Hallo,
habe seit dem Einspielen von FW 8.50Rel das Problem, dass sich keine VPN Verbindungen über Zertifikate aufbauen lassen. Sowohl LAN-LAN Tunnel als auch VPN Remote Login (Host-Gateway) sind nicht mehr möglich. Die Zertifikate sind schon ca. 1 Jahr im Einsatz und funktionieren mit FW < 8.50Release. Als Workaround muss ich mit der 8.50RC3 arbeiten, damit funktionierts.
Der Trace liefert "kein gültiges Zertifikat vorhanden". "show vpn cert" und Überprüfung des Filesystems zeigt aber das die Zertifikate da sind. Abgelaufen is keines der Zertifikate.
Hat wer ähnliche Erfahrungen mit der 8.50Rel gemacht?
LC1722 Firmware 8.50Release + VPN + Zertifikate
Moderator: Lancom-Systems Moderatoren
Nein, ich habe einige LANCOM mit VPN Tunnel mit Zertifikaten, SCEP und OCSP und geschachtelten CAs problemlos mit 8.50 Rel laufen.
Liegen die Zertifikate auf den richtigen Positionen? Es koennen ja mehrere Zertifikate in den Speicher geladen werden.
Ciao
LoUiS
Liegen die Zertifikate auf den richtigen Positionen? Es koennen ja mehrere Zertifikate in den Speicher geladen werden.
Ciao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
Problem war eine gemischte IKE-Proposal Liste, die sowohl ein RSA- als auch ein PSK-Proposal enthielt.
Mit der 8.50Rel gibt es ein neues Feature, das bei solchen IKE-Proposal Listen ein Rückfallszenario von RSA-SIG auf PSK unterstellt.
PSK-Proposal aus der IKE-Proposal Liste gelöscht und die Welt ist auch mit 8.50Rel wieder in Ordnung.
Mit der 8.50Rel gibt es ein neues Feature, das bei solchen IKE-Proposal Listen ein Rückfallszenario von RSA-SIG auf PSK unterstellt.
PSK-Proposal aus der IKE-Proposal Liste gelöscht und die Welt ist auch mit 8.50Rel wieder in Ordnung.
Ist irgenwo dokumentiert, wie man gemischte IKE-Proposal Listen trotzdem benutzen kann?
Wenn ich auf einem 1722 (8.50) eine gemischte IKE-Proposal-Liste als Default im Main-Mode benutze, funktionieren zwar die PSK-Verbindungen, aber die für Verbindungen mit Zertifikaten kommt "no valid certificate found" (o.s.ä.).
Im Aggressive-Mode funktionieren weder PSK-Verbindungen ("no proposal matched") noch Verbindungen mit Zertifikat ("no valid certificate found"), wenn eine gemischte IKE-Proposal-Liste als Default eingetragen ist.
Dabei spielt die Reihenfolge der IKE-Proposals keine Rolle.
Achso, der Vollständigkeit halber: die Verbindungen - egal ob PSK oder Zertifikate bzw. Main- oder Aggressive-Mode - funktionieren ohne Anpassung, wenn die Default IKE-Proposal-Listen nicht gemischt sind.
Hat hier evtl. jemand eine Idee, wie man das löst ohne auf 8.50RC3 zurückzugehen? Oder ist das ein "Known Issue"?
Wenn ich auf einem 1722 (8.50) eine gemischte IKE-Proposal-Liste als Default im Main-Mode benutze, funktionieren zwar die PSK-Verbindungen, aber die für Verbindungen mit Zertifikaten kommt "no valid certificate found" (o.s.ä.).
Im Aggressive-Mode funktionieren weder PSK-Verbindungen ("no proposal matched") noch Verbindungen mit Zertifikat ("no valid certificate found"), wenn eine gemischte IKE-Proposal-Liste als Default eingetragen ist.
Dabei spielt die Reihenfolge der IKE-Proposals keine Rolle.
Achso, der Vollständigkeit halber: die Verbindungen - egal ob PSK oder Zertifikate bzw. Main- oder Aggressive-Mode - funktionieren ohne Anpassung, wenn die Default IKE-Proposal-Listen nicht gemischt sind.
Hat hier evtl. jemand eine Idee, wie man das löst ohne auf 8.50RC3 zurückzugehen? Oder ist das ein "Known Issue"?
Danke für den Tip mit dem Support, das werd ich dann mal tun.
Zu dem Vorschlag mit zwei IKE-Proposal-Listen: als Default kann ich aber nur eine pro Mode (main/aggressive) eintragen. Nur sind diese beiden Listen getunt, da sie bereits Verbindungen (im Moment nur PSK) bedienen. Nun soll(t)en eigentlich noch RSASIG-basierte Verbindungen hinzukommen.
Zu dem Vorschlag mit zwei IKE-Proposal-Listen: als Default kann ich aber nur eine pro Mode (main/aggressive) eintragen. Nur sind diese beiden Listen getunt, da sie bereits Verbindungen (im Moment nur PSK) bedienen. Nun soll(t)en eigentlich noch RSASIG-basierte Verbindungen hinzukommen.