Shrewsoft-VPN-Client mit Zertifikaten...

waldmeister24 · Beitrag von **waldmeister24** » 05 Aug 2008, 14:03

Hallo,
ich möchte mit dem Shresoft-VPN-Client eine VPN-Verbindung zu einem 1711VPN aufbauen.
Habe dazu mit xca die entsprechenden Zertifikate (Server-Zertifikat für Router in einer PKCS#12-Datei, Client-Zertifikat ebenfalls) erstellt und das Server-Zertifikat in den 1711VPN eingespielt (wird dann auch mit "show vpn ca" einwandfrei angezeigt).
Dann habe ich per Assistent einen VPN-Zugang erstellt ("Zertifikate und Main-Mode" // Lokale und Entfernte Identität aus dem jeweiligen Zertifikat).

Anschließend habe ich im Shrewsoft-Client ein Profil angelegt. Auch hier die entsprechenden Daten eingetragen (für die Authentifizierung habe ich "Mutual RSA" ausgewählt, "ASN1-Distinguished" , Pfad zum PKCS#12-Zertifikat) und versucht eine Verbindung aufzubauen. Leider klappt es nicht

Ein Trace am Router ergibt immer:
"IKE Info: Phase-1 negotiation failed: no configuration found for incoming..."

Noch kurz was zur Konfig des Routers: Es werden zwei Netze verwaltet (Netz A mit 192.168.178.x mit Routing-Tag 1, Netz B mit 192.168.0.x mit Routing-Tag 2). Außerdem sind zwei getrennte Internetzugänge für beide Netze aktiv. Nun soll von außen auf Netz A zugegriffen werden. Später mal soll dann auch jemand auf Netz B zugreifen können.

Was läuft hier falsch? Was muiß ich am Router und am Shrewsoft-Client konfigurieren, damit der Verbindungsaufbau klappt?

Würde mich sehr über Tipps freuen!

Grüße
waldmeister24

froeschi62 · Beitrag von **froeschi62** » 05 Aug 2008, 14:53

Hallöchen,
erst zur Beruhigung: ShrewSoft läuft im Main Mode mit Zertifikaten einwandfrei. Ich habe hier eine VPN Verbindung zu einem Lancom 1823.
Was mir spontan einfällt: Hat Du im ShrewSoft bei Phase1 Proposal Parameters den Exchange Type auf "Main" (Main Mode) umgestellt? Alle übrigen Daten (Phase1, Phase2) müssen deiner Proposal Konfiguration im Lancom entsprechen. Bei "General" stellst Du den "ike config pull mode" ein.

Gruß
Dietmar

ittk · Beitrag von **ittk** » 05 Aug 2008, 15:35

Hi,

aber nur den IKE Mode Cfg "Pull Mode" konfigurieren, wenn du auch auch RAS Pool nutzt, andersfalls muss die feste IP des Clients im VPN-Client ebenfalls konfiguriert werden.

froeschi62 · Beitrag von **froeschi62** » 05 Aug 2008, 15:46

Hallo ittk,

da muss ich Dich ausnahmsweise korrigieren.

Das funktioniert auch, so wie ich es beschrieben habe, bei fester IP. Zumindest mit dem ShrewSoft Client. Ich hatte im Lancom beide Varianten konfiguriert (derzeit RAS Pool) und musste am ShrewSoft Client nichts ändern. Du brauchst noch nicht einmal die feste IP im ShrewSoft Client explizit angeben.
Ich beziehe mich hierbei auf die neuste ShrewSoft v2.1.1 Version.

Viele Grüße
Dietmar

ittk · Beitrag von **ittk** » 05 Aug 2008, 16:14

Hi Dietmar,

klar ich glaube wir haben uns missverstanden. Meine Aussage galt dem Routing und dabei geht je nach LC Konfig nur entweder RAS-IP-Pool oder eine feste IP-Adresse zugewiesen, dies hat natuerlich keinerlei Auswirkungen auf den IKE-Exchange Modus (Main-Mode in diesem Fall) bei Zertifikatsnutzung.
Dem ShrewSoft Client ist es letzendlich egal welcher Modus im LC konfiguriert ist, auch wenn dieser sich im Pull Modus befindet, da die IP-Adresse immer im Mode-Cfg Paket enthalten ist.

froeschi62 · Beitrag von **froeschi62** » 05 Aug 2008, 16:20

Hallo ittk,

genauso ist es.

Du hattest aber geschrieben:

"....andersfalls muss die feste IP des Clients im VPN-Client ebenfalls konfiguriert werden...."

Das ist aber nicht nötig und die Erlärung hast Du ja nun selbst geliefert.

Viele Grüße
Dietmar

waldmeister24 · Beitrag von **waldmeister24** » 08 Aug 2008, 20:20

Hallo,

ich hab nun mit eine Verbindung vom Shrewsoft-Client zu einem Lancom-Router mit Zertifikaten hinbekommen

. Hab das ganze aber nun erst mal mit meinem 1611 zuhause getestet.
Als ich den VPN-Zugang am 1611 mit dem Setup-Assistenten eingerichtet habe, ist mir folgendes aufgefallen: Während der Konfiguration wird man gefragt welche IP-Adresse der VPN-Client bekommen soll. Hier wird in meinem Fall richtigerweise der IP-Kreis 192.168.100.0 mit der Subnetzmaske 255.255.255.0 angegeben.

Frage: Bei dem o.g. 1711VPN mit zwei getrennten Netzen (Netz A, Netz B) gebe ich nun z.B. 192.168.178.250 ein, um über die VPN-Verbindung auf Netz A zugreifen zu können. Nach Abschluß des Assistenten muß ich noch folgende Änderungen vornehmen:
1. In der Routing-Tabelle bei dem Eintrag "192.168.178.250" das Routing-Tag auf "1" ändern.
2. In der VPN-Verbindungsliste für den erstellten Client ebenfalls das Routing-Tag auf "1" ändern.

Ist dies so korrekt oder ist sonst noch eine Änderung erforderlich?

Grüße
waldmeister24

waldmeister24 · Beitrag von **waldmeister24** » 12 Aug 2008, 13:40

Hallo,

nun bin ich es nochmal. Ich wollte heute die VPN-Verbindung an dem genannten 1711VPN einrichten. Alles so konfiguriert wie an meinem Router und an meinem Client im Büro, aber die VPN-Verbindung wird nicht aufgebaut.

Ein Trace am Router ergibt wieder:
"IKE Info: Phase-1 negotiation failed: no configuration found for incoming..."

Am Shrewsoft-Client kann es nicht liegen, da ich es mit dem Lancom AVC auch probiert habe, mit dem gleichen Ergebnis.

Hat jemand eine Idee woran der Verbindungsaufbau hier scheitert?

Grüße
waldmeister24

froeschi62 · Beitrag von **froeschi62** » 12 Aug 2008, 13:56

Hallo,

hast Du im Lancom unter VPN/Allgemein/Verbindungsparameter die richtigen Proposals eingetragen?

Gruß
Dietmar

froeschi62 · Beitrag von **froeschi62** » 12 Aug 2008, 14:09

Hallo,

überprüfe ebenfalls die Proposals in VPN/Allgemein/defaults. Eventuell stehen dort Proposals drin, die es in Deiner Proposalliste nicht gibt. Am Besten trägst Du dort ebenfalls die Proposals ein, die Du für Den Main Mode mit Zertifikaten nutzt. Dann geht der Verbindungsaufbau schneller weil die Proposals sofort matchen.

Gruß
Dietmar

waldmeister24 · Beitrag von **waldmeister24** » 12 Aug 2008, 14:11

Hallo Dietmar,

ich hab die Proposal-Einstellungen unter VPN->Allgemein->Verbindungsparameter aus der Konfig des 1711VPN nun nochmal mit den Einstellungen in meinem 1611 zuhause verglichen. Beide sind identisch.

PFS-Gruppe: 2(MODP-1024)
IKE-Gruppe: 2(MODP-1024)
IKE-Proposals: WIZ-IKE-ADVCLIENT
IKE-Schlüssel: KEY-"VPN-NAME"
IPSec-Proposals: WIZ-IPS-ADVCLIENT

Sollte passen, oder?

Gruß
waldmeister24

froeschi62 · Beitrag von **froeschi62** » 12 Aug 2008, 14:15

Hi,

dann schau dir nochmals meine letzte Antwort an. Mehr fällt mir dann auch nicht mehr ein. Aber irgendwie matchen Deine Proposals in Phase1 nicht. Hier liegt definitiv irgendwo der Fehler.
Ansonsten: Radikalkur. Über den Assistenten die VPN Verbindung löschen und neu anlegen.

Gruß
Dietmar

waldmeister24 · Beitrag von **waldmeister24** » 12 Aug 2008, 14:18

Hallo,

unter VPN->Defaults hab ich folgende Einstellungen für den Main-Mode:

1611 zuhause:
- Default IKE-Proposal-Liste: IKE_RSA_SIG (Aufbau klappt zwar hier, aber sollte ich hier evtl. auf "WIZ-IKE-ADVCLIENT" umstellen??)
- Default IKE-Gruppe: 2(MODP-1024)

1711VPN:
- Default IKE-Proposal-Liste: WIZ-IKE-ADVCLIENT (hier ist nichts anderes auswählbar)
- Default IKE-Gruppe: 2(MODP-1024)

Edit: Die VPN-Verbindung hab ich schon mehrfach gelöscht und neu angelegt.

Gruß
waldmeister24

froeschi62 · Beitrag von **froeschi62** » 12 Aug 2008, 14:28

Hi,

ja, kannst Du lassen aber auch umstellen. Wie gesagt, dann wird sofort eine Übereinstimmung gefunden was den Verbindungsaufbau etwas beschleunigt.

Was den WIZ-IKE-ADVCLIENT betrifft, untersuche das Proposal genauer auf Gleichheit mit dem 1611er.
Aber nun ist mein Latein auch am Ende.

)

Gruß
Dietmar

froeschi62 · Beitrag von **froeschi62** » 12 Aug 2008, 14:39

Hi,

zu guter Letzt könnte noch etwas beim IKE-Schlüssel/Identitäten schief gelaufen sein. Hier auch nochmals miteinander vergleichen.

Gruß
Dietmar