IKEv2 über EAP und Radius vergibt IP doppelt

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
Barbarossa
Beiträge: 9
Registriert: 14 Jul 2022, 12:57

IKEv2 über EAP und Radius vergibt IP doppelt

Beitrag von Barbarossa »

Hallo zusammen,

ich experimentiere derzeit mit IKEv2 mittels Windows (10/11) native Client an einen ISG-4000 mit nachgelagertem Windows NPS als Radius Authentifizierung mit EAP.
Ich kann mittlerweile die Verbindung problemlos aufbauen und auch die Netzwerkanmeldung am Windows (also einmal AD-Credentials eingeben, dann wird VPN aufgebaut und dann der User angemeldet) funktioniert wunderbar.

Was nicht funktioniert ist ein zweites Gerät gleichzeitig ins VPN einzuloggen. In diesem Fall vergibt der Lancom anscheinend die IP des ersten Clients an den zweiten und nichts geht mehr.

Was mich daran irritiert ist, dass ja bei einer EAP Authentifizierung gar keine entfernte Identität definiert wird. Das prüft ja alles der Radius.
Kann ich in dieser Konstellation überhaupt IKE-CFG für diese Verbindung nutzen? Oder muss ich das dann vom Radius und einem verbundenen DHCP Server handhaben lassen?
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: IKEv2 über EAP und Radius vergibt IP doppelt

Beitrag von GrandDixence »

Bevor man einen VPN-Tunnel mit einem EAP-Verfahren verwenden möchte, sollte man sich Gedanken machen, ob das einzusetzende EAP-Verfahren genügend sicher ist. Ein Einstieg ins Thema "EAP" bietet:
https://www.heise.de/ct/artikel/WLAN-un ... 79513.html

Als eines der wenigen sicheren und häufig unterstützten EAP-Verfahren setzt EAP-TLS auf die Kontrolle eines Client-Zertifikate (X.509) und auf die Kontrolle eines Server-Zertifikats (X.509). Der Client prüft mit Hilfe des Server-Zertifikat, ob der richtige Gesprächspartner am anderen Ende des VPN-Tunnels sitzt. Der Server prüft mit Hilfe des Client-Zertifikats, ob der richtige Gesprächspartner am anderen Ende des VPN-Tunnels sitzt.

Die Schwierigkeit bei allen verschlüsselten Datenübertragungsverfahren ist nicht die abhörsichere und verfälschungssichere Übermittlung der Daten zwischen Alice und Bob (Verschlüsselung und Integritätssicherung), sondern die Sicherstellung, dass Bob auch wirklich mit Alice kommuniziert und umgekehrt (Authentizität).
https://www.sicherheitsthemen.de/authentizitaet.php

Zum Thema "Sicherheit von VPN-Tunneln" sollten auch die Beiträge unter:
fragen-zum-thema-vpn-f14/vpn-ikev2-mit- ... 17833.html
beachtet werden.
Barbarossa
Beiträge: 9
Registriert: 14 Jul 2022, 12:57

Re: IKEv2 über EAP und Radius vergibt IP doppelt

Beitrag von Barbarossa »

Das ist alles schön und gut, scheint mir aber für meine Fragestellung gerade ziemlich unerheblich.

Die Verlagerung der Authentifizierung weg vom Lancom (mit lokaler und entfernter Identität) hin zum Radius ändert ja nichts an der Sache, dass der Lancom anscheinend nicht in der Lage ist, parallele Sessions auf die selbe VPN-"Verbindung" mit IKE-CFG zu handhaben.

Also noch mal:
Muss ich für jedes Gerät, dass sich per VPN verbinden möchte eine eigene Verbindung definieren oder kann ich gleichzeitige Verbindungen zulassen?
Frühstücksdirektor
Beiträge: 70
Registriert: 08 Jul 2022, 12:53
Wohnort: Aachen

Re: IKEv2 über EAP und Radius vergibt IP doppelt

Beitrag von Frühstücksdirektor »

Kannst du bitte mal den den Output von Show VPN SADB und Show IPv4-FIB der beiden Verbindungen posten?

Es gibt da ja einen KB-Artikel der das gut beschreibt, allerdings mit dem LANCOM VPN-Client.

https://support.lancom-systems.com/know ... COM+Router

Hier muss man darauf achten, dass die VPN-Identität (Lokale Identität) aus Schritt 5.13 auf dem Client nicht leer ist.
Barbarossa
Beiträge: 9
Registriert: 14 Jul 2022, 12:57

Re: IKEv2 über EAP und Radius vergibt IP doppelt

Beitrag von Barbarossa »

Oh, das ist ein guter Hinweis, danke.

Muss ich Mal gucken ob ich dem Windows Client ne lokale Identität mitgeben kann. Daran sollte der Lancom es dann unterscheiden können.

Werde ich Anfang kommender Woche zurück im Büro Mal testen.
Synaxc
Beiträge: 20
Registriert: 11 Mär 2020, 19:54

Re: IKEv2 über EAP und Radius vergibt IP doppelt

Beitrag von Synaxc »

Hallo Barbarossa,

hast du eine Lösung gefunden?
Antworten