Hallo,
hat jemand schon VPN-Verbindungen mit Zertifikaten erfolgreich in Betrieb ?. Ich habe über die W2k Zertifikatsstelle (ADS integriert) ein eigenes Benutzer Zertifikat. Für den 7011 habe ich zusätzlich noch eins erstellt, exportiert und in den Lancom geladen. show vpn ca & show vpn cert zeigt mir auch beide Zertifikate an.
Im VPN-Client das Zertifikat eingetragen und restliche Änderungen laut Anleitung angepasst. Beim Verbinden fragt er auch nach dem PIN für das Zertifikat, allerdings wird kein Tunnel aufgebaut.
Log Client :
12.07.2005 17:54:43 XMIT_MSG5_MAIN - MAS-LANoverIP
12.07.2005 17:54:43 XMIT_MSG5_MAIN_RESUME - MAS-LANoverIP
12.07.2005 17:55:20 NCPIKE-phase2:name(MAS-LANoverIP) - error - cleared by phase1
12.07.2005 17:55:20 IPSDIAL - disconnected from MAS-LANoverIP on channel 1.
Trace Log :
[VPN-Status] 2005/07/12 17:42:53,500
IKE info: The remote server 80.187.135.93:500 peer def-main-peer id <no_id> supports draft-ietf-ipsec-isakmp-xauth
IKE info: The remote server 80.187.135.93:500 peer def-main-peer id <no_id> negotiated rfc-3706-dead-peer-detection
IKE info: The remote client 80.187.135.93:500 peer def-main-peer id <no_id> is NCP LANCOM Serial Number Protocol 1.0 with serial number ********
[VPN-Status] 2005/07/12 17:42:53,510
IKE info: Phase-1 remote proposal 1 for peer def-main-peer matched with local proposal 1
[VPN-Status] 2005/07/12 17:42:58,220
IKE log: 174258 Default dropped message from 80.187.xx.xx port 500 due to notification type INVALID_ID_INFORMATION
[VPN-Status] 2005/07/12 17:42:58,220
IKE info: dropped message from peer unknown 80.187.xx.xx port 500 due to notification type INVALID_ID_INFORMATION
[VPN-Status] 2005/07/12 17:43:28,620
IKE log: 174328 Default message_recv: invalid cookie(s) 0f4703332678bfbd 49c9df0121db2559
[VPN-Status] 2005/07/12 17:43:28,620
IKE log: 174328 Default dropped message from 80.187.xx.xx port 500 due to notification type INVALID_COOKIE
[VPN-Status] 2005/07/12 17:43:28,620
IKE info: dropped message from peer unknown 80.187.xx.xx port 500 due to notification type INVALID_COOKIE
[VPN-Status] 2005/07/12 17:43:31,640
IKE log: 174331 Default message_recv: invalid cookie(s) 0f4703332678bfbd 49c9df0121db2559
Für Lokale und Entfernte Identität habe ich die Informationen aus den Zertifikaten genommen (Antragsteller bzw. Subject): CN=Vorname Nachname, E=email
Mehr steht bei mir in dem Zertifkat unter Antragsteller nicht.
Im Referenzhandbuch werden die Zertifikate mit der Standalone Zertifikatsstelle erstellt, sollte aber kein Unterschied sein oder ?
Gruss
Dominik
LC7011 + A.-VPNClient + Zertifikate
Moderator: Lancom-Systems Moderatoren
Hallo Dominik,
Lad Dir mal testweise das Userzertifikat als Gerätezertifikat in den Lancom. Dann siehst Du mit show vpn cert genau, wie der Lancom die Identität des Zertifikats interpretiert.
Gruß
Mario
Das E ist falsch - da muss emailAddress rein.Für Lokale und Entfernte Identität habe ich die Informationen aus den Zertifikaten genommen (Antragsteller bzw. Subject): CN=Vorname Nachname, E=email
Lad Dir mal testweise das Userzertifikat als Gerätezertifikat in den Lancom. Dann siehst Du mit show vpn cert genau, wie der Lancom die Identität des Zertifikats interpretiert.
Gruß
Mario
danke.
Leider funktioniert es immernoch nicht.
Client Log
Trace
Ich denke mal das liegt an diesem Fehler subjectaltname invalid length. Hat MS andere Standards 
?
Vielleicht versuche ichs mal mit OpenSSL Certs.
Gruss
Dominik
Leider funktioniert es immernoch nicht.
Client Log
Code: Alles auswählen
14.07.2005 10:26:28 NCPIKE-phase1:name(MAS-UMTS/GPRS) - error - PKI ERROR: - Client Error: Verify Certificate with error 2107 ! (Ext. 'SSL Server Authentication' failed)
14.07.2005 10:26:28 NCPIKE-phase2:name(MAs-UMTS/GPRS) - error - cleared by phase1
14.07.2005 10:26:28 IPSDIAL - disconnected from MAS-UMTS/GPRS on channel 1.
14.07.2005 10:26:28 MODEM - trennen von MAS-UMTS/GPRS auf Kanal 1.
14.07.2005 10:26:29 MODEM - getrennt von MAS-UMTS/GPRS auf Kanal 1.
Code: Alles auswählen
[VPN-Status] 2005/07/14 10:26:22,440
IKE info: The remote server 80.187.7.175:500 peer def-main-peer id <no_id> supports draft-ietf-ipsec-isakmp-xauth
IKE info: The remote server 80.187.7.175:500 peer def-main-peer id <no_id> negotiated rfc-3706-dead-peer-detection
IKE info: The remote client 80.187.7.175:500 peer def-main-peer id <no_id> is NCP LANCOM Serial Number Protocol 1.0 with serial number *****
[VPN-Status] 2005/07/14 10:26:22,450
IKE info: Phase-1 remote proposal 1 for peer def-main-peer matched with local proposal 1
[VPN-Status] 2005/07/14 10:26:26,380
IKE log: 102626 Default x509_cert_subjectaltname: subjectaltname invalid length
[VPN-Status] 2005/07/14 10:26:26,390
IKE log: 102626 Default x509_cert_subjectaltname: subjectaltname invalid length
[VPN-Status] 2005/07/14 10:26:26,410
IKE info: Phase-1 [responder] got initial contact from peer MAS (80.187.7.175)
[VPN-Status] 2005/07/14 10:26:26,410
IKE log: 102626 Default x509_cert_subjectaltname: subjectaltname invalid length
[VPN-Status] 2005/07/14 10:26:26,870
IKE info: Phase-1 [responder] for peer MAS between initiator id /E=mas@test.lan/CN=MAS, responder id /E=lc7011@test.lan/CN=LC7011 done
IKE info: SA ISAKMP for peer MAS encryption aes-cbc authentication md5
IKE info: life time ( 28800 sec/ 0 kb)
[VPN-Status] 2005/07/14 10:26:29,080
IKE info: Delete Notification received for Phase-1 SA isakmp-peer-MAS peer MAS cookies [4c657633c333ed2d 811801a17111a9c3]
[VPN-Status] 2005/07/14 10:26:29,080
IKE info: Phase-1 SA removed: peer MAS rule MAS removed
Vielleicht versuche ichs mal mit OpenSSL Certs.
Gruss
Dominik
Hallo Dominik,
Stutzig macht mich jedoch die Meldung im ADV-Client.
Gruß
Mario
Die Meldung bekomme ich auch - trotzdem funktioniert der Aufbau des Tunnels.Ich denke mal das liegt an diesem Fehler subjectaltname invalid length.
Stutzig macht mich jedoch die Meldung im ADV-Client.
Das sieht ganz so aus, als ob Du am PC des ADV-Client das Root-CA Zertifikat für das Lancom-Zertifikat nicht (oder ein falsches) hinterlegt hättest. Was steht denn dort unter Verbindungen -> Zertifikate -> CA-Zertifikat?Code:
14.07.2005 10:26:28 NCPIKE-phase1:name(MAS-UMTS/GPRS) - error - PKI ERROR: - Client Error: Verify Certificate with error 2107 ! (Ext. 'SSL Server Authentication' failed)
Gruß
Mario
Hallo Dominik,
Gruß
Mario
noch ein Hinweis, da Du ja eine Enterprise-CA betreibst: Das Zertifikat für den Lancom muss unbedingt mit der Zertifikatsvorlage 'Webserver' erstellt werden. Nur dort wird die extendedKeyUsage korrekt auf SSL-Server-Authentisierung gesetzt - und darauf prüft der Client das eingehende Zertifikat.Code:
14.07.2005 10:26:28 NCPIKE-phase1:name(MAS-UMTS/GPRS) - error - PKI ERROR: - Client Error: Verify Certificate with error 2107 ! (Ext. 'SSL Server Authentication' failed)
Gruß
Mario
ups
noch ein Hinweis, da Du ja eine Enterprise-CA betreibst: Das Zertifikat für den Lancom muss unbedingt mit der Zertifikatsvorlage 'Webserver' erstellt werden. Nur dort wird die extendedKeyUsage korrekt auf SSL-Server-Authentisierung gesetzt - und darauf prüft der Client das eingehende Zertifikat.
Funktioniert jedenfalls jetzt
Hier nochmal der Trace :
Code: Alles auswählen
[VPN-Status] 2005/07/18 15:45:53,510
IKE info: The remote server 80.146.5.176:500 peer def-main-peer id <no_id> supports draft-ietf-ipsec-isakmp-xauth
IKE info: The remote server 80.146.5.176:500 peer def-main-peer id <no_id> negotiated rfc-3706-dead-peer-detection
IKE info: The remote client 80.146.5.176:500 peer def-main-peer id <no_id> is NCP LANCOM Serial Number Protocol 1.0 with serial number ******
[VPN-Status] 2005/07/18 15:45:53,510
IKE info: Phase-1 remote proposal 1 for peer def-main-peer matched with local proposal 1
[VPN-Status] 2005/07/18 15:45:54,250
IKE log: 154554 Default x509_cert_subjectaltname: subjectaltname invalid length
[VPN-Status] 2005/07/18 15:45:54,280
IKE info: Phase-1 [responder] got initial contact from peer MAS (80.146.5.176)
[VPN-Status] 2005/07/18 15:45:54,750
IKE info: Phase-1 [responder] for peer MAS between initiator id /E=mas@test.lan/CN=MAS, responder id /E=hostmaster@test.lan/C=DE/ST=NRW/L=TEST/O=TEST Lan/OU=Security/CN=gate.test.lan done
IKE info: SA ISAKMP for peer MAS encryption aes-cbc authentication md5
IKE info: life time ( 28800 sec/ 0 kb)
[VPN-Status] 2005/07/18 15:45:54,830
IKE info: IKE-CFG: Received REQUEST message with id 0 from peer MAS
IKE info: IKE-CFG: Attribute INTERNAL_IP4_ADDRESS len 0 value (none) received
IKE info: IKE-CFG: Attribute INTERNAL_IP4_DNS len 0 value (none) received
IKE info: IKE-CFG: Attribute INTERNAL_IP4_NBNS len 0 value (none) received
IKE info: IKE-CFG: Attribute <Unknown 20002> len 0 is private -> ignore
IKE info: IKE-CFG: Attribute <Unknown 28672> len 0 is private -> ignore
IKE info: IKE-CFG: Attribute <Unknown 28673> len 0 is private -> ignore
IKE info: IKE-CFG: Attribute <Unknown 28674> len 0 is private -> ignore
IKE info: IKE-CFG: Attribute <Unknown 28675> len 0 is private -> ignore
IKE info: IKE-CFG: Attribute <Unknown 28676> len 0 is private -> ignore
IKE info: IKE-CFG: Attribute <Unknown 28677> len 0 is private -> ignore
IKE info: IKE-CFG: Attribute <Unknown 28678> len 0 is private -> ignore
IKE info: IKE-CFG: Attribute <Unknown 28679> len 0 is private -> ignore
IKE info: IKE-CFG: Attribute <Unknown 28681> len 0 is private -> ignore
[VPN-Status] 2005/07/18 15:45:54,840
IKE info: IKE-CFG: Creating REPLY message with id 0 for peer MAS
IKE info: IKE-CFG: Attribute INTERNAL_IP4_NBNS len 0 skipped
IKE info: IKE-CFG: Attribute INTERNAL_IP4_DNS len 4 value 192.168.10.254 added
IKE info: IKE-CFG: Attribute INTERNAL_IP4_ADDRESS len 4 value 192.168.10.162 added
IKE info: IKE-CFG: Sending message
[VPN-Status] 2005/07/18 15:45:55,070
IKE info: Phase-2 proposal failed: remote No 1, number of protos 2 <-> local No 1, number of protos 1
IKE info: Phase-2 remote proposal 1 failed for peer MAS
IKE info: Phase-2 proposal failed: remote No 2, number of protos 2 <-> local No 1, number of protos 1
IKE info: Phase-2 remote proposal 2 failed for peer MAS
IKE info: Phase-2 proposal failed: remote No 3, number of protos 2 <-> local No 1, number of protos 1
IKE info: Phase-2 remote proposal 3 failed for peer MAS
IKE info: Phase-2 proposal failed: remote No 4, number of protos 2 <-> local No 1, number of protos 1
IKE info: Phase-2 remote proposal 4 failed for peer MAS
IKE info: Phase-2 proposal failed: remote No 5, number of protos 2 <-> local No 1, number of protos 1
IKE info: Phase-2 remote proposal 5 failed for peer MAS
IKE info: Phase-2 proposal failed: remote No 6, number of protos 2 <-> local No 1, number of protos 1
IKE info: Phase-2 remote proposal 6 failed for peer MAS
IKE info: Phase-2 proposal failed: remote No 7, number of protos 2 <-> local No 1, number of protos 1
IKE info: Phase-2 remote proposal 7 failed for peer MAS
IKE info: Phase-2 proposal failed: remote No 8, number of protos 2 <-> local No 1, number of protos 1
IKE info: Phase-2 remote proposal 8 failed for peer MAS
IKE info: Phase-2 proposal failed: remote No 9, number of protos 2 <-> local No 1, number of protos 1
IKE info: Phase-2 remote proposal 9 failed for peer MAS
IKE info: Phase-2 proposal failed: remote No 10, number of protos 2 <-> local No 1, number of protos 1
IKE info: Phase-2 remote proposal 10 failed for peer MAS
IKE info: Phase-2 remote proposal 11 for peer MAS matched with local proposal 1
[VPN-Status] 2005/07/18 15:45:55,350
IKE info: Phase-2 [responder] done with 2 SAS for peer MAS rule ipsec-40-MAS-pr0-l0-r0
IKE info: rule:' ipsec 0.0.0.0/0.0.0.0 <-> 192.168.10.162/255.255.255.255 '
IKE info: SA ESP [0x63f10866] alg AES keylength 128 +hmac HMAC_MD5 outgoing
IKE info: SA ESP [0x2799a0c4] alg AES keylength 128 +hmac HMAC_MD5 incoming
IKE info: life soft( 25920 sec/0 kb) hard (28800 sec/0 kb)
IKE info: tunnel between src: 62.80.xx.xx dst: 80.146.5.176
Vielen Dank für Deine Hilfe
Gruss
Dominik
