Hallo zusammen,
ich experimentiere derzeit mit IKEv2 mittels Windows (10/11) native Client an einen ISG-4000 mit nachgelagertem Windows NPS als Radius Authentifizierung mit EAP.
Ich kann mittlerweile die Verbindung problemlos aufbauen und auch die Netzwerkanmeldung am Windows (also einmal AD-Credentials eingeben, dann wird VPN aufgebaut und dann der User angemeldet) funktioniert wunderbar.
Was nicht funktioniert ist ein zweites Gerät gleichzeitig ins VPN einzuloggen. In diesem Fall vergibt der Lancom anscheinend die IP des ersten Clients an den zweiten und nichts geht mehr.
Was mich daran irritiert ist, dass ja bei einer EAP Authentifizierung gar keine entfernte Identität definiert wird. Das prüft ja alles der Radius.
Kann ich in dieser Konstellation überhaupt IKE-CFG für diese Verbindung nutzen? Oder muss ich das dann vom Radius und einem verbundenen DHCP Server handhaben lassen?
IKEv2 über EAP und Radius vergibt IP doppelt
Moderator: Lancom-Systems Moderatoren
-
Barbarossa
- Beiträge: 9
- Registriert: 14 Jul 2022, 12:57
-
GrandDixence
- Beiträge: 1150
- Registriert: 19 Aug 2014, 22:41
Re: IKEv2 über EAP und Radius vergibt IP doppelt
Bevor man einen VPN-Tunnel mit einem EAP-Verfahren verwenden möchte, sollte man sich Gedanken machen, ob das einzusetzende EAP-Verfahren genügend sicher ist. Ein Einstieg ins Thema "EAP" bietet:
https://www.heise.de/ct/artikel/WLAN-un ... 79513.html
Als eines der wenigen sicheren und häufig unterstützten EAP-Verfahren setzt EAP-TLS auf die Kontrolle eines Client-Zertifikate (X.509) und auf die Kontrolle eines Server-Zertifikats (X.509). Der Client prüft mit Hilfe des Server-Zertifikat, ob der richtige Gesprächspartner am anderen Ende des VPN-Tunnels sitzt. Der Server prüft mit Hilfe des Client-Zertifikats, ob der richtige Gesprächspartner am anderen Ende des VPN-Tunnels sitzt.
Die Schwierigkeit bei allen verschlüsselten Datenübertragungsverfahren ist nicht die abhörsichere und verfälschungssichere Übermittlung der Daten zwischen Alice und Bob (Verschlüsselung und Integritätssicherung), sondern die Sicherstellung, dass Bob auch wirklich mit Alice kommuniziert und umgekehrt (Authentizität).
https://www.sicherheitsthemen.de/authentizitaet.php
Zum Thema "Sicherheit von VPN-Tunneln" sollten auch die Beiträge unter:
fragen-zum-thema-vpn-f14/vpn-ikev2-mit- ... 17833.html
beachtet werden.
https://www.heise.de/ct/artikel/WLAN-un ... 79513.html
Als eines der wenigen sicheren und häufig unterstützten EAP-Verfahren setzt EAP-TLS auf die Kontrolle eines Client-Zertifikate (X.509) und auf die Kontrolle eines Server-Zertifikats (X.509). Der Client prüft mit Hilfe des Server-Zertifikat, ob der richtige Gesprächspartner am anderen Ende des VPN-Tunnels sitzt. Der Server prüft mit Hilfe des Client-Zertifikats, ob der richtige Gesprächspartner am anderen Ende des VPN-Tunnels sitzt.
Die Schwierigkeit bei allen verschlüsselten Datenübertragungsverfahren ist nicht die abhörsichere und verfälschungssichere Übermittlung der Daten zwischen Alice und Bob (Verschlüsselung und Integritätssicherung), sondern die Sicherstellung, dass Bob auch wirklich mit Alice kommuniziert und umgekehrt (Authentizität).
https://www.sicherheitsthemen.de/authentizitaet.php
Zum Thema "Sicherheit von VPN-Tunneln" sollten auch die Beiträge unter:
fragen-zum-thema-vpn-f14/vpn-ikev2-mit- ... 17833.html
beachtet werden.
-
Barbarossa
- Beiträge: 9
- Registriert: 14 Jul 2022, 12:57
Re: IKEv2 über EAP und Radius vergibt IP doppelt
Das ist alles schön und gut, scheint mir aber für meine Fragestellung gerade ziemlich unerheblich.
Die Verlagerung der Authentifizierung weg vom Lancom (mit lokaler und entfernter Identität) hin zum Radius ändert ja nichts an der Sache, dass der Lancom anscheinend nicht in der Lage ist, parallele Sessions auf die selbe VPN-"Verbindung" mit IKE-CFG zu handhaben.
Also noch mal:
Muss ich für jedes Gerät, dass sich per VPN verbinden möchte eine eigene Verbindung definieren oder kann ich gleichzeitige Verbindungen zulassen?
Die Verlagerung der Authentifizierung weg vom Lancom (mit lokaler und entfernter Identität) hin zum Radius ändert ja nichts an der Sache, dass der Lancom anscheinend nicht in der Lage ist, parallele Sessions auf die selbe VPN-"Verbindung" mit IKE-CFG zu handhaben.
Also noch mal:
Muss ich für jedes Gerät, dass sich per VPN verbinden möchte eine eigene Verbindung definieren oder kann ich gleichzeitige Verbindungen zulassen?
-
Frühstücksdirektor
- Beiträge: 183
- Registriert: 08 Jul 2022, 12:53
- Wohnort: Aachen
Re: IKEv2 über EAP und Radius vergibt IP doppelt
Kannst du bitte mal den den Output von Show VPN SADB und Show IPv4-FIB der beiden Verbindungen posten?
Es gibt da ja einen KB-Artikel der das gut beschreibt, allerdings mit dem LANCOM VPN-Client.
https://support.lancom-systems.com/know ... COM+Router
Hier muss man darauf achten, dass die VPN-Identität (Lokale Identität) aus Schritt 5.13 auf dem Client nicht leer ist.
Es gibt da ja einen KB-Artikel der das gut beschreibt, allerdings mit dem LANCOM VPN-Client.
https://support.lancom-systems.com/know ... COM+Router
Hier muss man darauf achten, dass die VPN-Identität (Lokale Identität) aus Schritt 5.13 auf dem Client nicht leer ist.
-
Barbarossa
- Beiträge: 9
- Registriert: 14 Jul 2022, 12:57
Re: IKEv2 über EAP und Radius vergibt IP doppelt
Oh, das ist ein guter Hinweis, danke.
Muss ich Mal gucken ob ich dem Windows Client ne lokale Identität mitgeben kann. Daran sollte der Lancom es dann unterscheiden können.
Werde ich Anfang kommender Woche zurück im Büro Mal testen.
Muss ich Mal gucken ob ich dem Windows Client ne lokale Identität mitgeben kann. Daran sollte der Lancom es dann unterscheiden können.
Werde ich Anfang kommender Woche zurück im Büro Mal testen.
Re: IKEv2 über EAP und Radius vergibt IP doppelt
Hallo Barbarossa,
hast du eine Lösung gefunden?
hast du eine Lösung gefunden?