Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Preshared Key in Phase 2

Frage Sicherheit Firewall

Mitglied: Marcel-D

Marcel-D (Level 1) - Jetzt verbinden

24.11.2008, aktualisiert 25.11.2008, 4472 Aufrufe, 8 Kommentare

Hallo,

ich muss einen IPSec VPN zu einem Kunden herstellen. Dieser hat einen Cisco 878 und wir haben
eine Watchguard Firebox X1250e. Der Cisco 878 kann in der Phase 2 als Authentifizierung nur
Preshared Key, rsa-sig und rsa-encr.
Unsere Firebox kann diese Authentifizierungen nicht. Es wäre nett wenn jemand einen Rat hat,
wie man diesen Tunnel trotzdem aufbauen kann.

Gruß
Marcel
Mitglied: aqui
24.11.2008 um 12:38 Uhr
Hier solltest du fündig werden:

http://watchguard.custhelp.com/cgi-bin/watchguard.cfg/php/enduser/std_a ...

Höchst merkwürdig das die Firebox eines der am weitesten verbreiteten Verfahren nicht unterstützt...bist du dir da sicher ??
Jeder einfache NetGear oder Draytek oder Linux Box (was die Firebox ja letztlich ist) kann problemlos ein IPsec VPN zu einem Cisco aufbauen..

Wenn alle Stricke mit IPsec reissen, was eigentlich nicht wirklich sein kann... dann kannst du immer noch auf PPTP ausweichen sofern die Firebox das denn wenigstens kann ??
Bitte warten ..
Mitglied: Marcel-D
24.11.2008 um 12:52 Uhr
Hi,

das komische ist das der Support von Watchguard mir gesagt hat das in der Phase 2 ein Preshared Key "unmöglich" ist. Aber dieser Cisco kann es. Bei der Watchguard kann man nur in den General Settings den Preshared Key angeben.
Bitte warten ..
Mitglied: aqui
24.11.2008 um 16:56 Uhr
Sieh dich einfach mal beim Mitbewerb um die machen das ja auch so:

http://www.draytek.com/support/support_note/router/application/vpn_solu ...

bzw. hier die andere Seite (Cisco)

http://www.draytek.com/support/support_note/router/application/vpn_solu ...

D.h. es geht zu beiden Seiten problemlos, dann müsste eigentlich auch die Firebox mit dem Cisco können....
Bitte warten ..
Mitglied: Marcel-D
24.11.2008 um 17:53 Uhr
Das ist auch nicht das Szenario das ich meine.

Also...

Phase 1 --> Firewalls kommunizieren miteinander und tauschen den Preshared Key aus.
Phase 2 --> Der Tunnel wird aufgebaut.

Der Preshared Key in der Phase 1 ist KEIN Problem.
Das Problem ist, dass in der Phase 2 normalerweise kein Preshared Key mehr benötigt wird. Diesen brauch aber der besagte Router/Firewall von Cisco.
Bitte warten ..
Mitglied: 51705
24.11.2008 um 21:41 Uhr
Hallo Marcel,

der Support liegt insofern richtig, als das in Phase 1 - Internet Key Exchange - die Aushandelung der Keys stattfindet. Phase 2 legt eher die Nutzung des Keys fest. Genaugenommen wird in Phase 2 nur geregelt, wie mit der in Phase 1 bereits erfolgten Authenifizierung weiter verfahren wird. Insofern wundert mich Aquis Aussage etwas...

Du hast deine Situation leider nicht ausreichend geschildert, z.B. feste IP-Adressen oder DynDNS, respektive Agressive oder ID-Protected?

Grüße, Steffen
Bitte warten ..
Mitglied: aqui
25.11.2008 um 10:00 Uhr
Das war auch oben mehr ein quick and dirty Ansatz um langwierige Tipperei zu umgehen. Um jetzt aber mal in der Tiefe zu bleiben: Es ist unrichtig das in Phase 2 kein Preshared Key mehr benötigt wird.
Der Standard sagt ganz klar das hier ein weiterer Schlüsselaustausch mit Diffie Hellmann stattfindet im sog. Quick Mode. Dieser wird sogar zyklisch wiederholt zum Regenerieren der Schlüssel um die Sicherheit der Nutzdatenverschlüsselung sicherzustellen.
Das sind eigentlich standardtisierte Verfahren an die sich auch Watchguard halten sollte...
Nach dem o.a. Beispiel von Draytek (oder sicher auch anderen) verhalten die sich ja standardkonform und hier ist ein Aufbau mit einer Firebox ja durchaus möglich. Folglich müsste es ja dann sehr wohl möglichkeiten geben einen standardkonformen IPsec Tunnel damit aufzubauen...
Bitte warten ..
Mitglied: Marcel-D
25.11.2008 um 10:04 Uhr
Hi,

was ich allerdings daran nicht verstehe warum dann der Cisco nur pre-shared Key kann und nicht die, die die anderen firewalls können.

Aber davon abgesehen was soll ich euch noch schildern von dem Problem? Oder weiß jemand wie man das eventuell umgehen kann zB.
Bitte warten ..
Mitglied: 51705
25.11.2008 um 10:16 Uhr
Der Standard sagt ganz klar das hier ein weiterer
Schlüsselaustausch mit Diffie Hellmann stattfindet im sog. Quick
Mode. Dieser wird sogar zyklisch wiederholt zum Regenerieren der ...

Klar, der Session Key (der Preshared Key wird nicht ausgetauscht ).
Bitte warten ..
Ähnliche Inhalte
Windows Netzwerk
WLAN-Profile mit PreShared-Key in Domäne verteilen - wie möglich?
Frage von ribrobWindows Netzwerk3 Kommentare

Hallo Community, folgendes Thema stellt sich uns gerade: Wir haben mehrere Notebooks im Unternehmen und mehrere WLAN-Netzwerke. Diese Netzwerke ...

LAN, WAN, Wireless
IPsec IKE Phase 2 startet nicht
Frage von KarottenkernLAN, WAN, Wireless

Hallo zusammen, ich versuche nun seit geraumer Zeit ein IPsec-Tunnel zwischen einem Bintec RS123 und einer Sophos UTM 9 ...

LAN, WAN, Wireless
VPN Fehler bei 2x Phase 2
Frage von EB-StefanLAN, WAN, Wireless

Hallo zusammen, ich habe mal wieder ein VPN Problem und zwar habe ich 2 Firewalls von unterschiedlichen Herstellern die ...

Router & Routing
VPN auf Cisco RV082 hinter Fritz kommt nicht in Phase 2
gelöst Frage von Frank.WolfRouter & Routing6 Kommentare

Hallo Experten, ich habe ein Problem, ein VPN auf einen Cisco RV082 zu laufen zu bekommen, der hinter eine ...

Neue Wissensbeiträge
Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 6 StundenViren und Trojaner1 Kommentar

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 10 StundenRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Internet

Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird

Information von Penny.Cilin vor 3 TagenInternet17 Kommentare

HTTPS richtig einschätzen Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. ...

Webbrowser

Bugfix für Firefox Quantum released - Installation erfolgt teilweise nicht automatisch!

Erfahrungsbericht von Volchy vor 4 TagenWebbrowser8 Kommentare

Hallo zusammen, gem. dem Artike von heise online wurde mit VersionFirefox 57.0.1 sicherheitsrelevante Bugs behoben. Entgegen der aktuellen Veröffentlichung ...

Heiß diskutierte Inhalte
Batch & Shell
Trusted Sites für alle User auf dem PC einpflegen
Frage von xXTaKuZaXxBatch & Shell12 Kommentare

Aufgabestellung: Es sollen auf 1 PC (bzw. mehreren PCs) vertrauenswürdige Sites per Powershell eingetragen werden, die für alle User ...

Voice over IP
Telefonstörung - Ortsrufnummern kein Verbindungsaufbau
Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, sowohl bei uns als auch beim Opa ist es über VoIP nicht möglich Ortsrufnummern anzurufen. Es kommt nach ...

Vmware
DOS 6.22 in VMWare mit CD-ROM
gelöst Frage von hesperVmware8 Kommentare

Hallo zusammen! Ich hab ein saublödes Problem. Es ist eine VMWare mit DOS 6.22 zu erstellen auf dem ein ...

Cloud-Dienste
PIM als SaaS Nutzungsgebühr
Frage von vanTastCloud-Dienste8 Kommentare

Moin, wir haben uns ein PIM (Product Information Management) nach unseren Ansprüchen für viel Geld als SaaS-Lösung bauen lassen. ...