aufgrund von erhofften Performance Verbesserungen mache ich aktuell erste Tests mit IKEv2. Im Testszenario ist auch ein Apple iPhone/iPad dabei mit iOS9, VPN über IKEv2 mit PSK.
Wenn ich mir die Aushandlung anschaue, unterstützt der VPN Client
- AES128bit/SHA1 (beide Phasen) + DH-2, kein PFS
- AES256bit/SHA256 (beide Phasen) + DH-5, kein PFS
- 3DES/SHA1 (beide Phasen) + DH-2, kein PFS
Übermittelt wird zusätzlich ein KE Payload mit einem DH-2 Key + Nonce. Wenn ich im Lancom Router AES128bit/SHA1 (beide Phasen) + DH-2, kein PFS hinterlege, bekomme ich die VPN Verbindung problemlos zum Laufen. Jetzt will ich natürlich die sichere Variante wählen, scheinbar verträgt sich das aber nicht. Ich erhalte folgende Meldung:
Code: Alles auswählen
IKE info: save_g_x not o.k.
...
Received 4 notifications:
+REDIRECT_SUPPORTED
+STATUS_NAT_DETECTION_SOURCE_IP
+STATUS_NAT_DETECTION_DESTINATION_IP
+IKEV2_FRAGMENTATION_SUPPORTED
-KE Payload'S group 5 does not fit to the negotiated group type 2 => Sending INVALID_KE_PAYLOAD
Zweite Frage: Wenn ich einen IPv4 Pool für die VPN Clients konfiguriere, erhält der Client die korrekte IP, kann aber nicht mit dem LAN kommunizieren. Laut Trace kommen Pakete an der Zielstation an, aber die MAC-Adresse passt nicht für eine Rückantwort. Wenn ich statt IPv4 Pool einfach die Routing Tabelle verwende mit Bezug auf die VPN Gegenstelle, geht's sofort. ProxyARP ist logischerweise durchgängig an.
Ideen? Vielen Dank
Ansonsten fehlt mir unter status/vpn/ike die Versionsnummer von IKE als Spalte. Steht zwar bei Connections, aber bei IKE passt es vermutlich auch rein?
Gruß Dr.Einstein