[gelöst] zu langer PSK funktioniert nicht

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Josh
Beiträge: 71
Registriert: 21 Aug 2014, 07:45

[gelöst] zu langer PSK funktioniert nicht

Beitrag von Josh »

Hallo zusammen!

Nachdem ich nun den halben Tag damit verbracht hat, VPN-Verbindungen für eine Menge Handys zu meinem 1783vaw einzurichten, bin ich nun dem Fehler näher gekommen.

Ich habe den Wizard genutzt, um die VPN-Verbindungen nach dieser Anleitung einzurichten. Zuerst habe ich genau wie in der Anleitung die Test-Verbindung "ANDROID" eingerichtet. PSK-Passwortstärke "gut". Ergebnis: funzt.

Danach habe ich einige personenbezogene Verbindungen für alle Handys eingerichtet. Dabei habe ich bewusst das PSK-Passwort in der Stufe "sehr gut" vorschlagen lassen. Ergebnis: alle Verbindungen, bis auf eine gehen nicht. Es kommt keine Verbindung zu Stande. Ausnahme: Fairphone3+ mit Android 10. Die anderen Handys haben Android 7.

Kann es sein, dass ich zu blöd bin fehlerfrei einen langen PSK abzutippen? Habe es gefühlt 100x probiert. Oder gibt es seitens Android Passwortrestriktionen z.B. Länge oder Sonderzeichen?

Gruß Josh
Zuletzt geändert von Josh am 13 Sep 2022, 18:53, insgesamt 1-mal geändert.
ua
Beiträge: 704
Registriert: 29 Apr 2005, 12:29

Re: zu langer PSK funktioniert nicht

Beitrag von ua »

Hi,

manche Betriebssysteme habe Probleme mit manchen Sonderzeichen im PSK. :?
Entweder trial an error oder ohne Sonderzeichen. Diese ergeben m.E. sowieso nicht mehr Sicherheit.
Es ist wie im richtigen Leben: "Size does metter" :wink: , einen möglichst langen PSK verwenden.

VG
... das Netz ist der Computer ...
n* LC und vieles mehr...
Josh
Beiträge: 71
Registriert: 21 Aug 2014, 07:45

Re: zu langer PSK funktioniert nicht

Beitrag von Josh »

OK, dann versuche ich es nochmal ohne Sonderzeichen. Dafür aber ganz lang :wink:

Ich vermute fast, dass ich beim Eintippen "dicke Finger" hatte. Aber so oft hintereinander?!!? Wie auch immer, dann quäle ich mich nochmal durch den Prozess. :?

thx
Josh
Beiträge: 71
Registriert: 21 Aug 2014, 07:45

Re: zu langer PSK funktioniert nicht

Beitrag von Josh »

Lange ist es her, dass ich das o.g. Problem hatte. Nun ist es bei meinem neuen Handy Fairphone 4 mit Android 11 wieder der Fall. Ich bekomme keine VPN-Verbindung zum Laufen.

Aber jetzt ist alles anders. Ich habe nach stundenlanger Fehlersuche endlich die Wurzel des Übels erkannt. Es liegt nicht, wie zuvor vermutet, an dem PSK, sondern an der Art der Netzwerkverbindung.

Wenn der Mobilfunkprovider eine IPV6-Verbindung zur Verfügung stellt und das Handy dies auch kann, wird diese Verbindung vor einer IPv4-Verbindung priorisiert. Beim FP3+ von meiner Frau, kann ich das schön nachvollziehen. Dort sind zwei SIM-Karten installiert. Die eine mit IPv4/IPv6 und die andere nur mit IPv4. Schalte ich nun zwischen den beiden Karten hin und her, wandert der Fehler mit. Die alten Handys (oder halt die Mobilfunkverbindung) können nur IPv4 und da geht es immer. Bei meinem neuen geht es auch, wenn ich bei der VPN-Verbindung explizit die IPv4-Adresse eintrage. Da ich aber keine feste IPv4 habe, sondern eine variable, die per DynDNS mit meinem Domainnamen verbunden wird, ist das keine Option.

Wie ist also die Lösung? IKEv1 im Lancom kann wohl nur IPv4, wenn ich das richtig sehe. Es gibt zumindest keine IPv6-Einstellungen. IKEv2 kann das wohl, denn es gibt IPv6-Einstellungen dazu. Kann man Android-Handys per IKEv2 anbinden? Wenn ja, wie? Oder gibt es in Android 11 eine Einstellmöglichkeit, dass IPv4 favorisiert wird? Oder gibt's gar eine APP, die helfen kann?

Ich denke, dass ich nicht der Einzige bin, der vor dieser Aufgabe steht. Wie habt ihr das Problem gelöst?
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: zu langer PSK funktioniert nicht

Beitrag von GrandDixence »

Entsprechende VPN-Anleitung unter:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
anwenden.
Josh
Beiträge: 71
Registriert: 21 Aug 2014, 07:45

Re: zu langer PSK funktioniert nicht

Beitrag von Josh »

Danke für Deine Antwort!
GrandDixence hat geschrieben: 10 Sep 2022, 16:37 Entsprechende VPN-Anleitung unter:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
anwenden.
Kann sein, dass ich dafür die "Lancom VPN Option" auf dem Router installiert haben muss? Sonst klappt das ganze Zertifikats-"zeugs" nicht oder?
Zuletzt geändert von Josh am 13 Sep 2022, 18:55, insgesamt 1-mal geändert.
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: zu langer PSK funktioniert nicht

Beitrag von Dr.Einstein »

Zertifikate gehen ohne die VPN25 Option, alles kein Ding.

Andere Frage: Hat dein DynDNS Name nur einen A-Record, oder auch einen AAAA-Record? Es muss ja einen Grund geben, weshalb IPv6 versucht wird.
mh1
Beiträge: 47
Registriert: 24 Feb 2022, 11:17

Re: zu langer PSK funktioniert nicht

Beitrag von mh1 »

Josh hat geschrieben: 10 Sep 2022, 19:37 Kann sein, dass ich dafür die "Lancom VPN Option" auf dem Router installiert haben muss? Sonst klappt das ganze Zertifikats-"zeugs" nicht oder?
Mit der VPN Option könntest du dann auf dem Lancom eine CA einrichten und direkt auf dem Lancom die Zertifikate erstellen bzw. verwalten.
Du kannst dir die Zertifikate aber auch auf einem anderen Gerät erstellen und sie dann in den Lancom hochladen. Du kannst dir z.B. mit OpenSSL eine eigene CA bauen. Manche arbeiten auch mit dem Programm XCA.

Solange du mit deinen fünf VPN Kanäle auskommst, brauchst du nicht die VPN25 Option.
Josh
Beiträge: 71
Registriert: 21 Aug 2014, 07:45

Re: zu langer PSK funktioniert nicht

Beitrag von Josh »

Danke für Deine Antwort!
Dr.Einstein hat geschrieben: 10 Sep 2022, 19:54 Zertifikate gehen ohne die VPN25 Option, alles kein Ding.

Andere Frage: Hat dein DynDNS Name nur einen A-Record, oder auch einen AAAA-Record? Es muss ja einen Grund geben, weshalb IPv6 versucht wird.
Mein DynDNS hat einen A- und einen AAAA-Record. Ich habe aber noch einen anderen DynDNS-Account. Dieser hat nur einen A-Record. Habe den jetzt mal genommen. Damit funzt es immer. Somit habe ich das Problem umgangen. Passt also.
Zuletzt geändert von Josh am 13 Sep 2022, 18:54, insgesamt 1-mal geändert.
Josh
Beiträge: 71
Registriert: 21 Aug 2014, 07:45

Re: zu langer PSK funktioniert nicht

Beitrag von Josh »

Danke für Deine Antwort!
mh1 hat geschrieben: 11 Sep 2022, 11:02 Mit der VPN Option könntest du dann auf dem Lancom eine CA einrichten und direkt auf dem Lancom die Zertifikate erstellen bzw. verwalten.
Du kannst dir die Zertifikate aber auch auf einem anderen Gerät erstellen und sie dann in den Lancom hochladen. Du kannst dir z.B. mit OpenSSL eine eigene CA bauen. Manche arbeiten auch mit dem Programm XCA.

Solange du mit deinen fünf VPN Kanäle auskommst, brauchst du nicht die VPN25 Option.
Ach so, das geht sich bei der Option lediglich um die CA. Dann brauche ich das wohl nicht. 5 VPN-Kanäle reichen mir.

Ich werde mich wohl mal eingehend mit den Zertifikaten beschäftigen müssen. Habe das bisher immer nur stiefmütterlich behandelt.
mh1
Beiträge: 47
Registriert: 24 Feb 2022, 11:17

Re: zu langer PSK funktioniert nicht

Beitrag von mh1 »

Josh hat geschrieben: 13 Sep 2022, 18:51 Mein DynDNS hat einen A- und einen AAAA-Record. Ich habe aber noch einen anderen DynDNS-Account. Dieser hat nur einen A-Record. Habe den jetzt mal genommen. Damit funzt es immer. Somit habe ich das Problem umgangen. Passt also.
Super, dass du eine Lösung gefunden hast :D
Du könntest auch statt IKEv1 einfach IKEv2 Tunnel einrichten ...aber ich glaube unter Android geht mit der Strongswan App gar kein IKv2 mit PSK. Da müsstest du dann mit Zertifikaten arbeiten.
mh1
Beiträge: 47
Registriert: 24 Feb 2022, 11:17

Re: zu langer PSK funktioniert nicht

Beitrag von mh1 »

Josh hat geschrieben: 13 Sep 2022, 18:53 Ach so, das geht sich bei der Option lediglich um die CA. Dann brauche ich das wohl nicht. 5 VPN-Kanäle reichen mir.

Ich werde mich wohl mal eingehend mit den Zertifikaten beschäftigen müssen. Habe das bisher immer nur stiefmütterlich behandelt.
Genau.
Mit der VPN-Option stehen dir dann mehr VPN Kanäle zur Verfügung und du kannst dann die Zertifizierungsstelle (CA) im Gerät aktivieren und somit die Zertifikate direkt vom Gerät erstellen und verwalten lassen
Josh
Beiträge: 71
Registriert: 21 Aug 2014, 07:45

Re: [gelöst] zu langer PSK funktioniert nicht

Beitrag von Josh »

Kleine Frage am Rande: Ich lese "überall", dass Android kein IKE2 kann. Wenn ich aber in den VPN-Einstellungen meines Handys (Android 11) gucke, gibt es sehr wohl folgende IKE2-Optionen:

- IKE2/IPSec MSCHAPv2
- IKE2/IPSec PSK
- IKE2/IPSec RSA

Selbst in meinem alten Handy (Samsung A5) mit Android 7 sind die Einstellungen vorhanden. Also wieso soll eine VPN-Verbindung per IKE2 von einem Android-Gerät zu einem LancomRouter nicht klappen?

Kann mich jemand kurz aufklären? Nicht, dass ich Sachen versuche, die von vorn herein zum Scheitern verurteilt sind.
Josh
Beiträge: 71
Registriert: 21 Aug 2014, 07:45

Re: [gelöst] zu langer PSK funktioniert nicht

Beitrag von Josh »

Danke für den Link. Kannte ich schon und funktioniert leider nicht. Deshalb habe ich ja recherchiert und bin auf Forenbeiträge gestoßen, bei denen die Inkompatibilität benannt wurde. Deswegen irritiert mich diese Anleitung ein wenig. Müsste also doch funktionieren.

Alternativ zu der im Link beschriebenen manuellen Anleitung habe ich den Assistenten bemüht und eine Konfig erstellt. Danach im Handy die paar Daten eingegeben. Funzt aber nit.

Hat denn schon jemand hier im Forum das so geschafft. Also IKE2 mit PSK und dem Android VPN?
Antworten