Hallo zusammen,
da L2TP auf Windows 7 einfach nicht zum problemlosen Betrieb zu überreden war, ich aber von 3rd Party Clients im Allgemeinen und SSL wegen der Performanceeinbußen im Speziellen absehen wollte habe ich IKE v2 eingerichtet.
Das klappt auch soweit super, Zertifikat installieren, VPN einrichten fertig. (An der Stelle der Hinweis: Die Anleitung dafür ist total versteckt und verschweigt den folgenden wichtigen Punkt)
http://wiki.securepoint.de/index.php/VP ... verwaltung
Leider klappt das nur, wenn man alle IKE v1 Roadwarrior Verbindungen abklemmt, was mir nicht so gefällt.
Gibt es wirklich keine Möglichkeit IKE v1 und v2 parallel zu betreiben?
MfG
Niels
IKE v1 und IKE v2 gleichzeitig
Moderator: Securepoint
So, um vielleicht jemand anderem zu helfen antworte ich mir mal selbst.
Die Appliance findet die passende VPN Verbindung indem sie von oben in der Liste durchgeht.
Sobald eine VPN Config matcht (ID, bei Roadwarriorn ggf any) wird die genommen, auch wenn es eine IKE v1 ist.
Jetzt ist das Problem, dass pluto natürlich keine IKE v2 requests verarbeiten kann, es aber versucht.
Befindet sich jedoch die IKE v2 Verbidnung VOR der IKE v1 (XAuth, L2TP) matcht die zwar, aber charon übergibt die IKE v1Verbindung dann korrekt an pluto.
Die IKE v2 funktioniert natürlich in diesem Fall auch.
Denkt dran, dass ihr in diesem Fall bei Nutzung eines gemeinsamen Adressraumes für die IPSec-Raodwarrior die Netzmaske entsprechend aufteilt, ich bin nicht sicher, ob die Appliance das sonst automatisch richtig hinbekommt.
Die Appliance findet die passende VPN Verbindung indem sie von oben in der Liste durchgeht.
Sobald eine VPN Config matcht (ID, bei Roadwarriorn ggf any) wird die genommen, auch wenn es eine IKE v1 ist.
Jetzt ist das Problem, dass pluto natürlich keine IKE v2 requests verarbeiten kann, es aber versucht.
Befindet sich jedoch die IKE v2 Verbidnung VOR der IKE v1 (XAuth, L2TP) matcht die zwar, aber charon übergibt die IKE v1Verbindung dann korrekt an pluto.
Die IKE v2 funktioniert natürlich in diesem Fall auch.
Denkt dran, dass ihr in diesem Fall bei Nutzung eines gemeinsamen Adressraumes für die IPSec-Raodwarrior die Netzmaske entsprechend aufteilt, ich bin nicht sicher, ob die Appliance das sonst automatisch richtig hinbekommt.
Hmm, nachdem das jetzt einige Zeit problemlos lief bekomme ich beim Aufbau der IKEv2 immer einen Zertifikatsfehler ohne dass ich an einer der beiden Seiten was geändert hätte.
Das entsprechende Log in der Securepoint sieht so aus:
18.10.2015 18:16:33 IPSec (charon) 13[IKE]x.x.x.x is initiating an IKE_SA
18.10.2015 18:16:33 IPSec (charon) last message repeated 1 times
18.10.2015 18:16:33 IPSec (charon) 13[IKE]remote host is behind NAT
18.10.2015 18:16:33 IPSec (charon) 13[IKE]sending cert request for"C=DE,ST=Nordrhein-Westfalen,L=Bonn,O=Firma,CN=SecurepointRoot CA,E=ich@firma.de"
18.10.2015 18:16:33 IPSec (charon) 16[IKE]received cert request for"C=DE,ST=Nordrhein-Westfalen,L=Bonn,O=Firma,CN=SecurepointRoot CA,E=ich@firma.de"
18.10.2015 18:16:33 IPSec (charon) 16[IKE]received 37 cert requests for an unknown ca
18.10.2015 18:16:33 IPSec (charon) 16[IKE]received end entity cert"C=DE,ST=Nordrhein-Westfalen,L=Bonn,O=Firma,CN=meinPC,E=ich@firma.de"
18.10.2015 18:16:33 IPSec (charon) 16[CFG]looking for peer configs matchingy.y.y.y[%any]...x.x.x.x[C=DE,ST=Nordrhein-Westfalen,L=Bonn,O=Firma,CN=meinPC,E=ich@firma.de]
18.10.2015 18:16:33 IPSec (charon) 16[CFG]selected peer config 'IP-Sec IKE'
18.10.2015 18:16:33 IPSec (charon) 16[CFG]using certificate"C=DE,ST=Nordrhein-Westfalen,L=Bonn,O=Firma,CN=meinPC,E=ich@firma.de"
18.10.2015 18:16:33 IPSec (charon) 16[CFG]using trusted ca certificate"C=DE,ST=Nordrhein-Westfalen,L=Bonn,O=Firma,CN=SecurepointRoot CA,E=ich@firma.de"
18.10.2015 18:16:33 IPSec (charon) 16[CFG]checking certificate status of"C=DE,ST=Nordrhein-Westfalen,L=Bonn,O=Firma,CN=meinPC,E=ich@firma.de"
18.10.2015 18:16:33 IPSec (charon) 16[CFG]using trusted certificate"C=DE,ST=Nordrhein-Westfalen,L=Bonn,O=Firma,CN=SecurepointRoot CA,E=ich@firma.de"
18.10.2015 18:16:33 IPSec (charon) 16[CFG]crl correctly signed by"C=DE,ST=Nordrhein-Westfalen,L=Bonn,O=Firma,CN=SecurepointRoot CA,E=ich@firma.de"
18.10.2015 18:16:33 IPSec (charon) 16[CFG]crl is valid: until Oct 06 18:01:59 2016
18.10.2015 18:16:33 IPSec (charon) 16[CFG]using cached crl
18.10.2015 18:16:33 IPSec (charon) 16[CFG]certificate status is good
18.10.2015 18:16:33 IPSec (charon) 16[CFG]reached self-signed root ca with a path length of 0
18.10.2015 18:16:33 IPSec (charon) 16[IKE]authentication of'C=DE,ST=Nordrhein-Westfalen,L=Bonn,O=Firma,CN=meinPC,E=ich@firma.de'with RSA signature successful
18.10.2015 18:16:33 IPSec (charon) 16[IKE]peer supports MOBIKE
18.10.2015 18:16:33 IPSec (charon) 16[IKE]no private key found for'C=DE,ST=Nordrhein-Westfalen,L=Bonn,O=Firma,CN=ApplianceCert,E=ich@firma.de'
Was ist da auf einmal los?
Das entsprechende Log in der Securepoint sieht so aus:
18.10.2015 18:16:33 IPSec (charon) 13[IKE]x.x.x.x is initiating an IKE_SA
18.10.2015 18:16:33 IPSec (charon) last message repeated 1 times
18.10.2015 18:16:33 IPSec (charon) 13[IKE]remote host is behind NAT
18.10.2015 18:16:33 IPSec (charon) 13[IKE]sending cert request for"C=DE,ST=Nordrhein-Westfalen,L=Bonn,O=Firma,CN=SecurepointRoot CA,E=ich@firma.de"
18.10.2015 18:16:33 IPSec (charon) 16[IKE]received cert request for"C=DE,ST=Nordrhein-Westfalen,L=Bonn,O=Firma,CN=SecurepointRoot CA,E=ich@firma.de"
18.10.2015 18:16:33 IPSec (charon) 16[IKE]received 37 cert requests for an unknown ca
18.10.2015 18:16:33 IPSec (charon) 16[IKE]received end entity cert"C=DE,ST=Nordrhein-Westfalen,L=Bonn,O=Firma,CN=meinPC,E=ich@firma.de"
18.10.2015 18:16:33 IPSec (charon) 16[CFG]looking for peer configs matchingy.y.y.y[%any]...x.x.x.x[C=DE,ST=Nordrhein-Westfalen,L=Bonn,O=Firma,CN=meinPC,E=ich@firma.de]
18.10.2015 18:16:33 IPSec (charon) 16[CFG]selected peer config 'IP-Sec IKE'
18.10.2015 18:16:33 IPSec (charon) 16[CFG]using certificate"C=DE,ST=Nordrhein-Westfalen,L=Bonn,O=Firma,CN=meinPC,E=ich@firma.de"
18.10.2015 18:16:33 IPSec (charon) 16[CFG]using trusted ca certificate"C=DE,ST=Nordrhein-Westfalen,L=Bonn,O=Firma,CN=SecurepointRoot CA,E=ich@firma.de"
18.10.2015 18:16:33 IPSec (charon) 16[CFG]checking certificate status of"C=DE,ST=Nordrhein-Westfalen,L=Bonn,O=Firma,CN=meinPC,E=ich@firma.de"
18.10.2015 18:16:33 IPSec (charon) 16[CFG]using trusted certificate"C=DE,ST=Nordrhein-Westfalen,L=Bonn,O=Firma,CN=SecurepointRoot CA,E=ich@firma.de"
18.10.2015 18:16:33 IPSec (charon) 16[CFG]crl correctly signed by"C=DE,ST=Nordrhein-Westfalen,L=Bonn,O=Firma,CN=SecurepointRoot CA,E=ich@firma.de"
18.10.2015 18:16:33 IPSec (charon) 16[CFG]crl is valid: until Oct 06 18:01:59 2016
18.10.2015 18:16:33 IPSec (charon) 16[CFG]using cached crl
18.10.2015 18:16:33 IPSec (charon) 16[CFG]certificate status is good
18.10.2015 18:16:33 IPSec (charon) 16[CFG]reached self-signed root ca with a path length of 0
18.10.2015 18:16:33 IPSec (charon) 16[IKE]authentication of'C=DE,ST=Nordrhein-Westfalen,L=Bonn,O=Firma,CN=meinPC,E=ich@firma.de'with RSA signature successful
18.10.2015 18:16:33 IPSec (charon) 16[IKE]peer supports MOBIKE
18.10.2015 18:16:33 IPSec (charon) 16[IKE]no private key found for'C=DE,ST=Nordrhein-Westfalen,L=Bonn,O=Firma,CN=ApplianceCert,E=ich@firma.de'
Was ist da auf einmal los?