Hallo,
ich habe eine ca installiert mit XCA und dort ein root zertifikat erstellt.
des weiteren habe ich dann noch 2 weitere zertifikate unterhalb des root zertifikats erstellt. eins davon habe ich in meinen LANCOM geladen und das andere auf einen Client mit dem AVC gepackt. leider funktioniert das irgent wie nicht. (beide Zertifikate wurden als *.p12 exportiert)
im Log vom AVC steht folgendes:
NCPIKE-phase1:name(xxx) - error - PKI ERROR: - Client Error: Verify Server Certificate with error 2109! (Wrong Certificate Value - Subject: cn=RootCA <> cn= VPN_Router)
und in meinem VPN-Status-Trace aufm Router kommt ne Meldung -> no remote gateway selected
Kann damit jemand was anfangen oder mir sagen was ich falsch gemacht habe?
mfg
corpse2001
VPN mit Zertifikaten HILFE
Moderator: Lancom-Systems Moderatoren
-
corpse2001
- Beiträge: 72
- Registriert: 01 Dez 2006, 10:20
so ich habe nun noch ne bischen rumprobiert und neue zertifikate gemacht und nun bekomme ich keine Fehlermeldung mehr im AVC Log allerdeings immer noch im VPN Status trace hier mal alles was da steht
Code: Alles auswählen
[VPN-Status] 2008/04/15 19:45:17,880
IKE info: dropped message from peer unknown 77.24.113.191 port 500 due to notification type INVALID_COOKIE
[VPN-Status] 2008/04/15 19:47:24,960
IKE info: The remote server 77.24.113.191:500 peer def-main-peer id <no_id> supports draft-ietf-ipsec-isakmp-xauth
IKE info: The remote server 77.24.113.191:500 peer def-main-peer id <no_id> supports NAT-T in mode draft
IKE info: The remote server 77.24.113.191:500 peer def-main-peer id <no_id> supports NAT-T in mode draft
IKE info: The remote server 77.24.113.191:500 peer def-main-peer id <no_id> supports NAT-T in mode draft
IKE info: The remote server 77.24.113.191:500 peer def-main-peer id <no_id> supports NAT-T in mode rfc
IKE info: The remote server 77.24.113.191:500 peer def-main-peer id <no_id> negotiated rfc-3706-dead-peer-detection
IKE info: The remote client 77.24.113.191:500 peer def-main-peer id <no_id> is NCP LANCOM Serial Number Protocol 1.0 with serial number xxxxxxxx
IKE info: The remote server 77.24.113.191:500 peer def-main-peer id <no_id> supports NAT-T in mode rfc
IKE info: The remote server 77.24.113.191:500 peer def-main-peer id <no_id> supports NAT-T in mode rfc
[VPN-Status] 2008/04/15 19:47:24,970
IKE info: Phase-1 remote proposal 1 for peer def-main-peer matched with local proposal 1
[VPN-Status] 2008/04/15 19:47:26,250
IKE log: 194726 Default OpenSSL: 1:error:0D07908D:asn1 encoding routines:ASN1_verify:unknown message digest algorithm:a_verify.c:92:
[VPN-Status] 2008/04/15 19:47:26,250
IKE log: 194726 Default x509_cert_validate: certificate signature failure
[VPN-Status] 2008/04/15 19:47:26,250
IKE log: 194726 Default rsa_sig_decode_hash: received CERT can't be validated
[VPN-Status] 2008/04/15 19:47:26,250
VPN: Error: IKE-R-CERT-SIGNATURE-FAILURE (0x2213) for ADM1 (77.24.113.191)
[VPN-Status] 2008/04/15 19:47:26,250
VPN: selecting next remote gateway using strategy eFirst for ADM1
=> no remote gateway selected
[VPN-Status] 2008/04/15 19:47:26,250
VPN: selecting first remote gateway using strategy eFirst for ADM1
=> no remote gateway selected
[VPN-Status] 2008/04/15 19:47:26,250
VPN: installing ruleset for ADM1 (0.0.0.0)
[VPN-Status] 2008/04/15 19:47:26,250
IKE log: 194726 Default rsa_sig_decode_hash: no public key found
[VPN-Status] 2008/04/15 19:47:26,250
IKE log: 194726 Default dropped message from 77.24.113.191 port 500 due to notification type INVALID_HASH_INFORMATION
[VPN-Status] 2008/04/15 19:47:26,250
IKE info: dropped message from peer unknown 77.24.113.191 port 500 due to notification type INVALID_HASH_INFORMATION
[VPN-Status] 2008/04/15 19:47:26,250
VPN: Error: IKE-R-General-failure (0x22ff) for ADM1 (77.24.113.191)
[VPN-Status] 2008/04/15 19:47:26,250
VPN: selecting next remote gateway using strategy eFirst for ADM1
=> no remote gateway selected
[VPN-Status] 2008/04/15 19:47:26,250
VPN: selecting first remote gateway using strategy eFirst for ADM1
=> no remote gateway selected
[VPN-Status] 2008/04/15 19:47:26,260
VPN: rulesets installed
[VPN-Status] 2008/04/15 19:47:56,850
IKE log: 194756 Default message_recv: invalid cookie(s) e129c74234103285 4a5b727f960dcbc4
[VPN-Status] 2008/04/15 19:47:56,850
IKE log: 194756 Default dropped message from 77.24.113.191 port 500 due to notification type INVALID_COOKIE
[VPN-Status] 2008/04/15 19:47:56,850
IKE info: dropped message from peer unknown 77.24.113.191 port 500 due to notification type INVALID_COOKIE
[VPN-Status] 2008/04/15 19:47:59,890
IKE log: 194759 Default message_recv: invalid cookie(s) e129c74234103285 4a5b727f960dcbc4
[VPN-Status] 2008/04/15 19:47:59,890
IKE log: 194759 Default dropped message from 77.24.113.191 port 500 due to notification type INVALID_COOKIE
[VPN-Status] 2008/04/15 19:47:59,890
IKE info: dropped message from peer unknown 77.24.113.191 port 500 due to notification type INVALID_COOKIE
[VPN-Status] 2008/04/15 19:48:03,740
IKE log: 194803 Default message_recv: invalid cookie(s) e129c74234103285 4a5b727f960dcbc4
[VPN-Status] 2008/04/15 19:48:03,740
IKE log: 194803 Default dropped message from 77.24.113.191 port 500 due to notification type INVALID_COOKIE
-
froeschi62
- Beiträge: 985
- Registriert: 13 Dez 2004, 10:44
Hi,
du gehst nach folgender Grundanleitung vor:
http://www.vpnforum.de/wiki/index.php/S ... ng_mit_XCA
Ergänzung: beim Erstellen der Zertifikate im Punkt: "Signatur Algorithmus" nicht die Standardeinstellung "sha 256" verwenden, sondern auf "sha 1" oder "md 5" stellen.
Sowohl das Serverzertifikat als auch das Clientzertifikat mit der Option "PKS #12 with certifikate Chain" exportieren. dabei PW vergeben und das Serverzertifikat in den Lancom laden.
Im Lankom richtige Einträge in "IKE Auth" überprüfen. In der lokalen Identität die Besitzeridentität des Serverzertifikates eintragen (auf Reihenfolge achten/kannst Du aus XCA Serverzertifikat rauskopieren). In der entfernten Identität die Besitzeridentität des Clientzertifikates (Vorgehensweise analog Serverzertifikat) reinkopieren.
Gruß
Dietmar
du gehst nach folgender Grundanleitung vor:
http://www.vpnforum.de/wiki/index.php/S ... ng_mit_XCA
Ergänzung: beim Erstellen der Zertifikate im Punkt: "Signatur Algorithmus" nicht die Standardeinstellung "sha 256" verwenden, sondern auf "sha 1" oder "md 5" stellen.
Sowohl das Serverzertifikat als auch das Clientzertifikat mit der Option "PKS #12 with certifikate Chain" exportieren. dabei PW vergeben und das Serverzertifikat in den Lancom laden.
Im Lankom richtige Einträge in "IKE Auth" überprüfen. In der lokalen Identität die Besitzeridentität des Serverzertifikates eintragen (auf Reihenfolge achten/kannst Du aus XCA Serverzertifikat rauskopieren). In der entfernten Identität die Besitzeridentität des Clientzertifikates (Vorgehensweise analog Serverzertifikat) reinkopieren.
Gruß
Dietmar
Lancom 1823 VOIP
-
corpse2001
- Beiträge: 72
- Registriert: 01 Dez 2006, 10:20
Hallo und danke für die Antwort
mit serverzrtifikat ist nicht das root Zertifikat der Ca gemeint oder?
ind dann habe ich noch ne frage wie das genau mit der crl funktiniert wo die liegrt und wie ich darauf zugreifen kann - weil ansonsten kann der lankomm ja eigentlich nicht gucken ob ein Zertifikat gültig ist oder?
mfg corpse2001
mit serverzrtifikat ist nicht das root Zertifikat der Ca gemeint oder?
ind dann habe ich noch ne frage wie das genau mit der crl funktiniert wo die liegrt und wie ich darauf zugreifen kann - weil ansonsten kann der lankomm ja eigentlich nicht gucken ob ein Zertifikat gültig ist oder?
mfg corpse2001
-
corpse2001
- Beiträge: 72
- Registriert: 01 Dez 2006, 10:20
-
corpse2001
- Beiträge: 72
- Registriert: 01 Dez 2006, 10:20