Nochmals IKEv2

Dieses Thema im Forum "Bintec" wurde erstellt von Marcus67, 19. März 2018.

  1. Marcus67

    Marcus67 Routinier

    Registriert seit:
    6. September 2015
    Beiträge:
    136
    Punkte für Erfolge:
    18
    Hallo zusammen,
    ich versuche mich ja seit geraumer Zeit an IKEv2 Verbindungen mit Zertifikaten.

    In der Zwischenzeit bin ich hier deutlich weiter gekommen:
    - Router zu Router mit Bintec Routern funktioniert problemlos
    - Einwahl iPhone funktioniert ebenfalls (mit Zertifikaten und VPN on Demand)

    Im Moment versuche ich mich an Windows 10. Leider ist mir das noch nicht gelungen. Windows wählt meinen Router an - allerdings wird der eingehende WAN Partner nicht erkannt - obwohl die ID korrekt konfiguriert wurde.

    Habt das irgend jemand hier schon mal versucht und zum Laufen bekommen?

    Gruß, Marcus
     
  2. Marcus67

    Marcus67 Routinier

    Registriert seit:
    6. September 2015
    Beiträge:
    136
    Punkte für Erfolge:
    18
    So, jetzt kann ich das selbst aufklären:

    Windows unterstützt keine IKEv2 Fragmentierung. Wenn jetzt die Zertifikate zu lang sind, passen sie nicht mehr in ein einzelnes UDP Paket. Genau das ist bei mir passiert - vor allem, da ich ausschließlich 2048 Bit RSA Schlüssel nutze.
    Als Abhilfe habe ich jetzt die Zertifikate mit ganz kurzen Kennungen versehen, die nur noch den CN enthalten. Das hat glücklicherweise gereicht.

    Damit funktioniert jetzt auch ein Zugriff von Windows 10 mit Zertifikaten und IKEv2 auf einen Bintec Router.

    Gruß, Marcus
     
  3. Marcus67

    Marcus67 Routinier

    Registriert seit:
    6. September 2015
    Beiträge:
    136
    Punkte für Erfolge:
    18
    Noch ein Update:

    Läuft jetzt seit einigen Tagen recht stabil. Version ist 10.2.2. Ich hatte einen Reboot beim Aufbau eines IKEv2 Tunnels.
     
  4. tms

    tms Routinier

    Registriert seit:
    4. Oktober 2014
    Beiträge:
    112
    Punkte für Erfolge:
    16
    Auf dem ftp Server gibt es eine 10.2.2.101...

    Mit der bekomme ich nachstellbar bei jedem Versuch eine IKE2 Verbindung aufzubauen einen Reboot des Routers,

    Die Verbindung funktioniert mit der 10.2.2.100 noch tadellos.

    Vorsicht also, wenn ihr das Update ausprobiert.
     
  5. Kalle2013

    Kalle2013 Freak

    Registriert seit:
    19. Mai 2013
    Beiträge:
    505
    Punkte für Erfolge:
    16
    Bitte ein SIA an den Support. Denn der Reboot wird wohl mit einem PANIC im SIA drin stehen.
     
  6. tms

    tms Routinier

    Registriert seit:
    4. Oktober 2014
    Beiträge:
    112
    Punkte für Erfolge:
    16
    Ich habe bintec angeschrieben. Wenn eine Reaktion kommt, liefere ich natürlich gerne den SIA.
     
  7. Kalle2013

    Kalle2013 Freak

    Registriert seit:
    19. Mai 2013
    Beiträge:
    505
    Punkte für Erfolge:
    16
    Angeschrieben? Es gibt doch für Fachhändler das Ticketsystem.
     
  8. tms

    tms Routinier

    Registriert seit:
    4. Oktober 2014
    Beiträge:
    112
    Punkte für Erfolge:
    16
    Ich weiß nicht genau, nach welchen Regeln die "Freicalls" verrechnet werden und dafür wollte ich definitiv keinen opfern.

    Zudem liegt die FW ja bisher auch nur auf dem ftp, daher könnte es auch sein, dass sie noch gar nicht freigegeben ist / supported wird.
    Daher der eingeschlagene Weg.

    Bintec hat sich aber schon gemeldet und für die Info bedankt.
    Die Info wurde an die Devs weitergeleitet und ich habe auch angeboten bei Bedarf zusätzliche Infos zu liefern.
     
  9. Kalle2013

    Kalle2013 Freak

    Registriert seit:
    19. Mai 2013
    Beiträge:
    505
    Punkte für Erfolge:
    16
    bintec elmeg hat die 10.2.2.101 vom Update-Server genommen. Nur auf dem FTP ist sie noch drauf.
     
  10. tms

    tms Routinier

    Registriert seit:
    4. Oktober 2014
    Beiträge:
    112
    Punkte für Erfolge:
    16
    Inzwischen auch nicht mehr auf dem FTP.
     
  11. Kalle2013

    Kalle2013 Freak

    Registriert seit:
    19. Mai 2013
    Beiträge:
    505
    Punkte für Erfolge:
    16
    Die Firmware Version 10.2.2.102 wurde als Release freigegeben.
     
  12. tms

    tms Routinier

    Registriert seit:
    4. Oktober 2014
    Beiträge:
    112
    Punkte für Erfolge:
    16
    Meine IKEv2-Verbindung funktioniert damit wieder :)
     
  13. Marcus67

    Marcus67 Routinier

    Registriert seit:
    6. September 2015
    Beiträge:
    136
    Punkte für Erfolge:
    18
    Sehr erfreulich ist, dass alle Updates jetzt wieder parallel auch für die RXL veröffentlicht werden.

    Mal sehen, ob diese Version die gelegentlichen Panics beim Aufbau von IKEv2 Verbindungen behebt.

    Gruß, Marcus
     
  14. Marcus67

    Marcus67 Routinier

    Registriert seit:
    6. September 2015
    Beiträge:
    136
    Punkte für Erfolge:
    18
    Tja, bei mir funktioniert mit der 10.2.2.102 keine IKEv2 IPSec Verbindung von einem iOS Gerät zum Router mehr.

    Ich bekomme 2 Fehlermeldungen im log:
    1. AUTH_FAILED beim Verbindungsaufbau
    2. Danach "POLICY MISMATCH"

    Nach einem Downgrade auf 10.2.2.100 funktioniert es wieder....

    Ob die das noch jemals wieder auf die Reihe bekommen?
     
  15. Kalle2013

    Kalle2013 Freak

    Registriert seit:
    19. Mai 2013
    Beiträge:
    505
    Punkte für Erfolge:
    16
  16. Marcus67

    Marcus67 Routinier

    Registriert seit:
    6. September 2015
    Beiträge:
    136
    Punkte für Erfolge:
    18
    Verwendest Du Zertifikate?

    Gruß, Marcus
     
  17. Kalle2013

    Kalle2013 Freak

    Registriert seit:
    19. Mai 2013
    Beiträge:
    505
    Punkte für Erfolge:
    16
    Nein, ich hatte auch nicht auf dem Schirm das es dir um IKEv2 mit Zertifikaten geht.
    Das Beispiel im Konfigurationsvideo arbeitet ohne Zertifikate.
     
  18. Marcus67

    Marcus67 Routinier

    Registriert seit:
    6. September 2015
    Beiträge:
    136
    Punkte für Erfolge:
    18
    Bei mir läuft alles mit Zertifikaten.

    Mit der 10.2.2.100 funktioniert es - mit der .102 nicht mehr. Konfiguration unverändert. Leider sagt das log nicht viel aus.
     
  19. Marcus67

    Marcus67 Routinier

    Registriert seit:
    6. September 2015
    Beiträge:
    136
    Punkte für Erfolge:
    18
    Ich habe dazu jetzt ein Ticket bei Bintec aufgemacht.

    Gruß, Marcus
     
  20. Marcus67

    Marcus67 Routinier

    Registriert seit:
    6. September 2015
    Beiträge:
    136
    Punkte für Erfolge:
    18
    Ich konnte das inzwischen mit Bintec klären:

    In der Version 10.2.2.102 wird die Überprüfung eines Zertifikates strenger durchgeführt.

    Leider kann ein iOS Client keine ASN.1 ID übermitteln. Alle IDs werden als FQDN übermittelt - was hier falsch ist.
    In der .102 wird das aber nicht mehr akzeptiert.

    Als Abhilfe kann der FQDN im Zertifikat als SAN hinterlegt werden. Dann funktioniert es wieder.

    Gruß, Marcus