Strongswan Ubuntu 18.04 mit NetworkManager zu 1781VAW

[MDCYP]

Hallo zusammen,

wollte mal mit einem Dell XPS13 9300 Developer Edition mit Ubuntu 18.04 unsere VPN Testen - es gibt ja hier für den NetworkManager ein Strongswan Plugin, damit sieht das ja rel. einfach aus.
Wir setzen den 1781 mit 10.32er FW - leider hab ich gemerkt, dass wohl Strongswan bei IPSec/IKEv2 und Zertifikaten, ein SAN Eintrag im Router cert erwartet.

https://wiki.strongswan.org/projects/st ... y-required

" To prevent MITM attacks some of the clients that, for simplicity, don't require configuring the server identity explicitly (e.g. the Android and macOS apps or the NetworkManager plugin) enforce the hostname/IP as remote identity and will check that this identity is contained in a subjectAlternativeName (SAN) extension of the server certificate."

Jetzt hatte ich gesehen, das im WebMenü vom Lancom, gar kein Eintrag bzw. Zeile SAN Einträge für Zertifikate sind? Daher meine Frage wie ihr das gemacht habt? Ohne das WebMenü dann Router Cert angelegt ?

Grüße!

[GrandDixence]

Das Routerzertifikat (X.509) muss erneut von der Certificate Authority (CA) beglaubigt werden. Diesmal mit dem SAN-Eintrag (subjectAltName).

Die Verwendung von "subjectAltName" ist generell empfehlenswert ("SAN Eintrag").

Siehe für mehr Informationen zu "subjectAltName":
https://www.heise.de/security/artikel/C ... 17594.html

https://wiki.strongswan.org/projects/st ... in7CertReq

Und zur VPN-Konfiguration generell:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795

[MDCYP]

Ok danke - aber den zusätzlichen SAN Eintrag kann ich nicht im Lancom Webmenü dafür anlegen - korrekt? Also unter "Zertifikate verwalten" > neues Zertifikat erstellen