VPN mit integriertem OS X Lion Cisco IPSec Client

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
ramses002
Beiträge: 7
Registriert: 24 Feb 2005, 09:07

VPN mit integriertem OS X Lion Cisco IPSec Client

Beitrag von ramses002 »

Hallo Experten im Forum,

ich habe mir kürzlich einen 1781EW gegönnt und möchte nun das VPN mit Zertifikaten absichern. Hierzu soll der integrierte Cisco IPSEC Client von OS X 10.7 Lion genutzt werden. Mit den Fritzboxen unserer Agenturen und auch mit dem Lancom klappt das nach den verfügbaren Anleitungen mit PSKs (Anleitung iPhone in der Lancom KnowledgeBase) ganz hervorragend, leider aber nicht mit zertifikatsbasierter Verschlüsselung. Wäre wirklich nett, wenn da mal jemand eine idiotensichere Anleitung für OS X oder iPhone veröffentlichen würde.

Ok, was habe ich bisher gemacht:

[b]a. Zertifikate erzeugen[/b]
Mit XCA unter Windows 7 CA, Router- und Client-Zertifikate erzeugt:
Signatur Algorithmus: SHA1,
Einträge:
CA: CN=Vorname Nachname, O=Firma
Router: CN=Routername, O=Firma, SubjectAltName = DNS: router.dyndns.org
Client: CN=Name, O=Firma
Router-Zertifikate jeweils um das Zusatzfeld SubjectAltName = DNS: router.dyndns.org ergänzt,
Schlüssel RSA 2048bit,
Register Key usage: Digital Signature, Key Encipherment, Data Encipherment
Register Netscape: alles deaktiviert.
Als PKCS#12 with Certificate Chain exportiert und in Routern und OS X Lion integriert.
CA-Zertifikat im Schlüsselbund von Lion als vertrauenswürdig bestätigt.
Zertifikate funktionieren problemlos zwischen zwei Lancom-Routern.

[b]b. VPN-Parameter Lancom-Router[/b]
Parameter via Setup-Assistent wie in Lancom Support KnowledgeBase VPN und iPhone, aber Main Mode statt Aggressive Mode und kein XAuth (laut Apple bei Zertifikaten optional):

Setup-Assistent / Einwahl Zugang bereitstellen
VPN-Verbindung über das Internet
VPN-Client mit benutzerdefinierten Parametern
Name der VPN-Verbindung: VPN_LION
Zertifikate (RSA-Signature) und Main Mode
Standard-IKE-Proposal-Liste: IKE_RSA_SIG, Standard-IKE-Gruppe: 5
ASN.1-Distinguished-Names:
Lokale Identität: CN=Routername, O=Firma
Entfernte Identität: CN=Name, O=Firma
PFS-Verfahren deaktivieren
Verschlüsselungs- & Authentifizierungsverfahren:
AES, Blowfish, 3DES
HMAC-MD5-96, HMAC-SHA1-96
Authentication Header:
kein AH
kein IPCOMP
IP-Adresse: 10.0.1.75 (eine freie Adresse innerhalb meines DHCP-Bereichs)
Alle IP-Adressen für den VPN-Client erlauben
NetBIOS über IP-Routing aktiviert

[b]c. OS X Lion[/b]
Systemeinstellungen/Netzwerk/Neuen Dienst erstellen
Anschluss: VPN
VPN-Typ: Cisco IPSec
Dienstname: VPN Test
Erstellen
Serveradresse: router.dyndns.org
Accountname: (leer)
Kennwort: (leer)
Authentifizierungseinstellungen:
Zertifikat, Wählen...: Vorher importiertes Client-Zertifikat ausgewählt
Gruppenname: (leer)
Anwenden

[b]d. LANconfig [/b]
Hier die Daten, die in LANconfig nach Anwendung des Setup-Assistenten erzeigt wurden:

[code]VPN / Allgemein / Verbindungs-Liste / VPN_LION zeigt:
Name der Verbindung: VPN_LION
Haltezeit: 0s
Dead Peer Detection: 90s
Extranet: 0.0.0.0
Entferntes Gateway: 0.0.0.0
Verbindungs-Parameter: P-VPN_LION
Regelerzeugung: Manuell
Kein dynamisches VPN
Main Mode
IKE-CFG: Server
XAuth: Aus
IPSec-over-HTTPS: Aus
Routing Tag: 0

VPN / Allgemein / Verbindungs-Parameter / P-VPN_LION zeigt:
PFS-Gruppe: kein PFS
IKE-Gruppe: 5 (MODP-1536)
IKE-Proposals: IKE_RSA_SIG
IKE-Schlüssel: KEY-VPN_LION
IPSec-Proposals: IPS-VPN_LION

VPN / Allgemein / IKE-Param. / IKE-Proposal-Listen / IPS-VPN_LION zeigt:
Bezeichnung: IKE_RSA_SIG
Proposal: RSA-AES-SHA
Proposal: RSA-AES-MD5
Proposal: RSA-BLOW-MD5
Proposal: RSA-BLOW-SHA
Proposal: RSA-CAST-MD5
Proposal: RSA-CAST-SHA
Proposal: RSA-3DES-MD5
Proposal: RSA-3DES-SHA

VPN / Allgemein / IKE-Auth. / IKE Schlüssel und Identitäten / KEY-VPN_LION zeigt
Bezeichnung: KEY-VPN_LION
Preshared Key: (leer)
Lokaler Identität-Typ: ASN.1-Distinguished Name
Lokale Identität: CN=Routername, O=Firma
Entfernter Identität-Typ: ASN.1-Distinguished Name
Entfernte Identität: CN=Name, O=Firma

VPN / Allgemein / IPSec-Param. / IPSec-Proposal-Listen / IPS-VPN_LION zeigt:
Bezeichnung: IPS-VPN_LION
Proposal: WIZ-TN-AES-MD5-96
Proposal: WIZ-TN-AES-SHA-96
Proposal: WIZ-TN-BLW-MD5-96
Proposal: WIZ-TN-BLW-SHA-96
Proposal: WIZ-TN-3DS-MD5-96
Proposal: WIZ-TN-3DS-SHA-96

Firewall/QoS / Regeln / WIZ_VPN-CLIENT_VPN_LION (automatisch erzeugt) zeigt:
Name: WIZ_VPN-CLIENT_VPN_LION
Quelle: beliebig
Quell-Dienst: Alle
Ziel: VPN_LION
Ziel-Dienst:Alle
Aktionen: übertragen

Haken bei:
Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen
Diese Regel hält die Verbindungszustände nach

Optional wie in PSK mit XAuth-Verfahren hinzugefügt, aber leider gleiches nichtfunktionierendes Ergebnis:

Kommunikation / Protokolle / PPP-Liste / Hinzufügen
Gegenstelle: VPN_LION
Benutzername (leer)
Passwort: (leer)
ansonsten Voreinstellungen
[/code]
Es kommt nach Verbinden die Meldung:

[i][b]VPN-Verbindung[/b]
Die Kommunikation mit dem VPN-Server ist fehlgeschlagen. Überprüfen Sie die Serveradresse und versuchen Sie erneut, eine Verbindung herzustellen.[/i]

Der VPN-Trace des Routers zeigt Folgendes:

[code]

root@Routername:/
> trace + vpn-status
VPN-Status ON

root@Routername:/
>
[VPN-Status] 2012/05/16 00:45:56,517
IKE info: The remote peer def-main-peer supports NAT-T in RFC mode
IKE info: The remote peer def-main-peer supports NAT-T in draft mode
IKE info: The remote peer def-main-peer supports NAT-T in draft mode
IKE info: The remote server RouterIP:500 (UDP) peer def-main-peer id <no_id> supports draft-ietf-ipsec-isakmp-xauth
IKE info: The remote server RouterIP:500 (UDP) peer def-main-peer id <no_id> negotiated rfc-3706-dead-peer-detection

[VPN-Status] 2012/05/16 00:45:56,518
IKE info: Phase-1 remote proposal 1 for peer def-main-peer matched with local proposal 1

[VPN-Status] 2012/05/16 00:45:56,846
IKE info: Phase-1 [responder] got INITIAL-CONTACT from peer def-main-peer (RouterIP)

[VPN-Status] 2012/05/16 00:45:56,846
IKE info: Phase-1 SA removed: peer def-main-peer rule def-main-peer removed

[VPN-Status] 2012/05/16 00:45:56,949
IKE info: Set local ID to </O=Firma/CN=Routername>

[VPN-Status] 2012/05/16 00:45:57,002
IKE info: Phase-1 [responder] for peer def-main-peer between initiator id CN=Name,O=Firma, responder id CN=Routername,O=Firma done
IKE info: NAT-T enabled in mode rfc, we are not behind a nat, the remote side is not behind a nat
IKE info: SA ISAKMP for peer def-main-peer encryption aes-cbc authentication sha1
IKE info: life time ( 3600 sec/ 0 kb)

[VPN-Status] 2012/05/16 00:45:57,003
IKE info: Phase-1 SA Rekeying Timeout (Soft-Event) for peer def-main-peer set to 3240 seconds (Responder)

[VPN-Status] 2012/05/16 00:45:57,003
IKE info: Phase-1 SA Timeout (Hard-Event) for peer def-main-peer set to 3600 seconds (Responder)

[VPN-Status] 2012/05/16 00:46:26,551
IKE info: Delete Notification received for Phase-1 SA isakmp-peer-def-main-peer peer def-main-peer cookies [57cfd7cb76196a97 b16b7b3a3a7b7c9d]

[VPN-Status] 2012/05/16 00:46:26,551
IKE info: Phase-1 SA removed: peer def-main-peer rule def-main-peer removed

[/code]

Als Laie in der Interpretation solcher Outputs vermute ich mal, dass sowohl die Zertifikate gegenseitig erkannt werden und auch die IKE 1 Verhandlungen geglückt sind, aber dann aus irgendeinem Grund die Verhandlungen abgebrochen werden, vermutlich vom Lion Client.

Kann mir da jemand mit Rat und Tat weiterhelfen? Irgendwas muss da gruselig falsch konfiguriert sein. Am besten wäre eine getestete und funktionierende einmalige Anleitung für das Handling von VPN-Zertifikaten mit Apple-Systemen in der KnowledgeBase von Lancom oder im FAQ hier, welche man ja dann 1:1 mit allen OS X-Systemen inklusive iPhones und iPads verwenden könnte.

Tausend Dank im Voraus.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Beitrag von backslash »

Hi ramses002,

soweit ich weiss mußt du für Cisco-Clients *immer* XAUTH aktivieren... das sieht man hier auch schön: nachdem die Phase 1 aufgebaut wurde:
[VPN-Status] 2012/05/16 00:45:57,002
IKE info: Phase-1 [responder] for peer def-main-peer between initiator id CN=Name,O=Firma, responder id CN=Routername,O=Firma done
IKE info: NAT-T enabled in mode rfc, we are not behind a nat, the remote side is not behind a nat
IKE info: SA ISAKMP for peer def-main-peer encryption aes-cbc authentication sha1
IKE info: life time ( 3600 sec/ 0 kb)


wartet der Client 30 Sekunden darauf, daß das LANCOM XAUTH macht und baut dann sie Session ab:
[VPN-Status] 2012/05/16 00:46:26,551
IKE info: Delete Notification received for Phase-1 SA isakmp-peer-def-main-peer peer def-main-peer cookies [57cfd7cb76196a97b16b7b3a3a7b7c9d]


Gruß
Backslash
Hagen2000
Beiträge: 223
Registriert: 25 Jul 2008, 10:46

Re: VPN mit integriertem OS X Lion Cisco IPSec Client

Beitrag von Hagen2000 »

Hallo ramses002,

der Thread ist zwar schon einige Jahr alt, aber hast Du es zum Laufen gebracht und wenn ja, wie?
LANCOM 1781VA mit All-IP-Option, LANCOM 1784VA

Hagen
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: VPN mit integriertem OS X Lion Cisco IPSec Client

Beitrag von MariusP »

Hi,
Der User ist seit über einem Jahr inaktiv, daher würde ich entweder dir vorschlage eine PM zu schicken oder selber das Problem erforschen.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Hagen2000
Beiträge: 223
Registriert: 25 Jul 2008, 10:46

Re: VPN mit integriertem OS X Lion Cisco IPSec Client

Beitrag von Hagen2000 »

Hallo MariusP,

dazu hatte ich bereits diesen Thread gestartet: http://www.lancom-forum.de/fragen-zum-t ... tml#p84010
LANCOM 1781VA mit All-IP-Option, LANCOM 1784VA

Hagen
Antworten