Hallo,
hat jemand vielleicht Erfahrung mit VPN Verbindungen mittels IKEv2 und PSK und kann mir eventuell weiterhelfen.
Es soll ein Win-Rechner eingespart werden. Die VPN Verbindung des Bintec-Secure-Client solle auf einen Linux-Router (Debian 11) verlagert werden.
Kann das überhaupt Funktionieren, hat das jemand so schon mal am laufen?
Leider hab ich auf den Router, seine config und logs keinen Zugriff.
getestet hab ich mit
strongswan IPsec VPN solution metapackage strongswan-nm strongSwan plugin to interact with NetworkManager
alle meine Verbindungsversuche sind derzeit Erfolglos und enden mit
initiating IKE_SA testvpn[1] to x.x.x.x generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ] sending packet: from x.x.x.x[500] to x.x.x.x[500] (1572 bytes) retransmit 1 of request with message ID 0 sending packet: from x.x.x.x[500] to x.x.x.x[500] (1572 bytes) received packet: from x.x.x.x[500] to x.x.x.x[500] (672 bytes) parsed IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) ] selected proposal: IKE:AES_CBC_256/HMAC_SHA2_512_256/PRF_HMAC_SHA2_512/MODP_4096 local host is behind NAT, sending keep alives authentication of 'user.static.remote' (myself) with pre-shared key establishing CHILD_SA testvpn{1} generating IKE_AUTH request 1 [ IDi N(INIT_CONTACT) IDr AUTH SA TSi TSr N(MOBIKE_SUP) N(NO_ADD_ADDR) N(EAP_ONLY) N(MSG_ID_SYN_SUP) ] sending packet: from x.x.x.x[4500] to x.x.x.x[4500] (496 bytes) received packet: from x.x.x.x[4500] to x.x.x.x[4500] (96 bytes) parsed IKE_AUTH response 1 [ N(AUTH_FAILED) ] received AUTHENTICATION_FAILED notify error
/etc/ipsec.conf
config setup charondebug="ike 2, knl 2, cfg 2" strictcrlpolicy=yes uniqueids = no
# Add connections here.
conn testvpn keyexchange=ikev2 authby=secret type=tunnel rekey=yes mobike=yes left=%any4 leftid=fqdn:user.static.remote right=remote.domain.de rightid=@router.domain.de rightsubnet=192.168.0.0/255.255.255.0 ike=aes256-sha512-modp4096 esp=aes256-sha512-modp4096 auto=add
/etc/ipsec.secret enthält den PSK
VG Gerd
Am Mittwoch, den 12.01.2022, 15:38 +0100 schrieb Gerd G:
Hallo,
hat jemand vielleicht Erfahrung mit VPN Verbindungen mittels IKEv2 und PSK und kann mir eventuell weiterhelfen.
Es soll ein Win-Rechner eingespart werden. Die VPN Verbindung des Bintec-Secure-Client solle auf einen Linux-Router (Debian 11) verlagert werden.
Kann das überhaupt Funktionieren, hat das jemand so schon mal am laufen?
Leider hab ich auf den Router, seine config und logs keinen Zugriff.
getestet hab ich mit
strongswan IPsec VPN solution metapackage strongswan-nm strongSwan plugin to interact with NetworkManager
alle meine Verbindungsversuche sind derzeit Erfolglos und enden mit
Verbindung funktioniert jetzt sowohl in der Router config (ohne GUI ) und auf Desktopebene mit NetworkManger Einstellungen
/etc/ipsec.conf
config setup charondebug="ike 2, knl 2, cfg 2"
# Add connections here.
conn testvpn keyexchange=ikev2 authby=secret type=tunnel rekey=yes mobike=yes left=%any4 leftid=fqdn:user.static.remote right=remote.domain.de rightid=@router.domain.de rightsubnet=x.x.0.0/255.255.255.0 ike=aes256-sha512-modp4096 esp=aes256-sha512-modp4096 auto=add
/etc/ipsec.secret enthält den PSK
PSK wahr wohl das Hauptproblem - einige Sonderzeichen ausgetauscht (Unterschiedliche Zeichensätze ?)
leftid=user@static.remote geändert (ist aber nicht sicher ob das unbedingt notwendig war)
Für eine genauere Analyse welche Sonderzeichen genau das Problem verursachen war leider nicht genügend Zeit vorhanden. Habe derzeit zum testen selber keinen Funkwerk/Bintec Router verfügbar.
VG Gerd
Hallo Gerd,
On Wed, Jan 19, 2022 at 10:13:17 +0100, Gerd G wrote:
PSK wahr wohl das Hauptproblem - einige Sonderzeichen ausgetauscht (Unterschiedliche Zeichensätze ?)
Danke fuer die Rueckmeldung!
Es war also vermutlich ein Fall von
uggcf://jjj.trgqvtvgny.qr/jro/trgqvtvgny/tsk/cebqhpgf/__trarengrq__erfvmrq/1100k1100/4590fpurvrapbqvat_arh.wct
Gruss, Christian
lug-dd@mailman.schlittermann.de
-
Christian Perle -
Gerd G