New subject: [solved] VPN mit IKEv2 + PSK

12 Jan 2022


      Hallo,
hat jemand vielleicht Erfahrung mit VPN Verbindungen mittels IKEv2 und PSK und kann mir eventuell weiterhelfen.
Es soll ein Win-Rechner eingespart werden. Die VPN Verbindung des Bintec-Secure-Client solle auf einen Linux-Router
(Debian 11) verlagert werden.
Kann das überhaupt Funktionieren, hat das jemand so schon mal am laufen?
Leider hab ich auf den Router, seine config und logs keinen Zugriff.
getestet hab ich mit
strongswan      IPsec VPN solution metapackage
strongswan-nm   strongSwan plugin to interact with NetworkManager
alle meine Verbindungsversuche sind derzeit Erfolglos und enden mit
initiating IKE_SA testvpn[1] to x.x.x.x
generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
sending packet: from x.x.x.x[500] to x.x.x.x[500] (1572 bytes)
retransmit 1 of request with message ID 0
sending packet: from x.x.x.x[500] to x.x.x.x[500] (1572 bytes)
received packet: from x.x.x.x[500] to x.x.x.x[500] (672 bytes)
parsed IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) ]
selected proposal: IKE:AES_CBC_256/HMAC_SHA2_512_256/PRF_HMAC_SHA2_512/MODP_4096
local host is behind NAT, sending keep alives
authentication of 'user.static.remote' (myself) with pre-shared key
establishing CHILD_SA testvpn{1}
generating IKE_AUTH request 1 [ IDi N(INIT_CONTACT) IDr AUTH SA TSi TSr N(MOBIKE_SUP) N(NO_ADD_ADDR) N(EAP_ONLY)
N(MSG_ID_SYN_SUP) ]
sending packet: from x.x.x.x[4500] to x.x.x.x[4500] (496 bytes)
received packet: from x.x.x.x[4500] to x.x.x.x[4500] (96 bytes)
parsed IKE_AUTH response 1 [ N(AUTH_FAILED) ]
received AUTHENTICATION_FAILED notify error
/etc/ipsec.conf
config setup
        charondebug="ike 2, knl 2, cfg 2"
    strictcrlpolicy=yes
    uniqueids = no
# Add connections here.
conn testvpn
        keyexchange=ikev2
        authby=secret
        type=tunnel
        rekey=yes
        mobike=yes
        left=%any4
        leftid=fqdn:user.static.remote
        right=remote.domain.de
        rightid=@router.domain.de
        rightsubnet=192.168.0.0/255.255.255.0
        ike=aes256-sha512-modp4096
        esp=aes256-sha512-modp4096
        auto=add
/etc/ipsec.secret		enthält den PSK
VG Gerd