‎VPN-Zugang mit Strongswan zu Digitalisierungsbox Premium

Telekom Business Community

Telekom hilft Community

Business customers

Telekom Shops

Contact

Solved

VPN-Zugang mit Strongswan zu Digitalisierungsbox Premium

7 years ago

Hallo

Wir haben im Rahmen der VoIP-Umstellung eine Digitalisierungsbox Premium bekommen und müssen diese nun als VPN -Server nutzen.

Ich habe mehrere VPN -Zugänge (IKEv1 und IKEv2) angelegt.

Unter MacOS funktioniert der IKEv2-Account super, unter Windows mit ShrewSoft VPN -Client kann ich den IKEv1-Account nutzen. Aber ich bekomme zur Hölle keinen IPSec-Zugang (IKEv1 oder IKEv2) unter Linux mittels Strongswan zum Laufen.

Meine /etc/ipsec.conf

config setup
	nat_traversal=yes
	protostack=netkey
	oe=off
	charondebug="ike 2, knl 3, cfg 2"
conn VPNIKEv2
	compress=no
	type=tunnel
	authby=secret
	keyexchange=ikev2
	left=%defaultroute
	leftfirewall=yes
#	leftauth=secret
	leftid=@local_fqdn_name
	right=meineexterne.domain.org
#	rightauth=secret
	rightid=@remote_fqdn_name
	ikelifetime=14400
	keylife=7200
	closeaction=clear
	dpdaction=none
	ike=aes256-sha2_256-modp2048
	esp=aes256-sha2_256-modp2048
	auto=add
	rekey=no
	rekeymargin=3m
	keyingtries=3
	aggrmode=yes

Die Angaben zur Verschlüsselung sind so in der Digitalisierungsbox angelegt: AES256, SHA2_256 und DH-Group14 (2048bit)

/etc/ipsec.secrets

: PSK "*********************"

Die Fehlermeldung ist hier entweder

NO PROPOSALS CHOOSEN

oder

charon: 02[IKE] failed to establish CHILD_SA, keeping IKE_SA
charon: 06[CFG] selected peer config 'VPNIKEv2' inacceptable: constraint checking failed

Hat hier jemand eine funktionierende Strongswan-Config oder nen Tipp was ich hier anders machen muß?

btw.: hatte ich auch unter Linux den ShrewSoft VPN -Client im Einsatz. Der verband unter Linux mit IKEv1 zum Server, dann kamen aber keine Daten durch den Tunnel.

Danke

Johannes

2367

7 years ago

Hallo

Ich habe jetzt nochmal an der Konfig rumgebastelt, aber immer noch keinen Erfolg:

/etc/ipsec.conf

config setup
charondebug="ike 2, knl 3, cfg 2"
conn VPNIKEv1
authby=secret
left=%defaultroute
leftid=@admin_fqdn_name
right=meineexterne.domain.org
rightsubnet=192.168.92.0/24
rightid=@remote_fqdn_name
keyexchange=ikev1
ike=aes256-sha256-modp2048
esp=aes256-sha256-modp2048
ikelifetime=4h
keylife=8h
auto=add
aggrmode=yes

/etc/ipsec.secrets

: PSK "****************************"

ipsec statusall

Status of IKE charon daemon (strongSwan 5.3.5, Linux 4.4.0-98-generic, x86_64):
uptime: 3 minutes, since Mar 19 12:33:45 2018
malloc: sbrk 1351680, mmap 0, used 330368, free 1021312
worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 0
loaded plugins: charon test-vectors aes rc2 sha1 sha2 md4 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl fips-prf gmp agent xcbc hmac gcm attr kernel-netlink resolve socket-default connmark stroke updown
Listening IP addresses:
192.168.42.34
Connections:
VPNIKEv1: %any...meineexterne.domain.org IKEv1
VPNIKEv1: local: [admin_fqdn_name] uses pre-shared key authentication
VPNIKEv1: remote: [remote_fqdn_name] uses pre-shared key authentication
VPNIKEv1: child: dynamic === 192.168.92.0/24 TUNNEL
Security Associations (0 up, 0 connecting):
none

ipsec up VPNIKEv1

initiating Main Mode IKE_SA VPNIKEv1[1] to xx.xxx.xxx.xx
generating ID_PROT request 0 [ SA V V V V ]
sending packet: from 192.168.42.34[500] to xx.xxx.xxx.xx[500] (216 bytes)
received packet: from xx.xxx.xxx.xx[500] to 192.168.42.34[500] (102 bytes)
parsed INFORMATIONAL_V1 request 2214800439 [ N(NO_PROP) ]
received NO_PROPOSAL_CHOSEN error notify
establishing connection 'VPNIKEv1' failed

Any ideas?

Answer

from

7 years ago

Hey @jcschulz,

hab das gleiche Problem.

Konnte der Support das Problem lösen?

LG Mirko

Unlogged in user

Answer

from

Accepted Solution
accepted by
7 years ago
Hallo @jcschulz,

herzlich willkommen in unserer Telekom hilft Community.

Leider haben Sie hier keine Rückmeldungen oder Antworten von den Usern in der Community bekommen. Es scheint ein komplexeres Anliegen zu sein. Technische Anfragen sind so aus der Ferne manchmal schwierig zu beantworten.

Ich verbinde Sie gerne mit unserem technischen Service, damit die Kollegen Ihnen weiterhelfen. Dazu benötigen wir ihre Kundendaten in Ihrem Profil. Nutzen Sie dazu gerne diesen Link: http://bit.ly/Kundeninfos Bitte informieren Sie mich, wann Sie gut zu erreichen sind.

Beachten Sie bitte, dass dieser Service kostenpflichtig ist.

Viele Grüße Martina Ha.
0
7 years ago
Gibt es inzwischen eine Lösung,
da ich das gleiche Problem habe.
3
Answer
from
7 years ago
Hallo @Mirko K.,

herzlich willkommen in unserer Telekom hilft Community.

Wie ich bereits geschrieben habe, dann das Problem nicht so pauschal beantwortet werden.

Unser Remote-Service hat die Möglichkeit per Fernwartung auf die Digitalisierungsbox zu zugreifen, um Einstellungen zu überprüfen und Fehler zu korrigieren.

Dieser Service ist allerdings kostenpflichtig.

Wenn Sie dies wünschen, dann geben Sie mir bitte Bescheid. Auch wann Sie gut telefonisch zu erreichen sind.

Viele Grüße Martina Ha.
Answer
from
7 years ago
Sehr gern. Ich habe mein Konto aktualisiert. Sie können mich jederzeit versuchen zu erreichen.

Answer
from
7 years ago
Hallo @Mirko K.,

vielen Dank für das nette Gespräch.

Wie gewünscht, habe ich einen Auftrag an unseren technischen Support gegeben, mit der Bitte sich bei Ihnen zu melden.

Viele Grüße Martina Ha.
Unlogged in user
Answer
from
6 years ago
Ich habe mittlerweile eine Verbindung per Strongswan und Digitalisierungsbox Smart mit IKEv1 bzw. PSK + XAUTH erfolgreich hergestellt. Jetzt bin ich mal in der Position des Code und Zeitersparers

Desktopumgebung und Softwareversion des Clients
OS : Debian GNU/Linux buster/sid
Release: Testing
Strongswan: Linux strongSwan 5.7.2

Installation der notwendigen Pakete mit:
sudo apt-get install strongswan libcharon-extra-plugins

Nach der Installation, stellst Du bitte sicher, dass das Plugin xauth-generic von Charond automatisch gestartet ist. Mit dem Befehl "ipsec statusall" kann man alle geladenen Plugins einsehen und darunter soll auch das Plugin "xauth-generic" aufgelistet sein. Dieses Plugin wird für die Benutzerauthentifizierungsmethode XAUTH benötigt.

Die Konfigurationsdateien

/etc/ipsec.conf (manuelle Eingabefelder sind mit ** ** gekennzeichnet)

conn rw-base dpdaction=restart dpddelay=30 dpdtimeout=90 fragmentation=yes conn vip-base also=rw-base leftsourceip=%config conn digitalisierungsbox also=vip-base keyexchange=ikev1 aggressive=yes leftauth=psk leftauth2=xauth leftid=@**local FQDN** xauth_identity=**Benutzername in der Digibox** right=**IP ADRESSE oder @DynDNS der Digibox** type=tunnel modeconfig=pull rightauth=psk rightid=@**remote FQDN** ike=aes128-sha1-modp1536! esp=aes128-sha1-modp1536! # this tunnels all the traffic. You might maybe want to also define a passthrough policy # for the local LAN traffic (or use the bypass-lan plugin when it's gone into the master branch) # Choose a smaller subnet, if required. # this config supports CISCO UNITY. # Remove the ::/0, if you don't require IPv6. rightsubnet=0.0.0.0/0,::/0 auto=add

/etc/ipsec.secrets (manuelle Eingabefelder sind mit ** ** gekennzeichnet)

@**local FQDN** : PSK **Preshared Key** **Benutzername in der Digibox** : XAUTH "**Password**"

Stelle bitte sicher, dass Du die richtige Verschlüsselungsmethode unter /etc/ipsec.conf in Relation zu der Digibox eingetragen hast. Die Digibox sollte wie in der Konfigurationsdatei ipsec.conf, diese Einstellungen aufweisen:
Phase-1-Profil: AES128 + SHA1 + DH 5
Phase-2-Profil: AES128 + SHA1 + PFS enabled = DH 5

Stelle auch sicher, dass Du in der Digibox bei dem VPN Profil unter "Mehr Anzeigen bzw. erweiterte Ansicht" die vordefinierten Phase1, Phase2 und XAUTH Profile ausgewählt hast. Wenn Du noch kein XAUTH Profil in der Digibox eingerichtet hast, dann erstelle einen mit der Rolle: Server.

@Mirko K. @jcschulz @Martina Ha.
3
Answer
from
6 years ago
Hallo @Christian Li.,

herzlich willkommen in unserer Community und vielen Dank, dass Sie Ihre Erfahrungen mit uns teilen.

Viele Grüße aus Kiel
Angela G.
Answer
from
6 years ago
Vielen Dank. @Angela G.

FYI und für die Technik: Ich habe festgestellt, dass ich nur Probleme mit der Aushandlung erhalte, sobald ich in der Digitalisierungsbox die Peer-ID: Schlüssel-ID und ASN.1-DN benutze. Alle meine Clients haben Probleme, wenn mit diesen Peer-IDs zugegriffen werden soll. FQDN läuft einwandfrei.

Eventuell haben wir ja die Hauptursache gefunden und irgendwas ist mit den Peer-ID Optionen an der Digibox verdreht.

Answer
from
6 years ago
Hallo @Christian Li.,

da Angela nicht im Hause ist, melde ich mich hier einmal für sie.

Sollten Sie noch Unterstützung durch unseren technischen Support benötigen, dann melden Sie sich bitte.

Viele Grüße Martina Ha.
Unlogged in user
Answer
from