1781VAW - VPN Verbindung klappt nicht.

[TomLan]

Hallo Forengemeine,
habe zum ersten versucht per Setup-Assisten den VPN Zugang hinzukriegen. Habe dann ein Howto hier bei lancom gefund, dass VPN per Windows beschreibt.

Mein Problem ist - ich möchte per Android Handy, per PPTP mich über meinen Dyndns-Zugang auf meinem Heimnetz einloggen. Dies klappt nicht.
Es kommd der Fehler im Syslog:
1 2017-05-28 22:33:35 LOCAL0 Fehler PPTP: Error for peer THOMAS (xx.xxx.xxx.49): Unkn.-CHAP-Peer

Weitergehende Einstellungen im Handy dahingehend finde ich nicht.
habe mit und ohne PPP-Verschlüsselung versucht. Am Handy oder am Tab kann man auch kein Verschlüsselungsstärke eingeben. Wenn diese überhaupt was taugt, was ich so gelesen habe.

Da ich hier kompletter Anfänger bin bitte ich um Nachsicht !!!

Was läuft da falsch ?

Grüße
Tomlan

[mächti]

Hallo, versuch doch erstmal das hier:
Lancom Knowledge Base -> Volltextsuche -> Android:
https://www2.lancom.de/kb.nsf/1275/5B38 ... enDocument

[backslash]

Hi TomLan,

Es kommd der Fehler im Syslog:
1 2017-05-28 22:33:35 LOCAL0 Fehler PPTP: Error for peer THOMAS (xx.xxx.xxx.49): Unkn.-CHAP-Peer

die Meldung sagt doch eigentlich schon alles... Du mußt in der PPP-Liste (unter Kommunikation -> Protokolle) einen Eintrag THOMAS anlegen. In dem läßt du das Feld "Benutzername" leer und trägst nur noch das Paßwort ein. Dann mußt du noch unter IPv4 -> Adressen einen Addreßbereich für Einwahlzugänge festlegen und kannst dich per PPTP unverschlüsselt einwählen. Für eine verschlüsselte Einwahl mußt du noch unter Kommunikation -> Gegenstellen -> PPTP -> PPTP-Liste einen Eintrag erstellen, den nennst du entweder THOMAS oder DEFAULT (wenn er für alle PPTP-Einwahlen gelten soll). Dort schaltest du dann die Verschlüsselung auf 128Bit und ggf. die Haltezeit auf 0.

Da aber PPTP als gebrochen gilt, solltest du lieber eine echte VPN-Verbindung mit IKEv2 aufbauen...

Gruß
Backslash

[MariusP]

Hi,
Ich kann Backlash nur beipflichten.
PPTP ist nur mit sehr viel Augenzudrücken als VPN zu bezeichnen.
Gruß

[TomLan]

Hallo Forenmitglieder,

danke euch für die hilfreichen Antworten. Habe mich dann zumindest über PPTP einloggen können. Dass PPTP nicht wirklich sicher ist, habe ich bereits mitbekommen.

Werde nun versuchen das Ganze per ipsec zu bewerkstelligen.
mal sehen ob das dann klappt.

Grüße und Danke einstweilen
TomLan

[GrandDixence]

Ein VPN-Tunnel mit IKEv2/IPSec zwischen LANCOM-Gerät und Android-Gerät funktioniert nicht mit dem nativen VPN-Client von Android.

Anmerkung: "nativer VPN-Client" => Der VPN-Client welcher Teil des Betriebsystem ist und somit schon vorinstalliert ist.

Für den VPN-Tunnel mit IKEv2/IPSec ist der Einsatz der APP "StrongSwan VPN Client" auf dem Android-Gerät zu empfehlen:

https://play.google.com/store/apps/deta ... roid&hl=de

https://de.wikipedia.org/wiki/StrongSwan

https://wiki.strongswan.org/projects/st ... dVPNClient

Die Konfiguration des VPN-Endpunkt auf dem LANCOM-Gerät erfolgt gemäss der Windows 10 (Mobile)-Anleitung:

http://www.lancom-forum.de/fragen-zum-t ... 15356.html

Achtung: Die Verschlüsselungs- und "Digitale Signatur"-Parameter sind den Fähigkeiten der "StrongSwan VPN Client"-APP anzupassen! => LANCOM VPN-Trace benutzen!!!

Das Maschinenzertifikat für das Android-Gerät und das Stammzertifikat darf nur der StrongSwan-App bekannt gegeben werden. Keinesfalls das Maschinenzertifikat oder das Stammzertifikat unter den Betriebssystem-Einstellungen installieren!

Auch mit der StrongSwan-App gibt es unter Android zwei Stolperfallen. Leider sind mir die Details zu diesen beiden Stolperfallen nicht mehr present. Jedenfalls konnte ich die Stolperfallen mit der Logbuch-Funktion der StrongSwan-App erkennen und beheben. Die beiden Stolperfallen waren glaub ich:

- Split-Modus statt vollständiger Tunnel-Modus
- Subject Alternative Name muss im Maschinenzertifikat definiert sein oder von Hand in der StrongSwan-App übersteuert werden

https://www.heise.de/security/artikel/C ... 17594.html

[Jirka]

Hallo GrandDixence,

Ein VPN-Tunnel mit IKEv2/IPSec zwischen LANCOM-Gerät und Android-Gerät funktioniert nicht mit dem nativen VPN-Client von Android.

bei mir funktioniert das. Ok, mit Zertifikaten war ich jetzt noch zu faul, aber mit PSK geht's schon mal.

Viele Grüße,
Jirka

[GrandDixence]

Ich konnte ein VPN-Tunnel mit IKEv2/IPSec erfolgreich zwischen einem Android-Gerät mit StrongSwan und einem
LANCOM-Router herstellen. Unten stehend die Anleitung dazu.

Die Anleitung basiert auf der Windows 10 (Mobile)-Anleitung:

http://www.lancom-forum.de/fragen-zum-t ... 15356.html

Hier werden nur die von der Windows 10 (Mobile)-Anleitung abweichenden Konfigurationsschritte aufgezeigt!

VPN Client StrongSwan unter Android konfigurieren
=====================================================
Diese Anleitung gilt für LCOS 10.20 Rel und Android App "strongSwan VPN Client" v2.0.1.

Der VPN-Tunnel zum LANCOM-Router wird unter Android wie folgt eingerichtet:

1.) Der VPN Client StrongSwan über den Google Play Store installieren.
2.) VPN Client App StronSwan starten
3.) Wurzel-/Stammzertifikat-Zertifikat (CA) mit:

Menüpunkt CA-Zertifikate -> Zertifikat importieren

hochladen (üblich *.pem-Dateiformat).

4.) Profil hinzufügen
5.) Profil konfigurieren:

Server: GrandDixence.spdns.de
VPN-Typ: IKEv2 Zertifikat
Benutzer-Zertifikat => Rechner-/Maschinenzertifikat hochladen
(üblich *.p12-Dateiformat)

Benutzer-Identität: Standardwert (CN=<client.invalid>)

CA-Zertifikat
Automatisch wählen: Deaktiviert
CA Zertifikat: <Unter Punkt 3.) hochgeladenes CA-Zertifikat
wählen.>

6.) Erweiterte Profil-Einstellungen aktivieren und konfigurieren:

Server-Identität: CN=granddixence.spdns.de

Punkt 6) ist nur erforderlich, wenn das Rechner-/Maschinenzertifikat nicht korrekt mit dem
"subjectAltName" konfiguriert wurde. Siehe auch:

https://www.heise.de/security/artikel/C ... 17594.html

https://wiki.strongswan.org/projects/st ... in7CertReq

7.) Erweiterte Profil-Einstellungen aktivieren und konfigurieren:

NAT-T Keepalive Intervall: 15

8.) Unterstützung von RSASSA-PSS (RFC 7427) aktivieren:

RSA/PSS Signaturen verwenden: Ja

9.) Krypto-Algorithmen vordefinieren (für schnelleren VPN-Tunnelaufbau):

IKEv2 Algorithmen: aes128gcm16-prfsha256-ecp256bp
IPSEC/ESP Algorithmen: aes128gcm16


LANCOM-Gerät konfigurieren
========================================================
Folgende zur Windows 10 (Mobile)-Anleitung abweichende Konfigurationen sind im LANCOM-Gerät erforderlich:

Den VPN-Tunnel für die Einwahl der Android-Geräte einrichten:

Code: Alles auswählen

> ls /Setup/VPN/IKEv2/Gegenstellen/

Gegenstelle   Aktiv    SH-Zeit  Entferntes-Gateway  Rtg-Tag   Verschluesselung  Authentifizierung   Parameter   Lebensdauer   IKE-CFG     IPv4-CFG-Pool   IPv6-CFG-Pool     Regelerzeugung  IPv4-Regeln        IPv6-Regeln  Routing   RADIUS-Autorisierung   RADIUS-Accounting   Kommentar
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
DEFAULT       ja       0                               0         ANDROID        DEFAULT             VPN_NATEL   VPN_NATEL     aus                                           Manuell                                                                                               DEFAULT
VPN_NATEL     ja       0                              10         ANDROID        ANDROID             VPN_NATEL   VPN_NATEL     Server      VPN_NATEL                         Manuell         VPN_NATEL_NETZ                                                                        VPN_NATEL 

Die Verschlüsselung des VPN-Tunnels ist zu konfigurieren:

Code: Alles auswählen

> ls /Setup/VPN/IKEv2/Verschluesselung/

Name       DH-Gruppen   PFS   IKE-SA-Verschluesselungsliste   IKE-SA-Integ-Alg-Liste    Child-SA-Verschluesselungsliste   Child-SA-Integ-Alg-Liste            
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
ANDROID	 DH28   		ja    AES-GCM-128		               SHA-256		             AES-GCM-128		                 SHA-256	

Die Authentifizierung ist zu konfigurieren:

Code: Alles auswählen

> ls /Setup/VPN/IKEv2/Auth/Parameter/

Name     Local-Auth          Local-Dig-Sig-Profil    Local-ID-Typ         Local-ID                   Lokales-Passwort   Remote-Auth         Remote-Dig-Sig-Profil   Remote-ID-Typ         Remote-ID          Remote-Password   Addit.-Remote-ID-List   Lokales-Zertifikat    Remote-Cert-ID-Check    OCSP-Check     
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
DEFAULT  Digital-Signature   ANDROID                 Keine Identität                                                    Digital-Signature   ANDROID                 Keine Identität                                                                           VPN1                   nein            nein
NATEL    Digital-Signature   ANDROID                 Distinguished-Name   CN=granddixence.spdns.de                      Digital-Signature   ANDROID                 Distinguished-Name    CN=natel.invalid                                                    VPN1                    ja             nein 

Code: Alles auswählen

> ls /Setup/VPN/IKEv2/Auth/Digital-Signatur-Profile/

Name           Auth-Methode            Hash-Algorithmen              
----------------------------------------------------------------------
ANDROID        RSASSA-PSS              SHA-384

MobIKE
=========
MobIKE ist eine Erweiterung von IKEv2/IPSec für den mobilen Einsatz. Wenn maximal ein VPN-Endpunkt hinter einem NAT-Router/Firewall betrieben wird,
ermöglicht MobIKE den dynamischen Wechsel der IP-Adresse und auf dem VPN-Client sogar den Wechsel der Netzwerkschnittstelle. Für mehr Details siehe bitte:

https://www.heise.de/security/artikel/M ... 70948.html

Leider wird MobIKE von LANCOM-Geräten gar nicht oder nur mangelhaft unterstützt.

[tom-1]

Eine sehr einfache Möglichkeit ist die Verwendung der NCP VPN App für Android, in der Basic Variante 2,99€.
https://play.google.com/store/apps/deta ... .vpn.basic

Man kann die Konfiguration <profil>.ini mit dem Lancom Windows VPN Wizard erstellen und, so man möchte, in den Advanced Windows VPN Client (gibt es auch als 30d trial) importieren, bearbeiten und dann vom Windows Rechner die ncpphone.cfg in die Android App importieren. Das sind dann auch ggf. mehrere Profile drin. Dauert das erste mal vielleicht 0,5...1h, ab dem 2. mal einige Minuten...
https://www.ncp-e.com/de/service/faqs/i ... t-android/

Optional:
Ich kopiere vor der Verwednung der ncpphone.cpg das Profil im Windows VPN Client und erstelle ein zweites Profil mit gezielten IPSec Einstellungen via UDP Port 444, damit wird (so man das auch im Router eingeschaltet hat) IPsec over https gezielt benutzt, was in manchen Hotel WLAN oder via Mobilfunk - auch im Ausland - VPN Verbindungen bescherte, wo das anderen nicht gelang. Ich nutze die teurere, aber umfangreichere "Premium" Variante https://play.google.com/store/apps/deta ... pn.premium , ob das so mit der Basic Variante geht, weiß ich nicht.

HTH Tom