VPN mit Zertifikaten, XCA-Tool

[sepp2011]

Hallo,

ich möchte VPN Verbindungen unter Nutzung von Zertifikaten herstellen.
direkte Verbindung von zwei Lancom Geräten sowie Einwahlzugänge für den Advanced VPN Client.

Dazu habe ich mir die entsprechenden Artikel inder Knowledgebase durchgelesen. Ich komme aber nicht weiter bzw. habe ein paar Verständnisfragen.

1)
Das Tool XCA erstellt Zertifikate. Hier erstelle ich z. b. eine CA, dieses Zertifikat ist zum Erstellen der entsprechenden
Zertifikate zuständig.
Unter Verwendung dieses Zertifikates erstelle ich nun für
- einen zentralen Router ein "https_client" oder "http_server" zertifikat?
- für eine Einwahl mittels VPN Client ein "https_client" Zertifikat?
- für einen weiteren Router (Filiale) "https_client" zertifikat?

Ich exportiere dann was als PKCS#12 im XCA-Tool?
-> das jeweilige Zertifikat aus der Baumstruktur des CA?

Mein Problem ist, dass ich schon alles möglich probiert habe, ich aber keine funktionierende Verbindung unter Verwendung der Zertifikate hinbekomme....

Vielleicht könnte mir jmd. noch einmal die groben Schritte erklären, was genau ich beim XCA Tool exportieren muss und wie diese ganze CA-Struktur aufgebaut sein muss?

Vielen Dank!!

[Bernie137]

Hallo sepp2011,

am besten Du gehst nach dieser Anleitung vor: https://www2.lancom.de/kb.nsf/1275/55EB ... enDocument

Für die Root CA habe ich 10 Jahre gewählt, nenne sie am besten VPN-CA. Dann https_client Zertifikate für die VPN Router erstellen, z.B. VPN-Zentrale, VPN-Filiale1. Damit lässt sich dann ein VPN Tunnel Site2Site aufbauen.

- einen zentralen Router ein "https_client" oder "http_server" zertifikat?

Client

- für einen weiteren Router (Filiale) "https_client" zertifikat?

Client

Ich exportiere dann was als PKCS#12 im XCA-Tool?
-> das jeweilige Zertifikat aus der Baumstruktur des CA?

Die Zertifikate für VPN-Zentrale und VPN-Filiale1.

- für eine Einwahl mittels VPN Client ein "https_client" Zertifikat?

Da habe ich keine Erfahrung, aber gefühlt würde ich sagen ja Client.

vg Heiko

[sepp2011]

[code]
07.02.2014 21:17:09 IPSec: Start building connection
07.02.2014 21:17:09 IPSec: Connecting and Pin is not entered
07.02.2014 21:17:13 IPSec: Start building connection
07.02.2014 21:17:13 Ike: Outgoing connect request MAIN mode - gateway=xxx.xxx.xxx.xxx : TEST-H_3850-CERT1
07.02.2014 21:17:13 Ike: XMIT_MSG1_MAIN - TEST-H_3850-CERT1
07.02.2014 21:17:14 Ike: RECV_MSG2_MAIN - TEST-H_3850-CERT1
07.02.2014 21:17:14 Ike: IKE phase I: Setting LifeTime to 86400 seconds
07.02.2014 21:17:14 Ike: IkeSa negotiated with the following properties -
07.02.2014 21:17:14 Authentication=RSA_SIGNATURES,Encryption=AES,Hash=MD5,DHGroup=2,KeyLen=128
07.02.2014 21:17:14 Ike: TEST-H_3850-CERT1 ->Support for NAT-T version - 9
07.02.2014 21:17:14 Ike: XMIT_MSG3_MAIN - TEST-H_3850-CERT1
07.02.2014 21:17:14 IPSec: Final Tunnel EndPoint is=xxx.xxx.xxx.xxx
07.02.2014 21:17:14 Ike: RECV_MSG4_MAIN - TEST-H_3850-CERT1
07.02.2014 21:17:14 Ike: Turning on NATD mode - TEST-H_3850-CERT1 - 1
07.02.2014 21:17:14 Ike: XMIT_MSG5_MAIN - TEST-H_3850-CERT1
07.02.2014 21:17:14 Ike: XMIT_MSG5_MAIN_RESUME - TEST-H_3850-CERT1
07.02.2014 21:17:14 Ike: RECV_MSG6_MAIN - TEST-H_3850-CERT1
07.02.2014 21:17:14 Ike: RECV_MSG6_MAIN_RESUME - TEST-H_3850-CERT1
07.02.2014 21:17:14 Ike: IkeSa negotiated with the following properties -
07.02.2014 21:17:14 Authentication=RSA_SIGNATURES,Encryption=AES,Hash=MD5,DHGroup=2,KeyLen=128
07.02.2014 21:17:14 Ike: Turning on DPD mode - TEST-H_3850-CERT1
07.02.2014 21:17:14 Ike: phase1:name(TEST-H_3850-CERT1) - connected
07.02.2014 21:17:14 SUCCESS: IKE phase 1 ready
07.02.2014 21:17:14 IkeCfg: XMIT_IKECFG_REQUEST - TEST-H_3850-CERT1
07.02.2014 21:17:14 IPSec: Phase1 is Ready,AdapterIndex=201,IkeIndex=4,LocTepIpAdr=192.168.15.21,AltRekey=1
07.02.2014 21:17:14 IkeCfg: RECV_IKECFG_REPLY - TEST-H_3850-CERT1
07.02.2014 21:17:14 IkeCfg: name <TEST-H_3> - enter state open
07.02.2014 21:17:14 SUCCESS: IkeCfg ready
07.02.2014 21:17:14 IPSec: Quick Mode is Ready: IkeIndex=4,VpnSrcPort=10954
07.02.2014 21:17:14 IPSec: Assigned IP Address: 192.168.254.2
07.02.2014 21:17:14 IPSec: Gateway IP Address: 0.0.0.0
07.02.2014 21:17:14 IPSec: Primary DNS Server: 0.0.0.0
07.02.2014 21:17:14 IPSec: Secondary DNS Server: 0.0.0.0
07.02.2014 21:17:14 IPSec: Primary WINS Server: 0.0.0.0
07.02.2014 21:17:14 IPSec: Secondary WINS Server: 0.0.0.0
07.02.2014 21:17:14 IPSec: Primary NCP SEM Server: 0.0.0.0
07.02.2014 21:17:14 IPSec: Secondary NCP SEM Server: 0.0.0.0
07.02.2014 21:17:14 IkeQuick: XMIT_MSG1_QUICK - TEST-H_3850-CERT1
07.02.2014 21:17:15 Ike: NOTIFY : TEST-H_3850-CERT1 : RECEIVED : NO_PROPOSAL_CHOSEN : 14
07.02.2014 21:17:20 Ike: NOTIFY : TEST-H_3850-CERT1 : RECEIVED : NO_PROPOSAL_CHOSEN : 14
07.02.2014 21:17:26 Ike: NOTIFY : TEST-H_3850-CERT1 : RECEIVED : NO_PROPOSAL_CHOSEN : 14
07.02.2014 21:17:32 Ike: NOTIFY : TEST-H_3850-CERT1 : RECEIVED : NO_PROPOSAL_CHOSEN : 14
07.02.2014 21:17:34 Ike: NOTIFY : TEST-H_3850-CERT1 : SENT : NOTIFY_MSG_R_U_HERE : 36136
07.02.2014 21:17:34 Ike: NOTIFY : TEST-H_3850-CERT1 : RECEIVED : NOTIFY_MSG_R_U_HERE_ACK : 36137
07.02.2014 21:17:34 IkeQuick: phase2:name(TEST-H_3850-CERT1) - error - cleared by phase1
07.02.2014 21:17:34 ERROR - 4037: IKE(phase2):Waiting for message2, cleared by phase1 - TEST-H_3850-CERT1.
07.02.2014 21:17:34 IpsDial: From Ikemgr - Remote is denied request for an IPSec SA, AdapterIndex=201
07.02.2014 21:17:34 IPSec: Disconnected from TEST-H_3850-CERT1 on channel 1.
[/code]

Alles nach Anleitung.... Aber ich komme nicht weiter...

[sepp2011]

Hallo,

es muss an der Zertifiaktserstellung liegen. mit den Testzertifikaten gehts...

Problem waren unzureichende Werte!

[sepp2011]

Hallo,

jetzt habe ich eine Frage bzgl. der VPN-Verbindung zwischen zwei LANCOM-Routern mittels Zertifikaten:

Laut Anleitung/Knowledgebase muss u. a. beim Assistenten
der Name, also der Eigene Bezeichner und der des entferten Gerätes angegeben werden. Der ist aber weiterhin
der eigene Name und hat nichts mit den Zertifiakten zu tun!?

Das Passwort, mit der die IP des entsprechenden Geräten übetragen wird, kann ich das komplett frei wählen!?

Danke und Gruß

[Bernie137]

Hallo,

da liegt noch ein Konfigurationsproblem vor:

07.02.2014 21:17:15 Ike: NOTIFY : TEST-H_3850-CERT1 : RECEIVED : NO_PROPOSAL_CHOSEN : 14

Laut Anleitung/Knowledgebase muss u. a. beim Assistenten
der Name, also der Eigene Bezeichner und der des entferten Gerätes angegeben werden. Der ist aber weiterhin
der eigene Name und hat nichts mit den Zertifiakten zu tun!?

Korrekt.

Das Passwort, mit der die IP des entsprechenden Geräten übetragen wird, kann ich das komplett frei wählen!?

Ja, ich habe es auf beiden Seiten identisch.

Gib mal an der Console show vpn cert ein. Bei subject steht dann der korrekte Wert für Lokale Identität Deines eigenen Zertifikates. Da habe ich anfangs auch etwas probiert, weil es etwas "gewöhnungsbedürftig" ist wie man es in XCA eingibt und was dann herauskommt. Ansonsten beide Lancom Router gleicher Firmwarestand?

vg Heiko

[sepp2011]

Hallo Heiko,

ich teste das auf einem 3850 und 1811 mit unterschiedlicher Firmware!

Dein entscheidender Hinweis war der mit der Konsole und dem "gewöhnungsbedürftig"!!
Ich hatte da tatsächlich etwas falsch interpretiert!!!
Jetzt klappts. Doch nicht so schwer die Einrichtung mit Zertifikaten. An dieser Stelle habe ich aber noch eine Frage
bzgl einer Certificate Revocation List. Ist es möglich die mittels XCA erstellten Zertifkate auf einem Server abzulegen und
bei Bedarf zurückzurufen - dann aber so, dass die "Zentrale", also ein zentrales Gateway, die Information erhält, dass eine
entsprechende VErbindung nicht mehr augebaut werden darf?

Dazu müssten die Zertifikate an zentraler Stelle bspw. per LAN durch das Gateway erreichbar sein, oder? Ich bin kein Linux Nutzer und auch Win Server-technsich bin ich nicht vom Fach.

Mir geht es darum bei Verlust etc. eines Routers schnell einen möglichen Schaden minimieren zu können.

Oder ist der Weg dann so, im XCA Tool das Zertifikat zu löschen/zurückzurufen und dann das entsprechende Zertifikat der Zentrale neu in die Zentrale hochzuladen?

Danke und Gruß!
Sepp

[Bernie137]

Hallo Sepp,

freut mich, wenn es nun funktioniert.

ich teste das auf einem 3850 und 1811 mit unterschiedlicher Firmware!

Ich habe deshalb gefragt, weil wenn die Unterschiede riesig sind, könnte das mit dem Proposal dann nicht hinhauen. Aber das war es ja nicht.

Ist es möglich die mittels XCA erstellten Zertifkate auf einem Server abzulegen und
bei Bedarf zurückzurufen - dann aber so, dass die "Zentrale", also ein zentrales Gateway, die Information erhält, dass eine
entsprechende VErbindung nicht mehr augebaut werden darf?

Das kann ich nicht beantworten, aber es klingt nach viel Aufwand. Im Falle eines Verlustes eines Routers muss aber sowieso Hand angelegt werden (Zertifikat üngültig erklären). Dann würde ich im Router der Zentrale auch diesen VPN Zugriff killen - da kann der Dieb mit dem Router samt Zertifikat anstellen was er will. Und dann für diese und alle anderen Verbindungen neue Zertifikate machen zur Sicherheit.

Wie es mit dem Rückruf per XCA funktioniert, bin ich im Moment auch überfragt.

vg Heiko

[sepp2011]

Hallo,

okay, besten Dank für die tolle Hilfe.

Klar, im Falle des Verlustes würde alles gekappt werden...
Interessant wäre halt auch für meinen Anwendungsfall einen
befristeten Zugriff...

Ich lese mich da mal ein!

Gruß
Sepp

[Bernie137]

Hallo Sepp,

Naja befristet ist es ja durch die Zertifikate, die als https Client im Standard 1 Jahr Gültigkeit haben.

Vg Heiko

[sepp2011]

Hallo,

ich hab mich missverständlich ausgedrückt. cert zurückziehen auch ohne Grund des Diebstahls, also auch weil z. B. die Erforderlichkeit weggefallen ist.
Aber klar, das Ablaufdatum ist auch ein Mittel!