Lancom 1722 <--> OpenSWAN Server

[mp45]

Hallo,
ich habe nach dem Thema schon im Forum gesucht und habe nur den Hinweis gefunden, an beiden Seiten Lancom-Kisten aufzustellen. ABer nochmal ganz genau:

Mit einem LC 1722 (LCOS 6.31) soll eine VPN-Verbundung zu einem OpenSWAN-Server aufgebaut werden, dieser hat eien feste IP. Meien seite hat eine dynamsiche, versehen mit einem DynDSN-Account.

Zum OpenSWAN-Server: dieser wird vom Rechenzentrum einer Universität betrieben. Glücklicherweise kennt man die Admins, aber dort wird kein PSK gemacht. Die Autentifizierung erfolgt, so wie es mir erklärt wurde, über RSA-Keys. Dazu eine Auszug aus der Colfig des Servers:

Code: Alles auswählen

conn test2
        compress=yes
        keyingtries=3
        disablearrivalcheck=no
        keyexchange=ike
        authby=rsasig
        auth=esp
        pfs=yes
        keylife=10h
        rekey=yes
        ikelifetime=8h
        auto=start
        type=tunnel

dazu nun die Frage, hat jemand das zwischnzeitlich probiert, oder gibt es einen Workarround? Es scheint ähnlich den X.509-Zertifikaten zu sein, denn die RSA-Keys beider Seiten stehen in der Konfig. (Fragt sich nur, kann ich mit dem Lancom einen solchen überhaupt erzeugen).

===

Abgesehen von RSASIG bietet OpenSWAN ja ncoh andere Möglichkeiten, z.B. PSK. Hat jemand in diese Richtung eventuell schon Erfahrungen sammeln können?


Danke,
Michael.[/code]

[eddia]

Hallo Michael,

dazu nun die Frage, hat jemand das zwischnzeitlich probiert, oder gibt es einen Workarround? Es scheint ähnlich den X.509-Zertifikaten zu sein, denn die RSA-Keys beider Seiten stehen in der Konfig. (Fragt sich nur, kann ich mit dem Lancom einen solchen überhaupt erzeugen).

den Key kann der Lancom noch nicht selbst erzeugen. Key und Zertifikat musst Du auf einem Zertifikatsserver erstellen und dann in den Lancom importieren.

Abgesehen von RSASIG bietet OpenSWAN ja ncoh andere Möglichkeiten, z.B. PSK. Hat jemand in diese Richtung eventuell schon Erfahrungen sammeln können?

Schau mal hier rein:

http://www.lancom-forum.de/ptopic,12661 ... html#12661

Gruß

Mario

[mp45]

Hallo Mario,
danke für den Link, habe da mal eiun wenig gelesen. Ich weis, die Frage kam dort schon einmla, aber besteht die Möglichkeit, von den angesprochenen Admins die Konfiguration isn Auszügen zu bekommen?

Vielen Dank,
Michael.

[DirkL]

Hy also die aleitung bringt mich nicht weiter da ich immer die FEhlermeldung "IKE Schlüssel stimmen nicht überein (Responder, IKE)[0x220A]. Und da der Openswanadmin nicht sehr kooperativ ist habe ich trotz der Anleitung Probleme könnt ihr mir vielleicht noch ein paar Tipps geben.

Gruß Dirk

[backslash]

Hi DirkL

die Fehlermeldung "IKE Schlüssel stimmen nicht überein" sagt doch schon, wo dein Problem ist: Der preshared Key stimmt nicht (also ganz klassich: falsches Paßwort...)

Gruß
Backslash

[DirkL]

Hy,

ja danke diese Variante ist mir zuerst in den Kopf geschossen. Jetzt kommts wir haben es zusammen abgestimmt und per email versand es ist total identisch. Jetzt bist Du dran.....

Gruß Dirk

[backslash]

Hi DirkL

bedenke, daß das LANCOM im preshared Key nicht jedes beliebige Zeichen akzeptiert, sondernh nur folgenden zeichensatz:

Code: Alles auswählen

[3][Shared-Sec]         : 64 chars from: #ABCDEFGHIJKLMNOPQRSTUVWXYZ@{|}~!$%&'()*+-,/:;<=>?[\]^_.0123456789abcdefghijklmnopqrstuvwxyz `

Der Grund ist der, daß nur für diese zeichen sichergestellt werden kann, daß sie auf allen Betriebsystemen gleich gemappt werden. Wenn also in deinem Key ein anderes Zeichen steckt, dann funktioniert das nicht...

Gruß
Backslash