I hear you! Ich hab nicht erwähnt, dass die Einrichtung, bis es dann funktioniert, lästig werden kann -- sorry. Falls es dich tröstet, ich hab länger als 3h gebraucht um ein Setup zu finden, das so funktioniert wie ich es mir gewünscht habe.Ich kriege es zum verrecken nicht hin, auch nach 3 Stunden nicht
Kann ich dich für die Android App Strongswan begeistern? Ein Vorteil diese App zu nutzen wäre sicherlicht die Portabilität. Denn IKEv2 Untestützung ist nur deshalb in deinem Handy drin, weil Samsung sie noch dazugebastelt hat. Nativ fehlt eine Implementierung (zumindest bis v6, weiß nicht ob sich das inzwischen doch noch geändert hat).
Mit der strongswan App ist das Setup sehr einfach. Du musst lediglich darauf achten, dass der CN (common name) des VPN-Server-Zertifikats dem Hostnamen entspricht mit dem du dich zum Server verbindest,
Generierst du deine Zertifikate im LCOS über die WebApp? So sieht das aus wie im Anhang certificate.png.und dass dieser Hostname auch als DNS alternative Name im Zertifikat steht
Dies könnte die passende Konfiguration im LCOS sein:
Code: Alles auswählen
add /Setup/VPN/IKEv2/Peers/"PHONE" {Active} Yes {SH-Time} 0 {Remote-Gateway} "0.0.0.0" {Rtg-tag} 0 {Encryption} "STRONGSWAN_DROID" {Authentication} "PHONE" {General} "DEFAULT" {Lifetimes} "DEFAULT" {IKE-CFG} Server {IPv4-CFG-Pool} "PHONE" {IPv6-CFG-Pool} "" {Rule-creation} manually {IPv4-Rules} "PHONE-RULE" {IPv6-Rules} "" {Routing} "" {RADIUS-Authorization} "" {RADIUS-Accounting} "" {Comment} "strongSwan on smartphone"
add /Setup/VPN/IKEv2/Encryption/"STRONGSWAN_DROID" {DH-Groups} DH16 {PFS} Yes {IKE-SA-Cipher-List} AES-CBC-256 {IKE-SA-Integ-Alg-List} SHA-256 {Child-SA-Cipher-List} AES-CBC-256 {Child-SA-Integ-Alg-List} SHA-256
add /Setup/VPN/IKEv2/Auth/Parameter/"PHONE" {Local-Auth} RSA-Signature {Local-Dig-Sig-Profile} "DEFAULT" {Local-ID-Type} Distinguished-Name {Local-ID} "CN=vpn.yourdomain.de/C=DE/L=YourCity/SN=Server/ST=NRW" {Local-Password} "" {Remote-Auth} RSA-Signature {Remote-Dig-Sig-Profile} "DEFAULT" {Remote-ID-Type} Distinguished-Name {Remote-ID} "CN=Phone/C=DE/L=Mobile/SN=Client/ST=Mobile" {Remote-Password} "" {Addit.-Remote-ID-List} "" {Local-Certificate} "VPN1" {Remote-Cert-ID-Check} Yes {OCSP-Check} No
add /Setup/VPN/IKEv2/IKE-CFG/IPv4/"PHONE" {Start-Address-Pool} "192.168.22.220" {End-Address-Pool} "192.168.22.220" {Primary-DNS} "192.168.22.11" {Secondary-DNS} "8.8.8.8"
add /Setup/VPN/Networks/IPv4-Rules/"PHONE-RULE" {Local-Networks} "0.0.0.0/0" {Remote-Networks} "192.168.22.220"
Freut mich, dass dir (jemandem) das hilft. Was bei der Verhandlung zwischen deinem Samsung und dem LANCOM schief geht, kann ich leider nicht sagen.
Es gibt im Übrigen auch einen Knowledgebase-Artikel zur Einrichtung einer IKEv2 PSK Verbindung: https://www2.lancom.de/kb.nsf/1275/39FA ... enDocument. Ich würde dir wohl zu einer Zertifikatsbasierten IKEv2 Verbindung raten. Da kommst du nicht in Verlegenheit ein schwaches Passwort zu wählen. Musst dann wohl auf dein Smartphone aufpassen...
Gruß