EAP-MSCHAPv2 als Authentifizierungsmethode für IKEv2 lokale Identität

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
nihebe
Beiträge: 3
Registriert: 16 Jun 2021, 10:45

EAP-MSCHAPv2 als Authentifizierungsmethode für IKEv2 lokale Identität

Beitrag von nihebe »

Hallo zusammen,

ich würde gerne eine Verbindung vom LC 1781EF+ zu einem VPN des Diensleisters hide.me herstellen.
Das Thema scheint generell eher wenig diskutiert zu werden, zumindest ergaben meine Recherchen nicht viel.
Der beste Ansatzpunkt war dieser Thread, aber da kam auch keine Lösung zustande.

Da das Thema VPN-Dienstleister ja fast schon emotional behaftet zu sein scheint, eine kurze Erklärung des Hintergrundes: Einzelne Clients im lokalen Netzwerk sollen bestimmte Dienste im WWW von IP Adressen bestimmter Länder aufrufen. Ausbleibender Mehrwert durch die Verschlüsselung des VPN-Tunnels ist mir klar, aber VPN-Dienstleister sind in meinen Augen die kostengünstigste und einfachste Lösung für das Ziel.

Grundsätzlich ist mir die Konfiguration dazu klar: Site to Site VPN einrichten, Firewallregel für die betroffenen Clients mit bestimmten DNS Zielen mit Routing für VPN-Gegenstelle.
Mein Problem ist die Einrichtung der VPN-Verbindung. Der Dienstleister hide.me bietet jede Menge Anleitungen für besonders populäre Plattformen an - LC ist natürlich leider nicht dabei. Immerhin ist klar, dass sie IKEv2 unterstützen, sodass die Verbindung mit dem LC mM. Möglich sein sollte.

Nun der spannende Part: Die meisten Details kann man wohl aus der Anleitung für Mikrotik-Router quetschen, allerdings bin ich auf deren Konsole mal so gar nicht bewandert.
Allenfalls scheint da ein Zertifikat zur Authentifizierung genutzt zu werden - das betrifft in der LC-Sprache vermutlich die "Entfernte Identität", oder? Ab hier schwimme ich dann ehrlich gesagt - muss das Zertifikat von hide.me importiert werden und die ASN1 Daten des Zertifikats für die entfernte Identität eingetragen werden?

Und die andere Richtung: Was wähle ich für die lokale Identität? In der Mikrotik Config taucht noch das Stichwort "eap-mschapv2" auf, im oben verlinkten Thread war die Rede davon, dass der LC das nur mit der VPN25 Option kann, stimmt das? Im Datenblatt der LC-Option steht nichts davon...

Danke im Voraus und viele Grüße

edit: Betreff konkreter zum Problem gewählt, s. Infos in nachfolgenden Posts
Zuletzt geändert von nihebe am 22 Jun 2021, 22:13, insgesamt 1-mal geändert.
nihebe
Beiträge: 3
Registriert: 16 Jun 2021, 10:45

Re: VPN Verbindung zu VPN Dienstleister "Hide.me"

Beitrag von nihebe »

Nochmal Hallo,

also, ein kleines Stück schlauer bin ich inzwischen:
Der Betreiber des Dienstes hat mir mitgeteilt, dass EAP-MSCHAPv2 als Authentifizierungsmethode vorausgesetzt wird. In LC Datenblättern finde ich das Authprotokoll ausschließlich für die Authentifizierung von WLAN-Clients.

Gibt es überhaupt eine Möglichkeit EAP-MSCHAPv2 als Authentifzierungsmethode ggü. eines anderen VPN Endpunktes zu nutzen?
Ich habe von der etwas "versteckten" Möglichkeit gelesen Xauth über die PPP Config zu nutzen, das lässt noch etwas Rest-Hoffnung, dass es auch eine etwas "versteckte" Möglichkeit für EAP-MSCHAPv2 gibt. Weiß jemand etwas?

Danke und viele Grüße
nihebe
Beiträge: 3
Registriert: 16 Jun 2021, 10:45

Re: VPN Verbindung zu VPN Dienstleister "Hide.me"

Beitrag von nihebe »

Nochmal Hallo,

also, wie im letzten Post gesagt, gegenüber hide.me muss man sich mittels EAP-MSCHAPv2 authentifizieren.
Inzwischen habe ich herausgefunden, wie ich die Zugangsdaten für die Gegenstelle hinterlegen kann, dies geschieht in der PPP-Liste (unter Auswahl der VPN Gegenstelle):
Bild

Mein Problem ist nun, dass LanConfig trotzdem in den VPN-Authentifzierungseinstellung eine lokale Authentifizierung erwartet und es da kein EAP zur Auswahl gibt.
Bild

Wenn ich hier einfach wie im Screenshot den Standard RSA-Signature ohne Werte drin lasse, sehe ich im Trace, dass erfolgreich "IKEV2_FRAGMENTATION" mit der Gegenstelle ausgehandelt wird, aber dann kommt ein IKE Fehler:

Code: Alles auswählen

[VPN-Debug] 2021/06/21 16:18:40,123  Devicetime: 2021/06/21 16:18:40,123
Peer HIDE.ME: Received a request to establish an exchange for IPSEC-0-HIDE.ME-PR0-L0-R0
KEY-PARSE: Received SADB_GETSPI/SADB_SATYPE_ESP
KEY-GETSPI: Peer HIDE.ME  SPI 0x5574C7C9
KEY-NEWSA: SA successfully created and inserted into SADB:
  State LARVAL  Protocol ESP  PID 0  refcnt 2  Hard-Timeout in 30 sec (larval_timeout)
IPSEC-SEND-UP
LCVPEI: IKE-I-General-failure
Danach teilt der LC dann auch mit, dass er verzweifelt nach einem Zertifikat sucht:

Code: Alles auswählen

[VPN-Status] 2021/06/21 16:18:40,123  Devicetime: 2021/06/21 16:18:40,123
Establishing IKE_AUTH exchange for IPSEC-0-HIDE.ME-PR0-L0-R0 (HIDE.ME)
CHILD_SA ('', '' ) entered to SADB
Peer HIDE.ME: Constructing an IKE_AUTH-REQUEST for send
Starting a CHILD_SA negotiation for IPSEC-0-HIDE.ME-PR0-L0-R0
+CHILD-SA:
  ESP-Proposal-1 My-SPI: 0x5574C7C9 (4 transforms)
    ENCR : AES-GCM-16-256 AES-CBC-256
    INTEG: HMAC-SHA-512
    ESN  : NONE
+Local-ID  123.456.789.999:IPV4_ADDR
-Could not find X509 certificate
-Could not add payloads error (2)
-Negotiation failed
Das bestätigt mich nochmal darin, dass ich die lokale Auth. anders konfigurieren muss, damit nur EAP genutzt wird.
So scheint es ja auch bei dem Beispiel aus der Mikrotikanleitung von hide.me zu laufen:

Code: Alles auswählen

/ip ipsec identity add auth-method=eap eap-methods=eap-mschapv2 generate-policy=port-strict mode-config=hide.me peer=hide.me policy-template-group=hide.me remote-certificate=hide.me.pem_0 username=[:put $username] password=[:put $password]
Die Frage bleibt: Wie bringe ich den LC dazu sich einfach "nur" per EAP-MSCHAPv2 zu authentifizieren?

Ich hoffe mit diesen konkreteren Infos nimmt sich einer meiner Sorgen an. :M
Antworten