Willkommen in der Business Community

Die Telekom Community für Geschäftskunden

Aktueller Hinweis

Digitalisierungsbox Smart - IKEv2 VPN-Verbindungen mit PSK "User authentication failed"

Gelöst

Ich habe auf einer Digitalisierungsbox Smart (Firmware 11.01.01.101) einen VPN-Zugang über IKEv2 für ein Apple iOS Gerät nach folgender Anleitung eingerichtet und die Verbindung klappt auch einwandfrei, ... solange man nicht weitere IKEv2 Peers benötigt!

 

http://digitalisierungsbox.bintec-elmeg.com/premium-apple-ios-vpn-per-ikev2/

 

Wenn man jetzt mehrere dieser IKEv2 Peers eingerichtet hat, die sich durch die Peer-ID und den PSK unterscheiden, erhalten diese bei einem Anmeldeversuch nur "User authentication failed".

 

Ich habe dabei auf der DigiBox beobachtet das der Peer sich immer auf das erste in der IKEv2 IPsec-Peer-Liste befindliche Konto verbinden will. Wenn es aber ein Peer ist, welcher weiter unten in der IPsec-Peer-Liste ist und somit eine andere Peer-ID und ein

anderes PSK hat, wird dieser "natürlich" mit der Fehlermeldung "User authentication failed" abgewiesen. 

 

Wenn ich jetzt in der DigiBox Liste z.B. den ersten IPsec-Peer deaktiviere, dann kann sich der Peer welcher an zweiter Stelle steht wieder korrekt einwählen. Es funktioniert also immer nur der IPsec-Peer dessen Zugangsdaten zu dem ersten aktiven Eintrag in der Liste passt.

 

Fazit: So wie es aussieht berücksichtigt die DigiBox bei einem eingehenden Verbindungsversuch nicht die Peer-ID und vergleicht die Daten somit nicht mit dem korrekten IKEv2 Peer Konto sondern immer nur mit dem ersten Konto in der Liste!

 

Firmware Bug oder ein Verständnisfehler meinerseits? (War aber auch schon mit der Firmware 10.2.01.102 so...)

 

Gruß Sam   

 

2 AKZEPTIERTE LÖSUNGEN
Lösung

Hallo @SAM5000 ,

entgegen den bisherigen Annahmen (IKEv2 zu Apple iOS über Schlüssel-ID) muss das VPN über IKEv2 in der Digitalisierungsbox für eine VPN-Einwahl-Verbindung von einem Apple iOS - Gerät mit FQDN als Peer-ID Typ und Lokaler ID Typ konfiguriert werden.

Lösung in ursprünglichem Beitrag anzeigen  

Lösung

Das ist ein Firmware Bug und betrifft IKEv2 mit Schlüssel-ID.

 

Es gibt ja auch eine Anleitung für IKEv1 und Apple iOS, damit gibt es keine Probleme.

Lösung in ursprünglichem Beitrag anzeigen  

Lösung

Das ist ein Firmware Bug und betrifft IKEv2 mit Schlüssel-ID.

 

Es gibt ja auch eine Anleitung für IKEv1 und Apple iOS, damit gibt es keine Probleme.

Telekom hilft Team
Hallo @SAM5000,

herzlich willkommen in unserer Community. Schön, dass Sie mit Ihrem Anliegen den Weg hierher gefunden haben. Hat Ihnen der Hinweis von @Kalle2014 geholfen? Vielen Dank von mir an Kalle2014.

Wenn weitere Fragen auftauchen, dann geben Sie gerne Bescheid.

Viele Grüße aus Kiel
Angela G.

Hallo,

 

danke für die schnelle Auskunft. Ich hatte bislang die Anbindung über IKEv1 und xauth verwendet. Ich dachte nur es wäre an der Zeit mal auf die neueren Möglichkeiten umzuschwenken. Aber leider steckt der Teufel wieder im Detail (oder in dem bintec-Teil) Zwinkernd

 

Ich frage mich öfters warum solche Bugs nicht in einem angemessenen Zeitrahmen auch den Entwicklern auffallen, z.B. ist die IKEv2 ja nicht erst seit gestern in dem Router. Das erweckt immer den Eindruck als wenn keiner die tollen Möglichkeiten dieser Digitalisierungsboxen bzw. be.ip verwendet.

 

Aber es ist wohl wichtiger in der Digitalisierungsbox Smart ab der Firmware 11.x eine GUI zu implementieren die man vermutlich nur noch mit einem 4K Tablet sinnvoll bedienen kann und bei der man für die komplette Konfiguration eines solchen Router jetzt noch mehr Zeitaufwand hat, zumindest wenn man seit Jahren die Oberflächen dieser Router gewohnt ist.

 

Aber meine eigentliche Frage ist somit beantwortet.

 

Viele Grüße SAM

 

Ich selbst bin vor 2 Wochen mit einer bintec RS353j über dieses Problem gestolpert und habe dann ein Ticket beim Hersteller dazu aufgemacht. Da der Fehler erst ab der zweiten Verbindung auftritt, ist er wohl nicht früher beim Test aufgefallen.
Telekom hilft Team
Hallo @SAM5000,

vielen Dank für die Rükmeldung.

Es freut mich, dass Ihr Anliegen mit der Hilfe von @Kalle2014 gelöst werden konnte.

Viele Grüße Heike Ha.
Lösung

Hallo @SAM5000 ,

entgegen den bisherigen Annahmen (IKEv2 zu Apple iOS über Schlüssel-ID) muss das VPN über IKEv2 in der Digitalisierungsbox für eine VPN-Einwahl-Verbindung von einem Apple iOS - Gerät mit FQDN als Peer-ID Typ und Lokaler ID Typ konfiguriert werden.