VPN IKEv2 zwischen LANCOM und Apple-iPhone

[G_StarRAW]

Hallo Forum,

weiß jemand von Euch, wie die VPN-Verschlüsselung aussehen soll, um eine VPN-Verbindung Typ IKEv2 zwischen Apple iOS 12.1 und LANCOM 1783VAW Firmware 10.20.0259-RU1 erfolgreich einzurichten?
Es gibt 2 Anleitungen von LANCOM (eine manuelle Konfiguration und eine mit dem Setup-Assistenten), aber beide funktionieren nicht mehr. Sie haben mal funktioniert... seit ein paar Wochen kommt meine VPN-Verbindung nicht mehr zustande.
Im VPN-Trace kommt die Meldung "No proposal match".

Vielleicht kann mir jemand von Euch konkret sagen, wie ich die Verschlüsselung für Apple konfigurieren soll.

Vielen Dank!

Lieben Gruß
Dragos

[5624]

Hab jetzt gerade bei mir mal geprüft, ob die Verbindung noch klappt, aber alles bestens.

Anbei meine Verschlüsselungseinstellungen, mit denen mein iPhone sich erfolgreich verbindet.

Kann es sein, dass du am DEFAULT-Eintrag rumgedreht hast, so dass es da zu keinem Proposal-Match kommt?

[G_StarRAW]

Hallo 5624,

vielen Dank!!!
An dem Default habe ich die AES-GCM-256 ausgewählt.

Aber selbst mit deinen Verschlüsselungsparametern verbindet sich mein iPhone nicht.

Code: Alles auswählen

[VPN-Status] 2018/11/28 02:34:14,477  Devicetime: 2018/11/28 02:34:13,423
Peer DEFAULT: Received an IKE_SA_INIT-REQUEST of 604 bytes
Gateways: 80.152.xx.xxx:500<--78.94.xx.xxx:500
SPIs: 0xXXXXXXXXXX, Message-ID 0
Peer identified: DEFAULT
IKE_SA (UNKNOWN, 'UNKNOWN' IPSEC_IKE SPIs) entered to SADB
Received 4 notifications: 
  +REDIRECT_SUPPORTED (STATUS)
  +NAT_DETECTION_SOURCE_IP (STATUS)
  +NAT_DETECTION_DESTINATION_IP (STATUS)
  +IKEV2_FRAGMENTATION_SUPPORTED (STATUS)
Peer (initiator) is behind a NAT
NAT-T enabled => switching on port 4500
We (responder) are not behind a NAT. NAT-T is already enabled
+IKE-SA:
  IKE-Proposal-1  (4 transforms)
    ENCR : AES-CBC-256
    PRF  : PRF-HMAC-SHA-256
    INTEG: HMAC-SHA-256
    DH   : 14
  IKE-Proposal-2  (4 transforms)
    ENCR : AES-CBC-256
    PRF  : PRF-HMAC-SHA-256
    INTEG: HMAC-SHA-256
    DH   : 19
  IKE-Proposal-3  (4 transforms)
    ENCR : AES-CBC-256
    PRF  : PRF-HMAC-SHA-256
    INTEG: HMAC-SHA-256
    DH   : 5
  IKE-Proposal-4  (4 transforms)
    ENCR : AES-CBC-128
    PRF  : PRF-HMAC-SHA1
    INTEG: HMAC-SHA1
    DH   : 2
  IKE-Proposal-5  (4 transforms)
    ENCR : 3DES
    PRF  : PRF-HMAC-SHA1
    INTEG: HMAC-SHA1
    DH   : 2
-Could not match any proposal.

Gibt es noch was Anderes zu beachten, als bei einem Site-to-Site VPN zwischen 2 LANCOM-Geräten?

Im LANmonitor bekomme ich folgende Meldung: Kein passender Eintrag in PPP-Liste vorhanden (Aktiver Verbindungsaufbau) [0x1104]

Lieben Gruß,
Dragos

[GrandDixence]

Code: Alles auswählen

IKE-Proposal-2  (4 transforms)
    ENCR : AES-CBC-256
    PRF  : PRF-HMAC-SHA-256
    INTEG: HMAC-SHA-256
    DH   : 19

Einfach diesen vom IPhone erwünschten Proposal gemäss der Abbildung in der linken Fensterhälfte unter "IKE-SA" konfigurieren:

Code: Alles auswählen

Setup > VPN > IKEv2 > Verschlüsselung

Erlaubte DH-Gruppen: DH19 (ECP-256)
Verschlüsselungsliste: AES-CBC-256
Hash-Liste: SHA-256

dann sollten sich beide VPN-Endpunkte in der Art und Weise der Verschlüsselung des Steuerkanals (IKE) einig sein. Aktuell sind sich die beiden VPN-Endpunkte über die Art und Verschlüsselung des Steuerkanals (IKE) uneinig (Could not match any proposal), deshalb wird der Aufbau des VPN-Tunnels vom LANCOM-Router abgebrochen.

AES-CBC-256 wird gemäss den aufgelisteten 5 Proposals/Vorschläge nicht vom LANCOM-Router unterstützt! Alle 5 Vorschläge/Proposals vom IPhone wurden vom LANCOM-Router verworfen. Wurde die Verschlüsselung am korrekten Ort im Lancom konfiguriert (IKE1 <-> IKEv2)?

Was der Lancom-Router für Proposals/Vorschläge ins Rennen für die Verschlüsselung des Steuerkanals (IKE) schickt, ist mit dem entsprechenden "Trace" ersichtlich (trace vpn-debug, vpn-ike?)!

Ansonsten ist die Konfiguration von:
fragen-zum-thema-vpn-f14/windows-phone- ... tml#p86789
abzukupfern.

Für AES-GCM mit iPhone ist der Beitrag vom "28 Sep 2017, 10:40" zu beachten:
fragen-zum-thema-vpn-f14/windows-phone- ... tml#p91961

Nach der erfolgreichen Aushandlung der Verschlüsselung des Steuerkanals (IKE) werden die VPN-Endpunkte überprüft (Authorisation) und die Verschlüsselung des Datenkanals (ESP) ausgehandelt (Child-SA; Konfigurationsparameter in der rechten Fensterhälfte der Abbildung).

Viel Glück!

[G_StarRAW]

Vielen Dank, GrandDixence!

Ich habe den Fehler gefunden... diese Verschlüsselungen arbeiten irgendwie nicht nicht getrennt voneinander. Kann es sein, dass diese sich gegenseitig "stören" oder beeinflussen?
Jedenfalls, ich bin zur Default-Verschlüsselung von LANCOM zurückgekehrt (natürlich vorher in den entfernten Gegenstellen geändert) und jetzt funktioniert auch die VPN-Verbindung zur iPhone.

Vielen Dank allen!

Lieben Gruß
Dragos

[5624]

Ja, die gewünschten Einstellungen müssen zumindest in der Default-Gegenstelle enthalten sein, da darüber, wie auch der Hilfetext darauf hinweist, noch nicht authentifizierte Gegenstellen angenommen werden können. Ist bei IKEv1 im Aggressive Mode nicht anders.

Hatte aber auch gefragt, ob du am DEFAULT rumgedreht hast.

[G_StarRAW]

Hallo 5624,

Hatte aber auch gefragt, ob du am DEFAULT rumgedreht hast.

Ich hatte geschrieben, dass ich die Verschlüsselung geändert habe.
Leider wusste ich nicht, dass die Default-Vorlage unverändert bleiben muss. Das war mein Fehler.

Ich bedanke mich!!!

Lieben Gruß
Dragos

[MariusP]

HI,
Du kannst die Einstellung des Defaulteintrags schon ändern, sofern die Einwahlclients diese geänderten Proposals anbieten.
Was du nicht machen solltest ist den Default Eintrag umbenennen oder löschen. Die Zeile mit dem Namen Default hat einen speziellen Status genau für diese Einwahlclients.
Gruß