VPN IKEv2 mit Zertifikat: Benutzername oder Passwort falsch

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
grich
Beiträge: 12
Registriert: 05 Dez 2019, 13:33

VPN IKEv2 mit Zertifikat: Benutzername oder Passwort falsch

Beitrag von grich »

Hallo,

ich versuche eine IKEv2 Verbindung mit Zertifikaten vom Lancom Advanced VPN Client zu einem 1781ef+ aufzubauen.
Ich bin dabei mehrfach diese Anleitung durchgegangen:
https://www2.lancom.de/kb.nsf/1275/04D0 ... enDocument
und dieses Video:
https://www.youtube.com/watch?v=X3C2doQ3X6Y
Die Zertifikate habe ich auf dem Router erstellen lassen.
Der VPN Client meldet jedoch Benutzername oder Passwort falsch.
Im Logbuch steht error 2110 xauth wrong userid or password
Auf dem Router wird dieser Fehler protokolliert:
VPN: Error for peer V2RIC: IKE-R-IKE-key-mismatch
Was ist hier falsch? Anleitungen sind exakt befolgt. Mit PSK funktioniert VPN problemlos.

Danke
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: VPN IKEv2 mit Zertifikat: Benutzername oder Passwort falsch

Beitrag von GrandDixence »

Entsprechende VPN-Anleitung unter:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
verwenden. Diese Anleitungen beschreiben die Konfiguration eines VPN-Tunnels mit sicherer Authentifizierung der VPN-Endpunkte mit X.509-Zertifikaten (Maschinenzertifikate):
alles-zum-lancom-wlc-4100-wlc-4025-wlc- ... tml#p98379

Die von mir oben verlinkten VPN-Anleitungen beschreiben die Konfiguration eines VPN-Tunnels mit sicherer Authentifizierung der VPN-Endpunkte mit X.509-Zertifikaten (Maschinenzertifikate) ohne Benutzerauthentifizierung. Auch "traditional IKEv2 certificate authentication" genannt. Solange das Maschinenzertifikat nicht in die falschen Hände gerät, ist der mit "traditional IKEv2 certificate authentication" realisierte VPN-Tunnel genügend sicher.

Eine Benutzerauthentifizierung beim VPN-Tunnelaufbau bringt in meinen Augen keinen Sicherheitsgewinn. Siehe auch diesen lesenswerten Artikel zu EAP:
https://www.heise.de/ct/artikel/WLAN-un ... 79513.html

Bei hohen Sicherheitsansprüchen muss das Maschinenzertifikat in einem HSM (Hardware Security Module) erzeugt und gespeichert werden. Die Hauptaufgabe des HSM ist es, unter keinen Umständen den privaten Schlüssel des Maschinenzertifikats in unverschlüsselter Form preiszugeben. Bekannte HSM sind Smartcards, TPM, USB-Security-Tokens, SIM-Karten.

lancom-allgemeine-fragen-f23/lancom-ca- ... tml#p93970

https://de.wikipedia.org/wiki/Hardware-Sicherheitsmodul

https://en.wikipedia.org/wiki/Hardware_security_module

https://de.wikipedia.org/wiki/Security-Token

Ideal geeigneter HSM für Maschinenzertifikate ist der TPM oder fTPM:

https://de.wikipedia.org/wiki/Trusted_Platform_Module

https://superuser.com/questions/1411061 ... -option-do
Zuletzt geändert von GrandDixence am 04 Nov 2020, 17:19, insgesamt 3-mal geändert.
grich
Beiträge: 12
Registriert: 05 Dez 2019, 13:33

Re: VPN IKEv2 mit Zertifikat: Benutzername oder Passwort falsch

Beitrag von grich »

Danke, aber hier sollen sich Mitarbeiter bei Bedarf per LANCOM Adv. VPN Client von zu Hause vom Privat-PC per VPN einwählen können.
Die Anleitungen von Lancom führen alle zur genannten Fehlermeldung.
Und das betrifft nicht nur mich:
alles-zum-lancom-advanced-vpn-client-f3 ... 16876.html
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: VPN IKEv2 mit Zertifikat: Benutzername oder Passwort falsch

Beitrag von GrandDixence »

grich hat geschrieben: 05 Dez 2019, 17:14 Danke, aber hier sollen sich Mitarbeiter bei Bedarf per LANCOM Adv. VPN Client von zu Hause vom Privat-PC per VPN einwählen können.
Beim Einsatz von VPN-Clients auf Hardware, die nicht im Firmenbesitz ist, sollte aus Sicherheitsgründen das Maschinenzertifikat für die VPN-Einwahl (RAS) auf einem firmeneigenen HSM gespeichert sein (USB Security Token oder Smartcard). Ansonsten wird der VPN-Tunnel anfällig für Man-in-the-Middle-Angriffe durch abhanden gekommene private Schlüsseln der Maschinenzertifikate oder durch mit Keylogger ausspionierte Benutzernamen und Passwörter (leider häufig bei privaten PC's):
https://de.wikipedia.org/wiki/Man-in-the-Middle-Angriff

https://de.wikipedia.org/wiki/Keylogger

Es ist zentral wichtig für die Sicherheit des VPN-Tunnels, dass die beim VPN-Tunnelaufbau mit Perfect Forward Secrecy (PFS) über das IKE(v2)-Protokoll ausgehandelten und bereits für die Verschlüsselung des Steuerkanals (IKE) des VPN-Tunnels eingesetzten symmetrischen Schlüsseln sicher authentifiziert werden.

https://de.wikipedia.org/wiki/Perfect_Forward_Secrecy

https://www.datenschutzbeauftragter-inf ... risierung/

Unterstützt der LANCOM Advanced VPN Client kein "traditional IKEv2 certificate authentication" mit Maschinenzertifikat ab HSM, sollte im oben genannten Einsatzfall ein anderes IKEv2/IPSec-fähiges VPN-Client-Produkt eingesetzt werden.
grich
Beiträge: 12
Registriert: 05 Dez 2019, 13:33

Re: VPN IKEv2 mit Zertifikat: Benutzername oder Passwort falsch

Beitrag von grich »

Danke, ich werde deine Hinweise prüfen. Mein Problem ist zunächst mal durch Umstellung der Verbindung (routerseitig) von RSA-Signature auf Digital-Signature gelöst.
Antworten