Hallo Forengemeine,
habe zum ersten versucht per Setup-Assisten den VPN Zugang hinzukriegen. Habe dann ein Howto hier bei lancom gefund, dass VPN per Windows beschreibt.
Mein Problem ist - ich möchte per Android Handy, per PPTP mich über meinen Dyndns-Zugang auf meinem Heimnetz einloggen. Dies klappt nicht.
Es kommd der Fehler im Syslog:
1 2017-05-28 22:33:35 LOCAL0 Fehler PPTP: Error for peer THOMAS (xx.xxx.xxx.49): Unkn.-CHAP-Peer
Weitergehende Einstellungen im Handy dahingehend finde ich nicht.
habe mit und ohne PPP-Verschlüsselung versucht. Am Handy oder am Tab kann man auch kein Verschlüsselungsstärke eingeben. Wenn diese überhaupt was taugt, was ich so gelesen habe.
Da ich hier kompletter Anfänger bin bitte ich um Nachsicht !!!
Was läuft da falsch ?
Grüße
Tomlan
1781VAW - VPN Verbindung klappt nicht.
Moderator: Lancom-Systems Moderatoren
Re: 1781VAW - VPN Verbindung klappt nicht.
Hallo, versuch doch erstmal das hier:
Lancom Knowledge Base -> Volltextsuche -> Android:
https://www2.lancom.de/kb.nsf/1275/5B38 ... enDocument
Lancom Knowledge Base -> Volltextsuche -> Android:
https://www2.lancom.de/kb.nsf/1275/5B38 ... enDocument
Re: 1781VAW - VPN Verbindung klappt nicht.
Hi TomLan,
Da aber PPTP als gebrochen gilt, solltest du lieber eine echte VPN-Verbindung mit IKEv2 aufbauen...
Gruß
Backslash
die Meldung sagt doch eigentlich schon alles... Du mußt in der PPP-Liste (unter Kommunikation -> Protokolle) einen Eintrag THOMAS anlegen. In dem läßt du das Feld "Benutzername" leer und trägst nur noch das Paßwort ein. Dann mußt du noch unter IPv4 -> Adressen einen Addreßbereich für Einwahlzugänge festlegen und kannst dich per PPTP unverschlüsselt einwählen. Für eine verschlüsselte Einwahl mußt du noch unter Kommunikation -> Gegenstellen -> PPTP -> PPTP-Liste einen Eintrag erstellen, den nennst du entweder THOMAS oder DEFAULT (wenn er für alle PPTP-Einwahlen gelten soll). Dort schaltest du dann die Verschlüsselung auf 128Bit und ggf. die Haltezeit auf 0.Es kommd der Fehler im Syslog:
1 2017-05-28 22:33:35 LOCAL0 Fehler PPTP: Error for peer THOMAS (xx.xxx.xxx.49): Unkn.-CHAP-Peer
Da aber PPTP als gebrochen gilt, solltest du lieber eine echte VPN-Verbindung mit IKEv2 aufbauen...
Gruß
Backslash
Re: 1781VAW - VPN Verbindung klappt nicht.
Hi,
Ich kann Backlash nur beipflichten.
PPTP ist nur mit sehr viel Augenzudrücken als VPN zu bezeichnen.
Gruß
Ich kann Backlash nur beipflichten.
PPTP ist nur mit sehr viel Augenzudrücken als VPN zu bezeichnen.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Re: 1781VAW - VPN Verbindung klappt nicht.
Hallo Forenmitglieder,
danke euch für die hilfreichen Antworten. Habe mich dann zumindest über PPTP einloggen können. Dass PPTP nicht wirklich sicher ist, habe ich bereits mitbekommen.
Werde nun versuchen das Ganze per ipsec zu bewerkstelligen.
mal sehen ob das dann klappt.
Grüße und Danke einstweilen
TomLan
danke euch für die hilfreichen Antworten. Habe mich dann zumindest über PPTP einloggen können. Dass PPTP nicht wirklich sicher ist, habe ich bereits mitbekommen.
Werde nun versuchen das Ganze per ipsec zu bewerkstelligen.
mal sehen ob das dann klappt.
Grüße und Danke einstweilen
TomLan
-
GrandDixence
- Beiträge: 1150
- Registriert: 19 Aug 2014, 22:41
Re: 1781VAW - VPN Verbindung klappt nicht.
Ein VPN-Tunnel mit IKEv2/IPSec zwischen LANCOM-Gerät und Android-Gerät funktioniert nicht mit dem nativen VPN-Client von Android.
Anmerkung: "nativer VPN-Client" => Der VPN-Client welcher Teil des Betriebsystem ist und somit schon vorinstalliert ist.
Für den VPN-Tunnel mit IKEv2/IPSec ist der Einsatz der APP "StrongSwan VPN Client" auf dem Android-Gerät zu empfehlen:
https://play.google.com/store/apps/deta ... roid&hl=de
https://de.wikipedia.org/wiki/StrongSwan
https://wiki.strongswan.org/projects/st ... dVPNClient
Die Konfiguration des VPN-Endpunkt auf dem LANCOM-Gerät erfolgt gemäss der Windows 10 (Mobile)-Anleitung:
http://www.lancom-forum.de/fragen-zum-t ... 15356.html
Achtung: Die Verschlüsselungs- und "Digitale Signatur"-Parameter sind den Fähigkeiten der "StrongSwan VPN Client"-APP anzupassen! => LANCOM VPN-Trace benutzen!!!
Das Maschinenzertifikat für das Android-Gerät und das Stammzertifikat darf nur der StrongSwan-App bekannt gegeben werden. Keinesfalls das Maschinenzertifikat oder das Stammzertifikat unter den Betriebssystem-Einstellungen installieren!
Auch mit der StrongSwan-App gibt es unter Android zwei Stolperfallen. Leider sind mir die Details zu diesen beiden Stolperfallen nicht mehr present. Jedenfalls konnte ich die Stolperfallen mit der Logbuch-Funktion der StrongSwan-App erkennen und beheben. Die beiden Stolperfallen waren glaub ich:
- Split-Modus statt vollständiger Tunnel-Modus
- Subject Alternative Name muss im Maschinenzertifikat definiert sein oder von Hand in der StrongSwan-App übersteuert werden
https://www.heise.de/security/artikel/C ... 17594.html
Anmerkung: "nativer VPN-Client" => Der VPN-Client welcher Teil des Betriebsystem ist und somit schon vorinstalliert ist.
Für den VPN-Tunnel mit IKEv2/IPSec ist der Einsatz der APP "StrongSwan VPN Client" auf dem Android-Gerät zu empfehlen:
https://play.google.com/store/apps/deta ... roid&hl=de
https://de.wikipedia.org/wiki/StrongSwan
https://wiki.strongswan.org/projects/st ... dVPNClient
Die Konfiguration des VPN-Endpunkt auf dem LANCOM-Gerät erfolgt gemäss der Windows 10 (Mobile)-Anleitung:
http://www.lancom-forum.de/fragen-zum-t ... 15356.html
Achtung: Die Verschlüsselungs- und "Digitale Signatur"-Parameter sind den Fähigkeiten der "StrongSwan VPN Client"-APP anzupassen! => LANCOM VPN-Trace benutzen!!!
Das Maschinenzertifikat für das Android-Gerät und das Stammzertifikat darf nur der StrongSwan-App bekannt gegeben werden. Keinesfalls das Maschinenzertifikat oder das Stammzertifikat unter den Betriebssystem-Einstellungen installieren!
Auch mit der StrongSwan-App gibt es unter Android zwei Stolperfallen. Leider sind mir die Details zu diesen beiden Stolperfallen nicht mehr present. Jedenfalls konnte ich die Stolperfallen mit der Logbuch-Funktion der StrongSwan-App erkennen und beheben. Die beiden Stolperfallen waren glaub ich:
- Split-Modus statt vollständiger Tunnel-Modus
- Subject Alternative Name muss im Maschinenzertifikat definiert sein oder von Hand in der StrongSwan-App übersteuert werden
https://www.heise.de/security/artikel/C ... 17594.html
Re: 1781VAW - VPN Verbindung klappt nicht.
Hallo GrandDixence,
Viele Grüße,
Jirka
bei mir funktioniert das. Ok, mit Zertifikaten war ich jetzt noch zu faul, aber mit PSK geht's schon mal.GrandDixence hat geschrieben:Ein VPN-Tunnel mit IKEv2/IPSec zwischen LANCOM-Gerät und Android-Gerät funktioniert nicht mit dem nativen VPN-Client von Android.
Viele Grüße,
Jirka
-
GrandDixence
- Beiträge: 1150
- Registriert: 19 Aug 2014, 22:41
Re: 1781VAW - VPN Verbindung klappt nicht.
Ich konnte ein VPN-Tunnel mit IKEv2/IPSec erfolgreich zwischen einem Android-Gerät mit StrongSwan und einem
LANCOM-Router herstellen. Unten stehend die Anleitung dazu.
Die Anleitung basiert auf der Windows 10 (Mobile)-Anleitung:
http://www.lancom-forum.de/fragen-zum-t ... 15356.html
Hier werden nur die von der Windows 10 (Mobile)-Anleitung abweichenden Konfigurationsschritte aufgezeigt!
VPN Client StrongSwan unter Android konfigurieren
=====================================================
Diese Anleitung gilt für LCOS 10.20 Rel und Android App "strongSwan VPN Client" v2.0.1. Diese Anleitung wurde letzmals erfolgreich getestet am 10.08.2024 mit einem Samsung Galaxy S22 unter Android 14 mit StrongSwan-App v2.5.2 und LCOS 10.50 RU14. Das Samsung S22 war beim Test auf dem neusten Softwarestand. Alle Samsung- und Google (Play Store)-Updates installiert! Für die Testdetails siehe:
fragen-zum-thema-vpn-f14/ikev2-mit-andr ... ml#p117925
Der VPN-Tunnel zum LANCOM-Router wird unter Android wie folgt eingerichtet:
1.) Der VPN Client StrongSwan über den Google Play Store installieren.
2.) VPN Client App StronSwan starten
3.) Wurzel-/Stammzertifikat-Zertifikat (CA) mit:
Menüpunkt CA-Zertifikate -> Zertifikat importieren
hochladen (üblich *.pem-Dateiformat).
4.) Profil hinzufügen
5.) Profil konfigurieren:
Server: GrandDixence.spdns.de
VPN-Typ: IKEv2 Zertifikat
Benutzer-Zertifikat => Rechner-/Maschinenzertifikat hochladen
(üblich *.p12-Dateiformat)
Benutzer-Identität: Standardwert (CN=<client.invalid>)
CA-Zertifikat
Automatisch wählen: Deaktiviert
CA Zertifikat: <Unter Punkt 3.) hochgeladenes CA-Zertifikat
wählen.>
6.) Erweiterte Profil-Einstellungen aktivieren und konfigurieren:
Server-Identität: CN=granddixence.spdns.de
Punkt 6) ist nur erforderlich, wenn das Rechner-/Maschinenzertifikat nicht korrekt mit dem
"subjectAltName" konfiguriert wurde. Siehe auch:
https://www.heise.de/security/artikel/C ... 17594.html
https://wiki.strongswan.org/projects/st ... in7CertReq
7.) Erweiterte Profil-Einstellungen aktivieren und konfigurieren:
NAT-T Keepalive Intervall: 15
8.) Unterstützung von RSASSA-PSS (RFC 7427) aktivieren:
RSA/PSS Signaturen verwenden: Ja
9.) Krypto-Algorithmen vordefinieren (für schnelleren VPN-Tunnelaufbau):
IKEv2 Algorithmen: aes128gcm16-prfsha256-ecp256bp
IPSEC/ESP Algorithmen: aes128gcm16
LANCOM-Gerät konfigurieren
========================================================
Folgende zur Windows 10 (Mobile)-Anleitung abweichende Konfigurationen sind im LANCOM-Gerät erforderlich:
Den VPN-Tunnel für die Einwahl der Android-Geräte einrichten:
Die Verschlüsselung des VPN-Tunnels ist zu konfigurieren:
Die Authentifizierung ist zu konfigurieren:
MobIKE
=========
MobIKE ist eine Erweiterung von IKEv2/IPSec für den mobilen Einsatz. Wenn maximal ein VPN-Endpunkt hinter einem NAT-Router/Firewall betrieben wird,
ermöglicht MobIKE den dynamischen Wechsel der IP-Adresse und auf dem VPN-Client sogar den Wechsel der Netzwerkschnittstelle. Für mehr Details siehe bitte:
https://www.heise.de/security/artikel/M ... 70948.html
Leider wird MobIKE von LANCOM-Geräten gar nicht oder nur mangelhaft unterstützt.
LANCOM-Router herstellen. Unten stehend die Anleitung dazu.
Die Anleitung basiert auf der Windows 10 (Mobile)-Anleitung:
http://www.lancom-forum.de/fragen-zum-t ... 15356.html
Hier werden nur die von der Windows 10 (Mobile)-Anleitung abweichenden Konfigurationsschritte aufgezeigt!
VPN Client StrongSwan unter Android konfigurieren
=====================================================
Diese Anleitung gilt für LCOS 10.20 Rel und Android App "strongSwan VPN Client" v2.0.1. Diese Anleitung wurde letzmals erfolgreich getestet am 10.08.2024 mit einem Samsung Galaxy S22 unter Android 14 mit StrongSwan-App v2.5.2 und LCOS 10.50 RU14. Das Samsung S22 war beim Test auf dem neusten Softwarestand. Alle Samsung- und Google (Play Store)-Updates installiert! Für die Testdetails siehe:
fragen-zum-thema-vpn-f14/ikev2-mit-andr ... ml#p117925
Der VPN-Tunnel zum LANCOM-Router wird unter Android wie folgt eingerichtet:
1.) Der VPN Client StrongSwan über den Google Play Store installieren.
2.) VPN Client App StronSwan starten
3.) Wurzel-/Stammzertifikat-Zertifikat (CA) mit:
Menüpunkt CA-Zertifikate -> Zertifikat importieren
hochladen (üblich *.pem-Dateiformat).
4.) Profil hinzufügen
5.) Profil konfigurieren:
Server: GrandDixence.spdns.de
VPN-Typ: IKEv2 Zertifikat
Benutzer-Zertifikat => Rechner-/Maschinenzertifikat hochladen
(üblich *.p12-Dateiformat)
Benutzer-Identität: Standardwert (CN=<client.invalid>)
CA-Zertifikat
Automatisch wählen: Deaktiviert
CA Zertifikat: <Unter Punkt 3.) hochgeladenes CA-Zertifikat
wählen.>
6.) Erweiterte Profil-Einstellungen aktivieren und konfigurieren:
Server-Identität: CN=granddixence.spdns.de
Punkt 6) ist nur erforderlich, wenn das Rechner-/Maschinenzertifikat nicht korrekt mit dem
"subjectAltName" konfiguriert wurde. Siehe auch:
https://www.heise.de/security/artikel/C ... 17594.html
https://wiki.strongswan.org/projects/st ... in7CertReq
7.) Erweiterte Profil-Einstellungen aktivieren und konfigurieren:
NAT-T Keepalive Intervall: 15
8.) Unterstützung von RSASSA-PSS (RFC 7427) aktivieren:
RSA/PSS Signaturen verwenden: Ja
9.) Krypto-Algorithmen vordefinieren (für schnelleren VPN-Tunnelaufbau):
IKEv2 Algorithmen: aes128gcm16-prfsha256-ecp256bp
IPSEC/ESP Algorithmen: aes128gcm16
LANCOM-Gerät konfigurieren
========================================================
Folgende zur Windows 10 (Mobile)-Anleitung abweichende Konfigurationen sind im LANCOM-Gerät erforderlich:
Den VPN-Tunnel für die Einwahl der Android-Geräte einrichten:
Code: Alles auswählen
> ls /Setup/VPN/IKEv2/Gegenstellen/
Gegenstelle Aktiv SH-Zeit Entferntes-Gateway Rtg-Tag Verschluesselung Authentifizierung Parameter Lebensdauer IKE-CFG IPv4-CFG-Pool IPv6-CFG-Pool Regelerzeugung IPv4-Regeln IPv6-Regeln Routing RADIUS-Autorisierung RADIUS-Accounting Kommentar
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
DEFAULT ja 0 0 ANDROID DEFAULT VPN_NATEL VPN_NATEL aus Manuell DEFAULT
VPN_NATEL ja 0 10 ANDROID ANDROID VPN_NATEL VPN_NATEL Server VPN_NATEL Manuell VPN_NATEL_NETZ VPN_NATEL
Code: Alles auswählen
> ls /Setup/VPN/IKEv2/Verschluesselung/
Name DH-Gruppen PFS IKE-SA-Verschluesselungsliste IKE-SA-Integ-Alg-Liste Child-SA-Verschluesselungsliste Child-SA-Integ-Alg-Liste
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
ANDROID DH28 ja AES-GCM-128 SHA-256 AES-GCM-128 SHA-256 Code: Alles auswählen
> ls /Setup/VPN/IKEv2/Auth/Parameter/
Name Local-Auth Local-Dig-Sig-Profil Local-ID-Typ Local-ID Lokales-Passwort Remote-Auth Remote-Dig-Sig-Profil Remote-ID-Typ Remote-ID Remote-Password Addit.-Remote-ID-List Lokales-Zertifikat Remote-Cert-ID-Check OCSP-Check
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
DEFAULT Digital-Signature ANDROID Keine Identität Digital-Signature ANDROID Keine Identität VPN1 nein nein
NATEL Digital-Signature ANDROID Distinguished-Name CN=granddixence.spdns.de Digital-Signature ANDROID Distinguished-Name CN=natel.invalid VPN1 ja nein Code: Alles auswählen
> ls /Setup/VPN/IKEv2/Auth/Digital-Signatur-Profile/
Name Auth-Methode Hash-Algorithmen
----------------------------------------------------------------------
ANDROID RSASSA-PSS SHA-384=========
MobIKE ist eine Erweiterung von IKEv2/IPSec für den mobilen Einsatz. Wenn maximal ein VPN-Endpunkt hinter einem NAT-Router/Firewall betrieben wird,
ermöglicht MobIKE den dynamischen Wechsel der IP-Adresse und auf dem VPN-Client sogar den Wechsel der Netzwerkschnittstelle. Für mehr Details siehe bitte:
https://www.heise.de/security/artikel/M ... 70948.html
Leider wird MobIKE von LANCOM-Geräten gar nicht oder nur mangelhaft unterstützt.
Zuletzt geändert von GrandDixence am 10 Aug 2024, 16:13, insgesamt 19-mal geändert.
Re: 1781VAW - VPN Verbindung klappt nicht.
Eine sehr einfache Möglichkeit ist die Verwendung der NCP VPN App für Android, in der Basic Variante 2,99€.
https://play.google.com/store/apps/deta ... .vpn.basic
Man kann die Konfiguration <profil>.ini mit dem Lancom Windows VPN Wizard erstellen und, so man möchte, in den Advanced Windows VPN Client (gibt es auch als 30d trial) importieren, bearbeiten und dann vom Windows Rechner die ncpphone.cfg in die Android App importieren. Das sind dann auch ggf. mehrere Profile drin. Dauert das erste mal vielleicht 0,5...1h, ab dem 2. mal einige Minuten...
https://www.ncp-e.com/de/service/faqs/i ... t-android/
Optional:
Ich kopiere vor der Verwednung der ncpphone.cpg das Profil im Windows VPN Client und erstelle ein zweites Profil mit gezielten IPSec Einstellungen via UDP Port 444, damit wird (so man das auch im Router eingeschaltet hat) IPsec over https gezielt benutzt, was in manchen Hotel WLAN oder via Mobilfunk - auch im Ausland - VPN Verbindungen bescherte, wo das anderen nicht gelang. Ich nutze die teurere, aber umfangreichere "Premium" Variante https://play.google.com/store/apps/deta ... pn.premium , ob das so mit der Basic Variante geht, weiß ich nicht.
HTH Tom
https://play.google.com/store/apps/deta ... .vpn.basic
Man kann die Konfiguration <profil>.ini mit dem Lancom Windows VPN Wizard erstellen und, so man möchte, in den Advanced Windows VPN Client (gibt es auch als 30d trial) importieren, bearbeiten und dann vom Windows Rechner die ncpphone.cfg in die Android App importieren. Das sind dann auch ggf. mehrere Profile drin. Dauert das erste mal vielleicht 0,5...1h, ab dem 2. mal einige Minuten...
https://www.ncp-e.com/de/service/faqs/i ... t-android/
Optional:
Ich kopiere vor der Verwednung der ncpphone.cpg das Profil im Windows VPN Client und erstelle ein zweites Profil mit gezielten IPSec Einstellungen via UDP Port 444, damit wird (so man das auch im Router eingeschaltet hat) IPsec over https gezielt benutzt, was in manchen Hotel WLAN oder via Mobilfunk - auch im Ausland - VPN Verbindungen bescherte, wo das anderen nicht gelang. Ich nutze die teurere, aber umfangreichere "Premium" Variante https://play.google.com/store/apps/deta ... pn.premium , ob das so mit der Basic Variante geht, weiß ich nicht.
HTH Tom