Inhaltsverzeichnis
< Alle Themen
Drucken

Mit LANconfig erstellte VPN-Verbindung kann nicht aufgebaut werden

Mit LANconfig 10.80 Rel erstellte Advanced VPN Client-Verbindung kann nicht aufgebaut werden

Beschreibung:

Für eine VPN-Einwahl wird initial die Gegenstelle DEFAULT verwendet, solange der Teilnehmer sich noch nicht authentifiziert hat. Die VPN-Gegenstelle DEFAULT verwendet das Verschlüsselungs-Profil DEFAULT. In LCOS 10.70 wurde u.A. die Diffie-Hellman-Gruppe DH15 in dem Verschlüsselungs-Profil DEFAULT ergänzt (betrifft nur Neu-Installationen mit LCOS ab Version 10.70). In LCOS 10.50 oder früher ist maximal DH14 aktiv.

Bei Erstellen einer Advanced VPN Client Verbindung mit LANconfig 10.80 Rel wird in dem Profil-Export die Diffie-Hellman-Gruppe DH15 fest hinterlegt und in der Router-Konfiguration ein separates Verschlüsselungs-Profil erstellt (u.A. mit DH15).

In Bestands-Installationen, welche mit LCOS 10.50 und älter erstellt wurden, ist auch nach einem Firmware-Update auf LCOS 10.70 oder höher in dem Verschlüsselungs-Profil DEFAULT maximal DH14 enthalten. Dies führt dazu, dass neu erstellte Advanced VPN Client Verbindungen ohne weitere Maßnahmen nicht aufgebaut werden können.

Hinweis:

Das Verhalten ist in LANconfig ab Version 10.80 RU2 behoben. (was jedoch nicht bei einem oder ohne Update zutrifft)

Ist in dem Verschlüsselungs-Profil DEFAULT DH14 enthalten, wird im Profil-Export ebenso DH14 eingetragen und das Profil DEFAULT auch in der VPN-Verbindung verwendet.

Ist in dem Verschlüsselungs-Profil DEFAULT bereits DH15 enthalten, wird im Profil-Export auch DH15 eingetragen und ein separates Verschlüsselungs-Profil erstellt, welches in der VPN-Verbindung verwendet wird.

Vorgehensweise:

1. Öffnen Sie die Konfiguration des Routers in LANconfig und wechseln in das Menü VPN → IKEv2/IPSec → Verschlüsselung.

2. Wählen Sie das Profil DEFAULT aus und klicken auf Bearbeiten.

3. Aktivieren Sie den Eintrag DH15 (MODP-3072)

Die Konfigurations-Anpassung ist damit abgeschlossen. Schreiben Sie die Konfiguration in den Router zurück.

HINWEIS:

Genau diese Übersicht ist sehr hilfreich wenn keine Verbindungen zum Router zu Stande kommen.

Beispiel: Aufgrund von Sicherheitskonfiguration und Anlehnung nach BSI- Vorgaben Secure User Guidance kann auch einmal eine versehentliche Fehlkonfiguration gemacht werden und die mögliche benötigte Verschlüsselung nicht mehr aktiv sein.

Kategorien