IKEv2 Fragmentationsfehler

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
Synaxc
Beiträge: 20
Registriert: 11 Mär 2020, 19:54

IKEv2 Fragmentationsfehler

Beitrag von Synaxc »

Hallo,

ich versuche eine VPN mit selbstsignierten Zertifikaten mit dem nativen Windows Client auszubauen und stoße dabei auf einen ominösen IKEv2 Fragmentierungsfehler.

Mein Router und der native Windows Client wurde mit Zertifikaten ausgestattet und passend konfiguriert.

Konstellation:

DSL-ISP->Lancom Router@10.42RU2-> LAN

Mein Notebook ist mit einem Apple IOS Hotspot verbunden und versucht hierdurch den Tunnel aufzubauen.

Die Phase 1 ist meiner Meinung nach erfolgreich, aber bei Phase Zwei kommt es zu einem Problem mit der IKEv2 Fragmentation.

Nachfolgend ein Trace-Auszug vom Router:

Code: Alles auswählen


[VPN-Status] 2021/03/13 20:42:14,021  Devicetime: 2021/03/13 20:42:13,415
Peer DEFAULT: Received an IKE_SA_INIT-REQUEST of 352 bytes
Gateways: 87.X.X.X:500<--80.X.X.X:500
SPIs: "", Message-ID 0
Peer identified: DEFAULT
IKE_SA ('', '' IPSEC_IKE SPIs "") entered to SADB
Received 3 notifications: 
  +IKEV2_FRAGMENTATION_SUPPORTED (STATUS)
  +NAT_DETECTION_SOURCE_IP("") (STATUS)
  +NAT_DETECTION_DESTINATION_IP("") (STATUS)
Peer (initiator) is behind a NAT
NAT-T enabled => switching on port 4500
We (responder) are not behind a NAT. NAT-T is already enabled
+IKE-SA:
  IKE-Proposal-1  (4 transforms)
    ENCR : AES-CBC-256
    PRF  : PRF-HMAC-SHA-256
    INTEG: HMAC-SHA-256
    DH   : 19
+Received KE-DH-Group 19 (512 bits)

[VPN-Status] 2021/03/13 20:42:14,021  Devicetime: 2021/03/13 20:42:13,425
Peer DEFAULT: Constructing an IKE_SA_INIT-RESPONSE for send
+IKE-SA:
  IKE-Proposal-1  (4 transforms)
    ENCR : AES-CBC-256
    PRF  : PRF-HMAC-SHA-256
    INTEG: HMAC-SHA-256
    DH   : 19
+KE-DH-Group 19 (512 bits)
Switching to port pair 4500 ( NAT-T keep-alive is off)
IKE_SA_INIT [responder] for peer DEFAULT initiator id <no ipsec id>, responder id <no ipsec id>
initiator cookie: "", responder cookie: ""
NAT-T enabled. We are not behind a nat, the remote side is  behind a nat
SA ISAKMP for peer DEFAULT Encryption AES-CBC-256  Integrity AUTH-HMAC-SHA-256  IKE-DH-Group 19  PRF-HMAC-SHA-256
life time soft 03/14/2021 23:42:13 (in 97200 sec) / 0 kb
life time hard 03/15/2021 02:42:13 (in 108000 sec) / 0 kb
DPD: NONE
Negotiated: IKEV2_FRAGMENTATION

Sending an IKE_SA_INIT-RESPONSE of 297 bytes (responder)
Gateways: 87.X.X.X:4500-->80.X.X.X:4500, tag 0 (UDP)
SPIs: "", Message-ID 0

[VPN-Status] 2021/03/13 20:42:14,052  Devicetime: 2021/03/13 20:42:13,521
Peer DEFAULT [responder]: Received an IKE_AUTH-REQUEST of 580 bytes (encrypted)
Gateways: 87.X.X.X:4500<--80.X.X.X:4500
SPIs: "", Message-ID 1
Ikev2 Fragment Number/Total: 2/7

[VPN-Status] 2021/03/13 20:42:14,052  Devicetime: 2021/03/13 20:42:13,522
Peer DEFAULT [responder]: Received an IKE_AUTH-REQUEST of 580 bytes (encrypted)
Gateways: 87.X.X.X:4500<--80.X.X.X:4500
SPIs: "", Message-ID 1
Ikev2 Fragment Number/Total: 5/7

[VPN-Status] 2021/03/13 20:42:14,052  Devicetime: 2021/03/13 20:42:13,522
Peer DEFAULT [responder]: Received an IKE_AUTH-REQUEST of 580 bytes (encrypted)
Gateways: 87.X.X.X:4500<--80.X.X.X:4500
SPIs: "", Message-ID 1
Ikev2 Fragment Number/Total: 1/7

[VPN-Status] 2021/03/13 20:42:14,052  Devicetime: 2021/03/13 20:42:13,523
Peer DEFAULT [responder]: Received an IKE_AUTH-REQUEST of 580 bytes (encrypted)
Gateways: 87.X.X.X:4500<--80.X.X.X:4500
SPIs: "", Message-ID 1
Ikev2 Fragment Number/Total: 3/7

[VPN-Status] 2021/03/13 20:42:14,052  Devicetime: 2021/03/13 20:42:13,522
Peer DEFAULT [responder]: Received an IKE_AUTH-REQUEST of 580 bytes (encrypted)
Gateways: 87.X.X.X:4500<--80.X.X.X:4500
SPIs: "", Message-ID 1
Ikev2 Fragment Number/Total: 1/7

[VPN-Status] 2021/03/13 20:42:14,052  Devicetime: 2021/03/13 20:42:13,523
Peer DEFAULT [responder]: Received an IKE_AUTH-REQUEST of 580 bytes (encrypted)
Gateways: 87.X.X.X:4500<--80.X.X.X:4500
SPIs: "", Message-ID 1
Ikev2 Fragment Number/Total: 3/7

[VPN-Status] 2021/03/13 20:42:14,052  Devicetime: 2021/03/13 20:42:13,523
Peer DEFAULT [responder]: Received an IKE_AUTH-REQUEST of 580 bytes (encrypted)
Gateways: 87.X.X.X:4500<--80.X.X.X:4500
SPIs: "", Message-ID 1
Ikev2 Fragment Number/Total: 6/7

[VPN-Status] 2021/03/13 20:42:14,052  Devicetime: 2021/03/13 20:42:13,524
Peer DEFAULT [responder]: Received an IKE_AUTH-REQUEST of 580 bytes (encrypted)
Gateways: 87.X.X.X:4500<--80.X.X.X:4500
SPIs: "", Message-ID 1
Ikev2 Fragment Number/Total: 4/7

[VPN-Status] 2021/03/13 20:42:15,088  Devicetime: 2021/03/13 20:42:14,516
Peer DEFAULT [responder]: Received an IKE_AUTH-REQUEST of 580 bytes (encrypted)
Gateways: 87.X.X.X:4500<--80.X.X.X:4500
SPIs: "", Message-ID 1
Ikev2 Fragment Number/Total: 1/7
IKEv2-Reassembler: This is a replayed fragment -> Silently dropped
-Error processing fragment (error 5)

[VPN-Status] 2021/03/13 20:42:15,088  Devicetime: 2021/03/13 20:42:14,517
Peer DEFAULT [responder]: Received an IKE_AUTH-REQUEST of 580 bytes (encrypted)
Gateways: 87.X.X.X:4500<--80.X.X.X:4500
SPIs: "", Message-ID 1
Ikev2 Fragment Number/Total: 2/7
IKEv2-Reassembler: This is a replayed fragment -> Silently dropped
-Error processing fragment (error 5)


[VPN-Status] 2021/03/13 20:42:15,088  Devicetime: 2021/03/13 20:42:14,518
Peer DEFAULT [responder]: Received an IKE_AUTH-REQUEST of 580 bytes (encrypted)
Gateways: 87.X.X.X:4500<--80.X.X.X:4500
SPIs: "", Message-ID 1
Ikev2 Fragment Number/Total: 3/7
IKEv2-Reassembler: This is a replayed fragment -> Silently dropped
-Error processing fragment (error 5)

[VPN-Status] 2021/03/13 20:42:15,088  Devicetime: 2021/03/13 20:42:14,519
Peer DEFAULT [responder]: Received an IKE_AUTH-REQUEST of 580 bytes (encrypted)
Gateways: 87.X.X.X:4500<--80.X.X.X:4500
SPIs: "", Message-ID 1
Ikev2 Fragment Number/Total: 4/7
IKEv2-Reassembler: This is a replayed fragment -> Silently dropped
-Error processing fragment (error 5)

[VPN-Status] 2021/03/13 20:42:15,088  Devicetime: 2021/03/13 20:42:14,520
Peer DEFAULT [responder]: Received an IKE_AUTH-REQUEST of 580 bytes (encrypted)
Gateways: 87.X.X.X:4500<--80.X.X.X:4500
SPIs: "", Message-ID 1
Ikev2 Fragment Number/Total: 5/7
IKEv2-Reassembler: This is a replayed fragment -> Silently dropped
-Error processing fragment (error 5)

[VPN-Status] 2021/03/13 20:42:15,088  Devicetime: 2021/03/13 20:42:14,521
Peer DEFAULT [responder]: Received an IKE_AUTH-REQUEST of 580 bytes (encrypted)
Gateways: 87.X.X.X:4500<--80.X.X.X:4500
SPIs: "", Message-ID 1
Ikev2 Fragment Number/Total: 6/7
IKEv2-Reassembler: This is a replayed fragment -> Silently dropped
-Error processing fragment (error 5)

[VPN-Status] 2021/03/13 20:42:15,088  Devicetime: 2021/03/13 20:42:14,523
Peer DEFAULT [responder]: Received an IKE_AUTH-REQUEST of 388 bytes (encrypted)
Gateways: 87.X.X.X:4500<--80.X.X.X:4500
SPIs: "", Message-ID 1
Ikev2 Fragment Number/Total: 7/7


[VPN-Status] 2021/03/13 20:42:15,088  Devicetime: 2021/03/13 20:42:14,541
vpn-maps[29], remote: Name@Mail, nego, connected-by-name



[VPN-Status] 2021/03/13 20:42:15,194  Devicetime: 2021/03/13 20:42:14,639
Peer Name@mail: Constructing an IKE_AUTH-RESPONSE for send
+Local-ID  87.X.X.X:IPV4_ADDR
+I use AUTH(ECDSA-256:SHA-256)
+Signature of length 64 bytes (512 bits) computed

IKE_SA_INIT [responder] for peer Name@mail initiator id E=MeineMail,CN=MeinCN,OU="",O="",L="",ST="",C=DE, responder id  87.X.X.X 
initiator cookie: "", responder cookie: ""
NAT-T enabled. We are not behind a nat, the remote side is  behind a nat
SA ISAKMP for peer Name@Mail Encryption AES-CBC-256  Integrity AUTH-HMAC-SHA-256  IKE-DH-Group 19  PRF-HMAC-SHA-256
life time soft 03/14/2021 23:42:14 (in 97200 sec) / 0 kb
life time hard 03/15/2021 02:42:14 (in 108000 sec) / 0 kb
DPD: 30 sec
Negotiated: IKEV2_FRAGMENTATION

NOTIFY(INTERNAL_ADDRESS_FAILURE)
Encrypted message is too big (1104 bytes) -> should be ikev2 fragmented (MTU 580)
CHILD_SA ('', '' ) removed from SADB
CHILD_SA ('', '' ) freed
Sending an IKE_AUTH-RESPONSE of 1067 bytes (responder)
Gateways: 87.X.X.X:4500-->80.X.X.X:26108, tag 0 (UDP)
SPIs: "", Message-ID 1
Sending 2 ikev2 fragment(s) of 580 bytes and last fragment of size 100 bytes



Jetzt zu meiner Frage. Muss ich den Fehler auf dem Router, oder auf dem Notebook suchen ?

Die VPN-Verbindung habe ich händisch in Windows 10@1909 angelegt und anschließend mit Set-VpnConnectionIPsecConfiguration die Parameter verändert, um die VPN mit ECDSA kompatibel zu machen.

Bei der Fehlermeldung: "Encrypted message is too big (1104 bytes) -> should be ikev2 fragmented (MTU 580)" bin ich ein wenig ratlos, da Windows 10 laut meiner Recherche IKEv2 Fragmentation per se unterstützt.
Ich muss dazu sagen, das ich jederzeit eine VPN über IOS mit meinem Router aufbauen kann, daher schließe ich Leitungsfehler aus.

Der Windows 10 Client bricht die VPN mit der Meldung: "Fehler beim Zuweisen der inneren Ip-Adresse zum Initiator im Tunnelmodus." ab.

Ich wünsche ein schönes WE
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: IKEv2 Fragmentationsfehler

Beitrag von GrandDixence »

Der Verbindungsaufbau des VPN-Tunnels beim Einsatz von IKEv2/IPSec besteht aus 4 IKE-Telegramme.

- Schritt 1: IKE_SA_INIT-REQUEST 87.X.X.X:500<--80.X.X.X:500
- Schritt 2: IKE_SA_INIT-RESPONSE 87.X.X.X:500-->80.X.X.X:500
- Schritt 3: IKE_AUTH-REQUEST 87.X.X.X:4500<--80.X.X.X:4500 (dank NAT-Traversal auf UDP Port 4500 statt UDP Port 500)
- Schritt 4: IKE_AUTH-RESPONSE 87.X.X.X:4500-->80.X.X.X:26108

Die IKE_SA_INIT-Telegramme werden unverschlüsselt versendet und sind somit mit Wireshark lesbar. Die IKE_AUTH-Telegramme werden verschlüsselt versendet und sind somit nur noch mit den entsprechenden VPN-Traces (VPN_DEBUG + VPN_IKE oder ähnlich) lesbar.

Aus den vorliegenden Traces sind mehrere Fehler respektive Probleme ersichtlich, welche behoben werden sollten:

1.) Das IKE_AUTH-REQUEST-Telegramm wird fragmentiert vom LANCOM-Router erhalten. Korrekt dank der beidseitigen Unterstützung von IKEV2_FRAGMENTATION. Die Unterstützung von IKEv2_FRAGMENTATION wurde in den vorgängigen IKE_SA_INIT-Telegramme von beiden VPN-Endpunkten ausgehandelt. Dieses in 7 Teile fragmentierte IKE_AUTH-REQUEST-Telegramm wird nicht in der korrekten Reihenfolge (1. Teil -> 2. -> 3. -> 4. -> 5. -> 6. -> 7. Teil) vom LANCOM-Router empfangen. Zudem werden einige Fragmente von diesem IKE-Telegramm mehrfach vom LANCOM-Router empfangen (IKEv2-Reassembler: This is a replayed fragment).

Was auf eine massive Störung des Internetanschlusses oder eine Überlastung einer Netzwerkkomponenten zwischen den beiden VPN-Endpunkte zurück zuführen ist. Dieses netzwerkseitige Problem sollte aus Performancegründen beseitigt werden. Ich empfehle das Ausmessen der Netzwerkverbindung zwischen den beiden VPN-Endpunkten mit Werkzeugen à la IPerf3. Mit IPerf3 TCP- und UDP-Messungen durchführen und auf die Jagd nach TCP-Retransmissions (wegen verloren gegangen oder auf dem Transportweg verfälschten IP-Datenpakete) und Paketüberholungen (out-of-order) gehen. Paketüberholungen werden durch überlastete Netzwerkkomponenten verursacht.

2.) Der LANCOM-Router kann dem VPN-Client (Windows 10) wegen einem VPN-Konfigurationsfehler keine IPv4-Adresse zuweisen, welche innerhalb des VPN-Tunnels verwendet werden soll.

Code: Alles auswählen

NOTIFY(INTERNAL_ADDRESS_FAILURE)
Der LANCOM-Router sendet im IKE_AUTH-Response-Telegramm diesen negativen Entscheid dem VPN-Client zu. Was auf Windows-Seite zur korrekten Fehlermeldung "Fehler beim Zuweisen der inneren Ip-Adresse zum Initiator im Tunnelmodus" führt. VPN-Konfiguration mit den entsprechenden Angaben unter:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
abgleichen. Zur Fehlersuche die entsprechenden VPN-Traces verwenden, wo der unverschlüsselte Inhalt der IKE-Telegramme ersichtlich ist (VPN_DEBUG + VPN_IKE oder ähnlich).

Zum Verständnis der Funktionsweise von IKEv2-Fragmentation:

IKEv2-Fragmentation ermöglicht den zuverlässigen VPN-Tunnelaufbau, wenn eine Path-MTU < 1500 Byte eingesetzt wird.

Code: Alles auswählen

Encrypted message is too big (1104 bytes) -> should be ikev2 fragmented (MTU 580)
Da beim Einsatz von IKEV2_FRAGMENTATION die (Path-)MTU für IKE-Telegramme nur 580 Byte gross ist, werden alle IKE-Telegramme > 580 Byte in mehrere kleinere Stücke aufgeteilt und versendet (fragmentiert eben). Ein 1108 Byte grosses IKE-Telegramme muss demnach in 3 Teilen respektive in 3 Fragmenten versendet werden:

Code: Alles auswählen

Sending 2 ikev2 fragment(s) of 580 bytes and last fragment of size 100 bytes
Für mehr Informationen zum Thema (Path-)"MTU" siehe (auch Seite 2 beachten):
fragen-zur-lancom-systems-routern-und-g ... 18492.html
Synaxc
Beiträge: 20
Registriert: 11 Mär 2020, 19:54

Re: IKEv2 Fragmentationsfehler

Beitrag von Synaxc »

Hallo Granddixence,

vielen Dank für deine Mühe und für die empirisch fundierte Antwort !!

Ich konnte die Fehlermeldung, des Trace-Moduls nicht ganz zuordnen und habe daher auf Fragmentierungsfehler getippt. Was MTU und Fragmentierung bewirkt ist bekannt. Der "Packetloss" ist auf eine schlechte LTE-Verbindung zurückzuführen...

Ich habe noch einmal meine Einstellungen und die von dir erwähnten Traces überprüft.

Code: Alles auswählen

[VPN-Status] 2021/03/15 18:08:37,313  Devicetime: 2021/03/15 18:08:39,643
Peer DEFAULT [responder]: Received an IKE_AUTH-REQUEST of 3349 bytes
Gateways: 87.X.X.X:4500<--80.X.X.X:4500
SPIs: "", Message-ID 1
CHILD_SA ('', '' ) entered to SADB
Updating remote port to 5020
Received 1 notification: 
  +MOBIKE_SUPPORTED (STATUS)
+Received-ID:AUTH E=name@mail.de,CN=Meine_CN,OU="",O="",L="",ST="",C=DE:DER_ASN1_DN:ECDSA-256 matches Expected-ID:AUTH ID_NONE:ID_NONE:ECDSA-256
+Road-warrior identified and accepted (Peer name@mail using ECDSA-256)
+Peer uses AUTH(ECDSA-256:SHA-256)
+Authentication successful
Request attributes:
  INTERNAL_IP4_ADDRESS()
  INTERNAL_IP4_DNS()
  INTERNAL_IP4_NBNS()
  MICROSOFT_INTERNAL_IP4_SERVER()
-Not configured as Server () -> abort




[VPN-Debug] 2021/03/15 18:08:37,388  Devicetime: 2021/03/15 18:08:39,763
Peer Name@Mail: Constructing an IKE_AUTH-RESPONSE for send
Constructing payload NOTIFY(MANAGEMENT_IP4_ADDRESS) (41):
Constructing payload NOTIFY(MANAGEMENT_IP6_ADDRESS) (41):
Fragment encrypted successfully
Message authenticated successfully
Don't Fragment bit is set
Non-ESP-Marker Prepended
Fragment encrypted successfully
Message authenticated successfully
Don't Fragment bit is set
Non-ESP-Marker Prepended
Fragment encrypted successfully
Message authenticated successfully
Don't Fragment bit is set
Non-ESP-Marker Prepended
IKE_SA("").EXPECTED-MSG-ID raised to 2
+(request, response) pair inserted into retransmission map
Sending an IKE_AUTH-RESPONSE of 1067 bytes (responder)
Gateways: 87.X.X.X:4500-->80.X.X.X:5020, tag 0 (UDP)
SPIs: "", Message-ID 1
Sending 2 ikev2 fragment(s) of 580 bytes and last fragment of size 100 bytes
Payloads: IDR, CERT(X509), AUTH(ECDSA-256:SHA-256), NOTIFY(INTERNAL_ADDRESS_FAILURE)



NOTIFY(INTERNAL_ADDRESS_FAILURE)
Encrypted message is too big (1104 bytes) -> should be ikev2 fragmented (MTU 580)
CHILD_SA ('', '' ) removed from SADB
CHILD_SA ('', '' ) freed
Sending an IKE_AUTH-RESPONSE of 1067 bytes (responder)
Gateways: 87.X.X.X:4500-->80.X.X.X:5020, tag 0 (UDP)
SPIs: "", Message-ID 1
Sending 2 ikev2 fragment(s) of 580 bytes and last fragment of size 100 bytes

Der Fehler muss wahrscheinlich am Windows-Client selber liegen.... siehe Meldung IKE_AUTH-REQUEST = -Not configured as Server () -> abort

Nachfolgend habe ich einige von mir gemachten Einstellungen aufgelistet:


Einstellungen am VPN-Client, welche händisch getätigt wurden:

WIN10 Systemsteuerung->Netzwerk und Internet -> VPN

+ VPN-Verbindung hinzufügen
Verbindungname =Meindyndns.de
Servername=Meindyndns.de
VPN-Typ= IKEv2
Anmeldeinformationstyp= Allgmeine Authentifizierungsmethode
Benutzername = leer


Win+R -> ncpa.cpl > Adapter Meindyndns.de -> Eigenschaften

Fenster

=========
Allgemein

->Hostname = Meindyndns.de
=========
Optionen
=========
-> Anmeldedaten speichern -> kein Häkchen gesetzt
Leerlaufzeit, nach der augelegt wird -> Niemals

Sicherheit
==========
VPN-Typ = IKEv2

Erweiterte Einstellungen = Mobilität Häkchen = JA
Netzwerkausfall-Zeit = 5min

Datenverschlüsselung = Erforderlich

Computerzertifikate verwenden = Häkchen JA

Netzwerk
=========

Häkchen bei Internetprotokoll, Version 4 -> Eigenschaften
IP Automatisch beziehen und DNS
Erweitert = Häkchen bei "Standardgateway für das Remotenetzwerk verwenden
Automatische Metrik Häkchen
DNS = Einstellungen bei Defaults belassen
WINS = Netbios deaktiviert

Freigabe
========

Defaults belassen

Powershell
==========

Code: Alles auswählen

Set-VpnConnectionIpsecConfiguration -ConnectionName "Meindyndns.de" -AuthenticationTransformConstants GCMAES256 -CipherTransformConstants GCMAES256 -EncryptionMethod AES256 -IntegrityCheckMethod SHA256 -PfsGroup ECP256 -DHGroup ECP256 -PassThru -Force 


AuthenticationTransformConstants : GCMAES256
CipherTransformConstants         : GCMAES256
DHGroup                          : ECP256
IntegrityCheckMethod             : SHA256
PfsGroup                         : ECP256
EncryptionMethod                 : AES256



Einstellungen am Lancom, welche für die Fehlermeldung in Betracht kommen:

Der Peer der Verbindung heißt VPN_ECDSA

IKE-CFG Server ist aktiv

Code: Alles auswählen

cd /Setup/VPN/IKEv2/IKE-CFG/IPv4 
del *
#    Name              Start-Address-Pool  End-Address-Pool    Primary-DNS      Secondary-DNS  
#    ==================------------------------------------------------------------------------
add  "VPN_ECDSA"      {Start-Address-Pool}  "192.168.10.2"     {End-Address-Pool}  "192.168.10.254"   {Primary-DNS}  "192.168.10.1"  {Secondary-DNS}  "192.168.10.1"

Code: Alles auswählen

cd /Setup/VPN/Networks/IPv4-Rules 
del *
#    Name                             Local-Networks                                                                                                                   Remote-Networks                                                                                                                
#    =================================----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
add  "RAS-WITH-CONFIG-PAYLOAD"       {Local-Networks}  "0.0.0.0/0"                                                                                                                     {Remote-Networks}  "0.0.0.0/32"
add  "RAS-WITH-NETWORK-SELECTION"    {Local-Networks}  "0.0.0.0/0"                                                                                                                     {Remote-Networks}  "0.0.0.0/0"
add  "VPN_ECDSA"                     {Local-Networks}  "0.0.0.0/0"                                                                                                                     {Remote-Networks}  "0.0.0.0/32"

Code: Alles auswählen

cd /Setup/VPN/IKEv2/Encryption 
del *
#    Name                  DH-Groups                                                      PFS              IKE-SA-Cipher-List                                                                             IKE-SA-Integ-Alg-List                     Child-SA-Cipher-List                                                                           Child-SA-Integ-Alg-List                 
#    ======================----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
add  "DEFAULT"            {DH-Groups}  DH19                                                          {PFS}  Yes             {IKE-SA-Cipher-List}  AES-CBC-256,AES-GCM-256                                                                       {IKE-SA-Integ-Alg-List}  SHA-256                                  {Child-SA-Cipher-List}  AES-CBC-256,AES-GCM-256                                                                       {Child-SA-Integ-Alg-List}  SHA-256
add  "VPN_ECDSA"          {DH-Groups}  DH19                                                          {PFS}  Yes             {IKE-SA-Cipher-List}  AES-CBC-256,AES-GCM-256                                                                       {IKE-SA-Integ-Alg-List}  SHA-256                                  {Child-SA-Cipher-List}  AES-CBC-256,AES-GCM-256                                                                       {Child-SA-Integ-Alg-List}  SHA-256
cd /

Code: Alles auswählen

cd /Setup/VPN/IKEv2/Peers 
del *
#    Peer                  Active   SH-Time     Remote-Gateway                                                    Rtg-tag     Encryption            Authentication        General               Lifetimes             IKE-CFG     IPv4-CFG-Pool     IPv6-CFG-Pool     CFG-Client-Profile  Split-DNS-Profile  Auto-IP-Profile   Rule-creation  IPv4-Rules                                                       IPv6-Rules                                                       Routing                          RADIUS-Authorization             RADIUS-Accounting                IPv6              HSVPN             Comment                                                        
#    ======================-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
add  "DEFAULT"            {Active}  Yes     {SH-Time}  0          {Remote-Gateway}  ""                                                               {Rtg-tag}  0          {Encryption}  "DEFAULT"            {Authentication}  "DEFAULT"            {General}  "DEFAULT"            {Lifetimes}  "DEFAULT"            {IKE-CFG}  Off        {IPv4-CFG-Pool}  ""               {IPv6-CFG-Pool}  ""               {CFG-Client-Profile}  ""                 {Split-DNS-Profile}  ""                {Auto-IP-Profile}  ""               {Rule-creation}  manually      {IPv4-Rules}  ""                                                              {IPv6-Rules}  ""                                                              {Routing}  ""                              {RADIUS-Authorization}  ""                              {RADIUS-Accounting}  ""                              {IPv6}  ""               {HSVPN}  ""               {Comment}  "Default settings for peers that haven't been identified (yet)"
add  "VPN_ECDSA"          {Active}  Yes     {SH-Time}  0          {Remote-Gateway}  ""                                                               {Rtg-tag}  0          {Encryption}  "VPN_ECDSA"          {Authentication}  "VPN_ECDSA"          {General}  "DEFAULT"            {Lifetimes}  "DEFAULT"            {IKE-CFG}  Server     {IPv4-CFG-Pool}  "VPN_ECDSA"      {IPv6-CFG-Pool}  ""               {CFG-Client-Profile}  ""                 {Split-DNS-Profile}  ""                {Auto-IP-Profile}  ""               {Rule-creation}  manually      {IPv4-Rules}  "VPN_ECDSA"                                                     {IPv6-Rules}  ""                                                              {Routing}  ""                              {RADIUS-Authorization}  ""                              {RADIUS-Accounting}  ""                              {IPv6}  "DEFAULT"        {HSVPN}  ""               {Comment}  ""
cd /


Vielen Dank
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: IKEv2 Fragmentationsfehler

Beitrag von GrandDixence »

Der Peer respektive die Gegenstelle "DEFAULT" muss für Einwahlverbindungen (RAS) zwingend vorhanden sein, damit die IKE-Telegramme IKE_SA_INIT-REQUEST und IKE_SA_INIT-RESPONSE überhaupt vom VPN-Modul des LANCOM-Routers verarbeitet werden.

Mit Erhalt des IKE-Telegramms IKE_AUTH-REQUEST muss der LANCOM-Router den VPN-Endpunkt am anderen Ende des aufzubauenden VPN-Tunnels eindeutig einem anderen Peer/Gegenstelle zuordnen können. Offenbar kann der LANCOM-Router den "Common Name" (CN) "Meine_CN" nicht eindeutig einem Peer/Gegenstelle zuordnen. Deshalb verbleibt der LANCOM-Router bei der Verarbeitung der IKE-Telegramme bei den Angaben des Peers/Gegenstelle DEFAULT. Da der Peer/Gegenstelle DEFAULT aber nicht für einen VPN-Server-Betrieb konfiguriert ist (=> kein Eintrag: IKE-CFG-Modus:=Server für Peer/Gegenstelle DEFAULT), wird der Aufbau des VPN-Tunnels vom LANCOM-Router mit einer Fehlermeldung abgebrochen.

=> Bei mehreren gleichzeitigen VPN-Tunnels von Einwahlverbindungen (RAS) bitte die Hinweise unter:
fragen-zum-thema-vpn-f14/windows-10-mit ... ml#p101708
beachten!

Einen guten Einstieg in den Aufbau eines X.509-Zertifikat bietet BSI Technische Richtlinie TR-02103:
https://www.bsi.bund.de/SharedDocs/Down ... 02103.html
Antworten