Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN Verbindung mit Cisco VPN-Client an Gateprotect Firewall per IPSec

Frage Sicherheit Verschlüsselung & Zertifikate

Mitglied: Bovarian

Bovarian (Level 1) - Jetzt verbinden

10.06.2013 um 15:27 Uhr, 4134 Aufrufe, 6 Kommentare

Hallo zusammen,

ich versuche einen CiscoVPN-Client mit einer Gateprotect Firewall zu verbinden.
Die Authentifizierung läuft über Zertifikate.
Den öffentlichen Schlüssel der CA habe ich bereits importiert und das ausgestellte Clientzertifikat ebenfalls.
Die Einstellungen an der Firewall sind wie folgt:
Phase1
IKEv1
AES 128
SHA1
DH Group 2 (MODP 1024)

Phase2
AES 128
SHA1
PFS aktiv
DH Group 2 (MODP 1024)

Im Cisco Client kann ich diese Werte nicht beeinflussen. Er wird die Einstellungen wohl beim Verbindungsaufbau übernehmen, oder?

Das LOG vom Client sieht so aus:

Cisco Systems VPN Client Version 5.0.07.0440
Copyright (C) 1998-2010 Cisco Systems, Inc. All Rights Reserved.
Client Type(s): Windows, WinNT
Running on: 6.2.9200

64 15:22:33.418 06/10/13 Sev=Info/4 CERT/0x63600015
Cert (cn=W*,ou=EDV,o=Ma,l=B*,st=Hessen,c=DE) verification succeeded.

65 15:22:33.446 06/10/13 Sev=Info/4 CM/0x63100002
Begin connection process

66 15:22:33.465 06/10/13 Sev=Info/4 CM/0x63100004
Establish secure connection

67 15:22:33.466 06/10/13 Sev=Info/4 CM/0x63100024
Attempt connection with server "217.91.149.125"

68 15:22:33.502 06/10/13 Sev=Info/4 IKE/0x63000001
Starting IKE Phase 1 Negotiation

69 15:22:33.502 06/10/13 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK MM (SA, VID(Xauth), VID(dpd), VID(Frag), VID(Nat-T), VID(Unity)) to 217.91.149.125

70 15:22:33.542 06/10/13 Sev=Info/4 IKE/0x63000014
RECEIVING <<< ISAKMP OAK MM (SA, VID(?), VID(Unity), VID(Xauth), VID(dpd), VID(Nat-T)) from 217.91.149.125

71 15:22:33.571 06/10/13 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK MM (KE, NON, NAT-D, NAT-D, VID(?), VID(Unity)) to 217.91.149.125

72 15:22:33.652 06/10/13 Sev=Info/4 IKE/0x63000014
RECEIVING <<< ISAKMP OAK MM (KE, NON, CERT_REQ, NAT-D, NAT-D) from 217.91.149.125

73 15:22:33.725 06/10/13 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK MM *(ID, CERT, CERT_REQ, SIG, NOTIFY:STATUS_INITIAL_CONTACT) to 217.91.149.125

74 15:22:33.728 06/10/13 Sev=Info/4 IPSEC/0x63700008
IPSec driver successfully started

75 15:22:33.729 06/10/13 Sev=Info/4 IPSEC/0x63700014
Deleted all keys

76 15:22:33.888 06/10/13 Sev=Info/4 IKE/0x63000014
RECEIVING <<< ISAKMP OAK MM *(ID, CERT, SIG) from 217.91.149.125

77 15:22:33.894 06/10/13 Sev=Info/4 CERT/0x63600015
Cert (e=host@v
*.de,cn=Host,ou=EDV_Host,o=H,l=V**,st=Hessen,c=DE) verification succeeded.

78 15:22:33.897 06/10/13 Sev=Info/4 IKE/0x63000083
IKE Port in use - Local Port = 0xFEC8, Remote Port = 0x1194

79 15:22:33.897 06/10/13 Sev=Info/4 CM/0x6310000E
Established Phase 1 SA. 1 Crypto Active IKE SA, 0 User Authenticated IKE SA in the system

80 15:22:33.897 06/10/13 Sev=Info/4 CM/0x6310000E
Established Phase 1 SA. 1 Crypto Active IKE SA, 1 User Authenticated IKE SA in the system

81 15:22:33.901 06/10/13 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK TRANS *(HASH, ATTR) to 217.91.149.125

82 15:22:39.307 06/10/13 Sev=Info/4 IKE/0x63000021
Retransmitting last packet!

83 15:22:39.307 06/10/13 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK TRANS *(Retransmission) to 217.91.149.125

84 15:22:44.378 06/10/13 Sev=Info/4 IKE/0x63000021
Retransmitting last packet!

85 15:22:44.378 06/10/13 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK TRANS *(Retransmission) to 217.91.149.125

86 15:22:44.378 06/10/13 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK INFO *(HASH, NOTIFY:DPD_REQUEST) to 217.91.149.125

87 15:22:44.426 06/10/13 Sev=Info/4 IKE/0x63000014
RECEIVING <<< ISAKMP OAK INFO *(HASH, NOTIFY:DPD_ACK) from 217.91.149.125

88 15:22:49.434 06/10/13 Sev=Info/4 IKE/0x63000021
Retransmitting last packet!

89 15:22:49.434 06/10/13 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK TRANS *(Retransmission) to 217.91.149.125

90 15:22:54.516 06/10/13 Sev=Info/4 IKE/0x6300002D
Phase-2 retransmission count exceeded: MsgID=32A41F27

91 15:22:54.516 06/10/13 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK INFO *(HASH, NOTIFY:DPD_REQUEST) to 217.91.149.125

92 15:22:54.517 06/10/13 Sev=Info/4 IKE/0x63000017
Marking IKE SA for deletion (I_Cookie=F737B6A672757E1B R_Cookie=9AABE956D85CE78F) reason = DEL_REASON_IKE_NEG_FAILED

93 15:22:54.517 06/10/13 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK INFO *(HASH, DEL) to 217.91.149.125

94 15:22:54.556 06/10/13 Sev=Info/4 IKE/0x63000058
Received an ISAKMP message for a non-active SA, I_Cookie=F737B6A672757E1B R_Cookie=9AABE956D85CE78F

95 15:22:54.556 06/10/13 Sev=Info/4 IKE/0x63000014
RECEIVING <<< ISAKMP OAK INFO *(Dropped) from 217.91.149.125

96 15:22:54.557 06/10/13 Sev=Info/4 IKE/0x63000058
Received an ISAKMP message for a non-active SA, I_Cookie=F737B6A672757E1B R_Cookie=9AABE956D85CE78F

97 15:22:54.557 06/10/13 Sev=Info/4 IKE/0x63000014
RECEIVING <<< ISAKMP OAK INFO *(Dropped) from 217.91.149.125

98 15:22:57.550 06/10/13 Sev=Info/4 IKE/0x6300004B
Discarding IKE SA negotiation (I_Cookie=F737B6A672757E1B R_Cookie=9AABE956D85CE78F) reason = DEL_REASON_IKE_NEG_FAILED

99 15:22:57.550 06/10/13 Sev=Info/4 CM/0x6310000F
Phase 1 SA deleted before Mode Config is completed cause by "DEL_REASON_IKE_NEG_FAILED". 0 Crypto Active IKE SA, 0 User Authenticated IKE SA in the system

100 15:22:57.561 06/10/13 Sev=Info/4 IKE/0x63000001
IKE received signal to terminate VPN connection

101 15:22:57.568 06/10/13 Sev=Info/4 IPSEC/0x63700014
Deleted all keys

102 15:22:57.568 06/10/13 Sev=Info/4 IPSEC/0x63700014
Deleted all keys

103 15:22:57.568 06/10/13 Sev=Info/4 IPSEC/0x63700014
Deleted all keys

104 15:22:57.569 06/10/13 Sev=Info/4 IPSEC/0x6370000A
IPSec driver successfully stopped

Hat irgendwer eine Idee?
Der Support von Gateprotect asgt nur, dass man den AggressivMode deaktivieren muss. Laut Cisco ist der aber bei zertifikatsbasierter Authentifizierung gar nicht aktiviert.

Danke für Eure Mühen

Viele Grüße

Bodo
Mitglied: aqui
10.06.2013 um 16:48 Uhr
Es sieht in der Tat so aus denn einzig deine Phase 2 scheitert.
Das liegt zu 98% daran das es einen Transform Set Mismatch in den Security Profiles beider Komponenten gibt.
Dann bricht die Phase 2 ab weil die SAs nicht ausgetauscht werden können.
Bei Herstellerfremden Paarungen ist es sinnvoller IMMER den Agressive Mode zu verwenden. Stelle also sicher das der auf beiden Seiten aktiv ist.
Auch der Transform Set MUSS gleich sein !!
AES ist immer kritisch es sei denn beide Seiten supporten es sicher.
SHA 1 ist ungünstig, erheblich performanter ist MD5
Check mal ob beide Seiten mit esp-3des und esp-md5-hmac evtl. besser klar kommen.
Ist der Cisco Client der alte oder der neue ?
Bitte warten ..
Mitglied: Bovarian
13.06.2013 um 09:46 Uhr
Danke für deine Antwort.
Der Cisco CLient ist der aktuelle.
Im Client habe ich aber überhaupt keine Einstellungsmöglichkeiten, ausser natürlich die Zertifikate und den Host.
Ich müsste die von dir vorgeschlagenen Veränderungen also in der Firewall machen, oder?

Vom Gateprotect Support habe ich folgende Antwort bekommen:
"Anscheinend müssen Sie im cisco client noch abstellen, dass er ModeConfig Nachrichten schickt.
Oder Sie probieren einmal, beide Seiten doch auf ikev2 zu stellen."

Ich kann aber im CLient nichts konfigurieren...
Oder gibt es ein ConfigFile des Clients was ich anpassen muss?

Sorry, dass ich so doof frage aber mit dem GP-Client funktioniert es halt immer
und in der theorie von IPSec bin ich nicht so tief drin.

Viele Grüße

Bodo
Bitte warten ..
Mitglied: aqui
13.06.2013, aktualisiert um 10:21 Uhr
Deshalb die Frage nach der Client Version. Der alte Cisco Client hatte alle diese Einstellmöglichkeiten. Der neue kann nur noch die Group Authentication mit X-Auth ! Da hast du keinen Einstellmöglichkeiten mehr.
Die Gateprotect muss also dieses Feature unterstützen, sonst kannst du die nicht verheiraten...oder musst den alten Client verwenden, damit klappt es.
Oder noch besser...
Vergiss den Cisco Client und nimm den kostenlosen Shrew Client:
https://www.shrew.net/download
Damit funktioniert es ebenfalls sofort auf Anhieb !
Grundlegende Infos zum Setup findest du auch in diesem Tutorial:
http://www.administrator.de/wissen/ipsec-vpn-mit-cisco-mikrotik-pfsense ...
Zur Theorie von IPsec findest du hier auch ein Tutorial bei Admin.de
http://www.administrator.de/contentid/73117
Einfach mal die Suchfunktion benutzen !!....
Bitte warten ..
Mitglied: Bovarian
13.06.2013 um 10:25 Uhr
Vielen Dank für deine schnelle Rückmeldung.

Ein anderer Client wäre am einfachsten, dann würde ich den Gateprotect nehmen.
Aber die externe Firma lässt nur Cisco zu. Mit dem ShrewSoft habe ich auch schon getestet.

Werde deine Links mal durcharbeiten.
Danke
Bitte warten ..
Mitglied: Bovarian
17.06.2013 um 15:27 Uhr
So, mit dem ShrewSoft läuft es jetzt über PSK als auch über Zertifikate.
Kannst du mir sagen, wo ich einen alten Client herbekomme?
Obwohl das ja auch eine Sackgasse ist...
Die haben ja sicher die neuste Version.
Dann muss ich wohl mit XAUTH arbeiten, oder?

Viele Grüße
Bitte warten ..
Mitglied: aqui
21.06.2013 um 10:03 Uhr
Eigentlich müsste es den noch von der SW Download Page bei Cisco geben. Das ist die Version die damals mit dem VPN Gateway funktionierte !
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Firewall
gelöst Site-to-Site-VPN und Cisco VPN-Client von gleicher IP (2)

Frage von TripleDouble zum Thema Firewall ...

LAN, WAN, Wireless
Script bei starten einer VPN Verbindung mit Checkpoint-VPN Client (2)

Frage von maddig zum Thema LAN, WAN, Wireless ...

Firewall
Abbruch VPN-Verbindung mit Zyxel-VPN-Client (1)

Frage von EDVKeller zum Thema Firewall ...

Firewall
gelöst Checkpoint Firewall - VPN CLient (5)

Frage von Leo-le zum Thema Firewall ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...