VPNTunnel von Ubuntu 20.04-Server zu LANCOM 1900EF über PSK

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
StefanRGL
Beiträge: 2
Registriert: 19 Aug 2020, 10:14

VPNTunnel von Ubuntu 20.04-Server zu LANCOM 1900EF über PSK

Beitrag von StefanRGL »

Hallo zusammen,

ich möchte von einer Ubuntu 20.04 Server-Installation einen VPN Tunnel zu einem LANCom-1900EF aufbauen.

Ubunu-Server: öffentliche IP 1...
LANCom: öffentliche IP 8...
PCs im Netz hinter dem LANCOM: 192.168.0.x

Die Authentifizierung soll über PSK geschehen und klappt auch von einem WIN-PC mit dem LANCOM Advanced VPN-Client aus, indem ich die ini-Datei, die mir die LANCOM-Config erzeugt, importiere...

Meine ipsec.conf auf dem Ubuntu-PC:

Code: Alles auswählen

conn VPN
        left=öffentliche IP 1...
        right=öffentliche IP 8...
        rightsubnet=192.168.0.0/24
        ike=aes256-sha2_256-modp2048!
        esp=aes256-sha2_256!
        leftid=Fully-Qulified-Mail (so im LANCom-cfg angegeben, FQUN)
        rightid=Fully-Qulified-Mail (so im LANCom-cfg angegeben, FQUN)
        keyingtries=0
        ikelifetime=1h
        lifetime=8h
        dpddelay=30
        dpdtimeout=120
        dpdaction=restart
        authby=secret
        auto=start
        keyexchange=ikev2
        type=tunnel

ipsec.secerts:

Code: Alles auswählen

8... (öffenntliche LANCOM-IP) 1...(öffentliche Ubuntu-Server-IP) : PSK 'gewähltzer PSK.....' 
Leider klappt die Verbindung nicht, siehe Konsolenausgabe:

Code: Alles auswählen

ipsec up VPN
establishing CHILD_SA VPN{2}
generating CREATE_CHILD_SA request 2 [ SA No TSi TSr ]
sending packet: from 1...[4500] to 8...[4500] (208 bytes)
received packet: from 8...[4500] to 1...[4500] (80 bytes)
parsed CREATE_CHILD_SA response 2 [ N(TS_UNACCEPT) ]
received TS_UNACCEPTABLE notify, no CHILD_SA built
failed to establish CHILD_SA, keeping IKE_SA
establishing connection 'VPN' failed

Hat jemand eine Idee, was ich da falsch gemacht habe?
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: VPNTunnel von Ubuntu 20.04-Server zu LANCOM 1900EF über PSK

Beitrag von GrandDixence »

Der Traffic Selector (TS => TSi oder TSr => Initiator oder Responder) im CHILD_SA wurde nicht von der Gegenseite akzeptiert.

Die Schlüsselmaterialaushandlung (inklusive Traffic Selector TSi+TSr) für den Datenkanal (CHILD_SA => IPSec/ESP) läuft im 3. und 4. IKE-Telegramm beim Verbindungsaufbau des VPN-Tunnels (IKE_AUTH-REQUEST und IKE_AUTH_RESPONSE).

Initiator ist der VPN-Endpunkt welche den VPN-Tunnelaufbau startet (Sender von IKE_SA_INIT-REQUEST => 1. IKE-Telegramm beim VPN-Tunnelaufbau).

Der Responder ist der VPN-Endpunkt, welcher das IKE_SA_INIT-Telegramm empfängt und darauf mit dem IKE_SA_INIT-RESPONSE antwortet (2. IKE-Telegramm beim VPN-Tunnelaufbau).

Details liefern die VPN-Traces des LANCOM-Geräts (VPN-IKE, VPN-Status, VPN-Debug etc.) und die StrongSwan Logdatei-Ausgaben und Debug-Ausgaben.

https://www.heise.de/security/artikel/E ... 70056.html

Ich empfehle das weitere Vorgehen gemäss:
fragen-zum-thema-vpn-f14/lancom-884-als ... 18310.html
StefanRGL
Beiträge: 2
Registriert: 19 Aug 2020, 10:14

Re: VPNTunnel von Ubuntu 20.04-Server zu LANCOM 1900EF über PSK

Beitrag von StefanRGL »

Hi,

danke für die ausführliche Info.
Antworten