ikev2 mit Android 14

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

rootbox-systems
Beiträge: 2
Registriert: 31 Jul 2024, 10:04

ikev2 mit Android 14

Beitrag von rootbox-systems »

Hallo,

wir haben bei einem Kunden mehrere Samsung Tablets im Einsatz. Diese laufen alle über Vodafone Datenkarten aus dem gleichen Vertrag und verbinden sich per ikev2 mit dem Lancom Router in der Firma. Bisher lief das einwandfrei und wurde lt. der Lancom Anleitung eingerichtet. (https://knowledgebase.lancom-systems.de ... d=32983593) Gegenstelle ist ein 1906VA-4G mit 10.80.0665RU6

Jetzt habe ich einige Tablets die zwar noch eine VPN Verbindung herstellen, die wird im Monitor auch als Fehlerfrei angezeigt, aber es findet keine Datenübertragung mehr statt, weder ins lokale Netz noch ins Internet bzw. genauer: Im Trace auf "VPN-Packet" sehe ich die Pakete zwar am Router, hier ein Beispiel:

Code: Alles auswählen

[VPN-Packet] 2024/07/29 23:52:00,232 [TABLET-TEST1 (58)]
Decrypted ICMP (1) packet, scope global, routing tag 0, thread 247 SEC-Controller/0:
  IPv4: 109.43.114.192 -> public.ip.adress, Total-Len: 164
  UDP : 51901 -> 4500, Total-Len: 144
  ESP : SPI: 0x457e1933, Seq: 286
  IV[16]:
    42 0f 8b 88 9a ba 79 f2 f9 3c 69 fa 3a b3 e9 d4
  Original Packet[84]:
    IPv4: 192.168.3.123 -> 192.168.2.3, Total-Len: 84
    ICMP: Echo (ping) request (8), ID: 5239, Seq: 1
    Binary Data: 00 0f a8 66 00 00 00 00 33 1b 0c 00 00 00 00 00
  Padding: 01 02 03 04 05 06 07 08 09 0a
  ESP Trailer: Pad Length: 10, Next Header: IP in IP encapsulation/tunneling (4)
  ICV[16]:
    d7 68 ce 00 b6 95 2b 67 70 37 4b 75 c4 8f 30 97

--> Forward packet to IPv4 context
aus Tablet Sicht verschwinden die aber im Nirvana. Dort gibt es keine Rückmeldung auf den Ping, sowohl auf LAN als auch auf Internet IP's.

Die Tablets die nicht mehr funktionieren sind alle auf einer neueren Android Version als die funktionierenden.
Ich habe hier jetzt schon verschiedene Threads gefunden, in denen es Probleme ab Android 13 mit der VPN Einwahl gab. Hatte schon die Identifier von KeyID auf FQDN, FQUN, (öffentliche) IPv4 Adresse usw. umgestellt, hat aber nichts geändert. Habe ich vielleicht den entscheidenden Thread übersehen oder hat jemand einen Tipp wie ich die neueren Versionen zum Laufen bekomme oder noch nachschauen kann?

Aktuelle Verschlüsselungseinstellungen waren bisher:
DH14, PFS Ja, AES-CBC-256, SHA-256
Habe testweise noch DH16, AES-CGM-256, hinzugefügt, PFS auf nein gesetzt, die lokale Identität auf IPv4 mit öffentlicher IP, lokale und entfernte ID auf FQDN, FQUN gesetzt ohne eine Änderung zu bekommen.
IPv4 Regel ist RAS-WITH_CONFIG-PAYLOAD Änderung auf WIZ-ANY-TO-ANY hat auch nichts gebracht.
Danke und Grüße - Martin
tobiasr
Beiträge: 217
Registriert: 22 Mär 2015, 12:03

Re: ikev2 mit Android 14

Beitrag von tobiasr »

Ich habe alle Android Clients auf Zertifikat umgestellt. Klappt deutlich stabiler. Oft in Verbindung mit StrongSwan.
GrandDixence
Beiträge: 1102
Registriert: 19 Aug 2014, 22:41

Re: ikev2 mit Android 14

Beitrag von GrandDixence »

pkapka
Beiträge: 7
Registriert: 01 Aug 2024, 10:46

Re: ikev2 mit Android 14

Beitrag von pkapka »

Wir haben das gleiche Problem.
Es hängt definitiv mit dem Google Play Systemupdate vom Juni oder Juli zusammen.
Nach einem Geräte-Reset funktioniert das VPN wieder solang bis sich das Update wieder automatisch installiert.
Bitte das Problem an Samsung per members App melden, damit das evt. bald wieder behoben wird.

https://eu.community.samsung.com/t5/gal ... p/10330126
https://www.android-hilfe.de/forum/sams ... 95177.html
https://community.swisscom.ch/t5/Router ... 895#M49074
https://support.google.com/android/thre ... stem?hl=en
rootbox-systems
Beiträge: 2
Registriert: 31 Jul 2024, 10:04

Re: ikev2 mit Android 14

Beitrag von rootbox-systems »

@grandDixence: Danke, den Artikel habe ich leider schon durch, leider kein Erfolg.

@pkapka: Super, Vielen Dank für den Hinweis! Das ist wenigstens schon mal ein Ansatz und eine Erklärung und erspart mir weiteres suchen. Werde das mal melden...
M4rv!n
Beiträge: 19
Registriert: 09 Jan 2022, 23:59

Re: ikev2 mit Android 14

Beitrag von M4rv!n »

pkapka
Beiträge: 7
Registriert: 01 Aug 2024, 10:46

Re: ikev2 mit Android 14

Beitrag von pkapka »

M4rv!n hat geschrieben: 08 Aug 2024, 09:23 Kann ich dir auch empfehlen:

https://it-beratung-koch.de/kb/vpn-verb ... sec-ikev2/
Funktioniert bei dir mit dieser Vorgehensweise auf einem Samsung-Gerät das VPN noch nach dem "Google Play-Systemupdate" vom 1.Juli?
GrandDixence
Beiträge: 1102
Registriert: 19 Aug 2014, 22:41

Re: ikev2 mit Android 14

Beitrag von GrandDixence »

Ich habe die VPN-Anleitung für Android-Mobilgeräte unter:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795

aktuelle-lancom-router-serie-f41/1781va ... tml#p90462

heute (10.08.2024) erfolgreich mit einem neuen Samsung Galaxy S22 und LCOS 10.50 RU14 getestet. Funktioniert auch unter Android 14 einwandfrei!

Android-Einstellungen > Sicherheit und Datenschutz > Updates > Sicherheitsupdates

Code: Alles auswählen

One UI-Version 6.1
Android-Version 14
Sicherheitspatch-Ebene: 1. Juli 2024
Android-Einstellungen > Sicherheit und Datenschutz > Updates > Google Play-Systemupdate

Code: Alles auswählen

Android-Version 14
Google Play-Systemupdate: 1. Juli 2024
App "Google Play Store" > App-Einstellungen > Apps und Gerät verwalten > Register "Übersicht" >

Code: Alles auswählen

Alle Apps sind aktuell
App "Google Play Store" > App-Einstellungen > Apps und Gerät verwalten > Register "Übersicht" > Kürzliche Updates ansehen

Code: Alles auswählen

strongSwan VPN Client
Informationen zum neusten StrongSwan-App-Update aufklappen:

Code: Alles auswählen

Das ist neu:

# 2.5.2 #

- Ziel-SDK auf Android 14 erhöht
- Wegen eines Bugs in Android 14 ist eine zusätzliche Permission ist nötig, um ... 
Achtung: Das Update der StrongSwan-App auf Version 2.5.2 wurde am 05.08.2024 veröffentlicht!
https://play.google.com/store/apps/deta ... an.android

https://docs.strongswan.org/docs/5.9/os ... _changelog

Also liegt ein Konfigurationsfehler vor oder irgendein Problem mit dem APN. Zur APN-Problematik siehe:
fragen-zum-thema-vpn-f14/ikev2-kein-tra ... 20339.html

https://de.wikipedia.org/wiki/Access_Point_Name

Und wer den oben verlinkten Beitrag:
fragen-zum-thema-vpn-f14/ikev2-verbindu ... ml#p111609
nicht gelesen und verstanden hat, ist selber Schuld...
ThomasP
Beiträge: 2
Registriert: 24 Feb 2012, 11:11
Wohnort: Berlin

Re: ikev2 mit Android 14

Beitrag von ThomasP »

pkapka hat geschrieben: 01 Aug 2024, 10:51 Bitte das Problem an Samsung per members App melden, damit das evt. bald wieder behoben wird.
Betrifft auch andere Hersteller (hier Lenovo Tablet).

Hat denn niemand eine Lösung jenseits des Zertifikats-Dschungels? Man wünscht sich den NCP-Clienten zurück.

Beste Grüße - Thomas
averlon
Beiträge: 198
Registriert: 05 Okt 2012, 09:48

Re: ikev2 mit Android 14

Beitrag von averlon »

rootbox-systems hat geschrieben: 31 Jul 2024, 11:09
[/code]
aus Tablet Sicht verschwinden die aber im Nirvana.
Ich habe aktuell wohl das gleiche Problem, allerdings noch keine Lösung. Strongswan und Zertifikate blicke ich noch nicht so ganz. Deshalb würde ich gerne vorerst bei PSK bleiben.
  • Die Verbindung wird aufgebaut
  • Daten fließen vom Android Client zum Lancom, z.B. DNS-Anfragen, und werden dort bearbeitet und auch zurück geschickt. Das kann ich im Trace sehen.
  • Allerdings kommt nix bei Android an!
Muss ich einen IPV4-Routing-Eintrag erstellen?
Gruß
Karl-Heinz
jgraef
Beiträge: 32
Registriert: 14 Feb 2011, 22:26
Wohnort: Vellmar
Kontaktdaten:

Re: ikev2 mit Android 14

Beitrag von jgraef »

Moin. Ich hänge mich hier mal mit dran.

Ich habe es heute ebenfalls versucht, eine IKEv2-PSK-VPN-Vebindung von meinem Google Pixel 7 Pro aufzubauen, ebenfalls ohne Erfolg.

Die Verbindung wird aufgebaut, das Pixel zeigt "verbunden", aber ich bekomme keine Pakete durch den Tunnel.

Bei Ping-Paketen vom lokalen Netz zum Pixel sehe ich das ICMP-Request, aber kein Response.

Bei Pings vom Pixel ins lokale Netz (auf die Gateway-IP, die Zuweisung per DHCP funktioniert) sehe ich im LanTrace garnix.

Hat hier inzwischen jemand mehr Erfolg gehabt als ich?

Viele Grüße, Jörg.
averlon
Beiträge: 198
Registriert: 05 Okt 2012, 09:48

Re: ikev2 mit Android 14

Beitrag von averlon »

Hallo Jörg,
nein, habe ich nicht - aber auch etwas "ja".

Nach verschiedenen Meldungen ist wohl die VPN-Verbindung zwischen Android und Lancom seit dem Update von Android mit PSK gestört.

Deshalb habe ich jetzt eine Verbindung mit Zertifikaten zum Laufen gebracht. Das funzt. Bedingt aber logischerweise eine CA. Die kann mein Lancom 1906VA glücklicherweise.
Gruß
Karl-Heinz
UKernchen
Beiträge: 109
Registriert: 22 Jul 2020, 16:53
Wohnort: Naumburg (Saale)
Kontaktdaten:

Re: ikev2 mit Android 14

Beitrag von UKernchen »

Hat denn niemand eine Lösung jenseits des Zertifikats-Dschungels? Man wünscht sich den NCP-Clienten zurück.
Meine Lösung heisst: Wireguard.
- Mikrotik Router (oder anderen) hinter den Lancom, Portforwarding eines UDP-Ports
- Wireguard Client (kostenfrei) läuft im Linux Kernel, schnell und zuverlässig auch unter Android oder Windows

Du investierst keine 100 EUR und hast eine funktionierende Lösung.

Übrigens: LTE Wireguard Industrierouter (mit "richtigen" Metall-Industriegehäusen, Hutschienenmontage, Stromversorgung per Klemmblock..) kosten keine 200 EUR.

Uwe
averlon
Beiträge: 198
Registriert: 05 Okt 2012, 09:48

Re: ikev2 mit Android 14

Beitrag von averlon »

Hallo Uwe,
viele Leute haben ja irgendwo im Netz eine FRITZ!Box für WLAN und/oder Telefonie.
Da geht Wireguard auch ganz gut! Dann braucht man nicht einmal eine HW zu kaufen.

Ich bin allerdings der Meinung, wenn man schon einen Lancom hat, der ja auch nicht ganz billig ist, allerdings auch viel kann, dann will ich zumindest den nutzen. Gut, Wireguard kann er nicht. Man kann ja nicht alles können!

Andere Lancom Modelle brauchen einen Zusatzlizenz für eine CA. Da hatte ich Glück, dass mein 1906VA das kann!
Gruß
Karl-Heinz
Benutzeravatar
hyperjojo
Beiträge: 810
Registriert: 26 Jul 2009, 02:26

Re: ikev2 mit Android 14

Beitrag von hyperjojo »

servus,

mein S21 5G ist immernoch bei Google Play Systemupdate vom 01.07.2024, aber hat heute morgen ein generelles Softwareupdate des Telefons angeboten. Nach der Ausführung funktioniert auch IPSec mit IKEv2 und PSK wieder problemlos.

Gruß hyperjojo
Antworten