Mit LANconfig erstellte VPN-Verbindung kann nicht aufgebaut werden
Mit LANconfig 10.80 Rel erstellte Advanced VPN Client-Verbindung kann nicht aufgebaut werden
Der Guide ist nicht nur hilfreich zur genannten Problemlösung sondern auch um die VPN Einstellungen zur Verschlüsselung zu überprüfen wenn dennoch keine Verbindung IKEv2 zu Stande kommt ( z.B. Das Gateway antwortet nicht )
Beschreibung:
Für eine VPN-Einwahl wird initial die Gegenstelle DEFAULT verwendet, solange der Teilnehmer sich noch nicht authentifiziert hat. Die VPN-Gegenstelle DEFAULT verwendet das Verschlüsselungs-Profil DEFAULT. In LCOS 10.70 wurde u.A. die Diffie-Hellman-Gruppe DH15 in dem Verschlüsselungs-Profil DEFAULT ergänzt (betrifft nur Neu-Installationen mit LCOS ab Version 10.70). In LCOS 10.50 oder früher ist maximal DH14 aktiv.
Bei Erstellen einer Advanced VPN Client Verbindung mit LANconfig 10.80 Rel wird in dem Profil-Export die Diffie-Hellman-Gruppe DH15 fest hinterlegt und in der Router-Konfiguration ein separates Verschlüsselungs-Profil erstellt (u.A. mit DH15).
In Bestands-Installationen, welche mit LCOS 10.50 und älter erstellt wurden, ist auch nach einem Firmware-Update auf LCOS 10.70 oder höher in dem Verschlüsselungs-Profil DEFAULT maximal DH14 enthalten. Dies führt dazu, dass neu erstellte Advanced VPN Client Verbindungen ohne weitere Maßnahmen nicht aufgebaut werden können.
Hinweis:
Das Verhalten ist in LANconfig ab Version 10.80 RU2 behoben. (was jedoch nicht bei einem oder ohne Update zutrifft)
Ist in dem Verschlüsselungs-Profil DEFAULT DH14 enthalten, wird im Profil-Export ebenso DH14 eingetragen und das Profil DEFAULT auch in der VPN-Verbindung verwendet.
Ist in dem Verschlüsselungs-Profil DEFAULT bereits DH15 enthalten, wird im Profil-Export auch DH15 eingetragen und ein separates Verschlüsselungs-Profil erstellt, welches in der VPN-Verbindung verwendet wird.
Vorgehensweise:
1. Öffnen Sie die Konfiguration des Routers in LANconfig und wechseln in das Menü VPN → IKEv2/IPSec → Verschlüsselung.
2. Wählen Sie das Profil DEFAULT aus und klicken auf Bearbeiten.
3. Aktivieren Sie den Eintrag DH15 (MODP-3072)
Die Konfigurations-Anpassung ist damit abgeschlossen. Schreiben Sie die Konfiguration in den Router zurück.
HINWEIS:
Genau diese Übersicht ist sehr hilfreich wenn keine Verbindungen zum Router zu Stande kommen.
Beispiel: Aufgrund von Sicherheitskonfiguration und Anlehnung nach BSI- Vorgaben Secure User Guidance kann auch einmal eine versehentliche Fehlkonfiguration gemacht werden und die mögliche benötigte Verschlüsselung nicht mehr aktiv sein.