VPN auf Zertifikat umstellen

[waldmeister24]

Hallo,
ich nutze bisher den Advanced VPN Client mit einer Preshared Key-Verbindung. Nun möchte ich auf VPN mit Zertifikaten umstellen. Hab jetzt schon vieles rumgetestet und im Forum gelesen, aber leider klappt der Verbindungsaufbau nicht.
Hier mein bisheriges Vorgehen:
1. Mit dem Tool XCA hab ich mir nach dieser Anleitung
http://www.vpnforum.de/wiki/index.php/S ... ng_mit_XCA
zuerst die Templates erstellt.
-> Hierzu gleich mal eine Frage: Im Register "Besitzer" hab ich alle Felder außer "Üblicher Name" bei "Distinguished Name" mit meinen Daten ausgefüllt. Muß/kann ich hier bei allen drei Templates die gleichen Daten eingeben oder müssen die unterschiedlich sein?

2. Dann hab ich eine CA, ein Server und ein Client-Zertifikat erstellt. Als Schlüssellänge hab ich 2048bits gewählt.

3. Anschließend das Serverzertifikat und das Clientzertifikat als "PKCS#12 with certificate chain" (beide mit Kennwort versehen) exportiert.

4. Das Serverzertifikat hab ich über die Weboberfläche in den Lancom (1611 Office mit Firmware 7.28) hochgeladen (als Passphrase hab ich das Kennwort des Serverzertifikats eingegeben).
Anschließend befinden sich im "Dateisystem" des Routers folgende Einträge:
vpn_rootcert 1086
vpn_devcert 1261
vpn_devprivkey 1675
vpn_pkcs12 3376
rand_seed 256

5. Nun hab ich per Assistent am Lancom einen VPN-Zugang für den AVC eingerichtet mit folgenden Daten:
"Lokale Identität" -> Inhalt der Zeile "RFC2253" aus XCA -> Zertifikate -> Mein Serverzertifikat -> Details -> Besitzer
"Entfernte Identität" -> Inhalt der Zeile "RFC2253" aus XCA -> Zertifikate -> Mein Clientzertifikat -> Details -> Besitzer

6. Jetzt hab ich ein neues Profil im AVC eingerichtet, Zertifikat nach C: kopiert und restl. Einstellungen lt. Lancom Referenz-Handbuch Thema VPN. Unter "Identität" hab ich bei "Typ" -> "ASN1 Distinguished Name" gewählt, als "ID" den gleichen Inhalt wie "bei "Entfernte Identität" eingegeben und den haken bei "Preshared Key" entfernt.


Leider hat nun erst mal nicht viel funktioniert. Durch lesen hab ich dann in XCA im Client-Template bei "Distinguished Name" eine andere Mailadresse eingegeben (die restlichen Felder sind bei allen anderen Templates noch identisch, was bei DE auch logisch ist, oder?). Zertifikat neu exportiert und auf das Notebook kopiert. Nun kann ich im AVC unter "Verbindung" -> Zertifikate" zumindest schon mal "Aussteller-" und "Benutzer-Zertifikat" anzeigen, "CA-Zertifikate" sind leer.
Auch ein VPN-Trace zeigt an, daß ich nun weiter komme als vorher. Der Fehler lautet "error - INVALID_HASH_INFORMATION".

Natürlich hab ich nun erst weiter recherchiert um weiterzukommen, aber leider ohne Erfolg. Irgendwas mache ich wahrscheinlich falsch... Im Lancom Handbuch hört sich das so einfach an, aber irgendwie stehe ich hier auf der Leitung.

Kann mir jemand Tipps geben wie ich die Verbindung hinbekomme? Ich würde mich sehr freuen.


Grüße
waldmeister24

[backslash]

Hi waldmeister24

hast du den Client auch von Aggressive- auf Main-Mode umgestellt?

Gruß
Backslash

[waldmeister24]

Hallo,

ja, im AVC ist der "Exch. Mode" auf "Main Mode" gestellt.

Sonst noch eine Idee?


Grüße
ag1

[froeschi62]

Hallo waldmeister,

hast Du mal mit "show vpn ca" und "vpn cert" deine Signaturen überprüft? Die stehen nämlich standardmäßig auf "sha56" (oder so ähnlich) Algorithmus. So bin ich auch erst einmal reingefallen (standen auf "unknown"). Das kennt der Router nicht.
Ich habe dann auf "Signature Algorithm: sha1WithRSAEncryption", also sha1 umgeändert. Damit hat es dann auf Anhieb geklappt.
Über diese Standardeinstellung bei der Zertifikaterstellung über xca kann man leicht hinwegsehen.

Gruß
Dietmar

[waldmeister24]

Hallo Dietmar,

genau das war's. Bei mir war auch "Signatur Algorithm" auf "unknown". Hab es dann wie von dir vorgeschlagen geändert. Und schon klappt es.

Herzlichen Dank für deinen Tipp. Wie du schon erwähnt hast, da "kann man leicht hinwegsehen".


Grüße
waldmeister24

[froeschi62]

Hallo waldmeister24,

prima, es freut mich, dass es jetzt bei Dir auch funktioniert.

Viele Grüße
Dietmar