Kurzbericht nach einiger Verwirrung durch eine gesamt eher suboptimal verlaufenen Tarifumstellung und einem damit verbundenen Wechsel einer Digitalisierungsbox Smart auf eine Digitalisierungsbox Smart 2.

Szenario: Einige wenige Windows 7 Pro Laptops sind hier noch im Homeoffice Einsatz und nutzen den Shrew Soft VPN Client mit IPsec IKEv1 Protokoll.

Im Verlauf der Umstellung wurde uns gesagt, es würde nicht mehr mit Shrew funktionieren und man müsse für diese Laptops jeweils der in der Digitalisierungsbox Smart 2 beim VPN Export genannte bintec Secure IPSec Client bzw. jetzt NCP Secure Entry Client gekauft und damit IKEv2 genutzt werden.

Nach etwas Recherche und diversen Versuchen und Logs lesen haben wir die folgende Lösung für das bestehende Szenario mit minimalen Eingriffen gefunden. Es gibt sicherlich noch andere Lösungsmöglichkeiten. Vielleicht hilft die Beschreibung auch anderen weiter.

Es geht in diesem Beitrag wohlgemerkt nicht darum, ob/warum man nicht IKEv1 und/oder Windows 7 Pro nutzen sollte, das darf gerne an anderer Stelle in anderen Foren diskutiert werden, sondern alleine um die technische Möglichkeit einer Zusammenarbeit der Digibox Smart 2 mit Shrew, um solche Einzelfälle zunächst ohne grosse Eingriffe wieder zum Laufen zu bekommen.

Digitalisierungsbox Smart 2:

• Die Nutzung von "IKEv1 aggressive mode" mit PSK global aktivieren
• Bei der jeweiligen VPN Verbindung "IKEv1 Aggressive Mode" einstellen
• Bei der jeweiligen VPN Verbindung die IPSec Proposals IKE und ESP auf "SCU01 & SCU02" einstellen
• Bei der jeweiligen VPN Verbindung optional noch "Mobike" deaktivieren, es wird in dem Fall ohnehin nicht genutzt

Im Shrew Soft VPN Client auf den Laptops:

• Anpassungen in den Tabs "Phase 1" und "Phase 2" an die "SCU01 & SCU02" Proposal Einstellungen IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1536 und ESP:AES_CBC_256/HMAC_SHA1_96/MODP_1536/NO_EXT_SEQ der Digibox Smart 2 und in diesem Fall im Tab "Policy" Ergänzung "Remote Network Resource" statt "Auto Topology".

Screenshots der Digibox Smart 2 und aller Shrew Einstellungen und eine Konfigurationsdatei für den Shrew Soft VPN Client im Anhang (mit anonymisierter IP/PSK und mit ergänzter .txt Dateiendung für das Forum).