Windows 10 mit IKEv2 VLAN

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

at0m
Beiträge: 35
Registriert: 13 Jan 2019, 14:33

Re: Windows 10 mit IKEv2 VLAN

Beitrag von at0m »

Ich benutzte ganz offensichtlich nicht die richtigen Begriffe, um mich korrekt auszudrücken. Ich bin auf diesem Gebiet noch ein bisschen grün hinter den Ohren....

Nichtsdestotrotz habe ich mal versucht das maximal möglichen Kryptoverfahren mit Windows als Client zu konfigurieren. Schon allein weil gemäß des BSI Gruppen mit PFS2048 nur noch bis 2022 verwendet werden sollte. Linux als Client stellte sich im Gegensatz dazu, als problemlos heraus, was die Kombination der Parameter betrifft.

Da ich etwas stärkeres als '-PfsGroup PFS2048' und '-DHGroup Group14' mit Windows + den Zertifikaten aus der Lancom CA nicht fehlerfrei ans laufen bekommen, habe ich eine externe CA aufgesetzt und Client Zertifikate mit prime256v1 bei ECDSA-256 und secp384r1bei ECDSA-384 erzeugt.
Diese habe ich bei den Clients eingespielt. Die Konfiguration sah wie folgt aus:

ECDSA-256

/Setup/VPN/IKEv2/Encryption/ (DEFAULT + VPN_NATEL)

Code: Alles auswählen

DH-Groups                VALUE:   DH19
PFS                      VALUE:   Yes
IKE-SA-Cipher-List       VALUE:   AES-CBC-256
IKE-SA-Integ-Alg-List    VALUE:   SHA-256
Child-SA-Cipher-List     VALUE:   AES-GCM-256
Child-SA-Integ-Alg-List  VALUE:   SHA-256
/Setup/VPN/IKEv2/Auth/Parameter

Code: Alles auswählen

Remote-Auth             VALUE:   ECDSA-256
Set-VpnConnectionIPsecConfiguration
-PfsGroup ECP256 -DHGroup ECP256 -IntegrityCheckMethod 256

Zertifikat: prime256v1 bei ECDSA-256



ECDSA-384

/Setup/VPN/IKEv2/Encryption/ (DEFAULT + VPN_NATEL)

Code: Alles auswählen

DH-Groups                VALUE:   DH20
PFS                      VALUE:   Yes
IKE-SA-Cipher-List       VALUE:   AES-CBC-256
IKE-SA-Integ-Alg-List    VALUE:   SHA-384
Child-SA-Cipher-List     VALUE:   AES-GCM-256
Child-SA-Integ-Alg-List  VALUE:   SHA-384
/Setup/VPN/IKEv2/Auth/Parameter

Code: Alles auswählen

Remote-Auth             VALUE:   ECDSA-384
Set-VpnConnectionIPsecConfiguration
-PfsGroup ECP384 -DHGroup ECP384 -IntegrityCheckMethod SHA384

Zertifikat: secp384r1bei ECDSA-384




In beiden Fällen hat das Rekeying fehlerfrei funktioniert. Es ist scheinbar so, dass Microsoft eine Abhängigkeit vom Zertifikat und Kryptoverfahren hat. Jede andere Kombination hat bei mir nicht funktioniert.
Antworten