Re: [solved] VPN mit IKEv2 + PSK

2022-01-19 Diskussionsfäden Gerd G 
Am Mittwoch, den 12.01.2022, 15:38 +0100 schrieb Gerd G:
> Hallo,
>
> hat jemand vielleicht Erfahrung mit VPN Verbindungen mittels IKEv2 und PSK 
> und kann mir eventuell weiterhelfen.
>
> Es soll ein Win-Rechner eingespart werden. Die VPN Verbindung des 
> Bintec-Secure-Client solle auf einen Linux-Router
> (Debian 11) verlagert werden.
>
> Kann das überhaupt Funktionieren, hat das jemand so schon mal am laufen?
>
> Leider hab ich auf den Router, seine config und logs keinen Zugriff.
>
> getestet hab ich mit
>
> strongswan  IPsec VPN solution metapackage
> strongswan-nm   strongSwan plugin to interact with NetworkManager
>
>
> alle meine Verbindungsversuche sind derzeit Erfolglos und enden mit
>
Verbindung funktioniert jetzt sowohl in der Router config (ohne GUI )
und auf Desktopebene mit NetworkManger Einstellungen

> /etc/ipsec.conf
>
> config setup
> charondebug="ike 2, knl 2, cfg 2"
>
> # Add connections here.
>
> conn testvpn
> keyexchange=ikev2
> authby=secret
> type=tunnel
> rekey=yes
> mobike=yes
> left=%any4
> leftid=fqdn:user.static.remote
> right=remote.domain.de
> rightid=@router.domain.de
> rightsubnet=x.x.0.0/255.255.255.0
> ike=aes256-sha512-modp4096
> esp=aes256-sha512-modp4096
> auto=add
>
> /etc/ipsec.secret enthält den PSK
>
PSK wahr wohl das Hauptproblem - einige Sonderzeichen ausgetauscht
(Unterschiedliche Zeichensätze ?)

leftid=user@static.remote  geändert (ist aber nicht sicher ob das unbedingt 
notwendig war)

Für eine genauere Analyse welche Sonderzeichen genau das Problem verursachen 
war leider nicht genügend Zeit vorhanden.
Habe derzeit zum testen selber keinen Funkwerk/Bintec Router verfügbar.

VG Gerd

VPN mit IKEv2 + PSK

2022-01-12 Diskussionsfäden Gerd G 
Hallo,

hat jemand vielleicht Erfahrung mit VPN Verbindungen mittels IKEv2 und PSK und 
kann mir eventuell weiterhelfen.

Es soll ein Win-Rechner eingespart werden. Die VPN Verbindung des 
Bintec-Secure-Client solle auf einen Linux-Router
(Debian 11) verlagert werden.

Kann das überhaupt Funktionieren, hat das jemand so schon mal am laufen?

Leider hab ich auf den Router, seine config und logs keinen Zugriff.

getestet hab ich mit

strongswan  IPsec VPN solution metapackage
strongswan-nm   strongSwan plugin to interact with NetworkManager


alle meine Verbindungsversuche sind derzeit Erfolglos und enden mit

initiating IKE_SA testvpn[1] to x.x.x.x
generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) 
N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
sending packet: from x.x.x.x[500] to x.x.x.x[500] (1572 bytes)
retransmit 1 of request with message ID 0
sending packet: from x.x.x.x[500] to x.x.x.x[500] (1572 bytes)
received packet: from x.x.x.x[500] to x.x.x.x[500] (672 bytes)
parsed IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) ]
selected proposal: IKE:AES_CBC_256/HMAC_SHA2_512_256/PRF_HMAC_SHA2_512/MODP_4096
local host is behind NAT, sending keep alives
authentication of 'user.static.remote' (myself) with pre-shared key
establishing CHILD_SA testvpn{1}
generating IKE_AUTH request 1 [ IDi N(INIT_CONTACT) IDr AUTH SA TSi TSr 
N(MOBIKE_SUP) N(NO_ADD_ADDR) N(EAP_ONLY)
N(MSG_ID_SYN_SUP) ]
sending packet: from x.x.x.x[4500] to x.x.x.x[4500] (496 bytes)
received packet: from x.x.x.x[4500] to x.x.x.x[4500] (96 bytes)
parsed IKE_AUTH response 1 [ N(AUTH_FAILED) ]
received AUTHENTICATION_FAILED notify error

/etc/ipsec.conf

config setup
charondebug="ike 2, knl 2, cfg 2"
strictcrlpolicy=yes
uniqueids = no

# Add connections here.

conn testvpn
keyexchange=ikev2
authby=secret
type=tunnel
rekey=yes
mobike=yes
left=%any4
leftid=fqdn:user.static.remote
right=remote.domain.de
rightid=@router.domain.de
rightsubnet=192.168.0.0/255.255.255.0
ike=aes256-sha512-modp4096
esp=aes256-sha512-modp4096
auto=add

/etc/ipsec.secret   enthält den PSK

VG Gerd