IKV2+Lancom VPN Client+Zertifikate
Moderator: Lancom-Systems Moderatoren
Re: IKV2+Lancom VPN Client+Zertifikate
Da wäre mir jetzt nichts bekannt was man da konfigurieren kann .. wie gesagt, solange ich das mit PSK betreibe funkti0oniert das einwandfrei... Erst nach Umstellung auf Zertifikate (Bei denen man laut Anleitung nur den Punkt Authentifizierung anpassen muss + Zertifikat auf dem Client einspielen und dort konfigurieren) produziert er durcheinander mit erfundenen Peer namen usw. Die IP bezieht er ja aus dem Pool der in der Verbindung angegeben ist ..
Das scheint ja auch erfolgreich zu sein:
Assigned IPv4 config parameters:
IP: 192.168.2.68
DNS: 10.128.128.96, 0.0.0.0
Das ist eine Adresse aus dem Pool.
Mehr gibts da meines wissens nach ja auch nicht zu konfigurieren (Wobei hier der entscheindende Punkt: Meines wissens nach ist )
Das scheint ja auch erfolgreich zu sein:
Assigned IPv4 config parameters:
IP: 192.168.2.68
DNS: 10.128.128.96, 0.0.0.0
Das ist eine Adresse aus dem Pool.
Mehr gibts da meines wissens nach ja auch nicht zu konfigurieren (Wobei hier der entscheindende Punkt: Meines wissens nach ist )
Re: IKV2+Lancom VPN Client+Zertifikate
Ich habe das jetzt noch mal auf einem neuen Notebook ohne irgendwas anderes ausser Adv. VPN. Client und Windows 11 konfiguriert .. wieder genau nach Anleitung. Selbes ergebnis ..
Hier noch mal der Trace mit den verdächtigen Stellen:
[VPN-Debug] 2024/09/04 10:36:53,273 Devicetime: 2024/09/04 10:36:52,751
Peer DEFAULT [responder]: Received an IKE_AUTH-REQUEST of 1851 bytes
Gateways: 217.86.178.23:4500<--192.168.57.50:4500
SPIs: 0xF370D0B564F82429438F6F3F2B398765, Message-ID 1
Payloads: IDI, CERT(X509), NOTIFY(INITIAL_CONTACT), NOTIFY(HTTP_CERT_LOOKUP_SUPPORTED), CERTREQ, AUTH(DIGITAL SIGNATURE), CP(REQUEST), SA, TSI, TSR, VENDOR(ikev2 rfc-3706-dead-peer-detection), NOTIFY(MOBIKE_SUPPORTED), NOTIFY(MULTIPLE_AUTH_SUPPORTED)
+IKE_SA found and assigned
+Exchange created (flags: 0x00000000)
(IKEv2-Exchange 'DEFAULT', 'ISAKMP-PEER-DEFAULT' 0xF370D0B564F82429438F6F3F2B39876500000001, P2, RESPONDER): Setting Negotiation SA
Referencing (CHILD_SA, 0xF370D0B564F82429438F6F3F2B3987650000000100, responder): use_count 3
instance rule set found in dynamic map (peer redials after a connection loss?)
Looking for payload IDI (35)...Found 1 payload.
Compare: -Received-ID CN=FWNB11,O=Gemeinde Moria,C=DE,L=Moria,SN=FWNB11,ST=Hessen,OU=10,emailAddress=FWNB11@Moria.de,postalCode=08154:DER_ASN1_DN != Expected-ID /CN=FWNB11:DER_ASN1_DN
Compare: -Received-ID CN=FWNB11,O=Gemeinde Moria,C=DE,L=Moria,SN=FWNB11,ST=Hessen,OU=10,emailAddress=FWNB11@Moria.de,postalCode=08154:DER_ASN1_DN != Expected-ID /CN=FWNB11:DER_ASN1_DN
Compare: -Received-ID CN=FWNB11,O=Gemeinde Moria,C=DE,L=Moria,SN=FWNB11,ST=Hessen,OU=10,emailAddress=FWNB11@Moria.de,postalCode=08154:DER_ASN1_DN != Expected-ID /CN=HO-BLECKER-1:DER_ASN1_DN
Compare: -Received-ID CN=FWNB11,O=Gemeinde Moria,C=DE,L=Moria,SN=FWNB11,ST=Hessen,OU=10,emailAddress=FWNB11@Moria.de,postalCode=08154:DER_ASN1_DN != Expected-ID /CN=HO-BLECKER-1:DER_ASN1_DN
Compare: -Received-ID CN=FWNB11,O=Gemeinde Moria,C=DE,L=Moria,SN=FWNB11,ST=Hessen,OU=10,emailAddress=FWNB11@Moria.de,postalCode=08154:DER_ASN1_DN != Expected-ID /CN=HO-BLECKER-1:DER_ASN1_DN
Looking for payload VENDOR (43)...Found 1 payload.
Looking for payload CERT(X509) (37)...Found 1 payload.
Subject: CN=FWNB11,O=Gemeinde Moria,C=DE,L=Moria,SN=FWNB11,ST=Hessen,OU=10,emailAddress=FWNB11@Moria.de,postalCode=08154
Issuer : CN=GEMEINDE Moria CA,O=IT,C=DE
Looking for payload NOTIFY(INITIAL_CONTACT) (41)...Found 1 payload.
[VPN-Status] 2024/09/04 10:36:53,273 Devicetime: 2024/09/04 10:36:52,751
Peer DEFAULT [responder]: Received an IKE_AUTH-REQUEST of 1851 bytes
Gateways: 217.86.178.23:4500<--192.168.57.50:4500
SPIs: 0xF370D0B564F82429438F6F3F2B398765, Message-ID 1
CHILD_SA ('', '' ) entered to SADB
Updating remote port to 10954
Received 4 notifications:
+INITIAL_CONTACT (STATUS)
+HTTP_CERT_LOOKUP_SUPPORTED (STATUS)
+MOBIKE_SUPPORTED (STATUS)
+MULTIPLE_AUTH_SUPPORTED (STATUS)
+Received-ID:AUTH CN=FWNB11,O=Gemeinde Moria,C=DE,L=Moria,SN=FWNB11,ST=Hessen,OU=10,emailAddress=FWNB11@Moria.de,postalCode=08154:DER_ASN1_DN:DIGITAL SIGNATURE matches Expected-ID:AUTH ID_NONE:ID_NONE:DIGITAL SIGNATURE
+Road-warrior identified and accepted (Peer FWNB11C00B using DIGITAL_SIGNATURE)
+Peer uses AUTH(DIGITAL SIGNATURE:RSASSA-PSS-with-SHA-256)
+Received padding scheme RSA_PKCS1_PSS_PADDING is stronger than configured padding scheme RSA_PKCS1_PADDING
+Authentication successful
IKE_SA ('FWNB11C00B', 'ISAKMP-PEER-DEFAULT' IPSEC_IKE SPIs 0xF370D0B564F82429438F6F3F2B398765) removed from SADB
IKE_SA ('FWNB11C00B', 'ISAKMP-PEER-DEFAULT' IPSEC_IKE SPIs 0xF370D0B564F82429438F6F3F2B398765) entered to SADB
Request attributes:
INTERNAL_IP4_ADDRESS()
INTERNAL_IP4_NETMASK()
INTERNAL_IP4_DNS()
INTERNAL_IP4_NBNS()
<Unknown 20002>()
INTERNAL_IP4_SUBNET()
INTERNAL_DNS_DOMAIN()
APPLICATION_VERSION()
<Unknown 28672>()
<Unknown 28673>()
<Unknown 28674>()
<Unknown 20006>()
<Unknown 20007>()
<Unknown 28675>()
<Unknown 28676>()
<Unknown 28677>()
<Unknown 28678>()
<Unknown 28679>()
<Unknown 28680>()
<Unknown 28681>()
<Unknown 20003>()
<Unknown 20004>()
<Unknown 28682>()
<Unknown 20005>(46574E423131)
<Unknown 28682>(46574E423131)
-Not configured as Server (REPLY) -> abort
[VPN-Debug] 2024/09/04 10:36:53,325 Devicetime: 2024/09/04 10:36:52,789
Peer FWNB11C00B: Constructing an IKE_AUTH-RESPONSE for send
Constructing payload NOTIFY(REDIRECT) (41):
+No Redirection
Constructing payload NOTIFY(MANAGEMENT_IP4_ADDRESS) (41):
Constructing payload NOTIFY(MANAGEMENT_IP6_ADDRESS) (41):
Fragment encrypted successfully
Message authenticated successfully
Don't Fragment bit is set
Non-ESP-Marker Prepended
Fragment encrypted successfully
Message authenticated successfully
Don't Fragment bit is set
Non-ESP-Marker Prepended
IKE_SA(0xF370D0B564F82429438F6F3F2B398765).EXPECTED-MSG-ID raised to 2
IPSEC overhead initialized to 42
(IKEv2-Exchange 'FWNB11C00B', 'ISAKMP-PEER-DEFAULT' 0xF370D0B564F82429438F6F3F2B39876500000001, P2, RESPONDER): Resetting Negotiation SA
(CHILD_SA, 0xF370D0B564F82429438F6F3F2B3987650000000100, responder): use_count --3
+(request, response) pair inserted into retransmission map
Sending an IKE_AUTH-RESPONSE of 1317 bytes (responder)
Gateways: 217.86.178.23:4500-->192.168.57.50:10954, tag 0 (UDP)
SPIs: 0xF370D0B564F82429438F6F3F2B398765, Message-ID 1
Sending 1 ikev2 fragment(s) of 1076 bytes and last fragment of size 356 bytes
Payloads: IDR, CERT(X509), AUTH(DIGITAL SIGNATURE), NOTIFY(INTERNAL_ADDRESS_FAILURE)
Die CN ist richtig auf beiden Seiten eingetragen und es existiert auch nur dieses eine Zertifikat auf dem Client.
Ich weis auch nicht warum er sich das so einen komischen Namen FWNB11C00B zusammenbaut - ich habe den auch noch mal eingetragen das nutzt aber nichts. Es könnte natürlich auich ein temporärer Name sein den er für jeden Verbindung intern anlegt, da habe ich bisher nicht zu gefunden.
Irgendwie ist das sehr seltsam hier ...
Hier noch mal der Trace mit den verdächtigen Stellen:
[VPN-Debug] 2024/09/04 10:36:53,273 Devicetime: 2024/09/04 10:36:52,751
Peer DEFAULT [responder]: Received an IKE_AUTH-REQUEST of 1851 bytes
Gateways: 217.86.178.23:4500<--192.168.57.50:4500
SPIs: 0xF370D0B564F82429438F6F3F2B398765, Message-ID 1
Payloads: IDI, CERT(X509), NOTIFY(INITIAL_CONTACT), NOTIFY(HTTP_CERT_LOOKUP_SUPPORTED), CERTREQ, AUTH(DIGITAL SIGNATURE), CP(REQUEST), SA, TSI, TSR, VENDOR(ikev2 rfc-3706-dead-peer-detection), NOTIFY(MOBIKE_SUPPORTED), NOTIFY(MULTIPLE_AUTH_SUPPORTED)
+IKE_SA found and assigned
+Exchange created (flags: 0x00000000)
(IKEv2-Exchange 'DEFAULT', 'ISAKMP-PEER-DEFAULT' 0xF370D0B564F82429438F6F3F2B39876500000001, P2, RESPONDER): Setting Negotiation SA
Referencing (CHILD_SA, 0xF370D0B564F82429438F6F3F2B3987650000000100, responder): use_count 3
instance rule set found in dynamic map (peer redials after a connection loss?)
Looking for payload IDI (35)...Found 1 payload.
Compare: -Received-ID CN=FWNB11,O=Gemeinde Moria,C=DE,L=Moria,SN=FWNB11,ST=Hessen,OU=10,emailAddress=FWNB11@Moria.de,postalCode=08154:DER_ASN1_DN != Expected-ID /CN=FWNB11:DER_ASN1_DN
Compare: -Received-ID CN=FWNB11,O=Gemeinde Moria,C=DE,L=Moria,SN=FWNB11,ST=Hessen,OU=10,emailAddress=FWNB11@Moria.de,postalCode=08154:DER_ASN1_DN != Expected-ID /CN=FWNB11:DER_ASN1_DN
Compare: -Received-ID CN=FWNB11,O=Gemeinde Moria,C=DE,L=Moria,SN=FWNB11,ST=Hessen,OU=10,emailAddress=FWNB11@Moria.de,postalCode=08154:DER_ASN1_DN != Expected-ID /CN=HO-BLECKER-1:DER_ASN1_DN
Compare: -Received-ID CN=FWNB11,O=Gemeinde Moria,C=DE,L=Moria,SN=FWNB11,ST=Hessen,OU=10,emailAddress=FWNB11@Moria.de,postalCode=08154:DER_ASN1_DN != Expected-ID /CN=HO-BLECKER-1:DER_ASN1_DN
Compare: -Received-ID CN=FWNB11,O=Gemeinde Moria,C=DE,L=Moria,SN=FWNB11,ST=Hessen,OU=10,emailAddress=FWNB11@Moria.de,postalCode=08154:DER_ASN1_DN != Expected-ID /CN=HO-BLECKER-1:DER_ASN1_DN
Looking for payload VENDOR (43)...Found 1 payload.
Looking for payload CERT(X509) (37)...Found 1 payload.
Subject: CN=FWNB11,O=Gemeinde Moria,C=DE,L=Moria,SN=FWNB11,ST=Hessen,OU=10,emailAddress=FWNB11@Moria.de,postalCode=08154
Issuer : CN=GEMEINDE Moria CA,O=IT,C=DE
Looking for payload NOTIFY(INITIAL_CONTACT) (41)...Found 1 payload.
[VPN-Status] 2024/09/04 10:36:53,273 Devicetime: 2024/09/04 10:36:52,751
Peer DEFAULT [responder]: Received an IKE_AUTH-REQUEST of 1851 bytes
Gateways: 217.86.178.23:4500<--192.168.57.50:4500
SPIs: 0xF370D0B564F82429438F6F3F2B398765, Message-ID 1
CHILD_SA ('', '' ) entered to SADB
Updating remote port to 10954
Received 4 notifications:
+INITIAL_CONTACT (STATUS)
+HTTP_CERT_LOOKUP_SUPPORTED (STATUS)
+MOBIKE_SUPPORTED (STATUS)
+MULTIPLE_AUTH_SUPPORTED (STATUS)
+Received-ID:AUTH CN=FWNB11,O=Gemeinde Moria,C=DE,L=Moria,SN=FWNB11,ST=Hessen,OU=10,emailAddress=FWNB11@Moria.de,postalCode=08154:DER_ASN1_DN:DIGITAL SIGNATURE matches Expected-ID:AUTH ID_NONE:ID_NONE:DIGITAL SIGNATURE
+Road-warrior identified and accepted (Peer FWNB11C00B using DIGITAL_SIGNATURE)
+Peer uses AUTH(DIGITAL SIGNATURE:RSASSA-PSS-with-SHA-256)
+Received padding scheme RSA_PKCS1_PSS_PADDING is stronger than configured padding scheme RSA_PKCS1_PADDING
+Authentication successful
IKE_SA ('FWNB11C00B', 'ISAKMP-PEER-DEFAULT' IPSEC_IKE SPIs 0xF370D0B564F82429438F6F3F2B398765) removed from SADB
IKE_SA ('FWNB11C00B', 'ISAKMP-PEER-DEFAULT' IPSEC_IKE SPIs 0xF370D0B564F82429438F6F3F2B398765) entered to SADB
Request attributes:
INTERNAL_IP4_ADDRESS()
INTERNAL_IP4_NETMASK()
INTERNAL_IP4_DNS()
INTERNAL_IP4_NBNS()
<Unknown 20002>()
INTERNAL_IP4_SUBNET()
INTERNAL_DNS_DOMAIN()
APPLICATION_VERSION()
<Unknown 28672>()
<Unknown 28673>()
<Unknown 28674>()
<Unknown 20006>()
<Unknown 20007>()
<Unknown 28675>()
<Unknown 28676>()
<Unknown 28677>()
<Unknown 28678>()
<Unknown 28679>()
<Unknown 28680>()
<Unknown 28681>()
<Unknown 20003>()
<Unknown 20004>()
<Unknown 28682>()
<Unknown 20005>(46574E423131)
<Unknown 28682>(46574E423131)
-Not configured as Server (REPLY) -> abort
[VPN-Debug] 2024/09/04 10:36:53,325 Devicetime: 2024/09/04 10:36:52,789
Peer FWNB11C00B: Constructing an IKE_AUTH-RESPONSE for send
Constructing payload NOTIFY(REDIRECT) (41):
+No Redirection
Constructing payload NOTIFY(MANAGEMENT_IP4_ADDRESS) (41):
Constructing payload NOTIFY(MANAGEMENT_IP6_ADDRESS) (41):
Fragment encrypted successfully
Message authenticated successfully
Don't Fragment bit is set
Non-ESP-Marker Prepended
Fragment encrypted successfully
Message authenticated successfully
Don't Fragment bit is set
Non-ESP-Marker Prepended
IKE_SA(0xF370D0B564F82429438F6F3F2B398765).EXPECTED-MSG-ID raised to 2
IPSEC overhead initialized to 42
(IKEv2-Exchange 'FWNB11C00B', 'ISAKMP-PEER-DEFAULT' 0xF370D0B564F82429438F6F3F2B39876500000001, P2, RESPONDER): Resetting Negotiation SA
(CHILD_SA, 0xF370D0B564F82429438F6F3F2B3987650000000100, responder): use_count --3
+(request, response) pair inserted into retransmission map
Sending an IKE_AUTH-RESPONSE of 1317 bytes (responder)
Gateways: 217.86.178.23:4500-->192.168.57.50:10954, tag 0 (UDP)
SPIs: 0xF370D0B564F82429438F6F3F2B398765, Message-ID 1
Sending 1 ikev2 fragment(s) of 1076 bytes and last fragment of size 356 bytes
Payloads: IDR, CERT(X509), AUTH(DIGITAL SIGNATURE), NOTIFY(INTERNAL_ADDRESS_FAILURE)
Die CN ist richtig auf beiden Seiten eingetragen und es existiert auch nur dieses eine Zertifikat auf dem Client.
Ich weis auch nicht warum er sich das so einen komischen Namen FWNB11C00B zusammenbaut - ich habe den auch noch mal eingetragen das nutzt aber nichts. Es könnte natürlich auich ein temporärer Name sein den er für jeden Verbindung intern anlegt, da habe ich bisher nicht zu gefunden.
Irgendwie ist das sehr seltsam hier ...
-
- Beiträge: 3035
- Registriert: 12 Jan 2010, 14:10
-
- Beiträge: 1098
- Registriert: 19 Aug 2014, 22:41
Re: IKV2+Lancom VPN Client+Zertifikate
Spätestens mit dem Erhalt vom 3. IKE-Telegramm beim VPN-Tunnelaufbau (IKE_AUTH-REQUEST) sollte der LANCOM-Router von der Gegenstelle (Peer) DEFAULT auf eine für diesen VPN-Endpunkt spezifische Gegenstelle wechseln. Und genau diesen Wechsel sehe ich nicht in den abgebildeten Aufzeichnungen. Die aktuell für diesen VPN-Endpunkt verwendete Gegenstelle sollte in der zweiten Zeile von den VPN-Debug-Ausgaben ersichtlich sein.
Oder ist FWNB11C00B die korrekte Bezeichnung der zu verwendenden spezifischen Gegenstelle für diese Einwahlverbindung (RAS)?
Im Beispiel:
fragen-zum-thema-vpn-f14/windows-phone- ... tml#p86789
wird für die spezifische Gegenstelle VPN-NATEL ein IP-Pool im "IKEv2 Config Mode" verwendet. Siehe:
LCOS-Menübaum/Setup/VPN/IKEv2/IKE-CFG/IPv4
In diesem Beispiel wird über den Konfigurationsparameter:
LCOS-Menübaum/Setup/VPN/IKEv2/Auth/Parameter/
der VPN-Endpunkt mit Hilfe vom Feld "Common Name" (CN) im X.509-Zertifikat als spezifische Gegenstelle VPN-Natel erkannt. Dieses X.509-Zertifikat wird beim VPN-Tunnelaufbau vom fernen VPN-Endpunkt dem als VPN-Server fungierenden LANCOM-Router vorgewiesen.
Oder ist FWNB11C00B die korrekte Bezeichnung der zu verwendenden spezifischen Gegenstelle für diese Einwahlverbindung (RAS)?
Im Beispiel:
fragen-zum-thema-vpn-f14/windows-phone- ... tml#p86789
wird für die spezifische Gegenstelle VPN-NATEL ein IP-Pool im "IKEv2 Config Mode" verwendet. Siehe:
LCOS-Menübaum/Setup/VPN/IKEv2/IKE-CFG/IPv4
In diesem Beispiel wird über den Konfigurationsparameter:
LCOS-Menübaum/Setup/VPN/IKEv2/Auth/Parameter/
der VPN-Endpunkt mit Hilfe vom Feld "Common Name" (CN) im X.509-Zertifikat als spezifische Gegenstelle VPN-Natel erkannt. Dieses X.509-Zertifikat wird beim VPN-Tunnelaufbau vom fernen VPN-Endpunkt dem als VPN-Server fungierenden LANCOM-Router vorgewiesen.
Re: IKV2+Lancom VPN Client+Zertifikate
Ich bezieh mich hier einmal auf die beiden letzten Antworten.
Der IP Poll ist vorhanden und funktioniert auf solange ich das mit PSK betreibe.
Der Verbindungsname ist FWNB11, irgendwie bastelt er sich aber den andern zusammen. Ich hänge mal an wie das konfiguriert ist
Der IP Poll ist vorhanden und funktioniert auf solange ich das mit PSK betreibe.
Der Verbindungsname ist FWNB11, irgendwie bastelt er sich aber den andern zusammen. Ich hänge mal an wie das konfiguriert ist
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
-
- Beiträge: 3035
- Registriert: 12 Jan 2010, 14:10
Re: IKV2+Lancom VPN Client+Zertifikate
Entfernte Identität = Lokaler Identität bei Verwendung von Zertifikaten? Nicht gut. Außerdem musst du den vollständigen String einfügen
Code: Alles auswählen
CN=FWNB11,O=Gemeinde Moria,C=DE,L=Moria,SN=FWNB11,ST=Hessen,OU=10,emailAddress=FWNB11@Moria.de,postalCode=08154
Re: IKV2+Lancom VPN Client+Zertifikate
Bei mir steht bei Lokaler Identität der CN vom Router.
Gruß, Nils
Gruß, Nils
Re: IKV2+Lancom VPN Client+Zertifikate
Ja stimmt, das mit der lokalen Identität ist tatsächlich ein Fehler bei der Verbindung. Hat aber bei der anderen Verbindung auch zu keinem anderem Verhalten geführt. Das mit dem kompletten String habe ich noch nicht getestet, davon steht aber in der Doc von Lancom auch nichts drin. da ist die CN wirklich nur die CN, also hier FWNB11
Zuletzt geändert von w.blecker am 04 Sep 2024, 19:15, insgesamt 1-mal geändert.
Re: IKV2+Lancom VPN Client+Zertifikate
So, also .. nachdem ich den kompletten String eingetrgen habe (als entfernte Identität, bei der lokalen reicht die /CN=Gateway) funktioniert es.
Er matched also den ganzen String und wenn er den nicht findet steht er natürlich im Wald.
Jetzt dachte ich schon ich wäre der geistigen Umnachtung zum Opfern gefallen ... das ich das übersehen habe ... aber nein, es steht in der Anleitung tatächlich so nicht drin. Da steht nur /CN=(was halt als CN im Zertfikat steht). Bei Side2Side Verbindungen funktioniert das auch so (ok, die nutzen keinen Ike Config Mode um die IP Daten zu ermitteln)
Es wäre schön wenn Lancom die Dokus mal anpasst das man nicht das halbe Forum bemühen muß deswegen
Er matched also den ganzen String und wenn er den nicht findet steht er natürlich im Wald.
Jetzt dachte ich schon ich wäre der geistigen Umnachtung zum Opfern gefallen ... das ich das übersehen habe ... aber nein, es steht in der Anleitung tatächlich so nicht drin. Da steht nur /CN=(was halt als CN im Zertfikat steht). Bei Side2Side Verbindungen funktioniert das auch so (ok, die nutzen keinen Ike Config Mode um die IP Daten zu ermitteln)
Es wäre schön wenn Lancom die Dokus mal anpasst das man nicht das halbe Forum bemühen muß deswegen
Re: IKV2+Lancom VPN Client+Zertifikate
Was mich dann direkt zum nächsten Problem leitet:
Wie mache ich das denn wenn sich der VPN Client vor der Benutzeranmeldung einwählen soll. Auf das Benutzerzertifikat hat er an diesem Punkt ja noch garkeinen Zugriff... (Das braucht man da sonst die Anmeldung am DC nicht erfolgen kann )
Wie mache ich das denn wenn sich der VPN Client vor der Benutzeranmeldung einwählen soll. Auf das Benutzerzertifikat hat er an diesem Punkt ja noch garkeinen Zugriff... (Das braucht man da sonst die Anmeldung am DC nicht erfolgen kann )
Re: IKV2+Lancom VPN Client+Zertifikate
Windows VPN Client und Computerzertifikat?
Re: IKV2+Lancom VPN Client+Zertifikate
Nein, Lancom VPN Client in der aktuellen Version - Dort kann ich ja einstellen, das ich die VPN Verbindung schon vor dem Anmelden aufbauen kann (Dann erscheint der VPN Client mit im Anmeldescreen). Von dort aus hat er aber keinen Zugriff auf das Benutzerzertifikat.
Ich kann das lösen in dem ich nicht den Zertifikatsspeicher nutze sondern das Zertifikat als Datei direkt einbinde. Das ist aber nicht so die eleganteste Lösung ...
Ich kann das lösen in dem ich nicht den Zertifikatsspeicher nutze sondern das Zertifikat als Datei direkt einbinde. Das ist aber nicht so die eleganteste Lösung ...
-
- Beiträge: 1098
- Registriert: 19 Aug 2014, 22:41
Re: IKV2+Lancom VPN Client+Zertifikate
Den Konfigurationsparameter:
Entfernter Zert.-ID-Check
für spezifische Gegenstellen auf "Nein" zu setzen reisst eine grosse Sicherheitslücke auf!
Die für VPN-Tunneln verwendeten X.509-Zertifikate sollten ausschliesslich Maschinenzertifikate sein. Für VPN-Tunneln sollten keine Benutzerzertifikate verwendet werden. Grundsätzlich gehören alle X.509-Zertifikate in ein HSM:
fragen-zum-thema-vpn-f14/vpn-ikev2-mit- ... ml#p101137
alles-zum-lancom-wlc-4100-wlc-4025-wlc- ... tml#p98470
fragen-zum-thema-vpn-f14/adv-vpn-client ... ml#p116094
Beim Einsatz von Maschinenzertifikate kann der Rechner bereits vor der ersten Benutzeranmeldung den VPN-Tunnel aufbauen. Dazu muss unter MS Windows der Computer-Zertifikatsspeicher eingesetzt werden. Hier die relevanten Auszüge aus meiner Anleitung:
Ob der LANCOM-VPN-Client den Aufbau von reinen Maschinenzertifikaten-basierenden VPN-Tunnels vor der ersten Benutzeranmeldung unterstützt, ist mir nicht bekannt.
Wenn kein HSM für die Lagerung der X.509-Zertifikate eingesetzt wird, sollte mindestens die Option:
Privaten Schlüssel mit virtualisierungsbasierter Sicherheit schützen:=Aktiv
beim Import der X.509-Zertifikate (mit privaten Schlüsselmaterial) eingesetzt werden. Dazu ist die Kernisolierung erforderlich:
https://support.microsoft.com/de-de/win ... 4c6a61c5e2
https://support.microsoft.com/de-de/win ... 521df09b78
Entfernter Zert.-ID-Check
für spezifische Gegenstellen auf "Nein" zu setzen reisst eine grosse Sicherheitslücke auf!
Die für VPN-Tunneln verwendeten X.509-Zertifikate sollten ausschliesslich Maschinenzertifikate sein. Für VPN-Tunneln sollten keine Benutzerzertifikate verwendet werden. Grundsätzlich gehören alle X.509-Zertifikate in ein HSM:
fragen-zum-thema-vpn-f14/vpn-ikev2-mit- ... ml#p101137
alles-zum-lancom-wlc-4100-wlc-4025-wlc- ... tml#p98470
fragen-zum-thema-vpn-f14/adv-vpn-client ... ml#p116094
Beim Einsatz von Maschinenzertifikate kann der Rechner bereits vor der ersten Benutzeranmeldung den VPN-Tunnel aufbauen. Dazu muss unter MS Windows der Computer-Zertifikatsspeicher eingesetzt werden. Hier die relevanten Auszüge aus meiner Anleitung:
Code: Alles auswählen
Den Computer-Zertifikatsspeicher öffnen:
Startmenü -> Ausführen -> "mmc.exe" eingeben und <Enter>-Taste betätigen.
Menü "Datei" -> Snap-In hinzufügen/entfernen
Unter "Verfügbare Snap-Ins" "Zertifikate" auswählen und den "Hinzufügen"-Knopf
betätigen. Im Dialogfenster "Computerkonto" auswählen. Im nächsten Dialog
"Lokalen Computer" auswählen. Schliesslich noch den OK-Knopf betätigen.
Wenn kein HSM für die Lagerung der X.509-Zertifikate eingesetzt wird, sollte mindestens die Option:
Privaten Schlüssel mit virtualisierungsbasierter Sicherheit schützen:=Aktiv
beim Import der X.509-Zertifikate (mit privaten Schlüsselmaterial) eingesetzt werden. Dazu ist die Kernisolierung erforderlich:
https://support.microsoft.com/de-de/win ... 4c6a61c5e2
https://support.microsoft.com/de-de/win ... 521df09b78