VPN Windows -> Lancom ohne Zusatzclient

Macwin · Beitrag von **Macwin** » 20 Apr 2006, 15:57

Hi Leute

Vorerst ich bin ein Lancom&VPN Newbie und habe ne menge Fragen

.
Ich habe mir mal gedacht für ein Homeworker ein VPN Zugang ohne Client nur mit Windows VPN zuversuchen.
Ich habe mir die Faq ( Vielen Dank an den Schreiber

) hier im Forum gründlich gelesen und habe soweit geschafft das ich per Openssl Zertifikate ausgestellt habe und Sie in den Client und den Lancom Router 1711 VPN geladen habe.

Am Lancom richtet man per Assistent eine neue Einwahlverbindung mit benutzerdefinierten Parametern ein. Die meisten Sachen können wie vorgeschlagen belassen werden - wichtig ist nur, dass als Verschlüsselungsverfahren 3DES ausgewählt wird.

Den Teil verstehe ich nicht oder ist mir zu undeutig. Also ich gehe mit dem Setup Assistenten auf Zugangbereitstellen, klicken dann auf "VPN Verbindung über das Internet"->"VPN Client mit benutzerdefinierten Parametern" gebe dann den VPN namen ein und dann wird der "Preshared Key" abgefragt.
Jetzt weiß ich nicht weiter.

Wieso Preshared Key wenn ich mit Zertifikaten arbeite?

eddia · Beitrag von **eddia** » 20 Apr 2006, 18:13

Hallo Macwin,

Also ich gehe mit dem Setup Assistenten auf Zugangbereitstellen, klicken dann auf "VPN Verbindung über das Internet"->"VPN Client mit benutzerdefinierten Parametern" gebe dann den VPN namen ein und dann wird der "Preshared Key" abgefragt.

da ist doch ein Auswahlfeld für PSKs und Zertifikate. Ich dachte, das wäre selbst erklärend.

Gruß

Mario

Macwin · Beitrag von **Macwin** » 21 Apr 2006, 08:53

Hi Mario

Es war mir klar aber ich bin eher ein User, der immer genau das folgt was ihm gesagt wird. So bin ich immer meisten heil durch jede Bedienungsanleitung durchgekommen.

Okey kommen wir mal zum eigentlichen Problem.
Für die enfernte Identität was much ich da eintragen? Den Client Zertifikat oder die des Root CA wie in deiner beispiel "ipsec.cnf"?
Und bei der lokalen Identität, da kommt der Gateway zertifikat rein oder auch den Root CA?

vielen dank

Macwin · Beitrag von **Macwin** » 21 Apr 2006, 09:57

Servus

Ich hab mal mit der Root CA für Client und Server benutzt. Ferner habe ich gleiche Einstellungen wie Faq vorgenommen. Dies war außerhalb der Firma.
Ich kriege trotzdem keine Verbindung hin.

Hier mal ein Auszug von Trace VPN

[VPN-Status] 2006/04/20 22:23:41,860
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <-> local No 1 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <-> local No 2 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 1 hash algorithm = SHA <-> local No 3 hash algorithm = MD5
IKE info: Phase-1 remote proposal 1 failed for peer def-main-peer
IKE info: phase-1 proposal failed: remote No 2 encryption algorithm = 3DES_CBC <-> local No 1 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 2 encryption algorithm = 3DES_CBC <-> local No 2 encryption algorithm = BLOWFISH_CBC
IKE info: Phase-1 remote proposal 2 for peer def-main-peer matched with local proposal 3

[VPN-Status] 2006/04/20 22:23:42,170
IKE log: 222342 Default ipsec_get_keystate: no keystate in ISAKMP SA 00a96680

Ich hab auch heute innerhalb der Firma versucht. Das scheint auch nicht zu klappen.

[VPN-Status] 2006/04/21 14:05:36,780
VPN: connecting to MACWIN (0.0.0.0)

[VPN-Status] 2006/04/21 14:05:36,780
VPN: Error: IFC-I-No-PPP-table-entry-matched (0x1104) for MACWIN (0.0.0.0)

eddia · Beitrag von **eddia** » 21 Apr 2006, 18:13

Hallo Macwin,

Es war mir klar aber ich bin eher ein User, der immer genau das folgt was ihm gesagt wird. So bin ich immer meisten heil durch jede Bedienungsanleitung durchgekommen.

Brav!

Ok - hast natürlich recht. Ich werd' das mal bei Gelegenheit ändern.

Für die enfernte Identität was much ich da eintragen? Den Client Zertifikat oder die des Root CA wie in deiner beispiel "ipsec.cnf"?
Und bei der lokalen Identität, da kommt der Gateway zertifikat rein oder auch den Root CA?

Das Zertifikat nicht, aber den Distinguished Name (DN) des Zertifikates. Und das Zertifikat der Root CA (oder deren DN) hat hier überhaupt nichts zu suchen.

Unter lokaler Identität trägt man den DN des Lancom-Gerätezertifikates ein; unter remote Identität den DN des Clientzertifikates.

IKE log: 222342 Default ipsec_get_keystate: no keystate in ISAKMP SA 00a96680

Das deutet mit hoher Wahrscheinlichkeit auf falsche Identitäten hin.

Gruß

Mario

kaniggl · Beitrag von **kaniggl** » 02 Mär 2008, 11:36

Hallo,

ich hab mir das How To von eddia angeschaut und diesen Beitrag hier. Dennoch kommt be mir die selbe Fehlermeldung wie im Beitrag vor mir.

Verstehe ich das richtig: Mit show vpn cert sehe ich unter "Subject" den DN des Gerätezertifikats und trage diesen als lokale Identität (ASN.1) ein?
Beispiel:
Subject: CN=xx-vpn,O=IrgendeinName
lokale Identität: CN=xx-vpn,O=IrgendeinName
Muss noch was gedreht werden? Ich dachte seit LCOS 6.10 nicht mehr.
Muss nach dem Komma ein Leerzeichen sein oder nicht oder ist das egal?

Wie verhält es sich bei der entfernten Identität? Ich habe für den Client Laptop ein eigenes Zertifikat erstellt. Der DN ist im Zertfikat unter Antragsteller zu finden. Ich trage diesen von oben nach unten gelesen von links nach rechts als entfernte Identität ein.
Beispiel:
CN=vorname nachname
O=Firma

Lancom ASN.1: CN=vorname nachname,O=Firma
Auch hier stellt sich mir wieder die Frage drehen oder nicht, Leerzeichen nach dem Komma oder nicht (s.o.).

In der ipsec.conf habe ich bei "rightca" das Subject von show vpn ca eingetragen (auch hier gedreht, mit Komma oder ohne, also alle Varianten).
Es kommt aber keine Verbindung zustande.

Was muss eigentlich genau in der Routing Tabelle, bei der VPN Verbindungs-Liste und den VPN Verbindungs-Parametern stehen? Der Wizard trägt hier ja einiges ein, aber passt da der Standard?

Benutz wird LCOS 7.28. Auf dem Client ist ein XP SP2 mit den rktools und dem IPSEC von Markus Mueller.

eddia · Beitrag von **eddia** » 03 Mär 2008, 21:57

Hallo kanigg,

Verstehe ich das richtig: Mit show vpn cert sehe ich unter "Subject" den DN des Gerätezertifikats und trage diesen als lokale Identität (ASN.1) ein?

korrekt.

Muss noch was gedreht werden? Ich dachte seit LCOS 6.10 nicht mehr.
Muss nach dem Komma ein Leerzeichen sein oder nicht oder ist das egal?

Da bin ich überfragt. Der Beitrag entstand früher und bezog sich mit den DNs auch nur auf die CA in der ipsec.conf (da der Lancom damals genau dies verlangte) - es funktioniert mit meinen Angaben heute noch genau so. Eventuell gibt es einige damalige Einschränkungen nicht mehr (müsste man ausprobieren).

Wie verhält es sich bei der entfernten Identität? Ich habe für den Client Laptop ein eigenes Zertifikat erstellt. Der DN ist im Zertfikat unter Antragsteller zu finden. Ich trage diesen von oben nach unten gelesen von links nach rechts als entfernte Identität ein.

Auch korrekt.

In der ipsec.conf habe ich bei "rightca" das Subject von show vpn ca eingetragen (auch hier gedreht, mit Komma oder ohne, also alle Varianten).

OK.

Es kommt aber keine Verbindung zustande.

Was mir so noch einfällt: Verfügen der PC und der Lancom über eine korrekte Zeit?

Was muss eigentlich genau in der Routing Tabelle, bei der VPN Verbindungs-Liste und den VPN Verbindungs-Parametern stehen? Der Wizard trägt hier ja einiges ein, aber passt da der Standard?

Da ist eigentlich genau das einzutragen, was im Beitrag (in deinem Fall für RSA) beschrieben wurde.

Gruß
Mario