VPN IKEv2/IPSec Zertifikate

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

UKernchen
Beiträge: 108
Registriert: 22 Jul 2020, 16:53
Wohnort: Naumburg (Saale)
Kontaktdaten:

Re: VPN IKEv2/IPSec Zertifikate

Beitrag von UKernchen »

mh1 hat geschrieben: 27 Jun 2022, 11:25
UKernchen hat geschrieben: 23 Jun 2022, 18:55 Einfach PSK- Klicki-Assistent führt leider immer weniger zum Erfolg, und die Zertifikatsunterstützung bei Lancom erscheint mir auch buggy bzw. mangelhaft.
Das kann ich überhaupt nicht bestätigen. Ich bekomme des öfteren die Anfrage, dass Mitarbeiter XY nächste Woche von Zuause mit dem Laptop arbeiten muss. Dann Lancom Assistent -> IKEv2 -> Ini Datei im Lancom VPN Client importieren -> Fertig ist der VPN Zugang auf dem Laptop (Windows)
Manche Mitarbbeiter haben Linux oder BSD basierte Betriebsysteme. Dann nehm ich Strongswan als Client.
Da haben wir uns missverstanden.
Der Advanced VPN-Client unter Windows läuft absolut problemlos, das sehe ich wie du.
Nur unter Android gibt es leider den Lancom/NCP-Client nicht mehr.
Android kann je nach Version kein IPSec, IPSec IKE v.1 oder v.2.
Und bei jedem Handy oder Tablet quält man sich wieder durch andere Probleme, mal abgesehen davon, dass die Bedienung für den Anwender nicht gerade intuitiv ist.
Lösung ist beispielsweise StronSwan, aber nur mit Zertifikaten.
Also muß man sich wohl oder übel mit den Zertifikaten beschäftigen.
UKernchen
Beiträge: 108
Registriert: 22 Jul 2020, 16:53
Wohnort: Naumburg (Saale)
Kontaktdaten:

Re: VPN IKEv2/IPSec Zertifikate

Beitrag von UKernchen »

mh1 hat geschrieben: 27 Jun 2022, 11:25 Mit deiner Frage nach Einbindung der Zertifikate in die CA kann ich leider nichts anfangen. Ich weiß leider nicht genau was du meinst. Denn die CE erstellt die Zertifikate (genauer: die CA signiert ein Zertifikat und bestätigt damit also die Gültigkeit der Informationen in diesem Zertifikat).
Ich mache es mal konkret.
Mit Open SSL habe ich
- CA-Cert (öffentl. Zertifikat + priv.Key)
- Server-Cert (Zert. + Key)
- Client-Cert (Zert+Key)
erstellt.

Im Lucom-Router (Client/Gegenseite) kann ich CA-Cert (öffentl.) + Client-Cert + Client-Key jeweils als einzelne .PEM direkt importieren.

Für den Lancom-Router signiere ich Server-Cert + Server-Key mit der CA-Cert und erstelle eine "output.p12".
Diese zusammengefasste Datei kann ich nun erfolgreich in den VPN(1)-Container des Lancom importieren.

Welche Rolle spielt jetzt die CA des Lancom-Routers?
Die habe ich ja für meine Zertifikatskette nicht genutzt, denn mein CA-Cert stammt ja von OpenSSL.
Im Prinzip haben alle 9 VPN-Container im Router jeweils eine eigene CA, und die des Lancom interessiert gar nicht?
Hier fehlt mir irgendwie noch irgendwie ein Stück Faden.
mh1
Beiträge: 47
Registriert: 24 Feb 2022, 11:17

Re: VPN IKEv2/IPSec Zertifikate

Beitrag von mh1 »

UKernchen hat geschrieben: 27 Jun 2022, 22:02 Da haben wir uns missverstanden.
Ah okay...
Danke fürs Richtigstellen :D
UKernchen hat geschrieben: 27 Jun 2022, 21:45 Lösung ist beispielsweise StronSwan, aber nur mit Zertifikaten.
Das stimmt nicht ;-)
Habe erst gestern einen Client mit Stronswan und PSK auf einem Linux basierten ARM Rechner eingerichtet.
UKernchen hat geschrieben: 27 Jun 2022, 21:45 Und bei jedem Handy oder Tablet quält man sich wieder durch andere Probleme, mal abgesehen davon, dass die Bedienung für den Anwender nicht gerade intuitiv ist.
Die Aushandlung und Verwaltung von IKE- und IPsec-Parametern beim Lancom VPN ist doch Standard IKEv2 oder eben auch IKEv1 nach den entsprechenden RFC's.
Da kannst du dann beliebige Clients nehmen.

Weil du Handys und Tablets ansprichst: Mit Apple und Blachberry hat ich noch nie Problem, die waren immer ganz fix eingerichtet. Falls aber im Betriebssystem kein geeigneter Client installiert ist, kann man doch sicherlich irgendein Programm nachinstallieren.
Wahrscheinlich gibt es sogar eine Strongswan App für Android?

Bei uns war früher VPN eher nur für Ipads und Blackberrys ein Thema. Dab hab ich absichtlich nur PSK eingerichtet, weil ich aus dem Stand gar nicht weiß wie man dann das Zertifikat in den Zertififikatsspeicher vom Ipad lädt... und beim Blackberry wärs dann wieder anders ... und Android wieder anders... manche Betriebssysteme haben ganz bestimmte Vorstellungen, wie ein Zertifikat auszusehen hat, andere aber nicht... u.s.w.
Neee - also mir erschien für meine drei, vier VPN's PSK viel pragmatischer :wink:
mh1
Beiträge: 47
Registriert: 24 Feb 2022, 11:17

Re: VPN IKEv2/IPSec Zertifikate

Beitrag von mh1 »

UKernchen hat geschrieben: 27 Jun 2022, 22:02 Welche Rolle spielt jetzt die CA des Lancom-Routers?
Eine CA ist eine vertrauenswürdige Instanz, die digitale Zertifikate herausgibt.
Entweder man nutzt eine öffentliche CA, die einem Zertifikate signiert, oder man baut sich eine eigene interne CA auf.
Man kann sich eine CA z.b. mit dem Programm XCA zusammenklicken, oder man macht es (wie du es auch gemacht hast) quasi "von Hand" mit OpenSSL.

Wenn man im Lancom die Option VPN-25 aktiviert kann man die CA des Lancom aktivieren und Zertifikate direkt auf dem Lancom Gerät erstellen. Dann spart man sich das importieren.
Da ich aber noch nie einen Lancom mit aktivierter CA vor mir hatte, kann ich dir hierzu leider nicht so viel sagen.

Aber da du dir ja schon eine eigene CA gebastelt hast, brauchst du nun auch die Lancom CA nicht mehr (musst jetzt aber dein eigenes Root CA in den Lancom imnportieren, damit er es kennt).
mh1
Beiträge: 47
Registriert: 24 Feb 2022, 11:17

Re: VPN IKEv2/IPSec Zertifikate

Beitrag von mh1 »

UKernchen hat geschrieben: 27 Jun 2022, 22:02
mh1 hat geschrieben: 27 Jun 2022, 11:25 Mit deiner Frage nach Einbindung der Zertifikate in die CA kann ich leider nichts anfangen. Ich weiß leider nicht genau was du meinst. Denn die CE erstellt die Zertifikate (genauer: die CA signiert ein Zertifikat und bestätigt damit also die Gültigkeit der Informationen in diesem Zertifikat).
Ich mache es mal konkret.
Mit Open SSL habe ich
- CA-Cert (öffentl. Zertifikat + priv.Key)
- Server-Cert (Zert. + Key)
- Client-Cert (Zert+Key)
erstellt.

Im Lucom-Router (Client/Gegenseite) kann ich CA-Cert (öffentl.) + Client-Cert + Client-Key jeweils als einzelne .PEM direkt importieren.

Für den Lancom-Router signiere ich Server-Cert + Server-Key mit der CA-Cert und erstelle eine "output.p12".
Diese zusammengefasste Datei kann ich nun erfolgreich in den VPN(1)-Container des Lancom importieren.

Welche Rolle spielt jetzt die CA des Lancom-Routers?
Die habe ich ja für meine Zertifikatskette nicht genutzt, denn mein CA-Cert stammt ja von OpenSSL.
Im Prinzip haben alle 9 VPN-Container im Router jeweils eine eigene CA, und die des Lancom interessiert gar nicht?
Hier fehlt mir irgendwie noch irgendwie ein Stück Faden.
Schau dir mal auf dem Lancom an, weklche Zertifikate du nun an welchen Stellen importiert hast.
Also melde dich per ssh auf dem Gerät an und dann
show vpn cert
und
show vpn cacert

Laut deiner Beschreibung sollte ja nun beides in VPN1 sein(/flash/security/vpn/vpn_pkcs12_int)

Prüfe auch die X509v3 extensions. Beim show cacert muss CA:true und bei cert muss "Server Authentication" und der entspr. Subject Alt Name drin sein.
UKernchen
Beiträge: 108
Registriert: 22 Jul 2020, 16:53
Wohnort: Naumburg (Saale)
Kontaktdaten:

Re: VPN IKEv2/IPSec Zertifikate

Beitrag von UKernchen »

Danke für die ausführliche Antwort.

Ich würde gern auf StrongSwan als Standardösung unter Android zurück greifen.
Schnell mal getestet... leider keine VPN ohne Zertifikate!
Anleitung gelesen: https://docs.strongswan.org/docs/5.9/os ... lient.html
"PSK authentication is not supported"
Mist. Das Leben könnte so einfach sein!

Heute teste ich es mit Zertifikaten.
mh1
Beiträge: 47
Registriert: 24 Feb 2022, 11:17

Re: VPN IKEv2/IPSec Zertifikate

Beitrag von mh1 »

UKernchen hat geschrieben: 28 Jun 2022, 09:57 "PSK authentication is not supported"
Mist. Das Leben könnte so einfach sein!
mmmh -blöd.
Sorry ich hatte bisher immer nur die PC Version von Strongswan mit PSK benutzt und einfach angenommen, dass die AndroidApp dann genau gleich ist.

Aber vielleicht kann ja VPNCilla mit PSK umgehen?
https://play.google.com/store/apps/deta ... l=de&gl=US
UKernchen
Beiträge: 108
Registriert: 22 Jul 2020, 16:53
Wohnort: Naumburg (Saale)
Kontaktdaten:

Re: VPN IKEv2/IPSec Zertifikate

Beitrag von UKernchen »

Guten Morgen!

VPNCilla macht IKEv1 mit PSK.
Ich schaue es mir mal an, danke!
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: VPN IKEv2/IPSec Zertifikate

Beitrag von backslash »

Hi UKernchen
VPNCilla macht IKEv1 mit PSK.
das solltest du sein lassen, denn IKEv1 mit PSK und dynamischen IP-Adressen funkitioniert nur über den "Aggressive-Mode" - und der ist "offline" angreifbar. Bei IKEv1 solltest du zwingend Zertifikate nutzen. Nur IKEv2 funktioniert sicher mit PSK (zumindest solange der PSK sicher ist)

Gruß
Backslash
mh1
Beiträge: 47
Registriert: 24 Feb 2022, 11:17

Re: VPN IKEv2/IPSec Zertifikate

Beitrag von mh1 »

UKernchen hat geschrieben: 29 Jun 2022, 09:22 Guten Morgen!

VPNCilla macht IKEv1 mit PSK.
Ich schaue es mir mal an, danke!
Hallo UKernchen,

ich wollte dir nicht die App VPNCilla empfehlen :wink:
...ich kenne das Programm gar nicht - ich habe den Name nur deshalb als mögliche Alternative erwähnt, weil du sagtest, dass die Strongswan App kein PSK kann. Aber ich hatte auch nur die Begriffe Andraoid App und PSK gegoogelt.

Solange dein PSK ausreichend sicher ist kannst du ihn mit IKEv2 verwenden, aber nicht mit IKEv1
Von IKE mit PSK solltest du aber Abstand nehmen.

Ob die Authentisierung jetzt zertifikatsbasiert gemacht wird oder mit PSK spielt aber für "die Verschlüsselung im VPN" (wie es in anderen Threads genannt wird) keine Rolle.
In beiden Fällen werden die Daten auf Netzwerkebene mit IPSec verschlüsselt.
Dadurch, dass man sich mit einem Zertifikat anmeldet, ändert sich nicht das IPSec...

Aber ich habe schon verstanden, dass du dich mit Android am Lancom anmelden musst:
Da Android anscheinend kein IKEv2 mit PSK mehr zulässt (genauso wie z.B. Windows), musst du dich wohl oder übel mit den Zertifikaten auseinandersetzen. Weil wenn VPNCilla nur IKEv1 können sollte ist die App keine Lösung für dich.
UKernchen
Beiträge: 108
Registriert: 22 Jul 2020, 16:53
Wohnort: Naumburg (Saale)
Kontaktdaten:

Re: VPN IKEv2/IPSec Zertifikate

Beitrag von UKernchen »

@backslash und @mh1:
Ich danke euch.
Ihr habt Recht und ich beisse mich gerade durch die Zertifikate.
Antworten