 |
|
|
|
| Autor |
Nachricht |
findler
Anmeldungsdatum: 16.08.2007
Beiträge: 29
|
 Verfasst am:
Do 28 Apr, 2011 10:33 |
  |
|
Hallo,
habe seit dem Einspielen von FW 8.50Rel das Problem, dass sich keine VPN Verbindungen über Zertifikate aufbauen lassen. Sowohl LAN-LAN Tunnel als auch VPN Remote Login (Host-Gateway) sind nicht mehr möglich. Die Zertifikate sind schon ca. 1 Jahr im Einsatz und funktionieren mit FW < 8.50Release. Als Workaround muss ich mit der 8.50RC3 arbeiten, damit funktionierts.
Der Trace liefert "kein gültiges Zertifikat vorhanden". "show vpn cert" und Überprüfung des Filesystems zeigt aber das die Zertifikate da sind. Abgelaufen is keines der Zertifikate.
Hat wer ähnliche Erfahrungen mit der 8.50Rel gemacht? |
|
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
LoUiS
Site Admin
Anmeldungsdatum: 07.11.2004
Beiträge: 3989
Wohnort: Aix la Chapelle
|
| Verfasst am:
Do 28 Apr, 2011 21:09 |
|
|
Nein, ich habe einige LANCOM mit VPN Tunnel mit Zertifikaten, SCEP und OCSP und geschachtelten CAs problemlos mit 8.50 Rel laufen.
Liegen die Zertifikate auf den richtigen Positionen? Es koennen ja mehrere Zertifikate in den Speicher geladen werden.
Ciao
LoUiS |
_________________
| Dr.House hat folgendes geschrieben:
|
Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
|
|
|
  |
|
findler
Anmeldungsdatum: 16.08.2007
Beiträge: 29
|
| Verfasst am:
Mo 09 Mai, 2011 14:15 |
|
|
Problem war eine gemischte IKE-Proposal Liste, die sowohl ein RSA- als auch ein PSK-Proposal enthielt.
Mit der 8.50Rel gibt es ein neues Feature, das bei solchen IKE-Proposal Listen ein Rückfallszenario von RSA-SIG auf PSK unterstellt.
PSK-Proposal aus der IKE-Proposal Liste gelöscht und die Welt ist auch mit 8.50Rel wieder in Ordnung. |
|
|
|
|
BertV
Anmeldungsdatum: 30.05.2011
Beiträge: 3
|
| Verfasst am:
Mo 30 Mai, 2011 10:57 |
|
|
Ist irgenwo dokumentiert, wie man gemischte IKE-Proposal Listen trotzdem benutzen kann?
Wenn ich auf einem 1722 (8.50) eine gemischte IKE-Proposal-Liste als Default im Main-Mode benutze, funktionieren zwar die PSK-Verbindungen, aber die für Verbindungen mit Zertifikaten kommt "no valid certificate found" (o.s.ä.).
Im Aggressive-Mode funktionieren weder PSK-Verbindungen ("no proposal matched") noch Verbindungen mit Zertifikat ("no valid certificate found"), wenn eine gemischte IKE-Proposal-Liste als Default eingetragen ist.
Dabei spielt die Reihenfolge der IKE-Proposals keine Rolle.
Achso, der Vollständigkeit halber: die Verbindungen - egal ob PSK oder Zertifikate bzw. Main- oder Aggressive-Mode - funktionieren ohne Anpassung, wenn die Default IKE-Proposal-Listen nicht gemischt sind.
Hat hier evtl. jemand eine Idee, wie man das löst ohne auf 8.50RC3 zurückzugehen? Oder ist das ein "Known Issue"? |
|
|
|
|
findler
Anmeldungsdatum: 16.08.2007
Beiträge: 29
|
| Verfasst am:
Mo 30 Mai, 2011 13:54 |
|
|
Verwende 2 getrennte IKE-Proposal Listen bzw. frag beim Lancom Support direkt nach. Referenziere auf 1104.1907.0737.ACAL (das ist mein Ticket)
Mir ist der Support zu diesem neuem Feature auch noch einige Antworten schuldig. |
|
|
|
|
BertV
Anmeldungsdatum: 30.05.2011
Beiträge: 3
|
| Verfasst am:
Mi 01 Jun, 2011 11:45 |
|
|
Danke für den Tip mit dem Support, das werd ich dann mal tun.
Zu dem Vorschlag mit zwei IKE-Proposal-Listen: als Default kann ich aber nur eine pro Mode (main/aggressive) eintragen. Nur sind diese beiden Listen getunt, da sie bereits Verbindungen (im Moment nur PSK) bedienen. Nun soll(t)en eigentlich noch RSASIG-basierte Verbindungen hinzukommen. |
|
|
|
|
|
|
|
|
| |
|
|
