IKE2 Mit macos Client bricht nach 8min ab

[p0ddie]

Hi,

ein mit der Lancom https://www2.lancom.de/kb.nsf/bf0ed2a4d ... enDocument Anleitung erstellter VPN Tunnel auf einem 1781VA (Ver. 10.12.0382RU9) bricht nach genau 8min ab. Zuverlässig. Recherchen nach ist 8min genau die Zeit, in der der macos VPN Client ein Rekey machen will. Diesee Threads zur Fehlerbeschreibung und von pfsense (das ja auch auf FreeBSD basiert) sind aufschlußreich dazu:

https://apple.stackexchange.com/questio ... tes/336540
https://forum.netgate.com/topic/140761/ ... devices/10

Ich habe mal in den erweiterten Einstellungen von IKE2 im LCOS die Werte auf 480 Sekunden (=8min) gesetzt, ohne Erfolg.

Hat man hierfür eine Lösung? Lancom VPN Client, IKE1 mit IPSecuritas oder althergebracht IKE1 mit dem Cisco VPN Client sind sicher möglich, ich würde aber gerne eine dauerhafte, zuverlässige Lösung mit IKE2 und macos haben und vermeiden, die ausgerollten VPN Profile neu zu erstellen.

Vielen Dank!


EDIT:

Es geht noch nicht.

In https://www2.lancom.de/kb.nsf/bf0ed2a4d ... enDocument steht drin, dass PFS deaktiviert werden muss. Zusätzlich habe ich noch DH19 aktiviert.

Gekommen bin ich darauf durch http://www.openradar.appspot.com/29821241.

[GrandDixence]

VPN-Konfiguration mit den Anleitungen unter:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795

fragen-zum-thema-vpn-f14/vpn-ikev2-zwis ... 17207.html

abgleichen.

Danach mit den entsprechenden VPN-Traces den Fehler eingrenzen:
fragen-zum-thema-vpn-f14/windows-phone- ... tml#p86777

Es ist einzugrenzen, ob das IKE- (Steuerkanal) oder das Child SA-Rekeying (IPSEC/ESP => Datenkanal) fehl schlägt. Für Testzwecke eines der beiden Rekeying-Timeouts auf wenige Minuten in der LANCOM-Konfiguration herunterschrauben. Hilfreich bei der Fehlersuche ist sicher das vpn-ike, vpn-status und vpn-debug Trace.

Falls kein Weiterkommen: VPN-Trace-Ausgaben hier veröffentlichen.

PFS sollte aus Sicherheitsgründen nicht ausgeschaltet werden. Siehe BSI TR-02102-3:
https://www.bsi.bund.de/DE/Publikatione ... x_htm.html

[p0ddie]

Es ist zu mühsam, das zu debuggen. Wenn man das VPN Profil mit dem Apple Configurator 2 anlegt, kann man das Rekey Intervall von den standard 1440 auf 28800 ändern, wie es die Config im Lancom macht. Ich habe den Tunnel nach 2h wieder zu gemacht, aber theoretisch sollte er so mindestens um die 8h offen bleiben und damit ist das Problem für mich erledigt.

[MariusP]

Hi,
Scheitert das Rekeying am Lancom oder am MacOS?
Gruß

[plp.GTR]

Hallo Zusammen,

nachdem ich nicht finde, dass hier eine gute Lösung gepostet wurde (EDIT: Sehe gerade, der Apple Configurator wurde schon erwähnt, mein Fehler!) und ich gerade über das Problem gestolpert bin und es lösen konnte, hier, die meines Erachtens, sauberste Lösung:

Mit dem LANCOM Anleitung ganz normal die Verbindung erstellen. Im Anschluss wird man noch die Identität (Fully Qualified Username), den PSK (Shared Secret) und den Endpunkt (Adresse des Routers) brauchen.
https://www2.lancom.de/kb.nsf/bf0ed2a4d ... enDocument

Dann den "Apple Configurator 2" herunterladen. Ich hatte v2.11.1 von AppStore auf meinem macOS Catalina 10.15.2 (MPB 15" 2017):
https://apps.apple.com/de/app/apple-con ... 1037126344

• Den Apple Configurator 2 starten
• CMD+N / Ablage -> Neues Profil
• unter "Allgemein" einen eindeutigen Namen vergeben, z.B. "VPN Vorname Nachname"
• unter "VPN" -> "Konfigurieren" um eine neue VPN Konfiguration anzulegen

Die Einstellungen, überall wo ich DEFAULT schreibe, habe ich nichts geändert:

• "Verbindungsname": Hier den Namen vergeben, welcher später in den Netzwerkeinstellungen bzw. im VPN-Statusleistensymbol angezeigt wird
• "Verbindungs-Typ", IKEv2
• "VPN immer ein (nur betreute Geräte)", DEFAULT: aus
• "Server": Der VPN Endpunkt, also feste IP vom LANCOM Router oder die Domain, die dorthin zeigt
• "Entfernte ID": Die Identität, welche auch auf dem LANCOM hinterlegt ist, also eine E-Mail o.Ä., je nachdem was ihr da vergebt. Alternativ einfach %any
• "Locale ID": Die Identität, welche auch auf dem LANCOM hinterlegt ist
• "Geräte-Authentifizierung", DEFAULT: Schlüssel (Shared Secret)
• "Schlüssel (Shared Secret)": Dort den PSK eintragen (LANCOM: Lokales Passwort, Entferntes Passwort)
• "EAP aktivieren", DEFAULT: aus
• "Verbindungstrennung bei Inaktivität", DEFAULT: Nie
• "Dead Peer-Erkennungsrate", DEFAULT: Mittel
• "Weiterleitungen...", DEFAULT: aus
• "Mobilität...", DEFAULT: aus
• "IPv4/IPv6...", DEFAULT: aus
• "Perfect Forward Secrecy aktivieren": an - WICHTIG, Einstellung über macOS-GUI nicht möglich
• "Zertifikat...", DEFAULT: aus
• "Mobilfunk-Fallback...", DEFAULT: aus

unter IKE SA-Parameter

• "Verschlüsselung...", DEFAULT: AES-256
• "Integrität...", DFAULT: SHA2-256
• "Diffie...", DEFAULT: 14
• "Insgesamt in Minuten": 480 (es sind Sekunden...) - WICHTIG, Rekey-Intervall Einstellung über macOS-GUI nicht möglich
• "Proxy...", DEFAULT: Ohne

Dann das Profil mit CMD+S auf der Festplatte speichern und anschließen die Datei mit einem Doppelklick öffnen und einspielen.
Das Profil taucht bei Erfolg direkt in den Netzwerkeinstellungen auf und kann aktiviert werden.

Wenn eure Firma/Ihr andere Einstellungen habt, dann natürlich die entsprechend anpassen. Aber ich habe alle defaults mal mit aufgenommen, nicht dass sich die in späteren Apple Configurator-Versionen ändern.

---

Leider habe ich auch hier keine Einstellung für Split-Tunneling gefunden.
Weiß jemand, wie das geht? Würde ja schon gern den nonsense-Traffic ohne VPN laufen lassen und nur das Zeug, das ich vom Firmennetz brauche über VPN.

Grüße,
Philipp

[GrandDixence]

Leider habe ich auch hier keine Einstellung für Split-Tunneling gefunden.

Vermutlich genügt es, den VPN-Server im LANCOM-Router korrekt für Split-Tunneling zu konfigurieren. Siehe:
alles-zum-lancom-advanced-vpn-client-f3 ... 17814.html

Vermutlich ist dank dem Mechanismus "Traffic Selector Negotiation" keine Konfiguration für Split-Tunneling auf Seite "VPN-Client" für eine VPN-Einwahlverbindung (RAS) erforderlich. Für mehr Informationen siehe Kapitel "2.9 Traffic Selector Negotiation" im RFC 7296:
https://tools.ietf.org/html/rfc7296

Siehe auch die Trace-Ausgaben mit "TSi" und "TSr" im Beitrag vom 18 Jan 2020, 14:40 unter:
fragen-zum-thema-vpn-f14/windows-10-mit ... ml#p101701


Viel Erfolg!

[plp.GTR]

Kleiner Nachtrag:

Wenn man mit dem aktuellen Apple Configurator 2 in v2.15 einen neuen VPN Payload zum Profil hinzufügt wird ein DNS-Eintrag erstellt welcher dazu führt, dass der Import des Profils in macOS Monterey 12.1 fehlschlägt. Im Configurator v2.11.1 gab es das noch nicht.

Profilinstallation fehlgeschlagen.

Das „VPN-Dienst“-Payload konnte nicht installiert werden. Der VPN-Dienst wurde nicht erstellt.

Löscht man den Eintrag einmal aus dem VPN Payload kommt er beim erneuten speichern auch nicht zurück:

Code: Alles auswählen

<key>DNS</key>
<dict>
    <key>SupplementalMatchDomainsNoSearch</key>
    <integer>0</integer>
</dict>

Das Problem gab es auf Stackoverflow als Frage und ich dachte mir das könnte hier gut als Info reinpassen.
https://stackoverflow.com/questions/674 ... 3#70770953

[tlamsfuss]

Kleiner Hinweis von mir: im Apple Configurator 2.16 unter OSX Monterrey wird kein DNS Eintrag erstellt, aber der Import geht trotzdem nicht.

qiHHcgf.png

Abhilfe schafft hier einen DNS Eintrag zu erstellen, die Config zu speichern, dann zu löschen und wieder speichern. Dann läuft der VPN.

Ansonsten allen hier ein herzliches Dankeschön für die Tipps, sehr hilfreich.