iOS IKEv2 / AVC IKEv2 Probleme

[TschungTschung]

Hi Leute,

ich bekomme es einfach nicht gebacken und finde den Fehler nicht.
Ich habe versucht IKEv2 C2S-Tunnel einmal via iPhone (https://www2.lancom.de/kb.nsf/bf0ed2a4d ... enDocument) und einmal via Advanced VPN Client (https://www2.lancom.de/kb.nsf/bf0ed2a4d ... enDocument) zu konfigurieren. Irgendwie mags nicht. Firewall deaktiviert bzw angepasst-ist auch nix im Log.

IKEv1 kein Problem, weder über myVPN am iPhone, noch über 1-Click Assistent gibt es Probleme. Auch der LANMonitor sagt beim iPhone dass die Verbindung steht - tut sie aber nicht.
Auch S2S IKEv2 ist kein Problem und funktioniert anstandslos.

Evtl. kann mir hier mal jemand einen kleinen Stoß in die richtige Richtung verpassen:

[VPN-Status] 2016/12/21 10:02:26,199 Devicetime: 2016/12/21 10:02:26,793
Peer <UNKNOWN>: Received an IKE_SA_INIT-REQUEST of 604 bytes
Gateways: <öffentlicheIP-GW>:500<--<öffentlicheIP-iPhone>:500
SPIs: 0xAF6123C9155389280000000000000000, Message-ID 0
Peer identified: DEFAULT
Received 4 notifications:
+REDIRECT_SUPPORTED
+STATUS_NAT_DETECTION_SOURCE_IP
+STATUS_NAT_DETECTION_DESTINATION_IP
+IKEV2_FRAGMENTATION_SUPPORTED
Peer (initiator) is behind a NAT
NAT-T enabled => switching on port 4500
We (responder) are not behind a NAT. NAT-T is already enabled
+IKE_SA:
Proposal 1 Protocol IPSEC_IKE
ENCR : AES_CBC-256
PRF : PRF-HMAC-SHA-256
INTEG: SHA-256
DH : 14
+Received KE-DH-Group 14 (2048 bits)

[VPN-Status] 2016/12/21 10:02:26,340 Devicetime: 2016/12/21 10:02:27,012
Peer DEFAULT: Constructing an IKE_SA_INIT-REPLY for send
IKE_SA:
Proposal 1 Protocol IPSEC_IKE:
ENCR : AES_CBC-256
PRF : PRF-HMAC-SHA-256
INTEG: SHA-256
DH : 14
+KE-DH-Group 14 (2048 bits)
Sending an IKE_SA_INIT-RESPONSE of 457 bytes
Gateways: <öffentlicheIP-GW>:500--><öffentlicheIP-iPhone>:500
SPIs: 0xAF6123C91553892831F4DFDE2BF0F8DC, Message-ID 0

[VPN-Status] 2016/12/21 10:02:26,340 Devicetime: 2016/12/21 10:02:27,082
IKE_SA_INIT [responder] for peer DEFAULT initiator id <no ipsec id>, responder id <no ipsec id>
initiator cookie: 0xAF6123C915538928, responder cookie: 0x31F4DFDE2BF0F8DC
SA ISAKMP for peer DEFAULT encryption aes-cbc authentication SHA-256 prf SHA-256
life time soft 12/22/2016 13:02:27 (in 97200 sec) / 0 kb
life time hard 12/22/2016 16:02:27 (in 108000 sec) / 0 kb

[VPN-Status] 2016/12/21 10:02:29,059 Devicetime: 2016/12/21 10:02:29,792
Peer DEFAULT: Received an IKE_SA_INIT-REQUEST of 604 bytes
Gateways: <öffentlicheIP-GW>:500<--<öffentlicheIP-iPhone>:500
SPIs: 0xAF6123C9155389280000000000000000, Message-ID 0
Retransmitting an SA_INIT-Request on demand

[VPN-Status] 2016/12/21 10:02:29,059 Devicetime: 2016/12/21 10:02:29,793
Sending an IKE_SA_INIT-RESPONSE of 457 bytes
Gateways: <öffentlicheIP-GW>:500--><öffentlicheIP-iPhone>:500
SPIs: 0xAF6123C91553892831F4DFDE2BF0F8DC, Message-ID 0

[VPN-Status] 2016/12/21 10:02:32,074 Devicetime: 2016/12/21 10:02:32,812
Peer DEFAULT: Received an IKE_SA_INIT-REQUEST of 604 bytes
Gateways: <öffentlicheIP-GW>:500<--<öffentlicheIP-iPhone>:500
SPIs: 0xAF6123C9155389280000000000000000, Message-ID 0
Retransmitting an SA_INIT-Request on demand

[VPN-Status] 2016/12/21 10:02:32,074 Devicetime: 2016/12/21 10:02:32,813
Sending an IKE_SA_INIT-RESPONSE of 457 bytes
Gateways: <öffentlicheIP-GW>:500--><öffentlicheIP-iPhone>:500
SPIs: 0xAF6123C91553892831F4DFDE2BF0F8DC, Message-ID 0

[VPN-Status] 2016/12/21 10:02:35,059 Devicetime: 2016/12/21 10:02:35,792
Peer DEFAULT: Received an IKE_SA_INIT-REQUEST of 604 bytes
Gateways: <öffentlicheIP-GW>:500<--<öffentlicheIP-iPhone>:500
SPIs: 0xAF6123C9155389280000000000000000, Message-ID 0
Retransmitting an SA_INIT-Request on demand

[VPN-Status] 2016/12/21 10:02:35,059 Devicetime: 2016/12/21 10:02:35,793
Sending an IKE_SA_INIT-RESPONSE of 457 bytes
Gateways: <öffentlicheIP-GW>:500--><öffentlicheIP-iPhone>:500
SPIs: 0xAF6123C91553892831F4DFDE2BF0F8DC, Message-ID 0

[ICMP] 2016/12/21 10:02:36,606 Devicetime: 2016/12/21 10:02:37,330
ICMP poll timeout for <GEGENSTELLE>
remote site answered during intervall
send poll frame to <Poll-IP>

[ICMP] 2016/12/21 10:02:36,606 Devicetime: 2016/12/21 10:02:37,330
ICMP generate packet for Dest-IP: <Poll-IP>: Echo request, ID: 4718, Seq: 0, Tx (WAN, <GEGENSTELLE>)

[ICMP] 2016/12/21 10:02:36,606 Devicetime: 2016/12/21 10:02:37,331
ICMP Rx (WAN, <GEGENSTELLE>): Src-IP: <Poll-IP>: Echo reply, ID: 4718, Seq: 0

[ICMP] 2016/12/21 10:02:36,606 Devicetime: 2016/12/21 10:02:37,331
ICMP Poll reply from <GEGENSTELLE> (<Poll-IP>)

Vielen DANK

[MariusP]

Hi,
Was zeigt der IKE Trace, schickst du dein Paket noch ab?
Scheint irgendwie als würde der Client deine Antwort nicht erhalten und schickt daher die INIT Requests immer wieder neu.
Gruß

[TschungTschung]

Sending packet before encryption und Sending packet after encryption ebenfalls problemlos.

[MariusP]

Hi,
Also schickst du eine Antwort.
Kommt die Antwort am Client an? Wireshark oder so zum nachschauen nutzen.
Was zeigt der Log des jeweiligen Clients
Gruß

[TschungTschung]

Bin gerade etwas weiter gekommen. (Der obere Trace war ein Fehler meinerseits (PFS))
Die VPN Verbindung wird nun aufgebaut und sofort abgebaut,....

[VPN-Status] 2016/12/21 12:36:34,253 Devicetime: 2016/12/21 12:36:35,082
Sending an INFORMATIONAL-REQUEST of 80 bytes (encrypted)
Gateways: <öffentlicheIP-GW>:4500--><öffentlicheIP-iPhone>:10138
SPIs: 0x4B7A34C80FDD3C3A8039ABE1408A4EC9, Message-ID 0


[VPN-Status] 2016/12/21 12:36:35,253 Devicetime: 2016/12/21 12:36:36,082
Sending an INFORMATIONAL-REQUEST of 80 bytes (encrypted)
Gateways: <öffentlicheIP-GW>:4500--><öffentlicheIP-iPhone>:10138
SPIs: 0x4B7A34C80FDD3C3A8039ABE1408A4EC9, Message-ID 0


[VPN-Status] 2016/12/21 12:36:38,206 Devicetime: 2016/12/21 12:36:39,082
IKE info: DEAD PEER DETECTION Timeout for peer <VERBINDUNGSNAME>, sequence nr 0x0: retry detection

[VPN-Status] 2016/12/21 12:36:38,206 Devicetime: 2016/12/21 12:36:39,082
IKE info: DEAD PEER DETECTION Timeout for peer <VERBINDUNGSNAME>, sequence nr 0x0: tear down connections

[VPN-Status] 2016/12/21 12:36:38,206 Devicetime: 2016/12/21 12:36:39,082
IKE info: CHILD_SA removed: peer <VERBINDUNGSNAME> rule ipsec-0-<VERBINDUNGSNAME>-pr0-l0-r0 removed
IKE info: containing Protocol IPSEC_ESP, with spis [0fc9c194 ] [58a9190e ]

[VPN-Status] 2016/12/21 12:36:38,206 Devicetime: 2016/12/21 12:36:39,082
IKE info: IKE_SA removed: peer <VERBINDUNGSNAME> rule <VERBINDUNGSNAME> removed

[VPN-Status] 2016/12/21 12:36:38,206 Devicetime: 2016/12/21 12:36:39,083
policy manager error indication: <VERBINDUNGSNAME> (<öffentlicheIP-iPhone>), cause: 8717

[VPN-Status] 2016/12/21 12:36:38,206 Devicetime: 2016/12/21 12:36:39,086
VPN: Error: IKE-R-DPD-Timeout (0x220d) for <VERBINDUNGSNAME> (<öffentlicheIP-iPhone>)

[VPN-Status] 2016/12/21 12:36:38,206 Devicetime: 2016/12/21 12:36:39,087
vpn-maps[17], remote: <VERBINDUNGSNAME>, idle, static-name

[VPN-Status] 2016/12/21 12:36:38,206 Devicetime: 2016/12/21 12:36:39,090
selecting next remote gateway using strategy eFirst for <VERBINDUNGSNAME>
=> no remote gateway selected

[VPN-Status] 2016/12/21 12:36:38,206 Devicetime: 2016/12/21 12:36:39,090
selecting first remote gateway using strategy eFirst for <VERBINDUNGSNAME>
=> no remote gateway selected

[VPN-Status] 2016/12/21 12:36:38,206 Devicetime: 2016/12/21 12:36:39,090
VPN: installing ruleset for <VERBINDUNGSNAME> (0.0.0.0)

[VPN-Status] 2016/12/21 12:36:38,206 Devicetime: 2016/12/21 12:36:39,090
VPN: WAN state changed to WanDisconnect for <VERBINDUNGSNAME> (0.0.0.0), called by: 00eaed2c

[VPN-Status] 2016/12/21 12:36:38,206 Devicetime: 2016/12/21 12:36:39,090
Config parser: Start

[VPN-Status] 2016/12/21 12:36:38,206 Devicetime: 2016/12/21 12:36:39,091
Config parser: Finish
Wall clock time: 0 ms
CPU time: 0 ms

[VPN-Status] 2016/12/21 12:36:38,206 Devicetime: 2016/12/21 12:36:39,091
VPN: WAN state changed to WanIdle for <VERBINDUNGSNAME> (0.0.0.0), called by: 00eaed2c

[VPN-Status] 2016/12/21 12:36:38,206 Devicetime: 2016/12/21 12:36:39,091
IKE info: Tearing down ipsec-0-<VERBINDUNGSNAME>-pr0-l0-r0, because its remote gateway has changed from <öffentlicheIP-iPhone> to 0.0.0.0

[VPN-Status] 2016/12/21 12:36:38,206 Devicetime: 2016/12/21 12:36:39,092
VPN: rulesets installed

[MariusP]

Hi,
Ich sehe keine Traceeintrag der den erfolgreichen Aufbau der Child_SA zeigen.
Gruß

[rrr]

Verwendest du zufällig iOS 10.2?

Seit dem Upgrade auf iOS 10.2 geht VPN mit IKEv2 bei uns auch nicht mehr. Mit iOS 10.1.1 liefs noch problemlos.
Fehlermeldungen auf der iOS-Console:

Code: Alles auswählen

Dec 24 02:55:01 iPhone neagent(NetworkExtension)[783] <Error>: ikev2_crypto_copy_remote_certificate_authority_array: failed to retrieve remote CA cert data by CN (Secure Site Starter DV SSL CA - G2)
Dec 24 02:55:01 iPhone neagent(NetworkExtension)[783] <Error>: Certificate authentication data could not be verified
Dec 24 02:55:01 iPhone neagent(NetworkExtension)[783] <Error>: Failed to process IKE Auth packet
Dec 24 02:55:01 iPhone neagent(NetworkExtension)[783] <Info>: ikev2_callback: Received notification for ikeRef 214330 ChildRef 0
Dec 24 02:55:01 iPhone neagent(NetworkExtension)[783] <Info>: IKEv2 Plugin: received notif IKE Status: Disconnected
Dec 24 02:55:01 iPhone neagent(NetworkExtension)[783] <Info>: ikev2_callback: set status Disconnected
Dec 24 02:55:01 iPhone neagent(NetworkExtension)[783] <Info>: Sending status update with status 0 and disconnect error 0

Wir sind auch scheinbar nicht die einzigen: https://forums.developer.apple.com/thread/69686 sowie http://stadt-bremerhaven.de/apple-veroe ... s-10-12-2/

[TschungTschung]

Hi, ja habe auch iOS 10.2 (wurde aber mit 10.1 nicht getestet, daher kann ich nicht sagen obs daran liegt)
Muss ich mal versuchen, danke!