IKEv2 Verbindung mit Android 13

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Benutzeravatar
tbc233
Beiträge: 338
Registriert: 01 Feb 2005, 21:56

Re: IKEv2 Verbindung mit Android 13

Beitrag von tbc233 »

Nein, keinerlei Verweis auf "ANDROID-PSK" in der IP-Router / Routingtabelle.

Im IKEv2 Adresspool befindet sich der Bereich 192.168.5.11 - 192.168.5.15, Grundlage für Erstellung der Einträge war Dein Beispiel hier fragen-zum-thema-vpn-f14/ikev2-verbindu ... ml#p111621
Liebe Grüße,
michael
Dr.Einstein
Beiträge: 2862
Registriert: 12 Jan 2010, 14:10

Re: IKEv2 Verbindung mit Android 13

Beitrag von Dr.Einstein »

Sicher? In deinem Debug von damals stand folgendes drin:

Code: Alles auswählen

Assigned IPv4 config parameters:
  IP:  10.121.14.238
  DNS: 10.121.14.1, 10.121.14.1
Irgendwas beißt sich noch. Kannst du die Verweise kontrollieren? Kannst du herausfinden, aus welchem Pool die Adresse stammt?
Benutzeravatar
tbc233
Beiträge: 338
Registriert: 01 Feb 2005, 21:56

Re: IKEv2 Verbindung mit Android 13

Beitrag von tbc233 »

Die Verwirrung tut mir leid.
Das 10.121.140/24 Netz aus dem Beginn dieses Threads, ist das Netz vom Betrieb meines Kumpels, für den ich die Verbindung gebaut habe.
Das Thema ist aber dank Deines Hinweises abgeschlossen, weil es mit seinem Samsung Handy auf Anhieb funktionierte.

Nun sitz ich bei mir zu Hause (hier hatte ich damals zwischendurch auch Tests gemacht und hat mit meinem Pixel wenig überraschend ebenfalls nicht funktioniert), um Deine letzten Tipps zu probieren, und hier habe ich ein 192.168.5.0/24 Netz.
Dementsprechend habe ich

Code: Alles auswählen

cd /Setup/VPN/IKEv2/IKE-CFG/IPv4
tab Name Start-Address-Pool End-Address-Pool Primary-DNS Secondary-DNS
add "TESTV4" "192.168.5.210" "192.168.5.215" "0.0.0.0" "0.0.0.0"
gemacht und beim Verbindungsaufbau bekommt mein Pixel auch eine IP aus diesem Bereich (zuletzt eben 192.168.5.214).

Was kann dazu beitragen, dass die Pakete von dem Pixel nun in die Intruder Detection laufen bzw. zu der Meldung "Filter info: packet received from invalid interface ANDROID-PSK"?
Liebe Grüße,
michael
Dr.Einstein
Beiträge: 2862
Registriert: 12 Jan 2010, 14:10

Re: IKEv2 Verbindung mit Android 13

Beitrag von Dr.Einstein »

Proxy-ARP unter IP-Router aktiv?
Benutzeravatar
tbc233
Beiträge: 338
Registriert: 01 Feb 2005, 21:56

Re: IKEv2 Verbindung mit Android 13

Beitrag von tbc233 »

Dr.Einstein hat geschrieben: 25 Dez 2022, 16:31 Proxy-ARP unter IP-Router aktiv?
Wie peinlich. Wie konnte ich hier nur drüber fallen. Ich vermute mal, dieser (mir sonst durchaus bekannte) Haken wird sonst über den Assistenten gesetzt, sodass ich ihn bei der manuellen Konfiguration nicht am Radar hatte.

Nun funktioniert es.

Vielen Dank nochmal für Deine Hilfe und Deine Geduld. Nicht nur dass ich damit alles zum Laufen gebracht habe, ich habe durch diesen Thread echt auch einiges gelernt mal wieder. Dankeschön.
Liebe Grüße,
michael
Dr.Einstein
Beiträge: 2862
Registriert: 12 Jan 2010, 14:10

Re: IKEv2 Verbindung mit Android 13

Beitrag von Dr.Einstein »

Jetzt musst du aber noch für mich rausfinden, ob beim Samsung die Local ID völlig egal ist, oder ob Local ID = Remote ID sein muss. Danach editiere ich den LCOS-Code damit es die nächste Person einfacher hat.
Benutzeravatar
tbc233
Beiträge: 338
Registriert: 01 Feb 2005, 21:56

Re: IKEv2 Verbindung mit Android 13

Beitrag von tbc233 »

Dr.Einstein hat geschrieben: 25 Dez 2022, 16:40 Jetzt musst du aber noch für mich rausfinden, ob beim Samsung die Local ID völlig egal ist, oder ob Local ID = Remote ID sein muss. Danach editiere ich den LCOS-Code damit es die nächste Person einfacher hat.
Selbstverständlich, sobald ich meinen Kumpel mit dem Samsung Handy sprechen kann (vermutlich nach den Feiertagen übermorgen) lass ich ihn das testen und gebe Bescheid.
Liebe Grüße,
michael
Benutzeravatar
tbc233
Beiträge: 338
Registriert: 01 Feb 2005, 21:56

Re: IKEv2 Verbindung mit Android 13

Beitrag von tbc233 »

So. Ich darf nochmal für spätere Mitleser bzw. den Google Index (vielleicht hilft es ja mal jemandem) zusammenfassen:

Es geht jeweils um Android 13 mit dem nativen Android VPN Client und PSK. Proxy ARP Haken bei IP-Router nicht vergessen.

Samsung Galaxy mit Android 13
Funktionierte quasi out of the box mit Verbindung per Assistent bzw. Script hier fragen-zum-thema-vpn-f14/ikev2-verbindu ... ml#p111621

Google Pixel 6a mit Android 13
War erst zu einer Verbindung zu bewegen, als die lokale Identität auf IPv4 Adresse und die öffentliche IP eingestellt wurde. Die entfernte Identität blieb auf FQDN und einen Namenstring, der im Telefon als ipsec-id eingetragen wurde. Andere Varianten der lokalen Identität habe ich hier nicht zum Laufen gebracht. Noch nicht getestet habe ich die Kombination aus FQDN und einem (dyn)DNS Namen (der dann wohl auch am Telefon so eingetragen werden muss).


Dr.Einstein hat dann noch um einen Test gebeten:
Jetzt musst du aber noch für mich rausfinden, ob beim Samsung die Local ID völlig egal ist, oder ob Local ID = Remote ID sein muss. Danach editiere ich den LCOS-Code damit es die nächste Person einfacher hat.
Hier habe ich zwei Dinge probiert:
(bei beiden Tests blieb die entfernte Identität auf FQDN und den Namensstring, der am Telefon als ipsec-id eingetragen ist)

1) Umstellen der lokalen Identität auf IPv4 und der öffentlichen IP, so wie es für mein Pixel zwingend notwendig war. Funktioniert auch mit dem Samsung.

2) Belassen der lokalen Identität auf FQDN und Vergabe eines willkürlichen Namensstrings (der NICHT im Telefon eingetragen ist). Funktioniert. Selbst wenn ich hier Buchstabensalat rein schreibe, klappt es mit dem Samsung trotzdem.
Liebe Grüße,
michael
Dr.Einstein
Beiträge: 2862
Registriert: 12 Jan 2010, 14:10

Re: IKEv2 Verbindung mit Android 13

Beitrag von Dr.Einstein »

tbc233 hat geschrieben: 27 Dez 2022, 19:32 1) Umstellen der lokalen Identität auf IPv4 und der öffentlichen IP, so wie es für mein Pixel zwingend notwendig war. Funktioniert auch mit dem Samsung.

2) Belassen der lokalen Identität auf FQDN und Vergabe eines willkürlichen Namensstrings (der NICHT im Telefon eingetragen ist). Funktioniert. Selbst wenn ich hier Buchstabensalat rein schreibe, klappt es mit dem Samsung trotzdem.
Danke für den Nachtest. D.h. im Samsung steht versteckt die Remote ID (aus Sicht des Samsungs = lokal ID des Lancoms) auf Typ ANY / unwichtig.

Wie ich Android und die Hersteller, die es nutzen, dafür hasse. Dieses undokumentierte nicht einheitliche Verhalten. Das Verschlüsselungen abweichen aufgrund der Hardware ist ja klar. Aber das IKEv2 Grunddaten unterschiedlich gehandhabt werden, wow ...

Gruß Dr.Einstein
Benutzeravatar
tbc233
Beiträge: 338
Registriert: 01 Feb 2005, 21:56

Re: IKEv2 Verbindung mit Android 13

Beitrag von tbc233 »

Dr.Einstein hat geschrieben: 27 Dez 2022, 19:52 Wie ich Android und die Hersteller, die es nutzen, dafür hasse. Dieses undokumentierte nicht einheitliche Verhalten. Das Verschlüsselungen abweichen aufgrund der Hardware ist ja klar. Aber das IKEv2 Grunddaten unterschiedlich gehandhabt werden, wow ...
Ja, ich hätte mit sowas auch nicht gerechnet. Wenn es stimmt, dass das Pixel das "reine" vanilla Android in sich trägt, dann muss Samsung hier ja extra Mühen investiert haben um sowas anzupassen. So eine Divergenz innerhalb der selben Android version ist mir bisher noch nicht untergekommen.
Liebe Grüße,
michael
Magic01
Beiträge: 1
Registriert: 09 Mär 2023, 17:28

Re: IKEv2 Verbindung mit Android 13

Beitrag von Magic01 »

Hi,
habe gerade noch folgendes getestet:
Google Pixel 7 Pro
IKEv2 PSK mit folgenden Einstellungen geht.

Auf dem LANCOM:
lokale Identität: FQDN -> hier habe ich den dyn. DNS eingetragen wie unter Serveradresse im Handy.
Entfernte Identität: FQUN -> wird im Handy als IPSec-ID eingetragen

Der Vorinstallierte IPSec-Schlüssel im Handy entspricht dem lokalen und dem entfernten Passwort.

Grüße
Markus
Antworten