VPN mit Microsoft Surface Pro X (ARM) / Win10 (Boardmittlen) möglich? Wie?

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
b.junghans
Beiträge: 59
Registriert: 08 Okt 2013, 15:25

VPN mit Microsoft Surface Pro X (ARM) / Win10 (Boardmittlen) möglich? Wie?

Beitrag von b.junghans »

Hi zusammen,
haben seit neuestem in der Firma ein Microsoft Surface Pro X. Dieses läuft mit einem ARM Prozessor, daher lässt sich der Lancom VPN Client nicht installieren.

Bin nun auf der Suche nach einer Alternative. Habe es zunächst mit verschiedenen Knowledgebase Artikeln und den Windows 10 Boardmitteln versucht (PPTP, L2TP mit Pre Shared Key, IKEv2 mit User/PW, Android Anleitung…) nichts hat funktioniert.

Habe es dann versucht mit IKEv2 mit Zertifikat. Im Großen und Ganzen bin ich auch zu 80% damit hingekommen, jedoch beschreibt der letzte Teil des Artikels wie man den Lancom Client auf Zertifikat einstellt. Das mit den Windows Boardmitteln abzubilden habe ich bis jetzt nicht hinbekommen.

Das Zertifikat lässt sich zwar im Zertifikatsspeicher installieren und auch für die VPN Verbindung auswählen, aber habe bis jetzt keinen Weg gefunden dieser die "Lokale Identität (IKE)" mit Typ "ASN1 Distinguished Name" und der entsprechenden ID mitzugeben. Kann da jemand weiter helfen?!

Sonst irgendjemand ne Idee wie man es über Windows 10 Boardmittel hinbekommen kann oder evtl. welcher Client funktionieren könnte?

Lancom Support meint nur:
"Da die Windows Boardmittel bei einem Aufbau der VPN-Verbindung lediglich den Transport Modus unterstützen, ist ein Aufbau der VPN-Verbindung mit diesen mitteln nicht möglich. Als alternative kann jeder IPSec VPN Client genutzt werden, der Standard IPsec im Tunnelmodus unterstützt und mit einer ARM-CPU lauffähig ist. Einen speziellen Client kann ich Ihnen hier allerdings nicht nennen."
Was sagt Ihr dazu?

Danke schon mal!!!
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: VPN mit Microsoft Surface Pro X (ARM) / Win10 (Boardmittlen) möglich? Wie?

Beitrag von GrandDixence »

Die in der Windows 10 Mobile-VPN-Anleitung unter:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
aufgeführten Konfigurationsschritte, welche nicht direkt auf dem Mobilgerät konfiguriert werden können, können eventuell mit einer MDM aus der Ferne konfiguriert werden. Der Einsatz einer MDM für alle Mobilgeräte ist im Firmenbereich sowieso aus Sicherheitsgründen "Pflicht"!

https://de.wikipedia.org/wiki/Mobile-Device-Management

https://docs.microsoft.com/en-us/window ... ement/mdm/

https://docs.microsoft.com/en-us/intune ... -is-intune

Viel Glück!
b.junghans
Beiträge: 59
Registriert: 08 Okt 2013, 15:25

Re: VPN mit Microsoft Surface Pro X (ARM) / Win10 (Boardmittlen) möglich? Wie?

Beitrag von b.junghans »

GrandDixence hat geschrieben: 03 Feb 2020, 17:44 Die in der Windows 10 Mobile-VPN-Anleitung unter:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
...
Viel Glück!
Versuche mich grade daran, scheitere aber bei der Zertifikatserstellung daran, dem Zertifikat die "extended key usage" mitzugeben
(siehe: fragen-zum-thema-vpn-f14/zertifikaterst ... 17973.html )

Kannst du weiterhelfen? Danke!!!
b.junghans
Beiträge: 59
Registriert: 08 Okt 2013, 15:25

Re: VPN mit Microsoft Surface Pro X (ARM) / Win10 (Boardmittlen) möglich? Wie?

Beitrag von b.junghans »

GrandDixence hat geschrieben: 03 Feb 2020, 17:44 Die in der Windows 10 Mobile-VPN-Anleitung unter:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
So habe die Anleitung nun durch, incl extended key usage beim Routerzertifikat.
Ergebnis: Windows meldet "Die Netzwerkverbindung zwischen Ihrem Computer und dem VPN-Server konnte nicht hergestellt werden".

Was mich etwas gewundert hat, es fehlt ja in der Anleitung irgendwie komplett der Part, auf dem Router einen zugehörigen Zugang einzurichten. Ist das bewusst so?

Habe mich dann mal hieran gehalten: Konfiguration einer zertifikatsbasierten VPN Client-Verbindung mit dem LANCOM Advanced VPN Client (IKEv2)

Dann erhalte ich: Fehler bei der Richtlinienübereinstimmung

Was mich hierzu jetzt noch ein bischen wundert:
Die Zertifikate hab ich ja hetzt durch OpenSSL erstellt, nicht durch den Router. In der Lancom Anleitung sieht man ja, das die Einstellungen unter Zertifikate - Zertifizierungsstelle bezüglich CN CA etc nicht mit den Angabne im OpenSSL Zertifikat übereinstimmen. Ist das zu vernachlässigen? Sind das quasi nur Vorabwerte die er dann bei der Erstellung benutzt, schlussendlich kommt es aber einfach auf die Angaben im eingelesenen Zertifikat an?

In dem Abschnitt 3.14 werden ja Einstellungen unter VPN -> IKEv2/IPSec -> Authentifizierung zu dem Zugang gemacht. Hier habe ich bei Lokale Identität den CN aus dem Maschinenzertifikat für den Router und bei Entfernte Identität den CN aus dem Maschinenzertifikat für den Client genommen. Syntax gleich wie in der Anleitung.

Hoffe irgendjemand (GranDixence ;) ) weiß weiter oder kann mir nen Tip geben wo ich was nachschauen könnte (Router Log mit mehr Details? Wo, wie?)

Danke schonmal!!!
b.junghans
Beiträge: 59
Registriert: 08 Okt 2013, 15:25

Re: VPN mit Microsoft Surface Pro X (ARM) / Win10 (Boardmittlen) möglich? Wie?

Beitrag von b.junghans »

Hier nochmal nen VPN Trace, kA ob das hilfreich ist
log.JPG
Irgendwas mit diesem "no proposal choosen"?
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
b.junghans
Beiträge: 59
Registriert: 08 Okt 2013, 15:25

Re: VPN mit Microsoft Surface Pro X (ARM) / Win10 (Boardmittlen) möglich? Wie?

Beitrag von b.junghans »

so, wieder weiter gekommen.
habe zuerst die Verschlüsselungsmechanismen im Default Eintrag alle aktiviert.
Hatte zuvor einen neuen Eintrag mit allen HAken gemacht, aber es muss wohl der "Default" eintrag sein. Werde später testen welcher Haken wirklich notwendig ist.

Dann kam ich zu einem Trace eintrag der besagte:
Peer DEFAULT: Received an IKE_AUTH-REQUEST of 3408 bytes (encrypted)
Gateways: IP:4500<--80.187.101.254:28286
SPIs: 0xA9044A8CC9273A3EE9FFE0E46011054D, Message-ID 1
Message authenticated. Decrypting...OK
VLAN-ID 0, HW switch port 0, Routing tag 0, Com-channel 1
Payloads: ENCR, IDI, CERT, CERTREQ, AUTH(RSA:SHA1), NOTIFY(STATUS_MOBIKE_SUPPORTED), CP(REQUEST), SA, TSI, TSR,
Looking for payload IDI (35)...Found 1 payload.
Compare: -Received-ID E=xxx,name=SurfaceZertifikat,CN=SurfaceX,OU=IT,O=xxx,L=Giessen,ST=HE,C=DE:DER_ASN1_DN != Expected-ID /CN=SurfaceX:DER_ASN1_DN

Der Router erwartet also im Feld entfernte Identität den kompletten String des Zertifikates, nicht nur /CN

Wert im Router geändert nun kommt:
+Received-ID E=xxx,name=SurfaceZertifikat,CN=SurfaceX,OU=IT,O=xxx,L=Giessen,ST=HE,C=DE:DER_ASN1_DN matches the Expected-ID E=xxx,name=SurfaceZertifikat,CN=SurfaceX,OU=IT,O=xxx,L=Giessen,ST=HE,C=DE:DER_ASN1_DN
Config Proposal of peer SURFACEX:

Allerdings kommt die Verbindung immer noch nicht zustande. Windows sagt nur weiterhin: Netzwerkverbindung konnte nicht hergestellt werden.

Ich glaube es liegt irgendwie hier dran:
NOTIFY(NO_PROPOSAL_CHOSEN[CHILD_SA])/Invalid ESP Proposal
log0.JPG
log1.JPG
log2.JPG
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Zuletzt geändert von b.junghans am 24 Feb 2020, 13:34, insgesamt 1-mal geändert.
b.junghans
Beiträge: 59
Registriert: 08 Okt 2013, 15:25

Re: VPN mit Microsoft Surface Pro X (ARM) / Win10 (Boardmittlen) möglich? Wie?

Beitrag von b.junghans »

letzte Bild:
log4.JPG
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
b.junghans
Beiträge: 59
Registriert: 08 Okt 2013, 15:25

Re: VPN mit Microsoft Surface Pro X (ARM) / Win10 (Boardmittlen) möglich? Wie?

Beitrag von b.junghans »

so wieder nen Schritt weiter.

Habe nun
Set-VpnConnectionIPSecConfiguration -ConnectionName "granddixence.spdns.de" -AuthenticationTransformConstants GCMAES128 -CipherTransformConstants GCMAES128 -DHGroup Group14 -EncryptionMethod AES128 -IntegrityCheckMethod SHA256 -PfsGroup ECP256 -Force -PassThru

durch
Set-VpnConnectionIPSecConfiguration -ConnectionName "granddixence.spdns.de" -AuthenticationTransformConstants SHA196 -CipherTransformConstants AES128 -DHGroup Group14 -EncryptionMethod AES128 -IntegrityCheckMethod SHA256 -PfsGroup ECP256 -Force -PassThru

ersetzt, nun bekomme ich im trace angezeigt VPN: SURFACEX connected
Auch im Lanmonitor sehe ich: Verbunden mit SurfaceX

Allerdings sagt windows auf dem SurfaceX immer noch: Netzwerkverbindung konnte nicht hergestellt werden.
Im LanMonitor wird die Verbindung dann auch nach nem Moment unter Verbindungen mit Fehler angezeigt, als Fehler wird gesagt: Gegenstelle antwortet nicht mehr - Dead Peer Detection Timeout (Passiver Verbindungsaufbau, IKE) [0x220D]

Jetzt bin ich grad an nem Punkt an dem ich nicht mehr weiß wo ich noch gucken soll :D
Die Verbindung kommt zustande, wird aber anscheinend direkt wieder beendet (von Windows?). Der Router denkt aber erstmal die Verbindung steht und meldet dann erst später dass die Gegenstelle gar nicht antwortet.
alexes
Beiträge: 175
Registriert: 27 Nov 2005, 18:09

Re: VPN mit Microsoft Surface Pro X (ARM) / Win10 (Boardmittlen) möglich? Wie?

Beitrag von alexes »

Hallo b.junghans,

hast Du es letztendlich zum laufen bekommen?

Danke
Alex
b.junghans
Beiträge: 59
Registriert: 08 Okt 2013, 15:25

Re: VPN mit Microsoft Surface Pro X (ARM) / Win10 (Boardmittlen) möglich? Wie?

Beitrag von b.junghans »

Hast du ein Glück, dass ich grad heute selbst auf der suche nach was hier war ;)

Ja habe ich. Allerdings nicht mit Boardmitteln.
Hatte erst NCP direkt kontaktiert die haben mit eine Testversion eines ARM Clients zur Vewrfügung gestellt.
Da wir nur Lancom Lizenzen haben musste ich nach Ablauf des Testzeitraums Lancom direkt kontaktieren, die haben mir dann nen Link zu ner Lancom gebrandeten Version des Advanced VPN Clients geschickt. Diese lies sich dann mit ner v5 Lizenz bzw einer neuen unbenutzten lizensieren.
alexes
Beiträge: 175
Registriert: 27 Nov 2005, 18:09

Re: VPN mit Microsoft Surface Pro X (ARM) / Win10 (Boardmittlen) möglich? Wie?

Beitrag von alexes »

Super!, genau sowas wollte ich lesen :D
Mail an Lancom mit der Bitte um den Link ging raus.

Dank Dir
Antworten