Syslog rsa_sig_decode_hash: no CERT subject match

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
DGrand
Beiträge: 65
Registriert: 04 Nov 2015, 19:19

Syslog rsa_sig_decode_hash: no CERT subject match

Beitrag von DGrand »

Hallo Forum,
ich bräuchte da einmal ein Feedback, da ich mit meinem eigenen Latein nicht weiterkomme, ob diese Meldung besorgniserregend ist.

Gegeben:

1x 1781VA-4G als VPN-Initiator mit dyndns IKE-V2 mit Zertifikaten, Selbst CA
1x 1783VAW als VPN Site-to-Site Gegenstelle mit dyndns IKE-V2 mit Zertifikat

Die Meldung taucht im Syslog des 1781VA-4G wie folgt auf
95 2017-07-27 01:05:26 AUTH Hinweis Successfully connected to peer XXXX-IKEV2
96 2017-07-27 01:05:24 KERN Hinweis rsa_sig_decode_hash: no CERT subject match the ID
97 2017-07-27 01:05:23 AUTH Info Disconnected from peer XXXX-IKEV2: 017 006
98 2017-07-27 01:05:23 LOCAL0 Fehler VPN: Error for peer XXXX-IKEV2: IFC-I-Connection-timeout-IKE-IPSEC
99 2017-07-27 01:00:58 AUTH Info Disconnected from peer 1UND1: manual-disconnect

Im Syslog auf der Gegenstelle (1783VAW) steht:
262 2017-07-27 01:05:24 AUTH Hinweis User XXXX-IKEV2 successfully logged in
263 2017-07-27 01:05:23 KERN Hinweis rsa_sig_decode_hash: no CERT subject match the ID
267 2017-07-27 01:01:08 AUTH Hinweis Successfully connected to peer 1UND1
268 2017-07-27 01:01:08 AUTH Hinweis local IP address for 1UND1 is XXX.XXX.XXX.XXX, remote IP address is XXX.XXX.XXX.XXX
269 2017-07-27 01:00:59 LOCAL0 Fehler error for peer XXXX: No remote
270 2017-07-27 01:00:58 AUTH Info Disconnected from peer 1UND1: manual-disconnect
271 2017-07-27 01:00:10 AUTH Hinweis Successfully connected to peer 1UND1
272 2017-07-27 01:00:10 AUTH Hinweis local IP address for 1UND1 is XXX.XXX.XXX.XXX, remote IP address is XXX.XXX.XXX.XXX
273 2017-07-27 01:00:07 LOCAL0 Fehler error for peer XXXX: No remote
274 2017-07-27 01:00:06 AUTH Info Disconnected from peer 1UND1: remote-disconnected
275 2017-07-27 01:00:06 AUTH Info User XXXX-IKEV2 logged out
276 2017-07-27 01:00:06 LOCAL0 Fehler VPN: Disconnect info for peer XXXX-IKEV2: physical-disconnected
277 2017-07-27 01:00:06 LOCAL0 Fehler VPN: Disconnect info for peer XXXX-IKEV2: physical-disconnected

Zuvor erfolgt auf beiden Seiten um 1 Uhr die Zwangstrennung per CRON-Job.
Per <s>Cron</s> Aktionstabelle schicken die Lancoms bei Verbindungsaufbau der Gegenstellen (1und1) ihre neuen IPs an den dyndns Dienst

Die VPN Tunnel stehen soweit und funktionieren ohne Einschränkung.

Jedoch möchten mir die Lancoms doch sagen, da ihnen etwas nicht passt, oder?

danke für eure Hinweise

Mfg Daniel
Zuletzt geändert von DGrand am 27 Jul 2017, 12:37, insgesamt 1-mal geändert.
Router/ Modem: 1781VA-4G + ALL-IP + VPN25 & 1783VAW I Wlan: L-1302acn & L-1310acn & WLC-4006+ I Switch: GS-2326 & GS-2310P
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Syslog rsa_sig_decode_hash: no CERT subject match

Beitrag von Jirka »

Hallo Daniel,
DGrand hat geschrieben:Per Cron schicken die Lancoms bei Verbindungsaufbau der Gegenstellen (1und1) ihre neuen IPs an den dyndns Dienst
Du meinst doch sicher per Aktionstabelle, oder?

Zu Deiner eigentlichen Frage kann ich Dir nicht viel sagen, anscheinend tauchen die Routernamen im Zertifikat nirgends auf, was aber eben auch nicht zu stören scheint.

Viele Grüße,
Jirka
DGrand
Beiträge: 65
Registriert: 04 Nov 2015, 19:19

Re: Syslog rsa_sig_decode_hash: no CERT subject match

Beitrag von DGrand »

Hallo Jirka,
danke für Deine schnelle Antwort,

Ja, :M , meinte natürlich Aktionstabelle :-)
Router/ Modem: 1781VA-4G + ALL-IP + VPN25 & 1783VAW I Wlan: L-1302acn & L-1310acn & WLC-4006+ I Switch: GS-2326 & GS-2310P
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Syslog rsa_sig_decode_hash: no CERT subject match

Beitrag von GrandDixence »

Entweder sind die für VPN vorgesehenen und vom Benutzer im LANCOM-Gerät installierten RSA-Zertifikate nicht in Ordnung (oder gar nicht vorhanden) UND/ODER die VPN-Konfiguration des LANCOM-Geräts ist nicht in Ordnung. Dies hat keine Folgen, da sich die VPN-Endpunkte nicht authentifizieren, was eine gravierende Sicherheitslücke darstellt!

Code: Alles auswählen

/Setup/VPN/IKEv2/Auth/Parameter/Remote-Cert-ID-Check

korrekt:  Ja
falsch:   Nein
Bitte gemäss der Anleitung:

http://www.lancom-forum.de/fragen-zum-t ... 15356.html

vorgehen. Diese Anleitung eignet sich auch für den VPN-Tunnel zwischen zwei LANCOM-Geräten.

Hinweis zur Anleitung:
Der "DEFAULT"-Eintrag (unter /Setup/VPN/IKEv2/Gegenstellen/) ist nur bei VPN-Einwahlverbindungen erforderlich.
Bei reinen LANCOM-VPN-Verbindungen ist der "DEFAULT"-Eintrag nicht erforderlich!

Das Signaturverfahren RSASSA-PSS mit SHA-384 oder SHA-512 wird von LCOS 10.00 RU3 oder älter nicht unterstützt (obwohl konfigurierbar).
Das Signaturverfahren RSASSA-PSS mit SHA-256 wird von LCOS 10.00 RU3 unterstützt. Der Einsatz des Signaturverfahren RSASSA-PSS mit SHA-256 ist für VPN-Tunnel zwischen LANCOM-Geräten gemäss BSI TR-02102-3 empfohlen.

Der RSASSA-PSS-Mangel wird von LANCOM in einer zukünftigen LCOS-Version behoben.

Auf allen LANCOM-Geräte für VPN-Tunneln sollte LCOS 10.00 RU3 laufen. Dies dient der Vorbereitung auf das kommende LCOS 10.12, welches mit AES-GCM-Unterstützung und elliptischer Diffie-Hellman-Gruppen (ECDH) eine bessere Absicherung des VPN-Tunnels ermöglicht:

http://www.lancom-forum.de/fragen-zum-t ... 16174.html

https://www.lancom-systems.de//fileadmi ... RC1-DE.pdf

Ich betreibe gemäss dieser Anleitung einige wenige VPN-Tunnels mit RSA-Zertifikaten mit LANCOM-Geräten an beiden VPN-Endpunkten. Bis auf sporadische Probleme mit DPD (Dead Peer Detection => RFC 3706) funktioniert der VPN-Tunnel mit IKEv2/IPSEC (ESP) zwischen zweier LANCOM-Geräten mit aktueller LCOS-Version. Das DPD-Problem habe ich heute der LANCOM-Hotline mitgeteilt (wird hoffentlich in einer zukünftigen LCOS-Version behoben).
Antworten