Frage zum Hash-Algorithmus

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
foxtrotlima26
Beiträge: 33
Registriert: 15 Aug 2018, 12:09

Frage zum Hash-Algorithmus

Beitrag von foxtrotlima26 »

Hallo Zusammen,

ich habe eine Verständnisfrage zur meiner VPN Verbindung.
Insgesamt habe ich drei VPN-Verbindungen auf meinem 1906:
1.) iPhone
2.) Notebook mit Windows 10 + Lancom VPN-Client
3.) Site to Site mit 1783VAW
Wenn ich mir jetzt die Verbingungsliste angucke (siehe Anhang), frage ich mich warum
bei zwei Verbindungen ein Hash-Algorithmus ist und bei der Site to Site Verbindung nicht.
Kann mir das jemand erklären?

Ein Dankeschön im Voraus.
Florian
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Frage zum Hash-Algorithmus

Beitrag von backslash »

Hi foxtrotlima26

das hänngt von den angeboteten Proposlas ab. Offenbar enthält die Proposla-Liste der Site-To-Side Verbindung auf beiden Seiten ein Proposal bei der bei ESP frü Authentifizierung "keine Authentifizierung" eingestellt ist.

Alleine sowas anzubieten ist schon grob Fahrlässig. Schlimmer ist noch, daß sich beide auch noch darauf einigen... Passe deine Konfiguration an und nimm die "kaputten" Proposals aus den Proposal-Liste der Site-To-Side Verbindung auf beiden Seiten raus... Wieso ist so ein Proposal da überhaupt drin? Standardmässig haben alle Poroposals mindestens MD5 (bei alten Geräten) bzw. SHA1 (bei neuen Geräten) als Hash-Algorithmus - obwohl man beide heutzutage eigentlich nicht mehr verwenden sollte...

Gruß
Backslash
foxtrotlima26
Beiträge: 33
Registriert: 15 Aug 2018, 12:09

Re: Frage zum Hash-Algorithmus

Beitrag von foxtrotlima26 »

Hallo Backslash,

danke für den Hinweiß / Erklärung.
Was ich nun komisch finde ist, dass ich laut Lancom KB den Site to Site Tunnel aufgebaut habe und trotzdem diese Situation zu stande gekommen ist. Und das andere ist, dass die Hash Liste diese Einstellung nicht hat. (Siehe Bild von beiden Routern).
Selbst nach deaktivieren von SHA1 und Neustart bleibt diese Situation.
Was kann ich jetzt machen?

Viele Grüße,
Florian
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Frage zum Hash-Algorithmus

Beitrag von backslash »

Hi foxtrotlima26,

ist die Site-To-Site-Verbindung auch wirklich eine IKEv2 Verbindung? Wenn sie IKEv1 macht dann findest du die Poposals unter VPN -> IKE/IPSec -> IPSec-Proposals (die werden in der IPSec-Proposal-Liste zusammengefaßt, dann in den Verbindungsparametern mit den IKE-Poposalas gruppiert und letztendlich in der Verbindungsliste der jeweiligen Verbindung zugewiesen).

Desweitern verwendet eine Site-To-Site-Verbindung normalerwiese nicht die Default-Parameter sondern nutzt eigene, weil man bei Site-To-Site die Gegesntelle meist schon anhand der IP-Adresse festmachen kann.

schau doch nochmal genauer nach, welche Proposals wirklich verwendet werden

Gruß
Backslash
foxtrotlima26
Beiträge: 33
Registriert: 15 Aug 2018, 12:09

Re: Frage zum Hash-Algorithmus

Beitrag von foxtrotlima26 »

Hi Backslash,

also laut LANmonitor ist es eine IKEv2 Verbindung. Und ich habe mich nach dieser Anleitung gehalten.
https://www2.lancom.de/kb.nsf/1275/F6F6 ... enDocument

Ich hab jetzt nochmal alles gecheckt und habe nichts auffälliges gefunden.
Das einzige was anders ist, ist dass mein Router zu Hause eine feste WAN-IP hat und der andere
Router eine dynamische. Ist das ein "Problem" oder macht das ein Unterscheid?

Viele Grüße,
Florian
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Frage zum Hash-Algorithmus

Beitrag von Jirka »

Hallo,

kannst Du mal auf der Konsole ein 'ls st/vpn/conn' machen oder alternativ in WEBconfig in die Tabelle LCOS-Menübaum -> Status -> VPN -> Verbindungen schauen, was da steht?

Viele Grüße,
Jirka
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: Frage zum Hash-Algorithmus

Beitrag von MariusP »

Hi,
AES-GCM ist Hash und Cipher in einem, daher ist wenn die Verbindung ausgehandelt wird, kein seperates Hashing ausgehandelt.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
foxtrotlima26
Beiträge: 33
Registriert: 15 Aug 2018, 12:09

Re: Frage zum Hash-Algorithmus

Beitrag von foxtrotlima26 »

Hallo Jirka, hallo MariusP,

Danke für eure Antworten!

@ Jirka: Ich musste den Tunnel erstmal wieder aufbauen um nachzusehen. Danach habe ich die zwei Möglichkeiten gecheckt und auch dort stehen die gleichen Angaben.

@ MariusP: Das wäre natürlich eine gute Erklärung. Ich habe mal ein wenig gegoogelt und mich reingelesen was die AES Unterschiede sind. Aber so explizit hab ich nichts gefunden wo man es nachlesen kann, dass der GCM Modus kein Hash aushandelt. Hast du vllt eine Quelle für mich?

Schönen Abend euch beiden und VIELEN Dank für eure Hilfe.

Gruß
Florian
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: Frage zum Hash-Algorithmus

Beitrag von MariusP »

Hi,
Erkärung für dafür wie IPSEC (ESP) mit AES-GCM umgeht https://tools.ietf.org/html/rfc4106
Wie verwendet man AES-GCM mit IKEv2 https://tools.ietf.org/html/rfc5282 ein Update zu dem ersten IKEv2 RFC https://tools.ietf.org/html/rfc4306

Zu dem aktuellen IKEv2 RFC https://tools.ietf.org/html/rfc7296 gibt es dann ein Update welches für die zu verwendeten Algorithmen Empfehlungen ausspricht https://tools.ietf.org/html/rfc8247#page-5
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
foxtrotlima26
Beiträge: 33
Registriert: 15 Aug 2018, 12:09

Re: Frage zum Hash-Algorithmus

Beitrag von foxtrotlima26 »

Hallo Zusammen,

Ich möchte mich nur mal für eure Hilfe bedanken. Nach viel lesen von den angegebenen links und verschiedenen Tests, möchte ich hiermit mein Thema/Problem als erklärt abhaken :D

Liebe Grüße
Florian
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: Frage zum Hash-Algorithmus

Beitrag von MariusP »

Hi,
Freut mich, dass du die RFCs durchstöbert hast.
Die meisten Protokollfragen kann man in RFCs nachlesen. Sie sind halt ihrer Natur nach sehr technisch geschrieben.
Gruße

P.S.: 1000ster Beitrag :shock: :D
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Frage zum Hash-Algorithmus

Beitrag von Jirka »

Hallo Marius,

ja ganz toll (also ich meine jetzt die 1.000 Beiträge, das andere war ja auch toll)! Klasse, weiter so! Einer von vielen vielen neuen Mitarbeitern, der auch mal ins Forum schaut in die Anwenderwelt da draußen. (Wobei, ein neuer Mitarbeiter bist Du ja jetzt schon nicht mehr.)

Viele Grüße,
Jirka
Antworten