G_StarRAW hat geschrieben: 27 Jun 2018, 21:11
Gibt es auch eine Anleitung für IKEv2 mit statischer IP-Adresse auf der Responder Seite?
Einfach in der bekannten Anleitung auf dem Initiator unter /Setup/VPN/IKEv2/Gegenstellen/ im Wert "Entferntes-Gateway" die statische IP-Adresse des Responder an Stelle des DDNS-FQDN eintragen. Siehe auch LCOS-Menüreferenz:
https://www.lancom-systems.de/docs/conf ... 6_1_4.html
=> Ungetestet!
Unter IKEv1 gibt es bei der Verwendung von der statischen IP-Adresse des Responder das unter:
https://www.lancom-systems.de/docs/conf ... 28358.html
beschriebene "Main Mode"/"Aggressive Mode"-Problem. Diese Problematik sollte unter IKEv2 nicht mehr existieren:
https://www.heise.de/security/artikel/E ... 70056.html
Beim Erstellen des Maschinenzertifikats kann weiterhin ein x-beliebiger "Common Name" (kurz: CN) (und "subjectAltName") verwendet werden. Der "Common Name" des vom VPN-Endpunkt verwendeten Maschinenzertifikat muss nur korrekt beim anderen VPN-Endpunkt hinterlegt werden:
Code: Alles auswählen
/Setup/VPN/IKEv2/Auth/Parameter/Local ID
CN=granddixence.spdns.de
G_StarRAW hat geschrieben: 27 Jun 2018, 21:11
Ich habe nur das Problem ab Firmware 10.12 RU7 oder RU8, dass alle VPN-Tunnels getrennt werden, wenn ich die Konfiguration über LANconfig in den Router zurückschreibe.
Bekanntes Phänomen. Siehe auch:
fragen-zum-thema-vpn-f14/keine-verbindu ... 4-s15.html
Das Ändern der LANCOM-Routerkonfiguration an einem x-beliebigen Konfigurationsparameter führt zur (kurzfristigen) Trennung des VPN-Tunnels, wenn AES-GCM für die VPN-Tunnelverschlüsselung eingesetzt wird. Auszug aus meiner Fehlermeldung an LANCOM:
Code: Alles auswählen
Mit LCOS 10.12Rel und der Konfiguration des IKEv2/IPSec-VPN-Tunnels mit der
neuen Verschlüsselungsmethode AES-GCM-128 kann durch den VPN-Tunnel auf ein
fernes LANCOM-Gerät keine Konfigurationsdatei (*.lcf) mehr über das
Webinterface/Webconfig hochgeladen werden. Das Hochladen wird mit einer
Fehlermeldung abgebrochen.
Das Wiederherstellen eines Konfigurationsbackup auf einem fernen LANCOM-Gerät
ist durch den VPN-Tunnel mit AES-GCM-Verschlüsselung unmöglich!
Stelle ich den VPN-Tunnel wieder auf die Verschlüsselung AES-CBC-128 um, kann
ich durch den VPN-Tunnel auf dem fernen LANCOM-Gerät wieder die
Konfigurationsdatei hochladen sprich das Konfigurationsbackup wiederherstellen.
Da LANCOM offenbar nicht an der Fehlerbehebung interessiert ist, besteht dieser Mangel auch noch in der aktuellsten LCOS-Version...
Der Einsatz von AES-CBC ist aus Sicherheitsgründen
nicht empfehlenswert! AES-CBC ist anfällig für die "MAC-then-Encrypt"-Problematik:
https://www.golem.de/news/verschluessel ... 09273.html
https://www.heise.de/ct/ausgabe/2017-4- ... 08879.html