VPN IKEv2/IPSec Zertifikate

[threeleg]

Hallo zusammen.
Ich habe Probleme in unserem Lancom Router das VPN ans laufen zu bekommen.
Natürlich habe ich hier schon diverse Anleitungen gelesen und befolgt.
Zb: fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
Aber ich komme nicht weiter. Zum einen weil ich evtl. auch ein paar Grundlagen falsch verstehe und weil...
"Diese Anleitung basiert auf dieser, basiert auf jener, basiert darauf..."

Ziel ist es einen Thin-Client ( Linux basiert und nutzt strongswan ) mit dem VPN zu verbinden.
Grundsätzlich dazu: habe ich bei einer PSK Authentifizierung überhaupt an irgendeiner Stelle was mit Zertifikaten zu tun?
Und sollte diese zusammen mit linux/strongswan funktionieren?

Mit einer PSK Authentifizierung hatte ich meine ersten erfolglosen Versuche. Dann habe ich es mit Zertifikaten probiert.
Dazu habe ich mich an diese Anleitung gehalten:
http://www.lancom-forum.de/fragen-zum-t ... 3e4#p86774

Die Zertifikate erzeugt habe ich hiermit:
https://www.lancom-systems.de/certificate-generation/
Nach dieser Anleitung habe ich dann 3 Dateien:
*.crt
*.p12 ( mit Public & Private Key )
*.p12 ( nur Public Key)
Welche diese Dateien kommt genau wo hin und ist für wen gedacht?
*.p12 ( mit Public & Private Key ) müsste denkt ich in den Router
*.p12 ( nur Public Key) dann an meinen Client?

Dazu kommt noch das der Upload in den Router mit der *.p12 ( mit Public & Private Key ) - Datei nicht klappt:
"Falsches Passwort oder ungültiger Dateityp"
Als Datei-Typ hab ich "VPN - Container (VPN1) als PKCS#12-Datei (*.pfx, *.p12)" gewählt.
Firmware ist übrigens 10.42.0612RU5

Kann mit jemand helfen? Ich probiere mich schon seit Tagen selbst daran...

[GrandDixence]

Wie unter:
fragen-zum-thema-vpn-f14/windows-phone- ... 3e4#p86774

beschrieben ist der einfachste Weg für das Hochladen von X.509-Zertifikate für den VPN-Server per Zertifikatspaket (*.p12-Datei). Und wie beschreiben muss im Zertifikatspaket:

- 1 Maschinenzertifikat für den LANCOM-Router (öffentlicher und privater Schlüssel)
- 1 Stammzertifikat (root certificate), welches die Maschinenzertifikate beglaubigt (nur öffentlicher Schlüssel).

Ich verwende kein (Verschlüsselungs-)Passwort (Export-Passwort) für das Zertifikatspaket (*.p12-Datei).

Für den VPN-Client oder den andere VPN-Endpunkt muss ein weiteres, zweites Zertifikatspaket erstellt werden:

- 1 Maschinenzertifikat für den VPN-Client (öffentlicher und privater Schlüssel)
- 1 Stammzertifikat (root certificate), welches die Maschinenzertifikate beglaubigt (nur öffentlicher Schlüssel).

Für die Fehlersuche bei X.509-Zertifikats-Problemen siehe:
viewtopic.php?f=14&t=18184&p=103339

Das Maschinenzertifikat des LANCOM-Routers (VPN-Server) muss den "Common Name" ("CN=") des LANCOM-Routers ausweisen.

Das Maschinenzertifikat des VPN-Clients oder VPN-Endpunkt muss den "Common Name" ("CN=") des VPN-Clients respektive des VPN-Endpunktes ausweisen.

Beim Erstellen der Maschinenzertifikate die Hinweise zum Subject Alt Names beachten!
https://www.heise.de/security/artikel/C ... 17594.html

[threeleg]

Danke schon mal.
Die Anleitung hab ich natürlich gelesen und durgeführt. Aber genau da liegt mein Verständnisproblem:
Wenn ich mit der Anleitung fertig bin hab ich ja 2 *.p12 Dateien
*.p12 ( mit Public & Private Key, die aus dem xca exportierte )
*.p12 ( nur Public Key, die mit openssl erstellte )

Welche davon soll jetzt die sein die ich in den Lancom hochladen soll. Ich habe es natürlich schon mit beiden Probiert, bei beiden meckert er "Falsches Passwort oder ungültiger Dateityp"

Eine Möglichkeit kein (Verschlüsselungs-)Passwort hab ich xca leider nicht...
Ergänzend dazu noch: was ist den der "Common Name" des Routers?

[GrandDixence]

Ein Zertifikatspaket entspricht einer *.p12-Datei. Der Rest steht oben geschrieben.
Bei Leseschwierigkeiten kann ich nicht weiterhelfen.

Der Common-Name (CN) entnimmt man in der LCOS-Konfiguration aus dem LCOS-Menübaum:

/Setup/VPN/IKEv2/Auth/Parameter/Local-ID CN=<CN des VPN-Servers>
/Setup/VPN/IKEv2/Auth/Parameter/Remote-ID CN=<CN des VPN-Clients oder des VPN-Endpunktes>

Siehe auch:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795

[threeleg]

Es sollte doch wohl klar sein das "Der Rest steht oben geschrieben" keine gute Antwort ist...
Natürlich habe ich die Anleitung und die Antworten gelesen.
Das hilft mir aber nicht weiter weil meine Fragen halt nicht beantwortet sind.
Ich hab mich genau an die Anleitung gehalten mit xca die Dateien zu erzeugen.
Beide daraus resultierende *.p12 Dateien werden vom Lancom Router nicht akzeptiert.
Irgendwas passt in der Anleitung also nicht.

[GrandDixence]

Dann wirft man halt diese xca-Anleitung in die Altpapierentsorgung und verwendet OpenSSL auf einem Linux-Live-Bootmedium (zum Beispiel: USB-Memorystick). Siehe:
alles-zum-lancom-wlc-4100-wlc-4025-wlc- ... tml#p98470

und die Hinweise zur Anwendung von OpenSSL unter:
fragen-zum-thema-vpn-f14/windows-phone- ... tml#p86774

[mh1]

(...)
Wenn ich mit der Anleitung fertig bin hab ich ja 2 *.p12 Dateien
*.p12 ( mit Public & Private Key, die aus dem xca exportierte )
*.p12 ( nur Public Key, die mit openssl erstellte )
(...)

Die Inhalte der von dir erstellte p12 Dateien stimmen nicht.

Du brauchst eine p12 für den Client und eine p12 für den Server.

In jede dieser p12 muss
* ein Zertifikat (nennen wir es mal Maschinenzertifikat) mit zugehörigem private key
* der public key vom Root Zertifikat der dieses Maschinenzertifikat signiert hat.

In die eine p12 packst du also private und public key vom Maschinenzertifikat des Servers UND den public key vom Root Zertifikat (aber NUR den Public Key)
Diese p12 lädst du dann in den VPN Server, also in dem Fall den Lancom

In die andere p12 packst du private und public key vom Maschinenzertifikat des Clients UND den public key vom Root Zertifikat (wieder NUR den Public Key)
Diese Datei installierst du auf dem Client, also z.b. einem Windows PC oder Strongswan o.ä.

Den Public Key vom Root Zertifikat musst du natürlich nur dann überall hin mitnehmen, wenn du die beiden Maschinenzertifikate mit einer eigenen CA signiert hast. Du kannst deine beiden Maschinenzertifikate auch von einer CA signieren lassen, deren public Key bereits auf Client und Server bekannt sind.

[threeleg]

Nachdem ich mich länger damit beschäftigt hab und es immer noch nicht hinbekommen hab, hab ich mich entschlossen einen IT-Dienstleister zu suchen der die Einrichtung übernimmt.
Also hab ich mir die die Liste der offiziellen Lancom-Partner geschnappt und hab rumtelefoniert.
Von jetzt mittlerweile 3 Firmen habe ich dazu aber von jeder quasi ein Absage bekommen. Keiner kannte sich mit VPN/Linux/Lancom aus.
Ist das so eine exotische Konstellation?

Habt ihr einen Tipp an wen ich mich wenden kann um das Vorhaben durchzuführen? (Natürlich nicht umsonst)

[mh1]

was hast du denn genau vor?

Eine neue VPN Verbindung lässt sich doch ganz einfach in LANConfig mit dem Setup Assistenten anlegen.

Wieso willst du die Authentisierung mit Zertifikaten machen? Wenn man noch nie etwas mit Zertifikaten, bzw. dem Aufbau eine eigenen CA zu tun hatte, kann das ja schon eine Hürde sein.

Lass dir doch einfach von dem Setup Assistenten ein VPN mit Pre-Shared-Keys erstellen. Das sind ein paar Klicks in dem Assistenten. Du kannst dann sogar wählen, ob du du den VPN Client von Lancom benutzen willst, dann schreibt er dir eine ini Datei. Diese im VPN Client importieren.
=> VPN fertig.

Wenn du das Ganze dann auf Zertifikate umstellen willst, kannst du das ja später immer noch machen.

[backslash]

Hi mh1,

Lass dir doch einfach von dem Setup Assistenten ein VPN mit Pre-Shared-Keys erstellen. Das sind ein paar Klicks in dem Assistenten.

wichtig dabei: IKEv2 nutzen!
Denn eine RAS-Einwahl mit IKEv1 und preshared Key nutzt den "aggressive mode" - und der ist unsicher
Um genau zu sein: er ist quasi offline angreifbar, so daß man nichtmal an gescheiterten Einbuchversuchen erkennen kann, daß ein Angriff läuft.
Der Angreifer muß nur ein Paket an den Server scicken und hat mit der Antwort des Servers alles in der Hand, um den preshared Key knacken zu können

Gruß
Backslash

[mh1]

Genau so ist es.

Ich denke, dass der Assitent standardmäßig IKEv2 VPN's erzeugt.

Ich kenne aber die genauen Anforderungen des Fragestellers nicht. Vielleicht hat er zig User und schon allein dann wird er um die Zertifikate wohl nicht rum kommen...

[UKernchen]

Es gibt viele Gründe für VPN mit Zertifikaten wie:
- andere Router als Gegenstelle
- Windows PC als Gegenstelle
- Strongeswan oder andere VPN-Clients (Android..)

Einfach PSK- Klicki-Assistent führt leider immer weniger zum Erfolg, und die Zertifikatsunterstützung bei Lancom erscheint mir auch buggy bzw. mangelhaft.
Ich lese das sehr aufmerksam mit und versuche es nachzubauen, leider mit genau so wenig Erfolg.

Ich vermisse:
- Erstellung der CA (konkret mit Verschlüsselung, notwendige Felder...)
- Einbinden der oben beschriebenen Verbindungs-Zertifikate in die CA.

Kann sich nicht mal einer die Mühe machen und das richtig erklären?

Gruß Uwe

[UKernchen]

Wenn ich mit der Anleitung fertig bin hab ich ja 2 *.p12 Dateien
*.p12 ( mit Public & Private Key, die aus dem xca exportierte )
*.p12 ( nur Public Key, die mit openssl erstellte )

Soweit ich das inzwischen verstanden habe, machen XCA und OpenSSL das Selbe.
Du mußt dich also für ein System entscheiden.
XCA ist Klickibunti, aber durch die vielen Einstellungen ist es trotzdem eine Herausforderung.
OpenSSL ist eine Kommandozeile. Mehr Schreibkram (kopieren), aber zumindest ich verstehe hier besser, was passiert.

[mh1]

Es gibt viele Gründe für VPN mit Zertifikaten ....

Das stimmt.
Der ursprüngliche Fragesteller wollte aber nur einen Linuxbasierten Thinclient mit Strongswan an seinen Lancom verbinden.
Strongswan lässt IKE2 mit PSK zu und da es beim Lancom für die meisten viel einfacher ist, IKE2 mit PSK zu erstellen (da das im Assistent zusammengeklickt werden kann), habe ich dem ursprünglichen Fragesteller empfohlen, die Authentisierung mit PSK zu machen.
Will man die Authentisierung aber mit Zertifikaten machen muss man manuell die vom Assistenten erstellte VPN Verbindung umschreiben (oder man erstellt sie ganz ohne Assistent von Grund auf).

Einfach PSK- Klicki-Assistent führt leider immer weniger zum Erfolg, und die Zertifikatsunterstützung bei Lancom erscheint mir auch buggy bzw. mangelhaft.

Das kann ich überhaupt nicht bestätigen. Ich bekomme des öfteren die Anfrage, dass Mitarbeiter XY nächste Woche von Zuause mit dem Laptop arbeiten muss. Dann Lancom Assistent -> IKEv2 -> Ini Datei im Lancom VPN Client importieren -> Fertig ist der VPN Zugang auf dem Laptop (Windows)
Manche Mitarbbeiter haben Linux oder BSD basierte Betriebsysteme. Dann nehm ich Strongswan als Client.

Ich vermisse:
- Erstellung der CA (konkret mit Verschlüsselung, notwendige Felder...)
- Einbinden der oben beschriebenen Verbindungs-Zertifikate in die CA.

Kann sich nicht mal einer die Mühe machen und das richtig erklären?

Gruß Uwe

Eine Beschreibung wie die Erstellung einer eigenen CA abzulaufen hat ist davon abhängig, welche Programme du dafür nutzen willst (Direkt auf dem Lancom, Microsoft CA auf einem Windows Server, OpenSSL als OpenSource-Variante, Die Software XCA...)
Die anzugebenden Parameter im DN und Anforderungen an das Zertifikat sind wiederum abhängig vom Client auf dem du es verwenden willst. Zum Beispiel stellt Microsoft ganz bestimmte Anforderungen an ein Zertifikat und wenn du unbedingt den Windows VPN Client nutzen musst oder willst, müsste ein Zertifikat, dass du in den Windows Zertifikatsspeicher importieren willst, genau diese erfüllen.

Beschreibungen/Tutorials/Erklärungen sind also irgendwie immer abhängig von den Vorgaben und dem was man überhaupt vor hat.
Allgemeine Beschreibungen, die dann auf alles zutreffen sind nahezu unmöglich zu schreiben.

Mit deiner Frage nach Einbindung der Zertifikate in die CA kann ich leider nichts anfangen. Ich weiß leider nicht genau was du meinst. Denn die CE erstellt die Zertifikate (genauer: die CA signiert ein Zertifikat und bestätigt damit also die Gültigkeit der Informationen in diesem Zertifikat).

Wenn du konkrete Fragen hast, dann einfach Fehlermeldung hier posten und Angaben was du gemacht hast, bzw. was du erwarten würdest. Und ich bin mir sicher (bzw. weiß aus eigener Erfahrung), dass dir geholfen wird.

[mh1]

Soweit ich das inzwischen verstanden habe, machen XCA und OpenSSL das Selbe.

Genau - XCA basiert auf OpenSSL.
XCA nutzt also OpenSSL, um die Zertifikate zu erstellen.
D.h. das Zertifikat, dass du auf der Kommandozeile mit openssl erstellt hast, ist im Endeffekt dasselbe wie das was XCA erstellt.