
[TraceStarted] 2024/08/12 13:15:53,290
Used config:
# Trace config
trace + VPN-Status @ -IKE1_HH -46. -2BLU -Loopback
trace + VPN-Packet @ -IKE1_HH -46. -2BLU -Loopback

# Show commands
show bootlog 
show locked-jobs 
[ShowCmd] 2024/08/12 13:15:54,288
Result of command: "show locked-jobs "
No list was dumped to the flash yet.

Current status:

Signal @ 06de6564 - Hardware-Watchdog pid:2 @ 06de6650 blocked for 18163630888 us at [BT] 04237334 04243170 04251aac 02dd0060
Signal @ 06de79e8 - Message-Watchdog pid:3 @ 06de7ab0 blocked for 18164630902 us at [BT] 04237334 04243da8 04251aac 02dd0060
Signal @ 06c62044 - RCU generation deleter pid:4 @ 06de8ef0 blocked at [BT] 0423686c 04234548 04251aac 02dd0060
Signal @ 0673699c - Http-Client-Auth-Revocation pid:41 @ 0d6c6ad0 blocked for 18318633314 us at [BT] 04237334 01c19b8c 04251aac 02dd0060
Signal @ 0d713824 - Thread-Killer pid:50 @ 0d40e630 blocked at [BT] 0423686c 04243738 04251aac 02dd0060
Signal @ 0919b1b4 - Timer-Management pid:211 @ 0919a110 blocked for 18163534624 us at [BT] 04237334 0424acf8 04251aac 02dd0060
Signal @ 06c4fd94 - Shell pid:214 @ 09211198 blocked at [BT] 0423686c 04a9e94c 0456eafc 02dd0060
Signal @ 0a103484 - USB-Device pid:239 @ 0a101420 blocked for 18199650543 us at [BT] 04237334 039cfbd4 039d34d4 02dcb718 04259210 02dd0060
Signal @ 0a14bcc4 - USB-HC pid:240 @ 0a149c60 blocked at [BT] 042370dc 039cfc78 039d3378 02dcb718 04259210 02dd0060
Signal @ 0a14e084 - USB-DR pid:241 @ 0a14c020 blocked at [BT] 042370dc 039cfc78 039d3378 02dcb718 04259210 02dd0060
Signal @ 0a2cb26c - Diffie-Hellman-Precalc pid:245 @ 0a2c9170 blocked for 18172720527 us at [BT] 04237334 025b3bdc 04251aac 02dd0060
Signal @ 0a2cb3a4 - VPN-Config pid:246 @ 0a2cb4d0 blocked at [BT] 0423686c 02490f64 04251aac 02dd0060
Signal @ 0a2fcfa4 - USB-Device pid:251 @ 0a2faf40 blocked for 18199864299 us at [BT] 04237334 039cfbd4 039d34d4 02dcb718 04259210 02dd0060
condition variable @ 06c0d4dc - BGP-Master-Control pid:264 @ 0a3688d0 blocked at [BT] 04237f8c 03a2758c 04251aac 02dd0060
Signal @ 0a3889ec - Digest-Auth-Revocation pid:269 @ 0a38d1d0 blocked for 18169479936 us at [BT] 04237334 04ac3f1c 04251aac 02dd0060
Signal @ 0a390bd4 - Digest-Auth-Revocation pid:272 @ 0a393290 blocked for 18169479938 us at [BT] 04237334 04ac3f1c 04251aac 02dd0060

HW-ID:                 NHP

[VPN-Status] 2024/08/12 13:16:05,204  Devicetime: 2024/08/12 13:16:04,716
Peer DEFAULT: Received an IKE_SA_INIT-REQUEST of 948 bytes
Gateways: 84.190.107.180:500<--80.187.81.206:25209
SPIs: 0x10C0C11933042A5B0000000000000000, Message-ID 0
Peer identified: DEFAULT
IKE_SA ('', '' IPSEC_IKE SPIs 0x10C0C11933042A5B3FB9DF732E56B827) entered to SADB
Received 5 notifications: 
  +NAT_DETECTION_SOURCE_IP(0x1DC727B47E4E74C1C10A2FB0727E710C9AF7A5C3) (STATUS)
  +NAT_DETECTION_DESTINATION_IP(0x79A5D2D75CCAF230DF8334CCBF7B274091D24E14) (STATUS)
  +IKEV2_FRAGMENTATION_SUPPORTED (STATUS)
  +SIGNATURE_HASH_ALGORITHMS(0x0002000300040005) (STATUS)
  +REDIRECT_SUPPORTED (STATUS)
Peer (initiator) is behind a NAT
NAT-T enabled => switching on port 4500
We (responder) are not behind a NAT. NAT-T is already enabled
+IKE-SA:
  IKE-Proposal-1  (36 transforms)
    ENCR : AES-CBC-128 AES-CBC-192 AES-CBC-256 AES-128-CTR AES-128-CTR AES-128-CTR ENCR-CAMELLIA-CBC ENCR-CAMELLIA-CBC ENCR-CAMELLIA-CBC ENCR-CAMELLIA-CTR ENCR-CAMELLIA-CTR ENCR-CAMELLIA-CTR 3DES
    PRF  : PRF-HMAC-SHA-256 PRF-HMAC-SHA-384 PRF-HMAC-SHA-512 PRF-AES128-XCBC PRF-HMAC-SHA1
    INTEG: HMAC-SHA-256 HMAC-SHA-384 HMAC-SHA-512 HMAC-SHA1 AES-XCBC-96
    DH   : 19 20 21 28 29 30 31 32 15 16 17 18 14
  IKE-Proposal-2  (37 transforms)
    ENCR : AES-GCM-16-128 AES-GCM-16-192 AES-GCM-16-256 ENCR-AES-CCM-16 ENCR-AES-CCM-16 ENCR-AES-CCM-16 ENCR-CHACHA20-POLY1305 AES-GCM-12 AES-GCM-12 AES-GCM-12 AES-GCM-8 AES-GCM-8 AES-GCM-8 ENCR-AES-CCM-12 ENCR-AES-CCM-12 ENCR-AES-CCM-12 ENCR-AES-CCM-8 ENCR-AES-CCM-8 ENCR-AES-CCM-8
    PRF  : PRF-HMAC-SHA-256 PRF-HMAC-SHA-384 PRF-HMAC-SHA-512 PRF-AES128-XCBC PRF-HMAC-SHA1
    DH   : 19 20 21 28 29 30 31 32 15 16 17 18 14
-Agreed on DH-Group 30 but received KE-DH-Group 19 => responding with INVALID_KE_PAYLOAD(30)

[VPN-Status] 2024/08/12 13:16:05,205  Devicetime: 2024/08/12 13:16:04,716
Peer DEFAULT: Constructing an IKE_SA_INIT-RESPONSE for send
NOTIFY(INVALID_KE_PAYLOAD[7680])
Sending an IKE_SA_INIT-RESPONSE of 38 bytes (responder)
Gateways: 84.190.107.180:500-->80.187.81.206:25209, tag 0 (UDP)
SPIs: 0x10C0C11933042A5B0000000000000000, Message-ID 0

[VPN-Status] 2024/08/12 13:16:05,205  Devicetime: 2024/08/12 13:16:04,717
IKE_SA ('', '' IPSEC_IKE SPIs 0x10C0C11933042A5B0000000000000000) removed from SADB
IKE_SA ('', '' IPSEC_IKE SPIs 0x10C0C11933042A5B0000000000000000) freed

[VPN-Status] 2024/08/12 13:16:05,220  Devicetime: 2024/08/12 13:16:04,782
Peer DEFAULT: Received an IKE_SA_INIT-REQUEST of 1012 bytes
Gateways: 84.190.107.180:500<--80.187.81.206:25209
SPIs: 0x10C0C11933042A5B0000000000000000, Message-ID 0
Peer identified: DEFAULT
IKE_SA ('', '' IPSEC_IKE SPIs 0x10C0C11933042A5B79F69B81BF438C88) entered to SADB
Received 5 notifications: 
  +NAT_DETECTION_SOURCE_IP(0x1DC727B47E4E74C1C10A2FB0727E710C9AF7A5C3) (STATUS)
  +NAT_DETECTION_DESTINATION_IP(0x79A5D2D75CCAF230DF8334CCBF7B274091D24E14) (STATUS)
  +IKEV2_FRAGMENTATION_SUPPORTED (STATUS)
  +SIGNATURE_HASH_ALGORITHMS(0x0002000300040005) (STATUS)
  +REDIRECT_SUPPORTED (STATUS)
Peer (initiator) is behind a NAT
NAT-T enabled => switching on port 4500
We (responder) are not behind a NAT. NAT-T is already enabled
+IKE-SA:
  IKE-Proposal-1  (36 transforms)
    ENCR : AES-CBC-128 AES-CBC-192 AES-CBC-256 AES-128-CTR AES-128-CTR AES-128-CTR ENCR-CAMELLIA-CBC ENCR-CAMELLIA-CBC ENCR-CAMELLIA-CBC ENCR-CAMELLIA-CTR ENCR-CAMELLIA-CTR ENCR-CAMELLIA-CTR 3DES
    PRF  : PRF-HMAC-SHA-256 PRF-HMAC-SHA-384 PRF-HMAC-SHA-512 PRF-AES128-XCBC PRF-HMAC-SHA1
    INTEG: HMAC-SHA-256 HMAC-SHA-384 HMAC-SHA-512 HMAC-SHA1 AES-XCBC-96
    DH   : 30 19 20 21 28 29 31 32 15 16 17 18 14
  IKE-Proposal-2  (37 transforms)
    ENCR : AES-GCM-16-128 AES-GCM-16-192 AES-GCM-16-256 ENCR-AES-CCM-16 ENCR-AES-CCM-16 ENCR-AES-CCM-16 ENCR-CHACHA20-POLY1305 AES-GCM-12 AES-GCM-12 AES-GCM-12 AES-GCM-8 AES-GCM-8 AES-GCM-8 ENCR-AES-CCM-12 ENCR-AES-CCM-12 ENCR-AES-CCM-12 ENCR-AES-CCM-8 ENCR-AES-CCM-8 ENCR-AES-CCM-8
    PRF  : PRF-HMAC-SHA-256 PRF-HMAC-SHA-384 PRF-HMAC-SHA-512 PRF-AES128-XCBC PRF-HMAC-SHA1
    DH   : 30 19 20 21 28 29 31 32 15 16 17 18 14
+Received KE-DH-Group 30 (1024 bits)

[VPN-Status] 2024/08/12 13:16:05,220  Devicetime: 2024/08/12 13:16:04,833
Peer DEFAULT: Constructing an IKE_SA_INIT-RESPONSE for send
+IKE-SA:
  IKE-Proposal-1  (4 transforms)
    ENCR : AES-CBC-256
    PRF  : PRF-HMAC-SHA-256
    INTEG: HMAC-SHA-256
    DH   : 30
+KE-DH-Group 30 (1024 bits)
Switching to port pair 4500 ( NAT-T keep-alive is off)
IKE_SA_INIT [responder] for peer DEFAULT initiator id <no ipsec id>, responder id <no ipsec id>
initiator cookie: 0x10C0C11933042A5B, responder cookie: 0x79F69B81BF438C88
NAT-T enabled. We are not behind a nat, the remote side is  behind a nat
SA ISAKMP for peer DEFAULT
 Encryption                    : AES-CBC-256
 Integrity                     : AUTH-HMAC-SHA-256
 IKE-DH-Group                  : 30
 PRF                           : PRF-HMAC-SHA-256
life time soft 08/13/2024 10:52:04 (in 77760 sec) / 0 kb
life time hard 08/13/2024 13:16:04 (in 86400 sec) / 0 kb
DPD: NONE
Negotiated: IKEV2_FRAGMENTATION

Sending an IKE_SA_INIT-RESPONSE of 377 bytes (responder)
Gateways: 84.190.107.180:4500-->80.187.81.206:4500, tag 0 (UDP)
SPIs: 0x10C0C11933042A5B79F69B81BF438C88, Message-ID 0

[VPN-Packet] 2024/08/12 13:16:05,283  Devicetime: 2024/08/12 13:16:04,898 [TELEKOM (9)]
Inbound UDP (17) packet, scope global, routing tag 0, thread 31 IPV4/0:
  IPv4: 80.187.81.206 -> 84.190.107.180, Total-Len: 1396
  UDP : 25221 -> 4500, Total-Len: 1376
  IKEv2.0: 10c0c11933042a5b -> 79f69b81bf438c88, Length: 1364
  Binary Data: 23 00 05 38 00 01 00 02 4e b9 a4 a5 e4 7d 98 d1

--> Passed to ike stack

[VPN-Status] 2024/08/12 13:16:05,283  Devicetime: 2024/08/12 13:16:04,900
Peer DEFAULT [responder]: Received an IKE_AUTH-REQUEST of 1364 bytes (encrypted)
Gateways: 84.190.107.180:4500<--80.187.81.206:4500
SPIs: 0x10C0C11933042A5B79F69B81BF438C88, Message-ID 1
Ikev2 Fragment Number/Total: 1/2

[VPN-Packet] 2024/08/12 13:16:05,298  Devicetime: 2024/08/12 13:16:04,905 [TELEKOM (9)]
Inbound UDP (17) packet, scope global, routing tag 0, thread 31 IPV4/0:
  IPv4: 80.187.81.206 -> 84.190.107.180, Total-Len: 564
  UDP : 25221 -> 4500, Total-Len: 544
  IKEv2.0: 10c0c11933042a5b -> 79f69b81bf438c88, Length: 532
  Binary Data: 00 00 01 f8 00 02 00 02 9c 69 01 a5 11 15 d0 3f

--> Passed to ike stack

[VPN-Status] 2024/08/12 13:16:05,298  Devicetime: 2024/08/12 13:16:04,910
Peer DEFAULT [responder]: Received an IKE_AUTH-REQUEST of 532 bytes (encrypted)
Gateways: 84.190.107.180:4500<--80.187.81.206:4500
SPIs: 0x10C0C11933042A5B79F69B81BF438C88, Message-ID 1
Ikev2 Fragment Number/Total: 2/2

[VPN-Status] 2024/08/12 13:16:05,314  Devicetime: 2024/08/12 13:16:04,931
Peer DEFAULT [responder]: Received an IKE_AUTH-REQUEST of 1781 bytes
Gateways: 84.190.107.180:4500<--80.187.81.206:4500
SPIs: 0x10C0C11933042A5B79F69B81BF438C88, Message-ID 1
CHILD_SA ('', '' ) entered to SADB
Updating remote port to 25221
Received 5 notifications: 
  +INITIAL_CONTACT (STATUS)
  +MOBIKE_SUPPORTED (STATUS)
  +NO_ADDITIONAL_ADDRESSES (STATUS)
  +EAP_ONLY_AUTHENTICATION (STATUS)
  +MESSAGE_ID_SYNC_SUPPORTED (STATUS)
+Received-ID CN=f4225221.invalid:DER_ASN1_DN matches the Expected-ID CN=f4225221.invalid:DER_ASN1_DN
+Peer identified: ANDROID
-Remote-ID is not referenced in the received certificate
  
Comparing id 0x301B311930170603550403131066343232353232312E696E76616C6964 with:
  cert-id 0x308197310E300C0603550411130538353636313129302706092A864886F70D010901161A6B61726C2D6865696E7A4066616D6669736368626163682E64653112301006035504041309466973636862616368311430120603550407130B466F727374696E6E696E67310B30090603550406130244453110300E060355040A1307417665726C6F6E3111300F060355040313084634323235323231 -> does not DN match

[VPN-Status] 2024/08/12 13:16:05,314  Devicetime: 2024/08/12 13:16:04,932
Peer ANDROID: Constructing an IKE_AUTH-RESPONSE for send
NOTIFY(AUTHENTICATION_FAILED)
IKE_SA ('ANDROID', 'ISAKMP-PEER-ANDROID' IPSEC_IKE SPIs 0x10C0C11933042A5B79F69B81BF438C88) removed from SADB
Sending an IKE_AUTH-RESPONSE of 80 bytes (responder encrypted)
Gateways: 84.190.107.180:4500-->80.187.81.206:25221, tag 0 (UDP)
SPIs: 0x10C0C11933042A5B79F69B81BF438C88, Message-ID 1

[VPN-Status] 2024/08/12 13:16:05,314  Devicetime: 2024/08/12 13:16:04,932
IKE log: 131604.932986 Default IKE-DISCONNECT-RESPONSE: comchannel 36 set for peer ANDROID on message free

[VPN-Status] 2024/08/12 13:16:05,314  Devicetime: 2024/08/12 13:16:04,933
CHILD_SA ('', '' ) removed from SADB
CHILD_SA ('', '' ) freed
IKE_SA ('ANDROID', 'ISAKMP-PEER-ANDROID' IPSEC_IKE SPIs 0x10C0C11933042A5B79F69B81BF438C88) freed

[VPN-Status] 2024/08/12 13:16:05,314  Devicetime: 2024/08/12 13:16:04,933
ANDROID: DISCONNECT-RESPONSE sent for handle 36

[VPN-Status] 2024/08/12 13:16:05,314  Devicetime: 2024/08/12 13:16:04,933
VPN: policy manager error indication: ANDROID (80.187.81.206), cause: 8714

[VPN-Status] 2024/08/12 13:16:05,314  Devicetime: 2024/08/12 13:16:04,933
VPN: WAN state changed to WanCalled for ANDROID (80.187.81.206 IKEv2)[BT] 02457c3c 02459a08 024662ec 02dcb718 04259210 02dd0060

[VPN-Status] 2024/08/12 13:16:05,314  Devicetime: 2024/08/12 13:16:04,933
VPN: Error: IKE-R-IKE-key-mismatch (0x220a) for ANDROID (80.187.81.206 IKEv2)

[VPN-Status] 2024/08/12 13:16:05,314  Devicetime: 2024/08/12 13:16:04,934
VPN: ANDROID (80.187.81.206)  disconnected

[VPN-Status] 2024/08/12 13:16:05,314  Devicetime: 2024/08/12 13:16:04,936
vpn-maps[36], remote: ANDROID, idle, dns-name, static-name

[VPN-Status] 2024/08/12 13:16:05,319  Devicetime: 2024/08/12 13:16:04,936
VPN: installing ruleset for ANDROID (0.0.0.0 IKEv2)

[VPN-Status] 2024/08/12 13:16:05,319  Devicetime: 2024/08/12 13:16:04,936
VPN: WAN state changed to WanDisconnect for ANDROID (0.0.0.0 IKEv2)[BT] 02457c3c 0245bbe4 02dcb718 04259210 02dd0060

[VPN-Status] 2024/08/12 13:16:05,319  Devicetime: 2024/08/12 13:16:04,937
Config parser: Start

[VPN-Status] 2024/08/12 13:16:05,319  Devicetime: 2024/08/12 13:16:04,937
Config parser: Finish
  Wall clock time: 0 ms
  CPU time: 0 ms

[VPN-Status] 2024/08/12 13:16:05,361  Devicetime: 2024/08/12 13:16:04,937
VPN: WAN state changed to WanIdle for ANDROID (0.0.0.0 IKEv2)[BT] 02457c3c 02459a08 0140599c 02dcb718 04259210 02dd0060

[VPN-Status] 2024/08/12 13:16:05,361  Devicetime: 2024/08/12 13:16:04,937
vpn-maps[36], remote: ANDROID, idle, dns-name, static-name

[VPN-Status] 2024/08/12 13:16:05,361  Devicetime: 2024/08/12 13:16:04,938
ANDROID (ikev2): Remote gateway has changed from 80.187.81.206 to 0.0.0.0 -> tearing down

[VPN-Status] 2024/08/12 13:16:05,361  Devicetime: 2024/08/12 13:16:04,939
VPN: rulesets installed


[TraceStopped] 2024/08/12 13:16:11,291
Used config:
# Trace config
trace + VPN-Status @ -IKE1_HH -46. -2BLU -Loopback
trace + VPN-Packet @ -IKE1_HH -46. -2BLU -Loopback

# Show commands
show bootlog 
show locked-jobs 
[Legend] 2009/07/09 00:00:00,000
VPN-Status, VPN-Packet, TraceStarted, TraceStopped, Sysinfo, ShowCmd, IPv6-Firewall, IPv6-Router, VPN-Debug, VPN-IKE
[Index] 2009/07/09 00:00:00,000
2,227,9;5,2113,23;5,260098,4432;4,2360,64;0,1837,27;0,350,7;0,235,4;0,1782,27;0,1162,27;1,416,9;0,301,6;1,413,9;0,300,6;0,1137,19;0,463,8;0,185,3;0,240,5;
0,126,3;0,153,3;0,206,3;0,156,3;0,121,3;0,137,3;0,130,3;0,195,3;0,99,3;0,143,5;0,198,3;0,137,3;0,168,3;0,103,4;3,227,9;
Da ist dann eine Zeile drin:

Code: Alles auswählen

ANDROID (ikev2): Remote gateway has changed from 80.187.81.206 to 0.0.0.0 -> tearing down
Da ist vorher noch:

Code: Alles auswählen

VPN: Error: IKE-R-IKE-key-mismatch (0x220a) for ANDROID (80.187.81.206 IKEv2)
Frage ist nur: was ist der "mismatch"?

Für mich als Laien sieht das alles gut aus bis der Abbruch kommt. Ich hoffe, jemand erkennt mehr!
Gruß
Karl-Heinz
Nach oben
averlon
Beiträge: 232
Registriert: 05 Okt 2012, 09:48

Re: vpn android strongswan lancom mit zertifikaten

Beitrag von averlon »

so, ich habe jetzt bei der Authentifizierung mal den Zeit-Check ausgeschaltet.

Jetzt kommt eine andere Fehlermeldung:

Code: Alles auswählen

Aug 12 14:14:50 13[IKE] no trusted RSA public key found for 'CN=office.example.com'
Dazu hieß es ja in der Beschreibung:

Code: Alles auswählen

6.) Erweiterte Profil-Einstellungen aktivieren und konfigurieren:

Server-Identität: CN=granddixence.spdns.de

Punkt 6) ist nur erforderlich, wenn das Rechner-/Maschinenzertifikat nicht korrekt mit dem
"subjectAltName" konfiguriert wurde. Siehe auch:
leider wird nicht erklärt, wie man das mit dem subjectAltName machen kann.
Gruß
Karl-Heinz
Nach oben
tobiasr
Beiträge: 246
Registriert: 22 Mär 2015, 12:03

Re: vpn android strongswan lancom mit zertifikaten

Beitrag von tobiasr »

Ich werde hier nicht schlau. Du hast mittlerweile 5? unterschiedliche Domainnamen gezeigt. Welche wird denn jetzt tatsächlich für die DNS Auflösung und für die Zertifikate verwendet? Ist das überall die gleiche? Oder hast du irgendwo eine Domain aus der Anleitung übernommen statt für dich angepasst?
An einer Stelle im Fehlerlog steht was von 'DH Gruppe 19 angefordert, aber nur 30 unterstützt'. Ggf. ist hier das Profil vom StrongSwan Client falsch (ggf. muss man das über die Config Datei statt das Menü anpassen).

Die RemoteID und der CN im Zertifikat sollten (oder müssen?) übereinstimmen.
Nach oben
averlon
Beiträge: 232
Registriert: 05 Okt 2012, 09:48

Re: vpn android strongswan lancom mit zertifikaten

Beitrag von averlon »

tobiasr hat geschrieben: 12 Aug 2024, 14:25 Oder hast du irgendwo eine Domain aus der Anleitung übernommen statt für dich angepasst?
Nein, natürlich habe ich die auf meine Bedürfnisse angepasst. Und die existiert in der konfig ja nur 2 Mal. 1x im StrongSwan Profil und einmal in der IKEV2 Authentisierung als lokale ID ("CN=office.example.com").

Du verstehst sicherlich, dass ich die richtige FQDN hier nicht darstelle. Ich bekomme eh schon viele DoS Attacken. Muss ja nicht mehr werden!
Gruß
Karl-Heinz
Nach oben
tobiasr
Beiträge: 246
Registriert: 22 Mär 2015, 12:03

Re: vpn android strongswan lancom mit zertifikaten

Beitrag von tobiasr »

Ich verstehe das nur bedingt, denn du hast in jedem Code unterschiedliche stehen. Wie soll man da feststellen, dass da ggf. ein Tippfehler oder so ist?

Zudem musst du an mindestens vier Stellen die CN eingetragen haben.
Nach oben
averlon
Beiträge: 232
Registriert: 05 Okt 2012, 09:48

Re: vpn android strongswan lancom mit zertifikaten

Beitrag von averlon »

hilf mir bitte auf die Sprünge! Welches wären die vier Stellen?

1) in der Authentifizierung unter lokale Identität mit "CN=office.examle.com"
2) im StrongSwan Profil unter Server-Identität - genauso wie oben

In der Authentifizierurng unter entfernte Identität kommt ja ein anderer String rein, zumindest gem. Beschreibung. Sowas wie "f4225221.invalid". Der auch im StrongSwan unter Client-Identität eingetragen wird.

In der Zertifizierungsstelle unter CA/RA-Zertifikate erweitert habe ich das jetzt auch eingetragen:

mit "DNS:office.example.com"

Dann habe ich das CA-Zertifikat erneut exportiert und im StrongSwan importiert und im Profil erneut ausgewählt/eingefügt.

Wo noch?
Zuletzt geändert von averlon am 12 Aug 2024, 15:22, insgesamt 2-mal geändert.
Gruß
Karl-Heinz
Nach oben
GrandDixence
Beiträge: 1154
Registriert: 19 Aug 2014, 22:41

Re: vpn android strongswan lancom mit zertifikaten

Beitrag von GrandDixence »

In der VPN-Anleitung für "Windows Native VPN Client" gibt es einen kleinen aber feinen Abschnitt zur Fehlersuche in X.509-Zertifikaten:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
Für die Fehlersuche bei Zertifikats-Problemen siehe:
Zu subjectAltName (SAN) mit OpenSSL siehe diesen Beitrag:
fragen-zum-thema-vpn-f14/ikev2-verbindu ... ml#p111609
Nach oben
averlon
Beiträge: 232
Registriert: 05 Okt 2012, 09:48

Re: vpn android strongswan lancom mit zertifikaten

Beitrag von averlon »

nix für ungut - aber das packt meine Brille nicht. Ich finde da nix zu x.509
Gruß
Karl-Heinz
Nach oben
tobiasr
Beiträge: 246
Registriert: 22 Mär 2015, 12:03

Re: vpn android strongswan lancom mit zertifikaten

Beitrag von tobiasr »

Was steht denn im Client Zertifikat drin? Das hast du doch auch mit der Zertifizierungsstelle im Lancom angelegt? In das Endgeräte müssen dann zwei Zertifikate (CA=Router, DNS:mobilgeraet1.example.com inkl. Privatem Schlüssel) importiert werden.
Nach oben
averlon
Beiträge: 232
Registriert: 05 Okt 2012, 09:48

Re: vpn android strongswan lancom mit zertifikaten

Beitrag von averlon »

danke für die Hilfestellung!

Ich bin mir nicht sicher wie ich dir darstellen kann, was im Client-Zertifikat drin steht.

Das Zertifikat wurde über die Weboberfläche erstellt.

Faktisch wurde nur der CN mit "F4225221" befüllt. Alle anderen Felder der Vorlage sind leer geblieben. Das zeigt dann das Client-Zertifikat in der Weboberfläche mit "CN=F4225221" an - mehr nicht.

Das CA-Zertifikat, nach meinem Verständnis also das Root-Zertifikat, wurde in der Lanconfig konfiguriert, inkl. dem "subjectAltName". Dann über die Weboberfläche exportiert. Das ergibt dann eine .crt-Datei.

Beide Dateien wurden im StrongSwan importiert (fehlerfrei) und dann in das Profil eingefügt.

Jetzt habe ich mir die Zertifikate mal in meine Windows-Maschien importiert. Soweit ich das sehen kann, steht im CA-Zertifikat nix von "DNS:office.example.com" drin. Sollte eigentlich - dachte ich!
Gruß
Karl-Heinz
Nach oben
Antworten

Zurück zu „Fragen zum Thema VPN“