IKEv2 Client to Site mit Android klappt nicht

[Chaosphere64]

Hallo zusammen,

ich versuche von meinem Tablet aus eine IKEv2 Client to Site Verbindung zu meinem LANCOM 1781VA aufzubauen wie es in der LANCOM KB beschrieben ist.

Android ist in Version 6.0.1 installiert.

Leider funktioniert der Verbindungsaufbau nicht wie gewünscht. Ein Trace auf den VPN Status liefert auch das Problem, nur weiß ich nicht wie ich das beheben könnte. Die Einstellungen für Remote ID und PSK habe ich natürlich mehrfach überprüft.

[VPN-Status] 2016/09/19 15:04:29,310 Devicetime: 2016/09/19 15:04:34,331
Peer <UNKNOWN>: Received an IKE_SA_INIT-REQUEST of 652 bytes
Gateways: 217.95.x.x:500<--93.200.x.x:500
SPIs: 0xDB1B06BA5000A7E60000000000000000, Message-ID 0
Peer identified: DEFAULT
Received 4 notifications:
+STATUS_NAT_DETECTION_SOURCE_IP
+STATUS_NAT_DETECTION_DESTINATION_IP
+SIGNATURE_HASH_ALGORITHMS
+REDIRECT_SUPPORTED
Peer (initiator) is behind a NAT
NAT-T enabled => switching on port 4500
We (responder) are not behind a NAT. NAT-T is already enabled
+IKE_SA:
Proposal 1 Protocol IPSEC_IKE
ENCR : AES_CBC-256
PRF : PRF-HMAC-SHA-512
INTEG: SHA-256
DH : 14
+Received KE-DH-Group 14 (2048 bits)

[VPN-Status] 2016/09/19 15:04:29,310 Devicetime: 2016/09/19 15:04:34,381
Peer DEFAULT: Constructing an IKE_SA_INIT-REPLY for send
IKE_SA:
Proposal 1 Protocol IPSEC_IKE:
ENCR : AES_CBC-256
PRF : PRF-HMAC-SHA-512
INTEG: SHA-256
DH : 14
+KE-DH-Group 14 (2048 bits)
Sending an IKE_SA_INIT-RESPONSE of 457 bytes
Gateways: 217.95.x.x:500-->93.200.x.x:500
SPIs: 0xDB1B06BA5000A7E668571CC12876FDC9, Message-ID 0

[VPN-Status] 2016/09/19 15:04:29,372 Devicetime: 2016/09/19 15:04:34,431
IKE_SA_INIT [responder] for peer DEFAULT initiator id <no ipsec id>, responder id <no ipsec id>
initiator cookie: 0xDB1B06BA5000A7E6, responder cookie: 0x68571CC12876FDC9
SA ISAKMP for peer DEFAULT encryption aes-cbc authentication SHA-256 prf SHA-512
life time soft 09/20/2016 18:04:34 (in 97200 sec) / 0 kb
life time hard 09/20/2016 21:04:34 (in 108000 sec) / 0 kb

[VPN-Status] 2016/09/19 15:04:29,435 Devicetime: 2016/09/19 15:04:34,545
Peer DEFAULT: Received an IKE_AUTH-REQUEST of 368 bytes (encrypted)
Gateways: 217.95.x.x:4500<--93.200.x.x:4500
SPIs: 0xDB1B06BA5000A7E668571CC12876FDC9, Message-ID 1
find: No remote IDs found for peer DEFAULT

[VPN-Status] 2016/09/19 15:04:29,435 Devicetime: 2016/09/19 15:04:34,546
Peer DEFAULT: Constructing an IKE_AUTH-REPLY for send
NOTIFY(AUTHENTICATION_FAILED)
Sending an IKE_AUTH-RESPONSE of 80 bytes (encrypted)
Gateways: 217.95.x.x:4500-->93.200.x.x:4500
SPIs: 0xDB1B06BA5000A7E668571CC12876FDC9, Message-ID 1

[TraceStopped] 2016/09/19 15:04:35,044
Used config:
# Trace config
trace + VPN-Status

# Show commands
show bootlog

[MariusP]

Hi,
Probier mal bitte ob der VPN-Debug Trace dir genauere Infos bietet.
Gruß

[Chaosphere64]

Hi,

habe ich gemacht. Hier das Ergebnis:

[VPN-Debug] 2016/09/20 00:26:41,564 Devicetime: 2016/09/20 00:26:44,447
Peer <UNKNOWN>: Received an IKE_SA_INIT-REQUEST of 652 bytes
Gateways: 217.95.x.x:500<--93.200.x.x:500
SPIs: 0xC34B48A2196803500000000000000000, Message-ID 0
VLAN-ID 0, HW switch port 0, Routing tag 0, Com-channel 2
Payloads: SA, KE, NONCE, NOTIFY(DETECTION_SOURCE_IP), NOTIFY(DETECTION_DESTINATION_IP), NOTIFY(SIGNATURE_HASH_ALGORITHMS), NOTIFY(REDIRECT_SUPPORTED)
Looking for payload NOTIFY(SIGNATURE_HASH_ALGORITHMS) (41)...Found 1 payload.
+Received signature hash algorithms: SHA1, SHA-256, SHA-384, SHA-512
Looking for payload NOTIFY(DETECTION_SOURCE_IP) (41)...Found 1 payload.
+Computing SHA1(0xC34B48A2196803500000000000000000|93.200.x.x:500)
+Computing SHA1(0xC34B48A21968035000000000000000005DC8FF8401F4)
+Computed: 0x2387892D7F8704511E070BE91E6BE6516AEADD4F
+Received: 0xFA03B6E089848DFCBE0535B31ABE3EC2634964B3
+Not equal => NAT-T enabled => switching on port 4500
Looking for payload NOTIFY(DETECTION_DESTINATION_IP) (41)...Found 1 payload.
+Computing SHA1(0xC34B48A2196803500000000000000000|217.95.x.x:500)
+Computing SHA1(0xC34B48A2196803500000000000000000D95FF7DF01F4)
+Computed: 0x36AC305B1F695E619D5C584961E6DBA21DABBF02
+Received: 0x36AC305B1F695E619D5C584961E6DBA21DABBF02
+Equal => NAT-T is already enabled
IKE_SA:
+ENCR : comparing received AES_CBC (12) with config AES_CBC
+Valid ENCR AES_CBC with key length 256 found
+INTEG: comparing received SHA-512 (14) with config SHA-256
+INTEG: comparing received SHA-512 (14) with config SHA1
+INTEG: comparing received SHA-384 (13) with config SHA-256
+INTEG: comparing received SHA-384 (13) with config SHA1
+INTEG: comparing received SHA-256 (12) with config SHA-256
+Valid INTEG SHA-256 found
+Valid PRF found 7 (SHA-512)
Looking for payload IKE_SA (33)...Found 1 payload.

[VPN-Debug] 2016/09/20 00:26:41,627 Devicetime: 2016/09/20 00:26:44,499
Constructing payload IKE_SA (33)
Constructing payload NONCE (40)
+Nonce length=32 bytes
+Nonce=0xAABA50E8DC65E349AC364CBEB06971F9B842873F48244150D8BDF5F1306F5363
Constructing payload NOTIFY(DETECTION_SOURCE_IP) (41):
+Computing SHA1(0xC34B48A2196803507F9BA194E31EBE54|217.95.x.x:500)
+Computing SHA1(0xC34B48A2196803507F9BA194E31EBE54D95FF7DF01F4)
+0x15E9150D0E3D0CF49CC5F2FC0450BF05C2227D59
Constructing payload NOTIFY(DETECTION_DESTINATION_IP) (41):
+Computing SHA1(0xC34B48A2196803507F9BA194E31EBE54|93.200.x.x:500)
+Computing SHA1(0xC34B48A2196803507F9BA194E31EBE545DC8FF8401F4)
+0xB200DECA6B55203EB6FD76FCBA965DE6C59A2D87
Constructing payload CERTREQ (38)
+0x0000000000000000000000000000000000000000
Constructing payload VENDOR(FRAGMENTATION) (43)
Constructing payload VENDOR(FRAGMENTATION(C0000000)) (43)
Constructing payload VENDOR(ikev2 config payload: Do not narrow my traffic selector) (43)
Sending an IKE_SA_INIT-RESPONSE of 457 bytes
Gateways: 217.95.x.x:500-->93.200.x.x:500 VLAN-ID 0, HW switch port 0, Routing tag 0, Com-channel 2
SPIs: 0xC34B48A2196803507F9BA194E31EBE54, Message-ID 0

[VPN-Debug] 2016/09/20 00:26:41,814 Devicetime: 2016/09/20 00:26:44,676
Peer DEFAULT: Received an IKE_AUTH-REQUEST of 368 bytes (encrypted)
Gateways: 217.95.x.x:4500<--93.200.x.x:4500
SPIs: 0xC34B48A2196803507F9BA194E31EBE54, Message-ID 1
Message authenticated. Decrypting...OK
VLAN-ID 0, HW switch port 0, Routing tag 0, Com-channel 2
Payloads: ENCR, IDI, NOTIFY(STATUS_INITIAL_CONTACT), AUTH(PSK), CP(REQUEST), SA, TSI, TSR, NOTIFY(STATUS_EAP_ONLY_AUTHENTICATION),
Looking for payload IDI (35)...Found 1 payload.
Compare: -Received-ID tablet:FQDN != Expected-ID ws@foo.bar:USER_FQDN
Compare: -Received-ID tablet:FQDN != Expected-ID tablet:KEY_ID
Compare: -Received-ID tablet:FQDN != Expected-ID macbook:FQDN
Compare: -Received-ID tablet:FQDN != Expected-ID iphone:FQDN
-Received-ID:AUTH tablet:FQDN:PRESHARED_KEY != Expected-ID:AUTH ID_NONE:ID_NONE:RSA_SIG

[VPN-Debug] 2016/09/20 00:26:41,814 Devicetime: 2016/09/20 00:26:44,677
Payloads: ENCR, NOTIFY(AUTHENTICATION_FAILED),
Sending an IKE_AUTH-RESPONSE of 80 bytes (encrypted)
Gateways: 217.95.x.x:4500-->93.200.x.x:4500 VLAN-ID 0, HW switch port 0, Routing tag 0, Com-channel 2
SPIs: 0xC34B48A2196803507F9BA194E31EBE54, Message-ID 1

Hm, sehe ich das richtig: Erwartet wird als ID u.a. "tablet:KEY_ID", geliefert wird "tablet:FQDN"?

[Chaosphere64]

Sieht so aus als ob es nach der Änderung von von KEY_ID auf FQDN läuft. Hat sich seit der Erstellung des KB Artikels an Android etwas getan, oder warum ist dieser Punkt der Konfiguration bei meinem Tablet anders zu konfigurieren?

[MariusP]

Hi,
Ist denn in deiner IKEv2/Auth/Parameter Tabelle der Eintrag auf KEY_ID gesetzt?
Oder kannst du alternativ dem Tablet sagen, dass es KEY_ID verwenden soll?
Gruß

[Chaosphere64]

Hi,
Ist denn in deiner IKEv2/Auth/Parameter Tabelle der Eintrag auf KEY_ID gesetzt?
Oder kannst du alternativ dem Tablet sagen, dass es KEY_ID verwenden soll?
Gruß

Jetzt nicht mehr. KEY_ID als lokale und entfernte Identität zu wählen war dem KB Artikel geschuldet (Punkt 1.5). Das unterscheidet diesen Artikel im Übrigen von seinem Äquivalent für IOS (ebenfalls Punkt 1.5). Letzterer und das VPN-Debug Trace haben mich auf die Idee gebracht, die jetzt die Lösung zu sein scheint. Bei Android wüsste ich nicht wie an den Parametern etwas zu ändern wäre, aber das ist ja scheinbar auch nicht nötig. Vielleicht kann ja ein LANCOM Mitarbeiter mal gucken, ob der KB Artikel zu Android ggf. nicht mehr aktuell ist.

Danke für Deine Hilfe!

[MariusP]

Hi,
Gut, dass der Debug-Trace dir helfen konnte . Solltet ihr jemals mehr Detail-Infos im VPN-Debug-Trace brauchen meldet euch bitte per PM.
Ich werde den Support auf den anscheinenden Fehler im KB hinweisen.
Gruß