Abend zusammen,
habe ein Problem an dem ich von Zeit zu Zeit immer mal wieder rumtüftel aber nicht vorwärts komme.
Habe an einem Lancom mehrere Einwahlen mit Advanced VPN Client und Shrew, sowie ein IPhone mit dem popligen Cisco Client.
Das Problem ist nun dass ich mit dem IPhone die Verbindung nur dann hinbekomme wenn ich unter VPN>Defaults>Default IKE Gruppe die DH Group 2 einstelle. Dann jedoch geht es auch bei den anderen Clients die mit DH Group 5 funktionieren würden auch nur mit DH Group 2.
Und was ich nun ganz und garnicht verstehe, warum hat es keinerlei Auswirkungen wenn man einzelne Verbindungen unter VPN>Allgemein>Verbindungs-Parameter die IKE-Gruppe auf DH Group 5 stellt. Also so dass ich dort z.B. alle Clients trotzdem auf DH Group 5 einstellen kann oder eben nur das IPhone auf DH Group 2.
Ich weiß recht wirr das ganze, aber falls mir jemand folgen kann, geht das irgendwie dass ich unterschiedliche DH Groups für die Clients und das Iphone einstelle oder müssen wirklich alle auf DH Group 2 eingestellt sein?
Herzlichen Dank!
MfG
1711+
Wie IPhone DH Group 2, für andere Clients DH Group 5?
Moderator: Lancom-Systems Moderatoren
Hi 1711+
Das Problem ist, daß die DH-Gruppe bekannt sein muß, bevor die Verhandlung läuft, da die Identity erst sehr spät ausgewertet wird. Im Aggressive-Mode steht die Identity zwar im ersten Paket im Klartext drin und könnte daher zur Auswahl der DH-Gruppe genutzt werden, nur läßt das der BSD-Stack nicht zu... Im Main-Mode hast du überhaupt keine Chance, weil da die Identity bereits verschlüsselt übertagen wird und zur Bestimmung der Schlüssel wird die DH-Gruppe gebraucht
Es gibt nur einen Fall, in dem die DH-Gruppe unabhängig von der Identity bestimmt werden kann und das ist der Main-Mode mit Preshared-Key. Hier werden alle nötigen Parameter (und somit auch die DH-Gruppe) anhand der IP-Adresse des Einwählenden ermittelt. Diese muß aber bereits vor der Verhandlung bekannt sein (z.B. als DNS-Name), was aber für Roadwarrior nicht funktionieren kann, da diese sich ja von beliebigen Punkten auf der Welt einbuchen wollen...
Gruß
Backslash
Das Problem ist, daß die DH-Gruppe bekannt sein muß, bevor die Verhandlung läuft, da die Identity erst sehr spät ausgewertet wird. Im Aggressive-Mode steht die Identity zwar im ersten Paket im Klartext drin und könnte daher zur Auswahl der DH-Gruppe genutzt werden, nur läßt das der BSD-Stack nicht zu... Im Main-Mode hast du überhaupt keine Chance, weil da die Identity bereits verschlüsselt übertagen wird und zur Bestimmung der Schlüssel wird die DH-Gruppe gebraucht
Es gibt nur einen Fall, in dem die DH-Gruppe unabhängig von der Identity bestimmt werden kann und das ist der Main-Mode mit Preshared-Key. Hier werden alle nötigen Parameter (und somit auch die DH-Gruppe) anhand der IP-Adresse des Einwählenden ermittelt. Diese muß aber bereits vor der Verhandlung bekannt sein (z.B. als DNS-Name), was aber für Roadwarrior nicht funktionieren kann, da diese sich ja von beliebigen Punkten auf der Welt einbuchen wollen...
Gruß
Backslash