XAUTH

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
andydld
Beiträge: 69
Registriert: Mi 26.09.2012, 10:10
Wohnort: Haibach
Kontaktdaten:

XAUTH

Beitrag von andydld »

Hallo Zusammen,

ich habe gerade mal mein Glück mit IPSEC-XAUTH versucht.
Leider ohne Erfolg.
Auf dem Tablet ist Android 4.0.4 installiert.
Die SP ist wie im Wiki beschrieben eingerichtet (nur andere IPs).
Hier der Auszug aus dem Live Log:

Pre-Shared Key: test | Android-Meldung: Nicht erfolgreich

Code: Alles auswählen

2012-11-26T22:54:49+01:00	pluto	packet from 192.168.0.220:500: received Vendor ID payload [RFC 3947]
2012-11-26T22:54:49+01:00	pluto	packet from 192.168.0.220:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
2012-11-26T22:54:49+01:00	pluto	packet from 192.168.0.220:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
2012-11-26T22:54:49+01:00	pluto	packet from 192.168.0.220:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
2012-11-26T22:54:49+01:00	pluto	packet from 192.168.0.220:500: received Vendor ID payload [XAUTH]
2012-11-26T22:54:49+01:00	pluto	packet from 192.168.0.220:500: ignoring Vendor ID payload [Cisco-Unity]
2012-11-26T22:54:49+01:00	pluto	packet from 192.168.0.220:500: ignoring Vendor ID payload [FRAGMENTATION 80000000]
2012-11-26T22:54:49+01:00	pluto	packet from 192.168.0.220:500: received Vendor ID payload [Dead Peer Detection]
2012-11-26T22:54:49+01:00	pluto	"ipsec-xauth_1"[1] 192.168.0.220 #2: responding to Main Mode from unknown peer 192.168.0.220
2012-11-26T22:54:49+01:00	pluto	"ipsec-xauth_1"[1] 192.168.0.220 #2: NAT-Traversal: Result using RFC 3947: no NAT detected
2012-11-26T22:54:49+01:00	pluto	"ipsec-xauth_1"[1] 192.168.0.220 #2: Peer ID is ID_IPV4_ADDR: '192.168.0.220'
2012-11-26T22:54:49+01:00	pluto	"ipsec-xauth_1"[1] 192.168.0.220 #2: sent MR3, ISAKMP SA established
2012-11-26T22:54:49+01:00	pluto	"ipsec-xauth_1"[1] 192.168.0.220 #2: sending XAUTH request
2012-11-26T22:54:49+01:00	pluto	packet from 192.168.0.220:500: Informational Exchange is for an unknown (expired?) SA
2012-11-26T22:54:49+01:00	pluto	"ipsec-xauth_1"[1] 192.168.0.220 #2: parsing XAUTH reply
2012-11-26T22:54:49+01:00	pluto	"ipsec-xauth_1"[1] 192.168.0.220 #2: extended authentication was successful
2012-11-26T22:54:49+01:00	pluto	"ipsec-xauth_1"[1] 192.168.0.220 #2: sending XAUTH status
2012-11-26T22:54:49+01:00	pluto	"ipsec-xauth_1"[1] 192.168.0.220 #2: parsing XAUTH ack
2012-11-26T22:54:49+01:00	pluto	"ipsec-xauth_1"[1] 192.168.0.220 #2: received XAUTH ack, established
2012-11-26T22:54:49+01:00	pluto	"ipsec-xauth_1"[1] 192.168.0.220 #2: sending ModeCfg set
2012-11-26T22:54:49+01:00	pluto	"ipsec-xauth_1"[1] 192.168.0.220 #2: assigning virtual IP 192.168.200.1 to peer
2012-11-26T22:54:49+01:00	pluto	packet from 192.168.0.220:500: ModeCfg message is for a non-existent (expired?) ISAKMP SA
2012-11-26T22:54:49+01:00	pluto	"ipsec-xauth_1"[1] 192.168.0.220 #2: parsing ModeCfg ack
2012-11-26T22:54:49+01:00	pluto	"ipsec-xauth_1"[1] 192.168.0.220 #2: received ModeCfg ack, established
2012-11-26T22:54:49+01:00	pluto	"ipsec-xauth_1"[1] 192.168.0.220 #2: parsing ModeCfg request
2012-11-26T22:54:49+01:00	pluto	"ipsec-xauth_1"[1] 192.168.0.220 #2: peer requested virtual IP %any
2012-11-26T22:54:49+01:00	pluto	"ipsec-xauth_1"[1] 192.168.0.220 #2: assigning virtual IP 192.168.200.1 to peer
2012-11-26T22:54:49+01:00	pluto	"ipsec-xauth_1"[1] 192.168.0.220 #2: sending ModeCfg reply
2012-11-26T22:54:49+01:00	pluto	"ipsec-xauth_1"[1] 192.168.0.220 #2: sent ModeCfg reply, established
Pre-Shared Key: insecure | Android-Meldung: Timeout

Auch wenn das Log sagt, das möglicherweise die PSKs nicht identisch sind, Sie sind es. Ich habe es mehrfach neu eingegeben. Die Anmeldedaten funktionieren bei ClientlessVPN ohne Probleme.

Code: Alles auswählen

2012-11-26T23:02:37+01:00	pluto	packet from 192.168.0.220:500: received Vendor ID payload [RFC 3947]
2012-11-26T23:02:37+01:00	pluto	packet from 192.168.0.220:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
2012-11-26T23:02:37+01:00	pluto	packet from 192.168.0.220:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
2012-11-26T23:02:37+01:00	pluto	packet from 192.168.0.220:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
2012-11-26T23:02:37+01:00	pluto	packet from 192.168.0.220:500: received Vendor ID payload [XAUTH]
2012-11-26T23:02:37+01:00	pluto	packet from 192.168.0.220:500: ignoring Vendor ID payload [Cisco-Unity]
2012-11-26T23:02:37+01:00	pluto	packet from 192.168.0.220:500: ignoring Vendor ID payload [FRAGMENTATION 80000000]
2012-11-26T23:02:37+01:00	pluto	packet from 192.168.0.220:500: received Vendor ID payload [Dead Peer Detection]
2012-11-26T23:02:37+01:00	pluto	"ipsec-xauth_1"[1] 192.168.0.220 #5: responding to Main Mode from unknown peer 192.168.0.220
2012-11-26T23:02:37+01:00	pluto	"ipsec-xauth_1"[1] 192.168.0.220 #5: NAT-Traversal: Result using RFC 3947: no NAT detected
2012-11-26T23:02:37+01:00	pluto	"ipsec-xauth_1"[1] 192.168.0.220 #5: next payload type of ISAKMP Identification Payload has an unknown value: 102
2012-11-26T23:02:37+01:00	pluto	"ipsec-xauth_1"[1] 192.168.0.220 #5: probable authentication failure (mismatch of preshared secrets?): malformed payload in packet
2012-11-26T23:02:37+01:00	pluto	"ipsec-xauth_1"[1] 192.168.0.220 #5: sending encrypted notification PAYLOAD_MALFORMED to 192.168.0.220:500
2012-11-26T23:02:40+01:00	pluto	"ipsec-xauth_1"[1] 192.168.0.220 #5: next payload type of ISAKMP Identification Payload has an unknown value: 102
2012-11-26T23:02:40+01:00	pluto	"ipsec-xauth_1"[1] 192.168.0.220 #5: probable authentication failure (mismatch of preshared secrets?): malformed payload in packet
2012-11-26T23:02:40+01:00	pluto	"ipsec-xauth_1"[1] 192.168.0.220 #5: sending encrypted notification PAYLOAD_MALFORMED to 192.168.0.220:500
2012-11-26T23:02:44+01:00	pluto	"ipsec-xauth_1"[1] 192.168.0.220 #5: next payload type of ISAKMP Identification Payload has an unknown value: 102
2012-11-26T23:02:44+01:00	pluto	"ipsec-xauth_1"[1] 192.168.0.220 #5: probable authentication failure (mismatch of preshared secrets?): malformed payload in packet
2012-11-26T23:02:44+01:00	pluto	"ipsec-xauth_1"[1] 192.168.0.220 #5: sending encrypted notification PAYLOAD_MALFORMED to 192.168.0.220:500
2012-11-26T23:02:47+01:00	pluto	"ipsec-xauth_1"[1] 192.168.0.220 #5: next payload type of ISAKMP Identification Payload has an unknown value: 102
2012-11-26T23:02:47+01:00	pluto	"ipsec-xauth_1"[1] 192.168.0.220 #5: probable authentication failure (mismatch of preshared secrets?): malformed payload in packet
2012-11-26T23:02:47+01:00	pluto	"ipsec-xauth_1"[1] 192.168.0.220 #5: sending encrypted notification PAYLOAD_MALFORMED to 192.168.0.220:500
2012-11-26T23:02:48+01:00	pluto	"ipsec-xauth_1"[1] 192.168.0.220 #5: next payload type of ISAKMP Identification Payload has an unknown value: 102
2012-11-26T23:02:48+01:00	pluto	"ipsec-xauth_1"[1] 192.168.0.220 #5: probable authentication failure (mismatch of preshared secrets?): malformed payload in packet
2012-11-26T23:02:48+01:00	pluto	"ipsec-xauth_1"[1] 192.168.0.220 #5: sending encrypted notification PAYLOAD_MALFORMED to 192.168.0.220:500
2012-11-26T23:02:50+01:00	pluto	"ipsec-xauth_1"[1] 192.168.0.220 #5: next payload type of ISAKMP Identification Payload has an unknown value: 102
2012-11-26T23:02:50+01:00	pluto	"ipsec-xauth_1"[1] 192.168.0.220 #5: probable authentication failure (mismatch of preshared secrets?): malformed payload in packet
2012-11-26T23:02:50+01:00	pluto	"ipsec-xauth_1"[1] 192.168.0.220 #5: sending encrypted notification PAYLOAD_MALFORMED to 192.168.0.220:500
2012-11-26T23:02:53+01:00	pluto	"ipsec-xauth_1"[1] 192.168.0.220 #5: next payload type of ISAKMP Identification Payload has an unknown value: 102
2012-11-26T23:02:53+01:00	pluto	"ipsec-xauth_1"[1] 192.168.0.220 #5: probable authentication failure (mismatch of preshared secrets?): malformed payload in packet
2012-11-26T23:02:53+01:00	pluto	"ipsec-xauth_1"[1] 192.168.0.220 #5: sending encrypted notification PAYLOAD_MALFORMED to 192.168.0.220:500
2012-11-26T23:02:56+01:00	pluto	"ipsec-xauth_1"[1] 192.168.0.220 #5: next payload type of ISAKMP Identification Payload has an unknown value: 102
2012-11-26T23:02:56+01:00	pluto	"ipsec-xauth_1"[1] 192.168.0.220 #5: probable authentication failure (mismatch of preshared secrets?): malformed payload in packet
2012-11-26T23:02:56+01:00	pluto	"ipsec-xauth_1"[1] 192.168.0.220 #5: sending encrypted notification PAYLOAD_MALFORMED to 192.168.0.220:500
2012-11-26T23:02:59+01:00	pluto	"ipsec-xauth_1"[1] 192.168.0.220 #5: next payload type of ISAKMP Identification Payload has an unknown value: 102
2012-11-26T23:02:59+01:00	pluto	"ipsec-xauth_1"[1] 192.168.0.220 #5: probable authentication failure (mismatch of preshared secrets?): malformed payload in packet
2012-11-26T23:02:59+01:00	pluto	"ipsec-xauth_1"[1] 192.168.0.220 #5: sending encrypted notification PAYLOAD_MALFORMED to 192.168.0.220:500
2012-11-26T23:03:02+01:00	pluto	"ipsec-xauth_1"[1] 192.168.0.220 #5: next payload type of ISAKMP Identification Payload has an unknown value: 102
2012-11-26T23:03:02+01:00	pluto	"ipsec-xauth_1"[1] 192.168.0.220 #5: probable authentication failure (mismatch of preshared secrets?): malformed payload in packet
2012-11-26T23:03:02+01:00	pluto	"ipsec-xauth_1"[1] 192.168.0.220 #5: sending encrypted notification PAYLOAD_MALFORMED to 192.168.0.220:500
2012-11-26T23:03:05+01:00	pluto	"ipsec-xauth_1"[1] 192.168.0.220 #5: next payload type of ISAKMP Identification Payload has an unknown value: 102
2012-11-26T23:03:05+01:00	pluto	"ipsec-xauth_1"[1] 192.168.0.220 #5: probable authentication failure (mismatch of preshared secrets?): malformed payload in packet
2012-11-26T23:03:05+01:00	pluto	"ipsec-xauth_1"[1] 192.168.0.220 #5: sending encrypted notification PAYLOAD_MALFORMED to 192.168.0.220:500
2012-11-26T23:03:08+01:00	pluto	"ipsec-xauth_1"[1] 192.168.0.220 #5: next payload type of ISAKMP Identification Payload has an unknown value: 102
2012-11-26T23:03:08+01:00	pluto	"ipsec-xauth_1"[1] 192.168.0.220 #5: probable authentication failure (mismatch of preshared secrets?): malformed payload in packet
2012-11-26T23:03:08+01:00	pluto	"ipsec-xauth_1"[1] 192.168.0.220 #5: sending encrypted notification PAYLOAD_MALFORMED to 192.168.0.220:500
2012-11-26T23:03:48+01:00	pluto	"ipsec-xauth_1"[1] 192.168.0.220 #5: max number of retransmissions (2) reached STATE_MAIN_R2

Benutzeravatar
Erik
Securepoint
Beiträge: 1479
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Zumindest Win7 verifiziert den Verwendungszweck des Server-Zertifikats (nsCertType = server). Ich vermute Android prüft das auch. Leider, kann man in der 11.0.1 den Haken bei "Server-Authentifizierung" (wie er aus der 10ner bekannt ist) nicht setzen. Der kleine Haken hat sich aber nur verlaufen und kommt in 11.1 wieder.
Ich denke, dass das irgendwie miteinander zusammenhängt.

andydld
Beiträge: 69
Registriert: Mi 26.09.2012, 10:10
Wohnort: Haibach
Kontaktdaten:

Beitrag von andydld »

Dann bin ich mal gespannt, was da noch kommt.
Gibt's denn einen Zeitplan für 11.1?

Benutzeravatar
Erik
Securepoint
Beiträge: 1479
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Ähmähm... "soon"? :D

Christian Beyer
Securepoint
Beiträge: 157
Registriert: Mo 17.11.2008, 21:38
Kontaktdaten:

Beitrag von Christian Beyer »

Der Verwendungszweck sollte eigentlich egal sein.
Stimmen der CN und der DNS-Alias des Zertifikates mit dem Hostnamen überein, zu dem eine Verbindung aufgebaut werden soll?

andydld
Beiträge: 69
Registriert: Mi 26.09.2012, 10:10
Wohnort: Haibach
Kontaktdaten:

Beitrag von andydld »

Jetzt muss ich doch nochmal nachfragen: Im Wiki wird aber mit PSK gearbeitet, also nix mit Zertifikat oder ist mir da was entgangen? In der Testumgebung habe ich lediglich mit IP-Adressen und nicht mit DNS-Namen gearbeitet, aber das sollte ja bei PSK egal sein, oder?

Christian Beyer
Securepoint
Beiträge: 157
Registriert: Mo 17.11.2008, 21:38
Kontaktdaten:

Beitrag von Christian Beyer »

oh, das ist korrekt .. Da hat mich der Post mit zum "Verwendungszweck des Server-Zertifikats" etwas fehl geleitet.. ;-)

carsten
Beiträge: 644
Registriert: Fr 05.10.2007, 12:56

Beitrag von carsten »

Hallo,

gibt es noch weitere IPSec-Tunnel?
There are 10 types of people in the world... those who understand binary and those who don\'t.

LSassl
Beiträge: 97
Registriert: Sa 23.06.2012, 22:43
Kontaktdaten:

Beitrag von LSassl »

Hallo zusammen! Ich habe ebenfalls (erfolglos) versucht eine IPSec- Verbindung (IKEv2 mit Zertifikaten) einzurichten. Bei Version 10 war das soweit kein Problem. Ich habe auch "irgendwie" den Verwendungszweck in Verdacht. CN und DNS-Alias des Gateway-Zertifikats ist identisch mit dem Hostname über den die Verbindung aufgebaut ist. Nach der Einrichtung meldet Windows 8 beim Verbindungsaufbau den Fehler 13081.
Error 13801 occurs on the client when:

The certificate is expired.

The trusted root for the certificate is not present on the client.

The subject name of the certificate does not match the remote computer.

The certificate does not have the required Enhanced Key Usage (EKU) values assigned.
Also: Punkt 1-3 kann ich für mich ausschließen (Zertifikate waren im Computerspeicher - sowohl root als auch user), sn=Zugangspunkt URL. Bleibt also nur noch Punkt 4.
Hmm, wo ist denn die Any-Key-Taste? Naja, ich bestell mir ersteinmal ein Bier! - Homer Simpson

andydld
Beiträge: 69
Registriert: Mi 26.09.2012, 10:10
Wohnort: Haibach
Kontaktdaten:

Beitrag von andydld »

Also es gab ursprünglich nur das IPSec XAuth bei mir, zwischenzeitlich ist noch ein L2TP-IPSec PSK dazugekommen.

Christian Beyer
Securepoint
Beiträge: 157
Registriert: Mo 17.11.2008, 21:38
Kontaktdaten:

Beitrag von Christian Beyer »

Interessant wäre einmal das Log vom Client, wenn es da eine Möglichkeit gibt?
Besteht die Möglichkeit einen anderen Client zu testen(IOS,NCP) ?

Antworten