VPN Peer ohne IPv4

[awado]

Hi, hab hier ein VPN-Problem, wo ich vielleicht einfach zu doof bin und an der falschen Stelle suche.

Mein Szenario:

- 1781VA mit fixer IP als VPN-Server (IKEv1, Main Mode)
- Fritzbox LTE als VPN-Client

Mein Problem: Da die Fritzbox mit LTE keine IPv4 hat, kann ich in der Verbindungsliste kein "Entferntes Gateway" angeben und die Verbindung scheitert, weil "unknown peer". Gebe ich an dieser Stelle die IPv4 ein, die die Fritzbox (fälschlicherweise) meldet, klappt es auf Anhieb. Doch die ändert sich ja ständig. Gebe ich nix oder "0.0.0.0" als entferntes Gateway ein, klappt's auch nicht. Wo entziehe ich dem LANCOM die verzweifelte Erwartungshaltung, der Peer würde hinter einer gleichbleibenden IP stecken. DynDNS klappt erst nach etlichen Minuten, wenn überhaupt, da der DNS Cache zu lange die alte IP behält. Und eine LTE-Verbindung kann halt auch recht oft abbrechen.

[backslash]

Hi awado,

der Main-Mode mit Peshared-Key funktioniert in IKEv1 nur mit einer festen IP-Adresse.

Du hast zwei Möglichkeiten das sicher zu umgeghen: Umsteigen auf IKEv2 oder mit Zertifikaten arbeiten (ich weiss aber nicht, ob die Fritzbox das kann).

Es gibt auch noch eine unsichere Variante: IKEv1 mit Aggressive-Mode und Preshared-Key (ich weiss aber auch hier nicht, ob die Fritzbox das kann). Das ist zwar das, was VPN-Clients normalerweise machen, trotzdem kann davon aber nur abgeraten werden, weil der Aggressive-Mode quasi "offline" angreifbar ist: Ein Angreifer braucht nur ein einzelnes Paket an den Server zu schicken und kann anhand der Antwort des Servers auf den Preshared-Key schließen. Ein solcher Angriff ist daher kaum zu entdecken, da er kaum Traffic erzeugt. Prinzipiell reicht es sogar aus, die beiden ersten Pakete eines korrekten Verbinungsaufbaus zu belauschen, um den Preshared-Key zu brechen...

Oder du lebst halt damit, da DynDNS bis zu 5 Minuten braucht. Solange die Fritzbox ihre Internetverbindung nicht ständig verliert, sollte das kein Problem sein

Gruß
Backslash

[awado]

Danke backslash! Aktuell können die Fritzboxen IKEv2 (noch?) nicht. Nachdem der Tunnel nur ausgehend genutzt werden soll, also vom LANCOM ins Fritz-Netz, kann ich Angriffe per Firewall abwehren. Die Fritzbox kann tatsächlich beide Modi. Man kann das so setzen:

Code: Alles auswählen

mode = phase1_mode_idp;

oder

Code: Alles auswählen

mode = phase1_mode_aggressive;

Die restlichen Einstellungen können bleiben. Es wird nur der Modus geändert.

[backslash]

Hi awado,

Nachdem der Tunnel nur ausgehend genutzt werden soll, also vom LANCOM ins Fritz-Netz, kann ich Angriffe per Firewall abwehren.

Beim Aggressive-Mode eben nicht, da ein Angriff auf den Aggresssive-Mode keinerlei Spuren hinterläßt. Am Ende kommt der Angreifer als autorisierter User ins Netz...
Den einzigen Schutz den du da hast ist die komplexität des Preshared-Keys. Auch wenn der Angriff "offline" erfolgt, muß der Angreifer trotzdem einen Brute-Foce-Angriff auf den Hash des Preshared-Keys machen, der im Antwortpaket des Servers übermittelt wird. Also je länger und komplexer der Preshared-Key ist, um so sicherer ist das Ganze. Im LANCOM kann der Preshared-Key bis zu 64 Zeichen haben. Die solltest du auch nutzen und mit zufälligen Zeichen belegen. Möglich sind dabei

Code: Alles auswählen

#ABCDEFGHIJKLMNOPQRSTUVWXYZ@{|}~!$%&'()*+-,/:;<=>?[\]^_.0123456789abcdefghijklmnopqrstuvwxyz

Gruß
Backslash

[awado]

Würde es denn nicht helfen, eine Deny All Regel auf die Gegenstelle Fritzbox zu setzen, die man dann nur für die Ports und Ziele auflockert, die auch genutzt werden?

[backslash]

Hi awado,

Würde es denn nicht helfen, eine Deny All Regel auf die Gegenstelle Fritzbox zu setzen, die man dann nur für die Ports und Ziele auflockert, die auch genutzt werden?

das sichert natülich dein restliches Netz, aber auf die freiegegeben Dienste würde der Angreifer trotzdem kommen...
Aber wenn der preshared-Key lang genug ist, dann dauert auch ein Brute-Force-Angriff auf den Hash ewig - solange ein sicherer Hash verwendet wird, also NICHT SHA1 oder gar MD5

Gruß
Backslash

[awado]

Ok, verstehe. Man sollte also dem Hacker dann auch unbedingt was zum Essen hinstellen, falls es doch länger dauert…

[Frank Siedler]

Hallo,

ich klinke mich hier mal ein. Ich möchte auch eine FritzBox als Client im aggressive mode ohne feste IP-Adresse an einem Lancom Router anmelden. Jedoch kommt da immer die Meldung:

IKE log: 185815.147052 Default dropped message from xxx.xxx.xxx.xxx port 500 due to notification type INVALID_ID_INFORMATION

Ich habe auch schon mal versucht xxxxxx.myfritz.net bei dem entfernten Gateway der Verbindungsliste einzutragen, mit der Hoffnung, daß darüber die FritzBox IP erhalten wird. Aber das klappt auch nicht.

Hat solch eine Verbindung jemand zum Laufen bekommen und wenn, dann wie?

Auch im Main Mode klappt es mit der xxxxxx.myfritz.net Adresse nicht.

Es müsste doch eine Möglichkeit geben von daheim in ein Firmennetz zu kommen.

Viele Grüße, Frank

[awado]

Hier ist die Konfig, die ich in der Fritzbox verwendet habe:

Code: Alles auswählen

vpncfg {
        connections {
                enabled = yes;
                editable = yes;
                conn_type = conntype_lan;
                name = "LANCOM_IKEv1_MAIN_DH14";
                always_renew = yes;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = x.x.x.x;
                remote_virtualip = 0.0.0.0;
                mode = phase1_mode_aggressive;
                phase1ss = "dh14/aes/sha";
                keytype = connkeytype_pre_shared;
                key = "extragrossessecret";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                localid {
                        fqdn = "fritzbox";
                }
                remoteid {
                        fqdn = "lancom";
                }
                 phase2localid {
                        ipnet {
                                ipaddr = 192.168.178.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.1.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";
                accesslist = "permit ip any 192.168.1.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

// EOF

Und hier der LANCOM:

- IKE-Schlüssel & Identitäten: Preshared Key und lokale FQDN "lancom", entfernte FQDN "fritzbox"
- Verbindungsparameter: PFS- und IKE-Gruppe jeweils 14, Proposal IKE_PRESH_KEY, Schlüssel ist Dein Fritzbox-Eintrag, Proposal ist ESP_TN
- Verbindungsliste: Entferntes Gateway leer lassen, Verbindungsparameter ist Dein Firtbox-Eintrag, 2 x kein dyn. VPN, aggr. Mode, IKE-CFG aus, XAUTH aus, Regel manuell
- Firewall-Regel: ACCEPT für Quelle LOCALNET auf Ziel Gegenstelle Fritzbox für alle Protokolle

[Frank Siedler]

Hallo,

jetzt habe ich es zumindest geschafft, daß mit main mode die Verbindung von der Fritzbox zum Lancom aufgebaut wird. Auf beiden Seiten verwende ich dyndns. Die Fritzbox trennt die Verbindung alle paar Stunden "Ursache: 1 Lifetime expired" und der Aufbau der Verbindung dauert dann ca. 5 Minuten. Naja, damit werde ich leben können...

Code: Alles auswählen

vpncfg {
        connections {
                enabled = yes;
                editable = yes;
                conn_type = conntype_lan;
                name = "XXXXX";
                always_renew = yes;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "XXXXX.XX";
                localid {
                        fqdn = "YYYYY.YY";
                }
                remoteid {
                        fqdn = "XXXXX.XX;
                }
                mode = phase1_mode_idp;
                phase1ss = "dh15/aes/sha";
                keytype = connkeytype_pre_shared;
                key = "SECUREPWD";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = yyy.yyy.yyy.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = xxx.xxx.xxx.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any xxx.xxx.xxx.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

Viele Grüße, Frank

PS: AVM muss endlich mal in die Pötte kommen und IKEv2 an den Start bringen, schließlich gibt es IKEv2 ja nicht erst seit gestern ...