6
VPN Verbindung mit Cisco VPN-Client an Gateprotect Firewall per IPSec
Hallo zusammen,
ich versuche einen CiscoVPN-Client mit einer Gateprotect Firewall zu verbinden.
Die Authentifizierung läuft über Zertifikate.
Den öffentlichen Schlüssel der CA habe ich bereits importiert und das ausgestellte Clientzertifikat ebenfalls.
Die Einstellungen an der Firewall sind wie folgt:
Phase1
IKEv1
AES 128
SHA1
DH Group 2 (MODP 1024)
Phase2
AES 128
SHA1
PFS aktiv
DH Group 2 (MODP 1024)
Im Cisco Client kann ich diese Werte nicht beeinflussen. Er wird die Einstellungen wohl beim Verbindungsaufbau übernehmen, oder?
Das LOG vom Client sieht so aus:
Cisco Systems VPN Client Version 5.0.07.0440
Copyright (C) 1998-2010 Cisco Systems, Inc. All Rights Reserved.
Client Type(s): Windows, WinNT
Running on: 6.2.9200
64 15:22:33.418 06/10/13 Sev=Info/4 CERT/0x63600015
Cert (cn=W*,ou=EDV,o=Ma,l=B*,st=Hessen,c=DE) verification succeeded.
65 15:22:33.446 06/10/13 Sev=Info/4 CM/0x63100002
Begin connection process
66 15:22:33.465 06/10/13 Sev=Info/4 CM/0x63100004
Establish secure connection
67 15:22:33.466 06/10/13 Sev=Info/4 CM/0x63100024
Attempt connection with server "217.91.149.125"
68 15:22:33.502 06/10/13 Sev=Info/4 IKE/0x63000001
Starting IKE Phase 1 Negotiation
69 15:22:33.502 06/10/13 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK MM (SA, VID(Xauth), VID(dpd), VID(Frag), VID(Nat-T), VID(Unity)) to 217.91.149.125
70 15:22:33.542 06/10/13 Sev=Info/4 IKE/0x63000014
RECEIVING <<< ISAKMP OAK MM (SA, VID(?), VID(Unity), VID(Xauth), VID(dpd), VID(Nat-T)) from 217.91.149.125
71 15:22:33.571 06/10/13 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK MM (KE, NON, NAT-D, NAT-D, VID(?), VID(Unity)) to 217.91.149.125
72 15:22:33.652 06/10/13 Sev=Info/4 IKE/0x63000014
RECEIVING <<< ISAKMP OAK MM (KE, NON, CERT_REQ, NAT-D, NAT-D) from 217.91.149.125
73 15:22:33.725 06/10/13 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK MM *(ID, CERT, CERT_REQ, SIG, NOTIFY:STATUS_INITIAL_CONTACT) to 217.91.149.125
74 15:22:33.728 06/10/13 Sev=Info/4 IPSEC/0x63700008
IPSec driver successfully started
75 15:22:33.729 06/10/13 Sev=Info/4 IPSEC/0x63700014
Deleted all keys
76 15:22:33.888 06/10/13 Sev=Info/4 IKE/0x63000014
RECEIVING <<< ISAKMP OAK MM *(ID, CERT, SIG) from 217.91.149.125
77 15:22:33.894 06/10/13 Sev=Info/4 CERT/0x63600015
Cert (e=host@v*.de,cn=Host,ou=EDV_Host,o=H,l=V**,st=Hessen,c=DE) verification succeeded.
78 15:22:33.897 06/10/13 Sev=Info/4 IKE/0x63000083
IKE Port in use - Local Port = 0xFEC8, Remote Port = 0x1194
79 15:22:33.897 06/10/13 Sev=Info/4 CM/0x6310000E
Established Phase 1 SA. 1 Crypto Active IKE SA, 0 User Authenticated IKE SA in the system
80 15:22:33.897 06/10/13 Sev=Info/4 CM/0x6310000E
Established Phase 1 SA. 1 Crypto Active IKE SA, 1 User Authenticated IKE SA in the system
81 15:22:33.901 06/10/13 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK TRANS *(HASH, ATTR) to 217.91.149.125
82 15:22:39.307 06/10/13 Sev=Info/4 IKE/0x63000021
Retransmitting last packet!
83 15:22:39.307 06/10/13 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK TRANS *(Retransmission) to 217.91.149.125
84 15:22:44.378 06/10/13 Sev=Info/4 IKE/0x63000021
Retransmitting last packet!
85 15:22:44.378 06/10/13 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK TRANS *(Retransmission) to 217.91.149.125
86 15:22:44.378 06/10/13 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK INFO *(HASH, NOTIFY:DPD_REQUEST) to 217.91.149.125
87 15:22:44.426 06/10/13 Sev=Info/4 IKE/0x63000014
RECEIVING <<< ISAKMP OAK INFO *(HASH, NOTIFY:DPD_ACK) from 217.91.149.125
88 15:22:49.434 06/10/13 Sev=Info/4 IKE/0x63000021
Retransmitting last packet!
89 15:22:49.434 06/10/13 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK TRANS *(Retransmission) to 217.91.149.125
90 15:22:54.516 06/10/13 Sev=Info/4 IKE/0x6300002D
Phase-2 retransmission count exceeded: MsgID=32A41F27
91 15:22:54.516 06/10/13 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK INFO *(HASH, NOTIFY:DPD_REQUEST) to 217.91.149.125
92 15:22:54.517 06/10/13 Sev=Info/4 IKE/0x63000017
Marking IKE SA for deletion (I_Cookie=F737B6A672757E1B R_Cookie=9AABE956D85CE78F) reason = DEL_REASON_IKE_NEG_FAILED
93 15:22:54.517 06/10/13 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK INFO *(HASH, DEL) to 217.91.149.125
94 15:22:54.556 06/10/13 Sev=Info/4 IKE/0x63000058
Received an ISAKMP message for a non-active SA, I_Cookie=F737B6A672757E1B R_Cookie=9AABE956D85CE78F
95 15:22:54.556 06/10/13 Sev=Info/4 IKE/0x63000014
RECEIVING <<< ISAKMP OAK INFO *(Dropped) from 217.91.149.125
96 15:22:54.557 06/10/13 Sev=Info/4 IKE/0x63000058
Received an ISAKMP message for a non-active SA, I_Cookie=F737B6A672757E1B R_Cookie=9AABE956D85CE78F
97 15:22:54.557 06/10/13 Sev=Info/4 IKE/0x63000014
RECEIVING <<< ISAKMP OAK INFO *(Dropped) from 217.91.149.125
98 15:22:57.550 06/10/13 Sev=Info/4 IKE/0x6300004B
Discarding IKE SA negotiation (I_Cookie=F737B6A672757E1B R_Cookie=9AABE956D85CE78F) reason = DEL_REASON_IKE_NEG_FAILED
99 15:22:57.550 06/10/13 Sev=Info/4 CM/0x6310000F
Phase 1 SA deleted before Mode Config is completed cause by "DEL_REASON_IKE_NEG_FAILED". 0 Crypto Active IKE SA, 0 User Authenticated IKE SA in the system
100 15:22:57.561 06/10/13 Sev=Info/4 IKE/0x63000001
IKE received signal to terminate VPN connection
101 15:22:57.568 06/10/13 Sev=Info/4 IPSEC/0x63700014
Deleted all keys
102 15:22:57.568 06/10/13 Sev=Info/4 IPSEC/0x63700014
Deleted all keys
103 15:22:57.568 06/10/13 Sev=Info/4 IPSEC/0x63700014
Deleted all keys
104 15:22:57.569 06/10/13 Sev=Info/4 IPSEC/0x6370000A
IPSec driver successfully stopped
Hat irgendwer eine Idee?
Der Support von Gateprotect asgt nur, dass man den AggressivMode deaktivieren muss. Laut Cisco ist der aber bei zertifikatsbasierter Authentifizierung gar nicht aktiviert.
Danke für Eure Mühen
Viele Grüße
Bodo
ich versuche einen CiscoVPN-Client mit einer Gateprotect Firewall zu verbinden.
Die Authentifizierung läuft über Zertifikate.
Den öffentlichen Schlüssel der CA habe ich bereits importiert und das ausgestellte Clientzertifikat ebenfalls.
Die Einstellungen an der Firewall sind wie folgt:
Phase1
IKEv1
AES 128
SHA1
DH Group 2 (MODP 1024)
Phase2
AES 128
SHA1
PFS aktiv
DH Group 2 (MODP 1024)
Im Cisco Client kann ich diese Werte nicht beeinflussen. Er wird die Einstellungen wohl beim Verbindungsaufbau übernehmen, oder?
Das LOG vom Client sieht so aus:
Cisco Systems VPN Client Version 5.0.07.0440
Copyright (C) 1998-2010 Cisco Systems, Inc. All Rights Reserved.
Client Type(s): Windows, WinNT
Running on: 6.2.9200
64 15:22:33.418 06/10/13 Sev=Info/4 CERT/0x63600015
Cert (cn=W*,ou=EDV,o=Ma,l=B*,st=Hessen,c=DE) verification succeeded.
65 15:22:33.446 06/10/13 Sev=Info/4 CM/0x63100002
Begin connection process
66 15:22:33.465 06/10/13 Sev=Info/4 CM/0x63100004
Establish secure connection
67 15:22:33.466 06/10/13 Sev=Info/4 CM/0x63100024
Attempt connection with server "217.91.149.125"
68 15:22:33.502 06/10/13 Sev=Info/4 IKE/0x63000001
Starting IKE Phase 1 Negotiation
69 15:22:33.502 06/10/13 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK MM (SA, VID(Xauth), VID(dpd), VID(Frag), VID(Nat-T), VID(Unity)) to 217.91.149.125
70 15:22:33.542 06/10/13 Sev=Info/4 IKE/0x63000014
RECEIVING <<< ISAKMP OAK MM (SA, VID(?), VID(Unity), VID(Xauth), VID(dpd), VID(Nat-T)) from 217.91.149.125
71 15:22:33.571 06/10/13 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK MM (KE, NON, NAT-D, NAT-D, VID(?), VID(Unity)) to 217.91.149.125
72 15:22:33.652 06/10/13 Sev=Info/4 IKE/0x63000014
RECEIVING <<< ISAKMP OAK MM (KE, NON, CERT_REQ, NAT-D, NAT-D) from 217.91.149.125
73 15:22:33.725 06/10/13 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK MM *(ID, CERT, CERT_REQ, SIG, NOTIFY:STATUS_INITIAL_CONTACT) to 217.91.149.125
74 15:22:33.728 06/10/13 Sev=Info/4 IPSEC/0x63700008
IPSec driver successfully started
75 15:22:33.729 06/10/13 Sev=Info/4 IPSEC/0x63700014
Deleted all keys
76 15:22:33.888 06/10/13 Sev=Info/4 IKE/0x63000014
RECEIVING <<< ISAKMP OAK MM *(ID, CERT, SIG) from 217.91.149.125
77 15:22:33.894 06/10/13 Sev=Info/4 CERT/0x63600015
Cert (e=host@v*.de,cn=Host,ou=EDV_Host,o=H,l=V**,st=Hessen,c=DE) verification succeeded.
78 15:22:33.897 06/10/13 Sev=Info/4 IKE/0x63000083
IKE Port in use - Local Port = 0xFEC8, Remote Port = 0x1194
79 15:22:33.897 06/10/13 Sev=Info/4 CM/0x6310000E
Established Phase 1 SA. 1 Crypto Active IKE SA, 0 User Authenticated IKE SA in the system
80 15:22:33.897 06/10/13 Sev=Info/4 CM/0x6310000E
Established Phase 1 SA. 1 Crypto Active IKE SA, 1 User Authenticated IKE SA in the system
81 15:22:33.901 06/10/13 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK TRANS *(HASH, ATTR) to 217.91.149.125
82 15:22:39.307 06/10/13 Sev=Info/4 IKE/0x63000021
Retransmitting last packet!
83 15:22:39.307 06/10/13 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK TRANS *(Retransmission) to 217.91.149.125
84 15:22:44.378 06/10/13 Sev=Info/4 IKE/0x63000021
Retransmitting last packet!
85 15:22:44.378 06/10/13 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK TRANS *(Retransmission) to 217.91.149.125
86 15:22:44.378 06/10/13 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK INFO *(HASH, NOTIFY:DPD_REQUEST) to 217.91.149.125
87 15:22:44.426 06/10/13 Sev=Info/4 IKE/0x63000014
RECEIVING <<< ISAKMP OAK INFO *(HASH, NOTIFY:DPD_ACK) from 217.91.149.125
88 15:22:49.434 06/10/13 Sev=Info/4 IKE/0x63000021
Retransmitting last packet!
89 15:22:49.434 06/10/13 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK TRANS *(Retransmission) to 217.91.149.125
90 15:22:54.516 06/10/13 Sev=Info/4 IKE/0x6300002D
Phase-2 retransmission count exceeded: MsgID=32A41F27
91 15:22:54.516 06/10/13 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK INFO *(HASH, NOTIFY:DPD_REQUEST) to 217.91.149.125
92 15:22:54.517 06/10/13 Sev=Info/4 IKE/0x63000017
Marking IKE SA for deletion (I_Cookie=F737B6A672757E1B R_Cookie=9AABE956D85CE78F) reason = DEL_REASON_IKE_NEG_FAILED
93 15:22:54.517 06/10/13 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK INFO *(HASH, DEL) to 217.91.149.125
94 15:22:54.556 06/10/13 Sev=Info/4 IKE/0x63000058
Received an ISAKMP message for a non-active SA, I_Cookie=F737B6A672757E1B R_Cookie=9AABE956D85CE78F
95 15:22:54.556 06/10/13 Sev=Info/4 IKE/0x63000014
RECEIVING <<< ISAKMP OAK INFO *(Dropped) from 217.91.149.125
96 15:22:54.557 06/10/13 Sev=Info/4 IKE/0x63000058
Received an ISAKMP message for a non-active SA, I_Cookie=F737B6A672757E1B R_Cookie=9AABE956D85CE78F
97 15:22:54.557 06/10/13 Sev=Info/4 IKE/0x63000014
RECEIVING <<< ISAKMP OAK INFO *(Dropped) from 217.91.149.125
98 15:22:57.550 06/10/13 Sev=Info/4 IKE/0x6300004B
Discarding IKE SA negotiation (I_Cookie=F737B6A672757E1B R_Cookie=9AABE956D85CE78F) reason = DEL_REASON_IKE_NEG_FAILED
99 15:22:57.550 06/10/13 Sev=Info/4 CM/0x6310000F
Phase 1 SA deleted before Mode Config is completed cause by "DEL_REASON_IKE_NEG_FAILED". 0 Crypto Active IKE SA, 0 User Authenticated IKE SA in the system
100 15:22:57.561 06/10/13 Sev=Info/4 IKE/0x63000001
IKE received signal to terminate VPN connection
101 15:22:57.568 06/10/13 Sev=Info/4 IPSEC/0x63700014
Deleted all keys
102 15:22:57.568 06/10/13 Sev=Info/4 IPSEC/0x63700014
Deleted all keys
103 15:22:57.568 06/10/13 Sev=Info/4 IPSEC/0x63700014
Deleted all keys
104 15:22:57.569 06/10/13 Sev=Info/4 IPSEC/0x6370000A
IPSec driver successfully stopped
Hat irgendwer eine Idee?
Der Support von Gateprotect asgt nur, dass man den AggressivMode deaktivieren muss. Laut Cisco ist der aber bei zertifikatsbasierter Authentifizierung gar nicht aktiviert.
Danke für Eure Mühen
Viele Grüße
Bodo
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 207779
Url: https://administrator.de/contentid/207779
Printed on: April 25, 2024 at 10:04 o'clock
6 Comments
Latest comment
Es sieht in der Tat so aus denn einzig deine Phase 2 scheitert.
Das liegt zu 98% daran das es einen Transform Set Mismatch in den Security Profiles beider Komponenten gibt.
Dann bricht die Phase 2 ab weil die SAs nicht ausgetauscht werden können.
Bei Herstellerfremden Paarungen ist es sinnvoller IMMER den Agressive Mode zu verwenden. Stelle also sicher das der auf beiden Seiten aktiv ist.
Auch der Transform Set MUSS gleich sein !!
AES ist immer kritisch es sei denn beide Seiten supporten es sicher.
SHA 1 ist ungünstig, erheblich performanter ist MD5
Check mal ob beide Seiten mit esp-3des und esp-md5-hmac evtl. besser klar kommen.
Ist der Cisco Client der alte oder der neue ?
Das liegt zu 98% daran das es einen Transform Set Mismatch in den Security Profiles beider Komponenten gibt.
Dann bricht die Phase 2 ab weil die SAs nicht ausgetauscht werden können.
Bei Herstellerfremden Paarungen ist es sinnvoller IMMER den Agressive Mode zu verwenden. Stelle also sicher das der auf beiden Seiten aktiv ist.
Auch der Transform Set MUSS gleich sein !!
AES ist immer kritisch es sei denn beide Seiten supporten es sicher.
SHA 1 ist ungünstig, erheblich performanter ist MD5
Check mal ob beide Seiten mit esp-3des und esp-md5-hmac evtl. besser klar kommen.
Ist der Cisco Client der alte oder der neue ?
Danke für deine Antwort.
Der Cisco CLient ist der aktuelle.
Im Client habe ich aber überhaupt keine Einstellungsmöglichkeiten, ausser natürlich die Zertifikate und den Host.
Ich müsste die von dir vorgeschlagenen Veränderungen also in der Firewall machen, oder?
Vom Gateprotect Support habe ich folgende Antwort bekommen:
"Anscheinend müssen Sie im cisco client noch abstellen, dass er ModeConfig Nachrichten schickt.
Oder Sie probieren einmal, beide Seiten doch auf ikev2 zu stellen."
Ich kann aber im CLient nichts konfigurieren...
Oder gibt es ein ConfigFile des Clients was ich anpassen muss?
Sorry, dass ich so doof frage aber mit dem GP-Client funktioniert es halt immer
und in der theorie von IPSec bin ich nicht so tief drin.
Viele Grüße
Bodo
Der Cisco CLient ist der aktuelle.
Im Client habe ich aber überhaupt keine Einstellungsmöglichkeiten, ausser natürlich die Zertifikate und den Host.
Ich müsste die von dir vorgeschlagenen Veränderungen also in der Firewall machen, oder?
Vom Gateprotect Support habe ich folgende Antwort bekommen:
"Anscheinend müssen Sie im cisco client noch abstellen, dass er ModeConfig Nachrichten schickt.
Oder Sie probieren einmal, beide Seiten doch auf ikev2 zu stellen."
Ich kann aber im CLient nichts konfigurieren...
Oder gibt es ein ConfigFile des Clients was ich anpassen muss?
Sorry, dass ich so doof frage aber mit dem GP-Client funktioniert es halt immer
und in der theorie von IPSec bin ich nicht so tief drin.
Viele Grüße
Bodo
Deshalb die Frage nach der Client Version. Der alte Cisco Client hatte alle diese Einstellmöglichkeiten. Der neue kann nur noch die Group Authentication mit X-Auth ! Da hast du keinen Einstellmöglichkeiten mehr.
Die Gateprotect muss also dieses Feature unterstützen, sonst kannst du die nicht verheiraten...oder musst den alten Client verwenden, damit klappt es.
Oder noch besser...
Vergiss den Cisco Client und nimm den kostenlosen Shrew Client:
https://www.shrew.net/download
Damit funktioniert es ebenfalls sofort auf Anhieb !
Grundlegende Infos zum Setup findest du auch in diesem Tutorial:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Zur Theorie von IPsec findest du hier auch ein Tutorial bei Admin.de
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
Einfach mal die Suchfunktion benutzen !!....
Die Gateprotect muss also dieses Feature unterstützen, sonst kannst du die nicht verheiraten...oder musst den alten Client verwenden, damit klappt es.
Oder noch besser...
Vergiss den Cisco Client und nimm den kostenlosen Shrew Client:
https://www.shrew.net/download
Damit funktioniert es ebenfalls sofort auf Anhieb !
Grundlegende Infos zum Setup findest du auch in diesem Tutorial:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Zur Theorie von IPsec findest du hier auch ein Tutorial bei Admin.de
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
Einfach mal die Suchfunktion benutzen !!....
Vielen Dank für deine schnelle Rückmeldung.
Ein anderer Client wäre am einfachsten, dann würde ich den Gateprotect nehmen.
Aber die externe Firma lässt nur Cisco zu. Mit dem ShrewSoft habe ich auch schon getestet.
Werde deine Links mal durcharbeiten.
Danke
Ein anderer Client wäre am einfachsten, dann würde ich den Gateprotect nehmen.
Aber die externe Firma lässt nur Cisco zu. Mit dem ShrewSoft habe ich auch schon getestet.
Werde deine Links mal durcharbeiten.
Danke
So, mit dem ShrewSoft läuft es jetzt über PSK als auch über Zertifikate.
Kannst du mir sagen, wo ich einen alten Client herbekomme?
Obwohl das ja auch eine Sackgasse ist...
Die haben ja sicher die neuste Version.
Dann muss ich wohl mit XAUTH arbeiten, oder?
Viele Grüße
Kannst du mir sagen, wo ich einen alten Client herbekomme?
Obwohl das ja auch eine Sackgasse ist...
Die haben ja sicher die neuste Version.
Dann muss ich wohl mit XAUTH arbeiten, oder?
Viele Grüße
Eigentlich müsste es den noch von der SW Download Page bei Cisco geben. Das ist die Version die damals mit dem VPN Gateway funktionierte !
