Einige Fragen zur Smart Certificate-Funktion

[fildercom]

Hallo zusammen,

ich habe mal ein paar Fragen zur Smart Certificate-Funktion. Ich habe mir dabei folgendes Video angesehen:
https://www.youtube.com/watch?v=X3C2doQ3X6Y

1. Wenn ich das richtig sehe, ist dies mit einem WLC ja möglich. Ein 1781er-Router mit WLC-Option sollte es eigentlich auch beherrschen, zumindest sind die Menüpunkte vorhanden. Oder spricht da etwas dagegen?
2. Nun eine weitere Frage dazu: Ist es erforderlich, dass derselbe Router, der die Zertifikate erzeugt, auch gleichzeitig das VPN-Gateway sein muss? Ich würde z.B. die Zertifikate mit meinem 1781EF mit WLC-Option erstellen, als VPN-Gateway soll aber ein 1781VA zum Einsatz kommen (der eben ohne Option ist und deshalb die Zertifikate nicht erstellen kann).
3. Wo werden die Zertifikate beim Hochladen in den Router durch den Assistenten abgelegt? Wie ist es möglich, das Zertifikat wieder aus dem Router zu löschen?
4. Die im Video gezeigte Vorgehensweise beschreibt den Vorgang mit einer statischen WAN-IP-Adresse. Ist dies auch mit einem DynDNS-Anbieter möglich? Auf was muss ich dabei achten?
5. Im Video wird der Main-Mode gewählt. Wenn ich das richtig im Kopf habe, geht dies nur mit einer statischen IP. Bei einer dynamischen IP ist der Aggressive Mode üblich, der jedoch nicht die höchste Sicherheit bietet. Welche Möglichkeiten gibt es, um das trotzdem so sicher wie möglich zu konfigurieren (ja, ich weiß, IKEv2 kommt erst mit LCOS 9.20, also dieses Jahr nicht mehr). Aber es sollte doch trotzdem irgendwie gehen...
6. Im Video erhält der Client in der VPN-Verbindung eine statische IP. Kann ich das bedenkenlos auch mit DHCP-Adressvergabe durch den Router konfigurieren?
7. Wie sieht das mit der Diffie Hellman-Problematik aus (klick). Durch die Logjam-Lücke wird empfohlen, die DH-Schlüssellänge auf 2048 Bit zu konfigurieren. Was macht der LANCOM-Router bei der Konfiguration über den Assistent standardmäßig und wie lässt sich das entsprechend anpassen?


Ich weiß, das sind viele Fragen, aber ich denke mal dass dieses Thema auch für andere Leser interessant sein könnte und hoffe daher auf Erhellung...

Viele Grüße und danke
fildercom.

[MariusP]

Hi,
7. Grp 2 oder Grp 5, daher solltest wenn du den Assistenten verwenden möchtest die Werte nachträglich ändern.
Meinst du eine Anpassung des Assistent oder eine Anpassung der resultierenden Config?
Die Konfig kannst du unter /setup/vpn/Layer anpassen.
Unter Lanconfig heißt das Verbindungs-Parameter.
Den Assistenten kann man nicht anpassen, dass wird dann von Lancom geändert.

ja, ich weiß, IKEv2 kommt erst mit LCOS 9.20, also dieses Jahr nicht mehr

Gut Ding will Weile haben.
Ich freu mich wegen diesem Feature schon sehr drauf wenn die 9.20 an die User geht.
Dort ist der Default dann DH 14. (Änderung nach oben vorbehalten)
Gruß

[backslash]

Hi Fildercom

1. Wenn ich das richtig sehe, ist dies mit einem WLC ja möglich. Ein 1781er-Router mit WLC-Option sollte es eigentlich auch beherrschen, zumindest sind die Menüpunkte vorhanden. Oder spricht da etwas dagegen?

Wenn ich das richtig im Kopf habe, wird dafür entweder die WLC- oder die VPN25-Option benötigt.

4. Die im Video gezeigte Vorgehensweise beschreibt den Vorgang mit einer statischen WAN-IP-Adresse. Ist dies auch mit einem DynDNS-Anbieter möglich? Auf was muss ich dabei achten?

DynDNS-Adressen sind doch letztendlich sowas wie "statische" Adressen - also: es macht keinen Unterschied

5. Im Video wird der Main-Mode gewählt. Wenn ich das richtig im Kopf habe, geht dies nur mit einer statischen IP. Bei einer dynamischen IP ist der Aggressive Mode üblich, der jedoch nicht die höchste Sicherheit bietet.

Der aggressive-Mode muß nur bei Verwendung mit PSKs genutzt werden (und ist dann unsicher - genauer: der sicherheitstechnische GAU). Bei Verwendung von Zertifikaten kann (und sollte) der Main-Mode verwendet werden. Das funktioniert auch bei unbekannten IP-Adressen, weil die Identität über das Zertifikat bestätigt wird...

6. Im Video erhält der Client in der VPN-Verbindung eine statische IP. Kann ich das bedenkenlos auch mit DHCP-Adressvergabe durch den Router konfigurieren

Adressen für RAS-Clients werden nicht vom DHCP-Server vergeben... Die stammen aus dem WAN-Adreßpool (IPv4 -> Adressen -> Adressbereich für Einwahlzugänge) bzw. aus dem Gegenstellenabhängigen Pools aus der WAN-Tag-Tabelle (Kommunikation -> Gegenstellen -> WAN-Tag-Tabelle).

Gruß
Backslash

[Bernie137]

Hallo,

1. Im Video wird ja ganz klar eingeblendet (ab Sek. 26) Central Site Gateway, oder Geräte mit aktivierter VPN-Option. Dabei ist die WLC Funktionalität unerheblich.
2. Mit Sicherheit nicht. Das Prinzip ist immer das Gleiche, es müssen Zertifikate in die beteiligten Geräte/Clients geladen werden - egal wer sie austellt. Das ist mit der Software CA nicht anders, da habe ich auch VPNs am Laufen. Im Video (2:22min) wird das Router zertifikat ja auch gleich heruntergeladen (... um es in ein anderes Gerät laden zu können )
3. /Status/File-System/Contents


vg Bernie

[fildercom]

Hallo zusammen,

erst einmal vielen Dank für die vielen ausführlichen Antworten. Ich werde es in den kommenden Tagen testen und schauen, ob alles wie gewünscht funktionieren wird.

Viele Grüße und schönen Abend
fildercom.

[fildercom]

Hallo zusammen,

so, nun mein Feedback:
Erst einmal ganz herzlichen Dank, die Konfiguration hat wunderbar funktioniert und es läuft jetzt einwandfrei!

Nun haben sich doch noch ein paar weitere Fragen ergeben:
1. Ich habe die alten VPN-Zugänge (PSK mit Aggressive Mode, schon länger nicht mehr genutzt gewesen) über den Assistenten vollständig im Router entfernt, ebenso bei den Clients das Profil gelöscht. Muss ich noch irgendwo manuell "Hand anlegen", damit keine sicherheitstechnisch bedenklichen Einstellungen zurückbleiben?
2. Die am WLC erstellten Zertifikate für Router und Clients haben eine Gültigkeit von 365 Tagen. Wie gehe ich kurz vor Ablauf dieser Frist am besten und sinnvollsten vor, um die VPN-Tunnel auch weiterhin am Leben zu erhalten? Kann ich einfach neue Zertifikate mit identischen Informationen und identischem Dateinamen erstellen und diese auf den Clients einfach ersetzen? Was muss ich beim Router-Zertifikat beachten? Im von Bernie beschriebenen Verzeichnis (/Status/File-System/Contents) ist das von mir hochgeladene Zertifikat unter dem ursprünglichen Dateinamen nicht zu finden. Ist es das vpn_pkcs_12_int? Muss ich das Zertifikat vorher löschen, bevor ich ein neues hochlade?
3. Wenn ich beim WLC, an dem die Zertifikate erstellt wurden, diese widerrufe, hat das ja vermutlich keinen Einfluss darauf, dass sie trotzdem noch funktionieren. Wie gehe ich vor, wenn ich ein Client-Zertifikat oder auch das komplette Router-Zertifikat ungültig machen möchte?

EDIT:
4. Gibt es auch die Möglichkeit, die Zertifikate über SCEP sowohl an den Router wie auch an die Advanced VPN-Clients zu verteilen? Ich finde nur einen KB-Artikel mit Router-zu-Router VPN: https://www2.lancom.de/kb.nsf/1275/40FE ... enDocument

Es wäre super nett, wenn ihr mir noch einmal weiterhelfen könntet.

Viele Grüße und herzlichen Dank
fildercom.

[Bernie137]

Hallo fildercom,

ich kann Dir nur zum Punkt 2 ein paar Infos schreiben.

Kann ich einfach neue Zertifikate mit identischen Informationen und identischem Dateinamen erstellen und diese auf den Clients einfach ersetzen?

Ja, genau so.

Was muss ich beim Router-Zertifikat beachten?

Da gibt es nichts weiter zu beachten, ebenfalls einfach das neue Zertifikat uploaden, mit einer kleinen Besonderheit: Du verwendest das gleiche Hochlade-Ziel, in der Regel "VPN-Container (VPN1)" damit das bisherige Zertifikat einfach überschrieben wird. Was bei einem anderen Hochlade-Ziel passiert, kann ich Dir nicht sagen. Kontrolle des neuen Zertifikates dann auf der CLI mit "Show vpn cert"

Im von Bernie beschriebenen Verzeichnis (/Status/File-System/Contents) ist das von mir hochgeladene Zertifikat unter dem ursprünglichen Dateinamen nicht zu finden. Ist es das vpn_pkcs_12_int?

Ja, 4 Dateien.
- vpn_rootcert
- vpn_devcert
- vpn_devprivkey
- vpn_pksc12_int

Muss ich das Zertifikat vorher löschen, bevor ich ein neues hochlade?

Nein. Dadurch geht es ja auch natlos.

vg Bernie

[Keeper]

1. Im Video wird ja ganz klar eingeblendet (ab Sek. 26) Central Site Gateway, oder Geräte mit aktivierter VPN-Option. Dabei ist die WLC Funktionalität unerheblich.

Huhu,

im Datenblatt zur WLC-Basic Option steht die Smart Certificate Funktion allerdings ebenfalls drin: http://www.lancom-systems.de/fileadmin/ ... ion_DE.pdf (letzte Seite). Ist das dann ein Fehler im Datenblatt oder im Video?

Viele Grüße,
Keeper

[Bernie137]

Moin,

Ist das dann ein Fehler im Datenblatt oder im Video?

Das ist eine gute Frage, kann wohl nur Lancom beantworten, oder jemand, der diese Lizenz im Einsatz hat.

1. Wenn ich das richtig sehe, ist dies mit einem WLC ja möglich.

Auf alle Fälle ist kein "echter" WLC aufgeführt.

im Datenblatt zur WLC-Basic Option steht die Smart Certificate Funktion allerdings ebenfalls drin: http://www.lancom-systems.de/fileadmin/ ... ion_DE.pdf (letzte Seite).

Merkwürdig an dem Datenblatt ist allerdings, dass die Smart Certificate Funktion gleich zweimal untereinander steht. Im zweiten Fall dann sogar noch mit Fußnote, die dazu überhaupt keinen Sinn ergibt: Keine ISDN-Funktionen in der US-Variante verfügbar

vg Bernie

[Dr.Einstein]

Hab hier nen 1781 EF+ inkl WLC Option, Zertifikatsassi taucht auf.

Gruß Dr.Einstein

[fildercom]

Hallo zusammen,

vielen Dank für eure bisherigen Antworten.

Auch ich kann bestätigen, dass es mit einem 1781EF (ohne "+") mit aktivierter WLC-Option problemlos funktioniert.

Das mit dem manuellen Erstellen von Zertifikaten ist mir nun klar (auch mit dem Ersetzen).

Ich möchte allerdings nochmals auf SCEP zurück kommen:
Meiner Ansicht nach müsste es möglich sein, zumindest das Router-Zertifikat per SCEP vom WLC "auszurollen". Wenn ich das SCEP nun nachträglich einrichte, fordert der Router dann sofort ein neues Zertifikat vom WLC an und ersetzt das zuvor von mir manuell hochgeladene Zertifikat (in VPN1)? Oder macht er es erst dann, wenn das manuell hochgeladene Zertifikat abgelaufen ist?

Muss ich das Client-Zertifikat dann auch nochmals erneuern? Und muss ich die manuell erstellten Zertifikate im WLC widerrufen?

Ich weiß, das sind viele Fragen, aber ich hoffe dennoch auf Antwort(en).

Viele Grüße und danke
fildercom.

[fildercom]

Hallo zusammen,

ich habe jetzt die SCEP-Client-Funktionalität auf einem zweiten 1781VA aktiviert (der bisher noch kein VPN-Zertifikat erhalten hatte). Das hat funktioniert, er hat sich sofort eines vom WLC "abgeholt".

Dann habe ich auf dem anderen 1781VA, auf dem ich das Zertifikat vor kurzem manuell hochgeladen hatte, den SCEP-Client ebenfalls aktiviert und den Zertifikats-Namen identisch wie beim manuell erstellten Zertifikat gewählt und auch den VPN1-Container.

Darauf hin hat sich der Router KEIN neues Zertifikat vom WLC geholt.

Sehe ich das richtig, dass dies erst dann erfolgt, wenn das manuell erstellte Zertifikat abgelaufen ist? Oder müsste ich dieses "alte" Zertifikat beim WLC widerrufen oder beim Router löschen, damit dies sofort bzw. bei Ablauf erfolgt?

Sollte das bei Ablauf automatisch erfolgen, gibt es keinen Grund, es vorher nochmals anzustoßen, oder?

Über etwas Hilfestellung wäre ich sehr dankbar.

Viele Grüße und vielen Dank
fildercom.

[Bernie137]

Hallo Zusammen,

habe mir heute mal die Smart CA angeschaut. Und bei mir tauchen auch ein paar Fragen auf.

Wie verhält es sich, wenn ich das Gerät mit der Smart CA ersetzen möchte gegen ein neues Gerät? Also wie mache ich ein backup von dem Ganzen, um bei Geräteausfall gewappnet zu sein?

Wie mache ich ein backup von schon verteilten VPN SCEP-Zertifikaten? Über WEBconfig kann man nur neue Zertifikate erstellen, bereits vorhandene kann man nicht downloaden. Was soll das?

Mit Hilfe von LANconfig könnte man "Zertifikate als Datei sichern", aber da wird nur "SCEP-CA ... Passphrase erforderlich" angeboten. Die Passphrase wird nirgends verlangt und nach Klick auf Speichern mault es "Die Datei ist auf Gerät ... nicht vorhanden". Bin mir aber nicht sicher, ob damit überhaupt das Zertifikat der Zertifizierungsstelle gemeint sein soll.

vg Bernie