Eine Frage an die Lancom VPN-Profis:
Welcher Sinn hat ein konfigurierbarer DEFAULT Eintrag (Verbindungsliste/Authentifizierung) in der VPN Konfiguration, wenn (nach Lancom) folgendes gilt:
Der Eintrag "Default" kann nur dazu genutzt werden Anfragen vor Prüfung der Identitäten oder IP-Adresse anzunehmen.
Die Prüfung der Identitäten muss anschließend in separaten Listeneinträge geprüft werden.
Das anpassen der Default Einträge im VPN ist nicht empfehlenswert.
VPN IKEv2/DEFAULT Eintrag
Moderator: Lancom-Systems Moderatoren
Re: VPN IKEv2/DEFAULT Eintrag
Hi,
Der Name Default besitzt in der Verbindungsliste einen besonderen Stellenwert.
Denn genau auf diese Zeichenkette werden unbekannte eingehende Verbindungen gematcht.
Dieser ist wichtig, denn jede eingehende Verbindung, die vorher von Ihrer IP her nicht bekannt ist, müsste abgelehnt werden, wäre ein solcher Eintrag nicht vorhanden.
Daher kann mit den Encryptionparameter, welche in diesem Peer-Default-Eintrag verknüpft sind, der erste Teil der Verhandlung durchbeführt werden, bevor in den nächsten Schritten die Authentifizierung geprüft wird.
So kannst du z.b. festlegen mit welchen Algorithmen die Verbindung aufgebaut werden soll um somit mögliche Clients, die von den Standart-Proposals abweichen, auch "bedinenen" zu können. Du könntest ja einen Encryption Eintrag anlegen der "Inbound" heißt und diesen dann in dem Default-Eintag in der Peers-Tabelle zu verlinken.
Zur Frage, ich schätze (ohne Quelle) dass damit allgemein die Default-Einträge gemeint sind.
Denn diese sind so gewählt, dass das erwartete Verhalten, was der durchschnittliche Nutzen erwartet, erfüllt.
Oder es meint, dass du nicht im Default-Eintrag in der Peer-Tabelle nicht Werte wie Active, Remote-Gateway o.ä. ändern solltest, da einen Änderung dort, die Funktionalität des Lancoms unbekannte eingehende IKEv2-Verbindungen korrekt zu bearbeiten gestört werden kann.
Wenn du allerdings möchtest kannst du natürlich andere Lifetime, Encryption, General Einträge verlinken.
Zu der Authentifizierung kann ich nicht so viel sagen, da ich im Rahmen von Radius und Dig-Sig nicht viel gemacht habe.
Ich bin kein Doku-Schreiber (wie du siehst >.<) aber wenn du dort Unklarheiten siehst, melde diese bitte.
Gruß
Der Name Default besitzt in der Verbindungsliste einen besonderen Stellenwert.
Denn genau auf diese Zeichenkette werden unbekannte eingehende Verbindungen gematcht.
Dieser ist wichtig, denn jede eingehende Verbindung, die vorher von Ihrer IP her nicht bekannt ist, müsste abgelehnt werden, wäre ein solcher Eintrag nicht vorhanden.
Daher kann mit den Encryptionparameter, welche in diesem Peer-Default-Eintrag verknüpft sind, der erste Teil der Verhandlung durchbeführt werden, bevor in den nächsten Schritten die Authentifizierung geprüft wird.
So kannst du z.b. festlegen mit welchen Algorithmen die Verbindung aufgebaut werden soll um somit mögliche Clients, die von den Standart-Proposals abweichen, auch "bedinenen" zu können. Du könntest ja einen Encryption Eintrag anlegen der "Inbound" heißt und diesen dann in dem Default-Eintag in der Peers-Tabelle zu verlinken.
Ich weis leider nicht wo du diesen Satz her hast.Das anpassen der Default Einträge im VPN ist nicht empfehlenswert.
Bitte nenne die Quelle damit ich weis wovon du sprichst.(nach Lancom) folgendes gilt
Zur Frage, ich schätze (ohne Quelle) dass damit allgemein die Default-Einträge gemeint sind.
Denn diese sind so gewählt, dass das erwartete Verhalten, was der durchschnittliche Nutzen erwartet, erfüllt.
Oder es meint, dass du nicht im Default-Eintrag in der Peer-Tabelle nicht Werte wie Active, Remote-Gateway o.ä. ändern solltest, da einen Änderung dort, die Funktionalität des Lancoms unbekannte eingehende IKEv2-Verbindungen korrekt zu bearbeiten gestört werden kann.
Wenn du allerdings möchtest kannst du natürlich andere Lifetime, Encryption, General Einträge verlinken.
Zu der Authentifizierung kann ich nicht so viel sagen, da ich im Rahmen von Radius und Dig-Sig nicht viel gemacht habe.
Ich bin kein Doku-Schreiber (wie du siehst >.<) aber wenn du dort Unklarheiten siehst, melde diese bitte.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Re: VPN IKEv2/DEFAULT Eintrag
Quelle Lancom Support zu Ticket 1608.0107.3954.ACAL
(In 9.20.0566 Release funktionierte es noch so, aber lt. Lancom Support ein Fehlverhalten in FW 9.20.0566 Release)
So gehts nicht mehr:
Peers:
Auth/Parameters:
Über den Default Eintrag konnten sich der Client mit "my.fqdn.remote", sowie alle weiteren erlaubten Clients definiert in "IDENTITYLISTE" authentifizieren.
So muss man jetzt konfigurieren:
Peers:
Auth/Parameters:
Mein Problem war, dass den IKEv2 Clients (seit FW 9.20.647RU1) keine IP-Adresse aus POOL zugewiesen wurde bei Abänderung der DEFAULT Einträge.Der Eintrag "Default" kann nur dazu genutzt werden Anfragen vor Prüfung der Identitäten oder IP-Adresse anzunehmen.
Die Prüfung der Identitäten muss anschließend in separaten Listeneinträge geprüft werden.
Das anpassen der Default Einträge im VPN ist nicht empfehlenswert.
(In 9.20.0566 Release funktionierte es noch so, aber lt. Lancom Support ein Fehlverhalten in FW 9.20.0566 Release)
So gehts nicht mehr:
Peers:
Code: Alles auswählen
DEFAULT "Aktiv" "0 Sekunden" "" "0" "DEFAULT" "DEFAULT" "DEFAULT" "DEFAULT" "Server" "POOL" "" "Manuell" "RAS-WITH-CONFIG-PAYLOAD"Code: Alles auswählen
DEFAULT "RSA-Signature" "DEFAULT" "FQDN" "my.fqdn.local" "RSA-Signature" "DEFAULT" "FQDN" "my.fqdn.remote" "IDENTITYLLISTE" "VPN1" "Nein" "Nein"So muss man jetzt konfigurieren:
Peers:
Code: Alles auswählen
DEFAULT "Aktiv" "0 Sekunden" "" "0" "DEFAULT" "DEFAULT" "DEFAULT" "DEFAULT" "Aus" "" "" "Manuell" ""
MYPEER "Aktiv" "0 Sekunden" "" "0" "MYAUTH" "DEFAULT" "DEFAULT" "DEFAULT" "Server" "POOL" "" "Manuell" "RAS-WITH-CONFIG-PAYLOAD"Code: Alles auswählen
DEFAULT "RSA-Signature" "DEFAULT" "Keine Identität" "" "RSA-Signature" "DEFAULT" "Keine Identität" "" "" "" "Nein" "Nein"
MYAUTH "RSA-Signature" "DEFAULT" "FQDN" "my.fqdn.local" "RSA-Signature" "DEFAULT" "FQDN" "my.fqdn.remote" "IDENTITYLLISTE" "VPN1" "Nein" "Nein"