Advance VPN Client mit Zertifikaten

[theroot]

Ich versuche eine Einwahl für Ausendienstmitarbeiten mit Hilfe des Lancom Advanced VPN Clients mit Zertifikaten einzurichten. Dazu möchte ich OpenSSL zu erstellen der Zertifikate verwenden und gehe nach der Beschreibung im LANCOM Handbuch vor.

Nach der Installation von OpenSSL wurde mit folgenden Befehlen gearbeitet:

genrsa -des3 -out ca.key 2048
req -key ca.key -new -subj /CN="meineCA" -out ca.req
x509 -req -in ca.req -signkey ca.key -days 3650 -out ca.crt
genrsa -out device.key 2048
req -key device.key -new -subj /CN=DEVICE -out device.req
x509 -extfile openssl.cnf -req -in device.req -CAkey ca.key -CA ca.crt -CAcreateserial -days 900 -out device.crt
pkcs12 -export -inkey device.key -in device.crt -certfile ca.crt .out device.p12


Leider gibt das bei Befehl
x509 -extfile openssl.cnf -req -in device.req -CAkey ca.key -CA ca.crt -CAcreateserial -days 900 -out device.crt
folgenden Fehler:
Error loading extensoin section default
3636:error:22097082:X509 V3 routines:DO_EXT_NCONF:unknow extension name:.\crypto\x509v3\v3_conf.c:124
3636:error:22098080:X509 V3 routines:X509V3_EXT_nconf:error in extension:.\crypto\x509v3\v3_conf.c:93:name=HOME, value=.
error in x509

Was muss in Datei openssl.cnf verändert werden?

Wenn ich den Befehl wiefolgt ausführe läuft es durch, aber irgendwas fehlt ja dann:
x509 -req -in device.req -CAkey ca.key -CA ca.crt -CAcreateserial -days 900 -out device.crt


Dann müssen folgende Dateien in das LANCOM geladen werden: ???
ca.crt (Root-Zertifikat)
device.crt (Geräte-Zertifikat)
device.key (Private Key des Gerätes)
device.p12 (PKCS#12 Datei)

Der Advance VPN Client benötigt nur die P12 Datei???

Ist das richtig so?

[Enno26]

Hallo.
die Fehler Meldung hatte ich auch, habe dann folgende Einträge auskommentiert:

Code: Alles auswählen

#
# OpenSSL example configuration file.
# This is mostly being used for generation of certificate requests.
#

# This definition stops the following lines choking if HOME isn't
# defined.
#HOME			= .
#RANDFILE		= $ENV::HOME/.rnd

# Extra OBJECT IDENTIFIER info:
#oid_file		= $ENV::HOME/.oid
#oid_section		= new_oids

# To use this configuration file with the "-extfile" option of the
# "openssl x509" utility, name here the section containing the
# X.509v3 extensions to use:
# extensions		= 
# (Alternatively, use a configuration file that has only
# X.509v3 extensions in its main [= default] section.)

# [ new_oids ]

# We can add new OIDs in here for use by 'ca' and 'req'.
# Add a simple OID like this:
# testoid1=1.2.3.4
# Or use config file substitution like this:
# testoid2=${testoid1}.5.6

####################################################################
[ ca ]
default_ca	= CA_default		# The default ca section

####################################################################
[ CA_default ]

dir		= ./PEM/demoCA		# Where everything is kept

Danach funktionierte das erstellen ohne Probleme, allerdings hatte ich noch keine Zeit die Zertifikate zu testen.
Mfg
enno

[theroot]

Danke! die veränderungen in der openssl.cnf haben geholfen.

die dateien hochladen hat soweit auch funktioniert.

aber was muss ich denn jetzt bei lokale und entfernte identität eingeben im assistenten für den vpn einwahlzugang?

Lokale Identität: /CN="meineCA"
Entfernte Identität: /CN=DEVICE

ist das so richtig?

[Enno26]

hmm bis dahin bin ich auch gekommen, leider noch nicht weiter !
Vielleicht weiß das ja jemand anderes hier im Forum ?

[thommymail]

Hallo,

ich erstelle die Zertifikate mit dem XCA Tool. Diese funktionieren auch einwandfrei. Ich habe das ganze mit Aladdin eToken getestet.
Mit XCA lassen sich die Zertifikate über ein Frontend erstellen.

mfg

T. Dittrich

[Enno26]

Hallo,
kannst du vielleicht einen Link zu dem Tool zur verfügung stellen ?

[thommymail]

Hallo,

hier mal ein google Link:

http://www.google.de/search?hl=de&q=xca ... uche&meta=

mfg

T. Dittrich

[theroot]

Hallo nochmal,

nochmals eine Frage zum Verwenden des Ad.VPN Client mit Zertifikaten.


Zertifikate mit OpenSSL erstellen:

genrsa -des3 -out ca.key 2048
req -key ca.key -new -subj /CN="meineCA" -out ca.req
x509 -req -in ca.req -signkey ca.key -days 3650 -out ca.crt

genrsa -out device.key 2048
req -key device.key -new -subj /CN=DEVICE -out device.req
x509 -req -in device.req -CAkey ca.key -CA ca.crt -CAcreateserial -days 900 -out device.crt
pkcs12 -export -inkey device.key -in device.crt -certfile ca.crt .out device.p12

genrsa -out client.key 2048
req -key client.key -new -subj /CN=CLIENT -out client.req
x509 -req -in client.req -CAkey ca.key -CA ca.crt -CAcreateserial -days 900 -out client.crt
pkcs12 -export -inkey client.key -in client.crt -certfile ca.crt .out client.p12

Dann müssen folgende Dateien in das LANCOM geladen werden:
ca.crt (Root-Zertifikat)
device.crt (Geräte-Zertifikat)
device.key (Private Key des Gerätes)
device.p12 (PKCS#12 Datei)

Der Advance VPN Client benötigt nur die client.p12 Datei.

Also Einwahlverbindung muss mit Lanconfig VPN über Internet mit Zertifikaten und
Lokale Identität CN=Device
Entfernte Identität CN=Client
eingerichtet werden.


Ist das richtig so?

[theroot]

Weiss keiner wie das genau geht?

[LoUiS]

Dann müssen folgende Dateien in das LANCOM geladen werden:
ca.crt (Root-Zertifikat)
device.crt (Geräte-Zertifikat)
device.key (Private Key des Gerätes)
device.p12 (PKCS#12 Datei)

Ins LANCOM muss nur die PKCS#12 Datei, sofern dort alles enthalten ist, also Geraetezertifikat, Root Zertifikat und der Private Key.

Der Advance VPN Client benötigt nur die client.p12 Datei.

Wie im LANCOM halt auch.

Also Einwahlverbindung muss mit Lanconfig VPN über Internet mit Zertifikaten und
Lokale Identität CN=Device
Entfernte Identität CN=Client
eingerichtet werden.

Das muss so eingerichtet werden, wie Du es im Zertifikat vorgegeben hast. Wenn Du im Zertifikat nur CN=xxxx angegeben hast, kannst Du auch nur das im AVC eintragen.


Ciao
LoUiS

[theroot]

Danke für die Antwort!

Ich habe es probiert aber leider bekomme ich beim AVC nur immer "IKE Fehler (Phase1) Kontakt zur gegenstelle verloren".

Ich habe die Zertifikate wie oben beschrieben mit openssl erstellt.
Ist in meiner p12-Datei jetzt alles drin? (also Geraetezertifikat, Root Zertifikat und der Private Key)

Ich habe eine Datei device.p12 erzeugt und in den Router inkl. Passwort geladen. Eine zweite Datei client.p12 wurde erzeugt und diese in den AVC eingetragen. Desweiteren wurde in AVC folgendes eingestellt:
Verbindungsmedium=LAN(over IP)
Gateway=xxx.xxx.xxx.xxx
Exchange Mode=Main Mode
Lokale Identität=ASN1 Distringuished Name
ID=nichts
IP Manuell vergeben
IKE-Richtline=RSA Signature
der Harken bei "Pre-Shared Key verwenden" wurde entfernt
Muss bei Zertifikatsüberprüfung im AVC etwas eingetragen werden?
Der AVC fragt beim klicken auf Verbinden nach den PIN und kommt mit dem Fehler nach ca. 10sec.

Ich hatte den gleichen Fehler als ich mit dem AVC eine Verbindung in Aggressiv Mode mit PSKs aufbauen wollte. Damals musste ich im Router mittels LANconfig unter VPN->IKE-Param.->IKE-Proposal-Listen eine neue Namens IKE_PRESH_KEY erzeugen und Porposal auf WIZ-PSK-AES-MD5 einstellen.

Verwendet wird ein LANCOM 1621 ursprünglich mit 3.x FW jetzt mit FW 6.30.

Wie kann die VPN mit Zertifikaten nun doch funktionieren?
Inwieweit ist die verwendung von PSK unsicher?

[eddia]

Hallo theroot,

Ich habe es probiert aber leider bekomme ich beim AVC nur immer "IKE Fehler (Phase1) Kontakt zur gegenstelle verloren".

ein vpn-status trace wäre aufschlussreicher.

Ist in meiner p12-Datei jetzt alles drin? (also Geraetezertifikat, Root Zertifikat und der Private Key)

Sieh in der WebConfig unter Status -> Dateisystem nach, ob dort die Einträge vpn_rootcert, vpn_devcert, vpn_devprivkey und vpn_pkcs12 existieren. Die Zertifikate der Root-CA und des Gerätes kannst Du in der Console mit show vpn ca bzw. cert überprüfen.

Ich hatte den gleichen Fehler als ich mit dem AVC eine Verbindung in Aggressiv Mode mit PSKs aufbauen wollte. Damals musste ich im Router mittels LANconfig unter VPN->IKE-Param.->IKE-Proposal-Listen eine neue Namens IKE_PRESH_KEY erzeugen und Porposal auf WIZ-PSK-AES-MD5 einstellen.

Falls Du den Assistenten zur Einrichtung der VPN-Verbindung benutzt hast, sollten die Proposals und Listen automatisch erzeugt werden. Prüf mal, ob unter VPN -> Defaults die Default-IKE-Liste für Main-Mode Verbindungen auf IKE_RSA_SIG steht.

Gruß

Mario

[theroot]

Hallo,

vielen Dank fuer die Antwort.

vpn_rootcert, vpn_devcert, vpn_devprivkey und vpn_pkcs12 existieren im Webconfig.

Unter VPN -> Defaults steht die Default-IKE-Liste für Main-Mode Verbindungen auf IKE_RSA_SIG, aber unter IKE-Proposal-Listen existiert kein IKE_RSA_SIG - muss das vielleicht hier existieren? Welche Porposal(e) muessen zugeordnet sein?

Gruss
theroot

[backslash]

Hi theroot

aber unter IKE-Proposal-Listen existiert kein IKE_RSA_SIG - muss das vielleicht hier existieren?

eigentlich sollten folgende Proposals und Einträge in der Proposal-Liste existieren:

Gruß
Backslash

[theroot]

Hallo und Dank fuer die Antwort.

Welche folgende Proposals?


Wenn ich IKE_RSA_SIG anlege mit Proposal WIZ-RSA-AES-MD5 (ist übrigens das einzigste nut RSA) dann ist der IKE-Fehler Phase 1 am AVC weg, aber funktionieren tut es trozdem nicht Er bricht einfach ab.

Wenn ich jetzt mit trace + vpn-status schaue zeigt mit der Lancom 1621B:
INVALID_ID_INFORMATION

Ich habe auch noch einmal mit show vpn ca und cert geschaut ob die Zertifikate richtig im Lancom angekommen sind und er zeit sie auch richtig beide an - d.h. aussteller und geraetezertifikat. Auch der Client kennt sein Clientszertifikat und das des Ausstellers.

Was könnte es noch sein?