VPN-Fehler

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Benutzeravatar
G_StarRAW
Beiträge: 52
Registriert: 12 Feb 2012, 11:26
Wohnort: Köln

Re: VPN-Fehler

Beitrag von G_StarRAW »

Hallo Dr. Einstein,

vielen Dank für den Tipp.
das ganze erinnert mich an einem Fall, wo eine bestimmte Firmware-Version eines Zyxel B30A Modems VPN Pakete nach der Zwangstrennungs / PPPoE Trennung einfach verschluckt hat, alles andere lief sauber. Erst nach einem Router oder Modemneustart lief der nachgelagerte VPN wieder, konnte man immer schön sehen, dass auf der Gegenseite keinerlei Pakete angekommen sind am nächsten Morgen, per Wireshark hat man die Pakete aber am Quellrouter sehen können ...

Vielleicht kannst du in die Richtung ebenfalls einmal schauen.
Wenn ich von hier aus darauf zugreifen könnte... ansonsten muss ich warten bis ich vor Ort bin. Das dauert noch ein paar Wochen.

Lieben Gruß
Dragos
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: VPN-Fehler

Beitrag von GrandDixence »

Wer sich nicht den Luxus eines Internetanschlusses mit einer statischen öffentlichen IPv4-Adresse leisten kann oder will, muss mit dynamischen öffentlichen IPv4-Adressen und deren Nachteile für allfällige Serverdienste (zum Beispiel: VPN-Server) vorlieb nehmen:
https://www.lancom-systems.de/docs/conf ... 17768.html

Damit der Initiator den Responder für den VPN-Tunnelaufbau jederzeit erreichen kann, muss entweder:

- der Responder mit einer statischen, öffentlichen IPv4-Adresse betrieben werden (die aus Verfügbarkeitsgründen empfohlene Lösung!)
ODER
- eine der (im endenden ISDN-Zeitalter und im beginnenden ALL-IP-Zeitalter nicht mehr zukunftstüchtigen) ISDN-Lösungen (LANCOM Dynamic VPN) von LANCOM einsetzen:
https://www.lancom-systems.de/docs/conf ... 17453.html
ODER
- (zukunftstüchtiges) Dynamisches DNS (DDNS) einsetzen (Beitrag vom 02 Sep 2016, 11:25):
fragen-zum-thema-vpn-f14/windows-phone- ... tml#p86775
Benutzeravatar
G_StarRAW
Beiträge: 52
Registriert: 12 Feb 2012, 11:26
Wohnort: Köln

Re: VPN-Fehler

Beitrag von G_StarRAW »

Hallo GrandDixence,

der Responder hat bei mir eine statische IP-Adresse.
Gibt es auch eine Anleitung für IKEv2 mit statischer IP-Adresse auf der Responder Seite?
Ich habe im Moment die manuelle Anleitung auf der LANCOM-Seite als Beispiel benutzt Ein Paar Anpassungen habe von Dir übernommen wie Gültigkeit und GCM-Verschlüsselung.

Ich habe nur das Problem ab Firmware 10.12 RU7 oder RU8, dass alle VPN-Tunnels getrennt werden, wenn ich die Konfiguration über LANconfig in den Router zurückschreibe.
Sogar ein Mitarbeiter von LANCOM Service hat sich per TeamViewer das angeschaut, aber er konnte sich das nicht erklären.
Weißt du vielleicht woran das liegt?

Lieben Gruß
Dragos
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: VPN-Fehler

Beitrag von GrandDixence »

G_StarRAW hat geschrieben: 27 Jun 2018, 21:11 Gibt es auch eine Anleitung für IKEv2 mit statischer IP-Adresse auf der Responder Seite?
Einfach in der bekannten Anleitung auf dem Initiator unter /Setup/VPN/IKEv2/Gegenstellen/ im Wert "Entferntes-Gateway" die statische IP-Adresse des Responder an Stelle des DDNS-FQDN eintragen. Siehe auch LCOS-Menüreferenz:
https://www.lancom-systems.de/docs/conf ... 6_1_4.html
=> Ungetestet!

Unter IKEv1 gibt es bei der Verwendung von der statischen IP-Adresse des Responder das unter:
https://www.lancom-systems.de/docs/conf ... 28358.html
beschriebene "Main Mode"/"Aggressive Mode"-Problem. Diese Problematik sollte unter IKEv2 nicht mehr existieren:
https://www.heise.de/security/artikel/E ... 70056.html

Beim Erstellen des Maschinenzertifikats kann weiterhin ein x-beliebiger "Common Name" (kurz: CN) (und "subjectAltName") verwendet werden. Der "Common Name" des vom VPN-Endpunkt verwendeten Maschinenzertifikat muss nur korrekt beim anderen VPN-Endpunkt hinterlegt werden:

Code: Alles auswählen

/Setup/VPN/IKEv2/Auth/Parameter/Local ID
CN=granddixence.spdns.de
G_StarRAW hat geschrieben: 27 Jun 2018, 21:11 Ich habe nur das Problem ab Firmware 10.12 RU7 oder RU8, dass alle VPN-Tunnels getrennt werden, wenn ich die Konfiguration über LANconfig in den Router zurückschreibe.
Bekanntes Phänomen. Siehe auch:
fragen-zum-thema-vpn-f14/keine-verbindu ... 4-s15.html

Das Ändern der LANCOM-Routerkonfiguration an einem x-beliebigen Konfigurationsparameter führt zur (kurzfristigen) Trennung des VPN-Tunnels, wenn AES-GCM für die VPN-Tunnelverschlüsselung eingesetzt wird. Auszug aus meiner Fehlermeldung an LANCOM:

Code: Alles auswählen

Mit LCOS 10.12Rel und der Konfiguration des IKEv2/IPSec-VPN-Tunnels mit der 
neuen Verschlüsselungsmethode AES-GCM-128 kann durch den VPN-Tunnel auf ein 
fernes LANCOM-Gerät keine Konfigurationsdatei (*.lcf) mehr über das 
Webinterface/Webconfig hochgeladen werden. Das Hochladen wird mit einer 
Fehlermeldung abgebrochen.

Das Wiederherstellen eines Konfigurationsbackup auf einem fernen LANCOM-Gerät
ist durch den VPN-Tunnel mit AES-GCM-Verschlüsselung unmöglich!

Stelle ich den VPN-Tunnel wieder auf die Verschlüsselung AES-CBC-128 um, kann
ich durch den VPN-Tunnel auf dem fernen LANCOM-Gerät wieder die 
Konfigurationsdatei hochladen sprich das Konfigurationsbackup wiederherstellen.
Da LANCOM offenbar nicht an der Fehlerbehebung interessiert ist, besteht dieser Mangel auch noch in der aktuellsten LCOS-Version...

Der Einsatz von AES-CBC ist aus Sicherheitsgründen nicht empfehlenswert! AES-CBC ist anfällig für die "MAC-then-Encrypt"-Problematik:

https://www.golem.de/news/verschluessel ... 09273.html

https://www.heise.de/ct/ausgabe/2017-4- ... 08879.html
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: VPN-Fehler

Beitrag von Dr.Einstein »

Hi GrandDixence,
GrandDixence hat geschrieben: 27 Jun 2018, 22:22 Einfach in der bekannten Anleitung auf dem Initiator unter /Setup/VPN/IKEv2/Gegenstellen/ im Wert "Entferntes-Gateway" die statische IP-Adresse des Responder an Stelle des DDNS-FQDN eintragen. Siehe auch LCOS-Menüreferenz:
https://www.lancom-systems.de/docs/conf ... 6_1_4.html
=> Ungetestet!
wie jetzt, du schreibst hier Tonnenweise Tipps in der Theorie und hast selbst nicht 1x IKEv2 mit Lancom getestet??? Du hast mein Weltbild über dich zerstört...

Gruß Dr.Einstein
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: VPN-Fehler

Beitrag von GrandDixence »

Ich habe keinen VPN-Endpunkt mit statischer IPv4-Adresse. Aber einige VPN-Tunnels mit IKEv2/IPSec und dynamischen, öffentlichen IPv4-Adressen. Also kann ich selber (und will auch gar nicht) die vorgeschlagene Umkonfiguration testen.
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: VPN-Fehler

Beitrag von Dr.Einstein »

Hallo GrandDixence,
GrandDixence hat geschrieben: 27 Jun 2018, 22:51 Ich habe keinen VPN-Endpunkt mit statischer IPv4-Adresse. Aber einige VPN-Tunnels mit IKEv2/IPSec und dynamischen, öffentlichen IPv4-Adressen. Also kann ich selber (und will auch gar nicht) die vorgeschlagene Umkonfiguration testen.
Der Einsatz von dynamischen IP Adressen für eine VPN Verbindung wird aber vom BSI nicht empfohlen: https://www.bsi.bund.de/SharedDocs/Down ... cationFile

Gruß Dr.Einstein
Benutzeravatar
G_StarRAW
Beiträge: 52
Registriert: 12 Feb 2012, 11:26
Wohnort: Köln

Re: VPN-Fehler

Beitrag von G_StarRAW »

Hallo,

vielen Dank Euch allen für die Unterstützung!!!

Ich bin doch etwas weiter gekommen... kann es praktisch erst nächsten Monat ausprobieren, wenn ich vor Ort bin.

Ich habe mich entschieden, den alten Router (den Problem-Router) mit einem neueren Gerät (1781AW) auszutauschen und VPN mit IKEv2 einzurichten... in der Hoffnung, dass eine IKEv2 VPN-Verbindung keine Probleme mehr macht.
Ich werde gleichzeitig nachschauen, ob der vorgeschaltete Router an dem Standort auf dem aktuellsten Firmware-Stand ist.

Was meine IKEv2-Verbindungen betrifft, möchte ich keine Experimente machen.
Ich bleibe bei der Anleitung von LANCOM:

https://www2.lancom.de/kb.nsf/474f6c68b ... enDocument

mit einigen Änderungen, die ich von der Anleitung von GrandDixence.

Nochmals vielen Dank!!

Lieben Gruß
Dragos
Antworten