‎OHNE Connect APP - IPSec Parameter??

Telekom hilft Community

Telekom Business Community

Private customers

Telekom Shops

Contact

OHNE Connect APP - IPSec Parameter??

6 years ago

Ich möchte gerne OHNE Telekom Connect App ein VPN zur Telekom vpn2-idm.de.telekom-vpn.net einrichten.

Soweit ich herausgefunden habe ist es eine IKEv2 Verbindung, funktioniert in Phase1 auch mit IKEv1 Main Mode

Nun ist die Herausforferung welche Phase1 und Phase 2 Parameter die Telekom nutzt und wie die Authentisierung erfolgt.

IKEv1:

Verschlüsselung: AES128

Hash: SHA1

IKEDH-Gruppe 16

XAUTH - Authentisierung

IKEv2:

IKE-Authentisierung EAP

Verschlüsselung: AES256

Hash: SHA2-256

DH-Gruppe 16

Dann bekomme ich leider einen PKI-Fehler: unable to get ca issuer certificate

Da Stimmt was nicht mit meiner Authentifizierung??!

Und Phase 2 kommt logischerweise dann nicht :-((

Weiß jemand etwas mehr ???

1102

6 years ago
2 Ping für heute @FelixKruemel 😄
0

6 years ago

@merlin1986

Danke für den Ping. Das Thema interessiert mich tatsächlich auch, aber ich bin am selben Problem bereits gescheitert.

Ich bin mal gespannt ob es hier Infos vom Team aus gibt.

Answer

from

5 years ago

Jetzt habe ich das richtige Zertifikat: T-TeleSec GlobalRoot Class 2 (SHA256)

https://www.telesec.de/de/public-key-infrastruktur/support/root-zertifikate/category/59-t-telesec-globalroot-class-2

Leider ein neues Problem

03.11.2019 20:33:16 - Ikev2: RECV_MSG2_INIT - ConRef=5, Remote supports IKEv2 fragmentation
03.11.2019 20:33:16 - IKESA2_INIT: - ConRef=5, protection suite:
03.11.2019 20:33:16 - PID=1,#ENCR=12,KEYLEN=256,INTEG=12,PRF=5,DHGRP=16,AUTHM=0,CERTON=1
03.11.2019 20:33:16 - INSPIL=0,INSPI=00000000,OUTSPIL=0,OUTSPI=00000000,LifeType=1,LifeSec=28800,LifeKb=0
03.11.2019 20:33:16 - Ike: ConRef=5, XMIT_MSG1_AUTH, name=Telekom Hotspot Service Area, vpngw=185.181.13.161:4500
03.11.2019 20:33:16 - Ike: ConRef=5,  XMIT_MSG1_AUTH_BEFORE_EAP0, name=Telekom Hotspot Service Area, vpngw=185.181.13.161:4500
03.11.2019 20:33:16 - Ike: ConRef=5,  XMIT_MSG1_AUTH_RESUME0, name=Telekom Hotspot Service Area, vpngw=185.181.13.161:4500
03.11.2019 20:33:16 - Auth: ConRef=5, no local ID configured --> using a default
03.11.2019 20:33:16 - Ikev2:send idi payload:ID_IPV4_ADDR:pid=0,port=0,192.168.254.2
03.11.2019 20:33:16 - Ike: ConRef=5,  XMIT_MSG1_AUTH_RESUME1, name=Telekom Hotspot Service Area, vpngw=185.181.13.161:4500
03.11.2019 20:33:16 - Ikev2 Child: ConRef=5,send request TSI=0.0.0.0-255.255.255.255
03.11.2019 20:33:16 - Ikev2 Child: ConRef=5,send request TSI=0000:0000:0000:0000:0000:0000:0000:0000-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
03.11.2019 20:33:16 - Ikev2 Child: ConRef=5,send request TSR=0.0.0.0-255.255.255.255
03.11.2019 20:33:16 - Ikev2 Child: ConRef=5,send request TSR=0000:0000:0000:0000:0000:0000:0000:0000-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
03.11.2019 20:33:16 - IkeV2: ConRef=5,Auth - initiating an  EAP  session
03.11.2019 20:33:16 - IPSec: Phase1 is Ready,AdapterIndex=203,IkeIndex=5,LocTepIpAdr=192.168.12.151,AltRekey=1
03.11.2019 20:33:16 - Isakmp: ConRef=0,Receiving RFC7383 fragment, length=1208, sequence=1, total fragments=4
03.11.2019 20:33:16 - Isakmp: ConRef=0,Receiving RFC7383 fragment, length=1208, sequence=2, total fragments=4
03.11.2019 20:33:16 - Isakmp: ConRef=0,Receiving RFC7383 fragment, length=1208, sequence=3, total fragments=4
03.11.2019 20:33:16 - Isakmp: ConRef=0,Receiving RFC7383 fragment, length=424, sequence=4, total fragments=4
03.11.2019 20:33:16 - Ike: ConRef=5,  RECV_MSG2_AUTH, name=Telekom Hotspot Service Area, vpngw=185.181.13.161:4500
03.11.2019 20:33:16 - Ikev2: ConRef=5,Received notify messages - 
03.11.2019 20:33:16 - Ikev2: ConRef=5, Received 2 certificates.
03.11.2019 20:33:16 - Auth: ConRef=5,Remote is using hash algorithm SHA2-256
03.11.2019 20:33:16 - Auth: ConRef=5,Remote is using RSA-PKCS#1 v1.5 padding
03.11.2019 20:33:18 - Auth: ConRef=5, PKI response with errorcode=0.
03.11.2019 20:33:18 - Ike: ConRef=5,  RECV_MSG2_AUTH_RESUME1, name=Telekom Hotspot Service Area, vpngw=185.181.13.161:4500
03.11.2019 20:33:18 - Auth: ConRef=5,Remote is authenticating with=14,SIGNATURE (RFC7427)
03.11.2019 20:33:18 - IkeV2: ConRef=5,Auth - Receiving  EAP  payload
03.11.2019 20:33:18 - Ike: ConRef=5,  RECV_MSG2_AUTH, name=Telekom Hotspot Service Area, vpngw=185.181.13.161:4500
03.11.2019 20:33:18 - Ikev2: ConRef=5,Received notify messages - 
03.11.2019 20:33:18 - IkeV2: ConRef=5,Auth - Receiving  EAP  payload
03.11.2019 20:33:18 - Eap: status=2,Method=TLS
03.11.2019 20:33:18 - Eap: status failure,method=TLS
03.11.2019 20:33:18 - PPP(Auth): ERROR - PPP(Chap) - authentication failure
03.11.2019 20:33:20 - IPSec: Disconnecting from Telekom Hotspot Service Area on channel 1.

Authentisierung schlägt fehl.

Answer

from

5 years ago

Woher bekomme ich das Passwort für den kryptischen Account, den die ConnectApp anlegt?
Den Benutzernamen sieht man ja.

Answer

from

5 years ago

Die Zugangsdaten, die die ConnectAPP anzeigt, wenn man sich über Mobilfunkvertrag anmeldet, funktionieren auch nicht.

Unlogged in user

Answer

from

5 years ago
Ich brauche das root-Zertifikat, wenn ich das richtig verstehe, vgl. letzte Zeile und Anhang, oder? Im Anhang seht ihr, welches Zertifikat der Server vpn2-idm.de.telekom-vpn.net ausliefert. Sorry für die Formatierung, womöglich hilft jemand dieses LOG: 03.11.2019 07:57:03 - VpnDriver:Set FW rules,vpnadr=185.181.13.161:4500 03.11.2019 07:57:03 - Ikev2: RECV_MSG2_INIT - ConRef=41, Remote supports IKEv2 fragmentation 03.11.2019 07:57:03 - IKESA2_INIT: - ConRef=41, protection suite: 03.11.2019 07:57:03 - PID=1,#ENCR=12,KEYLEN=256,INTEG=12,PRF=5,DHGRP=16,AUTHM=0,CERTON=1 03.11.2019 07:57:03 - INSPIL=0,INSPI=00000000,OUTSPIL=0,OUTSPI=00000000,LifeType=1,LifeSec=28800,LifeKb=0 03.11.2019 07:57:03 - Ike: ConRef=41, XMIT_MSG1_AUTH, name=Telekom Hotspot Service Area 2, vpngw=185.181.13.161:4500 03.11.2019 07:57:03 - Ike: ConRef=41, XMIT_MSG1_AUTH_BEFORE_EAP0, name=Telekom Hotspot Service Area 2, vpngw=185.181.13.161:4500 03.11.2019 07:57:03 - Ike: ConRef=41, XMIT_MSG1_AUTH_RESUME0, name=Telekom Hotspot Service Area 2, vpngw=185.181.13.161:4500 03.11.2019 07:57:03 - srcadr=192.168.x.y:10954, dstadr=185.181.13.161:4500,icookie=89.4c.41.b5.32.d8.15.aa,rcookie=3a.30.29.15.14.ab.ef.7e,exchange=IKE_AUTH,msgid=00000001,flags=01 03.11.2019 07:57:03 - Auth: ConRef=41, no local ID configured --> using a default 03.11.2019 07:57:03 - Ikev2:send idi payload:ID_IPV4_ADDR:pid=0,port=0,192.168.254.2 03.11.2019 07:57:03 - Ike: ConRef=41, XMIT_MSG1_AUTH_RESUME1, name=Telekom Hotspot Service Area 2, vpngw=185.181.13.161:4500 03.11.2019 07:57:03 - Ikev2 Child: ConRef=41,send request TSI=0.0.0.1-0.0.0.1 03.11.2019 07:57:03 - Ikev2 Child: ConRef=41,send request TSI=fd00:0192:0168:0254:0000:0000:0000:0010-fd00:0192:0168:0254:0000:0000:0000:0010 03.11.2019 07:57:03 - Ikev2 Child: ConRef=41,send request TSR=0.0.0.0-255.255.255.255 03.11.2019 07:57:03 - Ikev2 Child: ConRef=41,send request TSR=0000:0000:0000:0000:0000:0000:0000:0000-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff 03.11.2019 07:57:03 - IkeV2: ConRef=41,Auth - initiating an EAP session 03.11.2019 07:57:03 - IPSec: Phase1 is Ready,AdapterIndex=203,IkeIndex=41,LocTepIpAdr=192.168.x.y,AltRekey=1 03.11.2019 07:57:03 - Isakmp: ConRef=0,Receiving RFC7383 fragment, length=1208, sequence=1, total fragments=4 03.11.2019 07:57:03 - Isakmp: ConRef=0,Receiving RFC7383 fragment, length=1208, sequence=2, total fragments=4 03.11.2019 07:57:03 - Isakmp: ConRef=0,Receiving RFC7383 fragment, length=1208, sequence=3, total fragments=4 03.11.2019 07:57:03 - Isakmp: ConRef=0,Receiving RFC7383 fragment, length=424, sequence=4, total fragments=4 03.11.2019 07:57:03 - Ike: ConRef=41, RECV_MSG2_AUTH, name=Telekom Hotspot Service Area 2, vpngw=185.181.13.161:4500 03.11.2019 07:57:03 - Ikev2: ConRef=41,Received notify messages - 03.11.2019 07:57:03 - Ikev2: ConRef=41, Received 2 certificates. 03.11.2019 07:57:03 - Auth: ConRef=41,Remote is using hash algorithm SHA2-256 03.11.2019 07:57:03 - Auth: ConRef=41,Remote is using RSA-PKCS#1 v1.5 padding 03.11.2019 07:57:03 - Auth: ConRef=41, PKI response with errorcode=204. 03.11.2019 07:57:03 - ERROR - 4036: Auth - PKI ERROR: - <> Client Error: Verify Server Certificate with error 2104 ! (unable to get ca issuer certificate).
vpn2-idm.de.telekom-vpn.net.png
0