VPZ Zugang mit PSK und Windows VPN Client

[a.riitano]

Hallo,
ich habe einen LANCOM Router, der für den VPN-Zugang verwendet wird.
Ich möchte den nativen Windows VPN-Client verwenden, um eine bessere Verwaltung über meine Cloud-Konsole zu ermöglichen.
Da ich in meinem Router die CA nicht aktivieren kann (ich bin mir nicht sicher, warum), und um einen besseren Übergang zu gewährleisten, wollte ich weiterhin die aktuelle PSK-Einrichtung mit Anmeldeinformationen verwenden.

Ich richte den Windows-Client über Powershell mit den folgenden Befehlen ein:
- Add-VPNConnection -Name "BüroZugang" -ServerAddress 212.86.55.180 -TunnelType "ikev2" -AuthenticationMethod EAP -EncryptionLevel Required -SplitTunneling $True -RememberCredential -PassThru
- Set-VpnConnectionIPsecConfiguration -ConnectionName "BüroZugang" -AuthenticationTransformConstants SHA256128 -CipherTransformConstants AES256 -DHGroup Group14 -EncryptionMethod AES256 -IntegrityCheckMethod SHA256 -PFSgroup PFS2048 -PassThru -Force

Dies ist die Konfiguration des Assistenten
[PROFILE1]
Name=***********
ConnMedia=21
ConnMode=0
SeamRoaming=1
PriVoIP=1
Gateway=**********
PFS=14
UseComp=0
IkeIdType=3
IkeIdStr=*******@*********
Secret="***********************************************************"
UseXAUTH=0
IpAddrAssign=0
IkeDhGroup=14
ExchMode=34
IKEv2Auth=2
IKEv2Policy=WIZ-AES256-SHA256
IPSEC-Policy=WIZ-AES256-SHA256
[IKEV2POLICY1]
Ikev2Name=WIZ-AES256-SHA256
Ikev2Crypt=6
Ikev2PRF=5
Ikev2IntAlgo=12
[IPSECPOLICY1]
IPSecName=WIZ-AES256-SHA256
IpsecCrypt=6
IpsecAuth=5

Aber am Ende erhalte ich von Windows selbst "inakzeptable Anmeldeinformationen", so dass eine Verbindung nicht einmal versucht wird.
Weiß jemand, ob dies möglich ist und mit welchen Parametern?

Vielen Dank!

[Frühstücksdirektor]

Leider unterstützt der interne Windows-Client kein PSK. Da musst du dich bei Microsoft beschweren.

Der kann nur RSA-Signature (Client/Server Zertifikate) oder EAP. Beides ist aufwändig und kostet unnötig Lebenszeit.

Für EAP benötigst du im LANCOM die VPN25-Option damit der Router als Zertifizierungsstelle für Zertifikate agieren kann. Dazu gibt es eine Anleitung die peinlich genau befolgen muss, sonst geht es nicht.
https://knowledgebase.lancom-systems.de ... COM+Router

Effizienteste Lösung ohne Bastelei: den LANCOM VPN Client für Windows kaufen, und damit PSK machen.

[a.riitano]

Ich danke Ihnen für Ihre Antwort.
Das war meine Befürchtung.
Ich wollte die VPN-Einstellungen von der Kommandozeile aus über unsere Domäne steuern (damit ich alle Clients mit nur einem Befehl aktualisieren kann), und der LANCOM VPN-Client unterstützt das natürlich nicht.

Außerdem habe ich wahrscheinlich nicht die VPN25 Option, da meine CA nicht aktiviert ist.
Also bin ich auf den offiziellen VPN-Client angewiesen.

Ich nehme an, dass dies auch für Linux-Clients gilt, richtig? Jede Konfiguration, die ich gefunden habe, funktioniert nicht.

[GrandDixence]

Linux-Desktoprechner verwenden in der Regel den NetworkManager.
https://de.wikipedia.org/wiki/NetworkManager

Linux-Desktoprechner bauen in der Regel über ein StrongSwan-Plugin für den NetzworkManager den VPN-Tunnel auf.
https://de.wikipedia.org/wiki/StrongSwan

https://docs.strongswan.org/docs/5.9/fe ... nager.html

Und meines Wissens unterstützt StrongSwan keinen VPN-Tunnel per IKEv2/IPSec mit PSK.

VPN-Anleitungen unter:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
beachten.

Der Aufbau einer eigenen PKI ist keine "verlorene Lebenszeit", wenn man die PKI zugleich für den Netzwerkzugriff im WLAN und LAN verwendet:

- WPA2-/WPA3-Enterprise (EAP-TLS)
- 802.1x

https://de.wikipedia.org/wiki/Public-Key-Infrastruktur

https://www.heise.de/ratgeber/WLAN-und- ... 79513.html

https://de.wikipedia.org/wiki/IEEE_802.1X

[mh1]

Ich nehme an, dass dies auch für Linux-Clients gilt, richtig? Jede Konfiguration, die ich gefunden habe, funktioniert nicht.

Auf Linuxbasierten oder BSD Betriebsystemen hast du eine größere Auswahl an IKE Daemons. Wie mein Vorredner bereits gesagt hat, wird in der Linuxwelt oft Strongswan verwendet. Der Linuxclient von Strongswan kann auch mit PSK, aber der Windows Client kann das nicht.

Da du aber auf den Nativen Windows Client festgelegt bist, musst du eben RSA-Signature oder EAP nutzen.
Wenn du mehrere VPN Clients hast lohnt sich auf jedenfall, dass du dich mit den Zertifikaten auseinandersetzt. Eine eigene CA aufbauen ist auch kein Hexenwerk.

Aber, da du ja keine VPN25 Option hast und darum vermutlich auch nicht mehr als fünf VPN Clients brauchst, ist die einfachste und vermutlich kostengünstigste Lösung vielleicht doch den Lancom VPN Client zu kaufen.
Wenn du nicht Freude dran hast, Dokus zu lesen und an IT Dingen rumzubasteln, sondern das ganze vielmehr kostentechnisch gegenüberstellst, dann sind die 80 EUR für den Lancom Client schnell wieder.

[a.riitano]

Auf Linuxbasierten oder BSD Betriebsystemen hast du eine größere Auswahl an IKE Daemons. Wie mein Vorredner bereits gesagt hat, wird in der Linuxwelt oft Strongswan verwendet. Der Linuxclient von Strongswan kann auch mit PSK, aber der Windows Client kann das nicht.

Haben Sie einen Hinweis darauf?
Denn ich habe einige Konfigurationsbeispiele, die ich hier im Forum gefunden habe, befolgt, aber keines hat funktioniert.

Da du aber auf den Nativen Windows Client festgelegt bist, musst du eben RSA-Signature oder EAP nutzen.
Wenn du mehrere VPN Clients hast lohnt sich auf jedenfall, dass du dich mit den Zertifikaten auseinandersetzt. Eine eigene CA aufbauen ist auch kein Hexenwerk.

Oh, ich habe nicht bemerkt, dass ich eine andere CA als die im Router verwenden kann, dann werde ich es auf diese Weise versuchen (für Windows).

Aber, da du ja keine VPN25 Option hast und darum vermutlich auch nicht mehr als fünf VPN Clients brauchst, ist die einfachste und vermutlich kostengünstigste Lösung vielleicht doch den Lancom VPN Client zu kaufen.
Wenn du nicht Freude dran hast, Dokus zu lesen und an IT Dingen rumzubasteln, sondern das ganze vielmehr kostentechnisch gegenüberstellst, dann sind die 80 EUR für den Lancom Client schnell wieder.

Tatsächlich haben wir mehr als 5 Nutzer, wir sind sehr nahe an den 5 aktiven Verbindungen, und ich wusste nichts von dieser Grenze. Danke, dass Sie mich darauf aufmerksam gemacht haben.
Ich habe auch bestätigt, dass wir die Option VPN25 nicht aktiviert haben.

Wie soll ich die CA nicht ein, wenn ich versuche, sie zu aktivieren (das Kontrollkästchen ist nach dem Speichern wieder leer)?



Ich muss zugeben, dass diese Lancom-Schnittstelle für mich nicht sehr komfortabel ist.
Wissen Sie, ob es Online-Kurse gibt, die ich belegen kann? (abgesehen von den offiziellen Kursen, die zu umfangreich sind, muss ich nur einen einzigen Router abdecken)


Und natürlich auch Dank an GrandDixence für die Links und die Antwort

[mh1]

Haben Sie einen Hinweis darauf?

Auf was jetzt genau? Auf die größere Auswahl an IKE Daemons? Darauf, dass unter Linux oft Strongswan verwendet wird? Oder das Strongswan unter Windows für die Authentisierung nur RSA signatures, EAP-TLS und EAP-MSCHAPv2 unterstüzt?

Denn ich habe einige Konfigurationsbeispiele, die ich hier im Forum gefunden habe, befolgt, aber keines hat funktioniert.

Vermutlich ist deine Frage also auf Strongswan mit PSK bezogen. Strongswan erwartet den PSK in einer extra Datei ipsec.secrets. Das ist hier dokumentiert: https://wiki.strongswan.org/projects/st ... /PskSecret
Der User GrandDixence hier im Forum hat sehr geniale Anleitungen erstellt (fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795)
Grundsätzlich ist aber Strongswan auch sehr gut dokumentiert.

Oh, ich habe nicht bemerkt, dass ich eine andere CA als die im Router verwenden kann, dann werde ich es auf diese Weise versuchen (für Windows).

Die CA im Lancom Router ist eine kostenpflichtige Zusatzoption. Wenn du z.b. VPN25 lizenzierst, nimmt der Lancom 25 VPN Verbindungen an und schaltet die CA frei. Da du keine VPN-Option hast, geht auch das Häkchen wieder raus
https://www.idealo.de/preisvergleich/Of ... stems.html

Du kannst dir aber auch eine eigene CA aufbauen. Ob du dazu OpenSSL, LibreSSL oder sonstwas nimmst ist eigentlich egal. Für Windows User, die es gewohnt sind, mit der Maus grafische Oberflächen anzuklicken, bietet sich das Programm XCA an. https://hohnstaedt.de/xca/
Aber grundsätzlich lassen sich die Zertifikate auch meistens direkt mit der VPN Software erstellen. Strongswan bringt z.b. das pki Tool mit: https://docs.strongswan.org/docs/5.9/pki/pki.html

Ich muss zugeben, dass diese Lancom-Schnittstelle für mich nicht sehr komfortabel ist.
Wissen Sie, ob es Online-Kurse gibt, die ich belegen kann? (abgesehen von den offiziellen Kursen, die zu umfangreich sind, muss ich nur einen einzigen Router abdecken)

Was ist gemeint mit "Lancom Schnittstelle"? Die Webkonfiguration, also das was man unter https://<lancomIP> aufrufen kann?
Also, es gibt ja auch dieses schöne Windows Tool mit dem Namen LANConfig https://www.lancom-systems.de/produkte/ ... /lanconfig.
Klar, ob das jetzt "komfortabler" ist, muss ja jeder für sich selber entscheiden. Ich konfiguriere den Lancom ja am liebsten per ssh. Aber du siehst, es gibt mehrere Möglichkeiten den Lancom zu verwalten