Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Preshared Key in Phase 2

Frage Sicherheit Firewall

Mitglied: Marcel-D

Marcel-D (Level 1) - Jetzt verbinden

24.11.2008, aktualisiert 25.11.2008, 4438 Aufrufe, 8 Kommentare

Hallo,

ich muss einen IPSec VPN zu einem Kunden herstellen. Dieser hat einen Cisco 878 und wir haben
eine Watchguard Firebox X1250e. Der Cisco 878 kann in der Phase 2 als Authentifizierung nur
Preshared Key, rsa-sig und rsa-encr.
Unsere Firebox kann diese Authentifizierungen nicht. Es wäre nett wenn jemand einen Rat hat,
wie man diesen Tunnel trotzdem aufbauen kann.

Gruß
Marcel
Mitglied: aqui
24.11.2008 um 12:38 Uhr
Hier solltest du fündig werden:

http://watchguard.custhelp.com/cgi-bin/watchguard.cfg/php/enduser/std_a ...

Höchst merkwürdig das die Firebox eines der am weitesten verbreiteten Verfahren nicht unterstützt...bist du dir da sicher ??
Jeder einfache NetGear oder Draytek oder Linux Box (was die Firebox ja letztlich ist) kann problemlos ein IPsec VPN zu einem Cisco aufbauen..

Wenn alle Stricke mit IPsec reissen, was eigentlich nicht wirklich sein kann... dann kannst du immer noch auf PPTP ausweichen sofern die Firebox das denn wenigstens kann ??
Bitte warten ..
Mitglied: Marcel-D
24.11.2008 um 12:52 Uhr
Hi,

das komische ist das der Support von Watchguard mir gesagt hat das in der Phase 2 ein Preshared Key "unmöglich" ist. Aber dieser Cisco kann es. Bei der Watchguard kann man nur in den General Settings den Preshared Key angeben.
Bitte warten ..
Mitglied: aqui
24.11.2008 um 16:56 Uhr
Sieh dich einfach mal beim Mitbewerb um die machen das ja auch so:

http://www.draytek.com/support/support_note/router/application/vpn_solu ...

bzw. hier die andere Seite (Cisco)

http://www.draytek.com/support/support_note/router/application/vpn_solu ...

D.h. es geht zu beiden Seiten problemlos, dann müsste eigentlich auch die Firebox mit dem Cisco können....
Bitte warten ..
Mitglied: Marcel-D
24.11.2008 um 17:53 Uhr
Das ist auch nicht das Szenario das ich meine.

Also...

Phase 1 --> Firewalls kommunizieren miteinander und tauschen den Preshared Key aus.
Phase 2 --> Der Tunnel wird aufgebaut.

Der Preshared Key in der Phase 1 ist KEIN Problem.
Das Problem ist, dass in der Phase 2 normalerweise kein Preshared Key mehr benötigt wird. Diesen brauch aber der besagte Router/Firewall von Cisco.
Bitte warten ..
Mitglied: 51705
24.11.2008 um 21:41 Uhr
Hallo Marcel,

der Support liegt insofern richtig, als das in Phase 1 - Internet Key Exchange - die Aushandelung der Keys stattfindet. Phase 2 legt eher die Nutzung des Keys fest. Genaugenommen wird in Phase 2 nur geregelt, wie mit der in Phase 1 bereits erfolgten Authenifizierung weiter verfahren wird. Insofern wundert mich Aquis Aussage etwas...

Du hast deine Situation leider nicht ausreichend geschildert, z.B. feste IP-Adressen oder DynDNS, respektive Agressive oder ID-Protected?

Grüße, Steffen
Bitte warten ..
Mitglied: aqui
25.11.2008 um 10:00 Uhr
Das war auch oben mehr ein quick and dirty Ansatz um langwierige Tipperei zu umgehen. Um jetzt aber mal in der Tiefe zu bleiben: Es ist unrichtig das in Phase 2 kein Preshared Key mehr benötigt wird.
Der Standard sagt ganz klar das hier ein weiterer Schlüsselaustausch mit Diffie Hellmann stattfindet im sog. Quick Mode. Dieser wird sogar zyklisch wiederholt zum Regenerieren der Schlüssel um die Sicherheit der Nutzdatenverschlüsselung sicherzustellen.
Das sind eigentlich standardtisierte Verfahren an die sich auch Watchguard halten sollte...
Nach dem o.a. Beispiel von Draytek (oder sicher auch anderen) verhalten die sich ja standardkonform und hier ist ein Aufbau mit einer Firebox ja durchaus möglich. Folglich müsste es ja dann sehr wohl möglichkeiten geben einen standardkonformen IPsec Tunnel damit aufzubauen...
Bitte warten ..
Mitglied: Marcel-D
25.11.2008 um 10:04 Uhr
Hi,

was ich allerdings daran nicht verstehe warum dann der Cisco nur pre-shared Key kann und nicht die, die die anderen firewalls können.

Aber davon abgesehen was soll ich euch noch schildern von dem Problem? Oder weiß jemand wie man das eventuell umgehen kann zB.
Bitte warten ..
Mitglied: 51705
25.11.2008 um 10:16 Uhr
Der Standard sagt ganz klar das hier ein weiterer
Schlüsselaustausch mit Diffie Hellmann stattfindet im sog. Quick
Mode. Dieser wird sogar zyklisch wiederholt zum Regenerieren der ...

Klar, der Session Key (der Preshared Key wird nicht ausgetauscht ).
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Vista
gelöst Vista Home Premium nur Basic Key (8)

Frage von Chonta zum Thema Windows Vista ...

Windows 10
gelöst Klappt es noch mit 7 Key Windows 10 zu aktivieren? (12)

Frage von zeroblue2005 zum Thema Windows 10 ...

Windows Mobile
gelöst Windows 10 Phone Encryption - Recovery Key? (1)

Frage von DerWoWusste zum Thema Windows Mobile ...

Festplatten, SSD, Raid
gelöst LSI MegaRaid SAS 9271-4i - Upgrade Key Missing! (5)

Frage von runasservice zum Thema Festplatten, SSD, Raid ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...