8
Preshared Key in Phase 2
Hallo,
ich muss einen IPSec VPN zu einem Kunden herstellen. Dieser hat einen Cisco 878 und wir haben
eine Watchguard Firebox X1250e. Der Cisco 878 kann in der Phase 2 als Authentifizierung nur
Preshared Key, rsa-sig und rsa-encr.
Unsere Firebox kann diese Authentifizierungen nicht. Es wäre nett wenn jemand einen Rat hat,
wie man diesen Tunnel trotzdem aufbauen kann.
Gruß
Marcel
ich muss einen IPSec VPN zu einem Kunden herstellen. Dieser hat einen Cisco 878 und wir haben
eine Watchguard Firebox X1250e. Der Cisco 878 kann in der Phase 2 als Authentifizierung nur
Preshared Key, rsa-sig und rsa-encr.
Unsere Firebox kann diese Authentifizierungen nicht. Es wäre nett wenn jemand einen Rat hat,
wie man diesen Tunnel trotzdem aufbauen kann.
Gruß
Marcel
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 102498
Url: https://administrator.de/contentid/102498
Printed on: April 19, 2024 at 14:04 o'clock
8 Comments
Latest comment
Hier solltest du fündig werden:
http://watchguard.custhelp.com/cgi-bin/watchguard.cfg/php/enduser/std_a ...
Höchst merkwürdig das die Firebox eines der am weitesten verbreiteten Verfahren nicht unterstützt...bist du dir da sicher ??
Jeder einfache NetGear oder Draytek oder Linux Box (was die Firebox ja letztlich ist) kann problemlos ein IPsec VPN zu einem Cisco aufbauen..
Wenn alle Stricke mit IPsec reissen, was eigentlich nicht wirklich sein kann... dann kannst du immer noch auf PPTP ausweichen sofern die Firebox das denn wenigstens kann ??
http://watchguard.custhelp.com/cgi-bin/watchguard.cfg/php/enduser/std_a ...
Höchst merkwürdig das die Firebox eines der am weitesten verbreiteten Verfahren nicht unterstützt...bist du dir da sicher ??
Jeder einfache NetGear oder Draytek oder Linux Box (was die Firebox ja letztlich ist) kann problemlos ein IPsec VPN zu einem Cisco aufbauen..
Wenn alle Stricke mit IPsec reissen, was eigentlich nicht wirklich sein kann... dann kannst du immer noch auf PPTP ausweichen sofern die Firebox das denn wenigstens kann ??
Hi,
das komische ist das der Support von Watchguard mir gesagt hat das in der Phase 2 ein Preshared Key "unmöglich" ist. Aber dieser Cisco kann es. Bei der Watchguard kann man nur in den General Settings den Preshared Key angeben.
das komische ist das der Support von Watchguard mir gesagt hat das in der Phase 2 ein Preshared Key "unmöglich" ist. Aber dieser Cisco kann es. Bei der Watchguard kann man nur in den General Settings den Preshared Key angeben.
Sieh dich einfach mal beim Mitbewerb um die machen das ja auch so:
http://www.draytek.com/support/support_note/router/application/vpn_solu ...
bzw. hier die andere Seite (Cisco)
http://www.draytek.com/support/support_note/router/application/vpn_solu ...
D.h. es geht zu beiden Seiten problemlos, dann müsste eigentlich auch die Firebox mit dem Cisco können....
http://www.draytek.com/support/support_note/router/application/vpn_solu ...
bzw. hier die andere Seite (Cisco)
http://www.draytek.com/support/support_note/router/application/vpn_solu ...
D.h. es geht zu beiden Seiten problemlos, dann müsste eigentlich auch die Firebox mit dem Cisco können....
Das ist auch nicht das Szenario das ich meine.
Also...
Phase 1 --> Firewalls kommunizieren miteinander und tauschen den Preshared Key aus.
Phase 2 --> Der Tunnel wird aufgebaut.
Der Preshared Key in der Phase 1 ist KEIN Problem.
Das Problem ist, dass in der Phase 2 normalerweise kein Preshared Key mehr benötigt wird. Diesen brauch aber der besagte Router/Firewall von Cisco.
Also...
Phase 1 --> Firewalls kommunizieren miteinander und tauschen den Preshared Key aus.
Phase 2 --> Der Tunnel wird aufgebaut.
Der Preshared Key in der Phase 1 ist KEIN Problem.
Das Problem ist, dass in der Phase 2 normalerweise kein Preshared Key mehr benötigt wird. Diesen brauch aber der besagte Router/Firewall von Cisco.
Hallo Marcel,
der Support liegt insofern richtig, als das in Phase 1 - Internet Key Exchange - die Aushandelung der Keys stattfindet. Phase 2 legt eher die Nutzung des Keys fest. Genaugenommen wird in Phase 2 nur geregelt, wie mit der in Phase 1 bereits erfolgten Authenifizierung weiter verfahren wird. Insofern wundert mich Aquis Aussage etwas...
Du hast deine Situation leider nicht ausreichend geschildert, z.B. feste IP-Adressen oder DynDNS, respektive Agressive oder ID-Protected?
Grüße, Steffen
der Support liegt insofern richtig, als das in Phase 1 - Internet Key Exchange - die Aushandelung der Keys stattfindet. Phase 2 legt eher die Nutzung des Keys fest. Genaugenommen wird in Phase 2 nur geregelt, wie mit der in Phase 1 bereits erfolgten Authenifizierung weiter verfahren wird. Insofern wundert mich Aquis Aussage etwas...
Du hast deine Situation leider nicht ausreichend geschildert, z.B. feste IP-Adressen oder DynDNS, respektive Agressive oder ID-Protected?
Grüße, Steffen
Das war auch oben mehr ein quick and dirty Ansatz um langwierige Tipperei zu umgehen. Um jetzt aber mal in der Tiefe zu bleiben: Es ist unrichtig das in Phase 2 kein Preshared Key mehr benötigt wird.
Der Standard sagt ganz klar das hier ein weiterer Schlüsselaustausch mit Diffie Hellmann stattfindet im sog. Quick Mode. Dieser wird sogar zyklisch wiederholt zum Regenerieren der Schlüssel um die Sicherheit der Nutzdatenverschlüsselung sicherzustellen.
Das sind eigentlich standardtisierte Verfahren an die sich auch Watchguard halten sollte...
Nach dem o.a. Beispiel von Draytek (oder sicher auch anderen) verhalten die sich ja standardkonform und hier ist ein Aufbau mit einer Firebox ja durchaus möglich. Folglich müsste es ja dann sehr wohl möglichkeiten geben einen standardkonformen IPsec Tunnel damit aufzubauen...
Der Standard sagt ganz klar das hier ein weiterer Schlüsselaustausch mit Diffie Hellmann stattfindet im sog. Quick Mode. Dieser wird sogar zyklisch wiederholt zum Regenerieren der Schlüssel um die Sicherheit der Nutzdatenverschlüsselung sicherzustellen.
Das sind eigentlich standardtisierte Verfahren an die sich auch Watchguard halten sollte...
Nach dem o.a. Beispiel von Draytek (oder sicher auch anderen) verhalten die sich ja standardkonform und hier ist ein Aufbau mit einer Firebox ja durchaus möglich. Folglich müsste es ja dann sehr wohl möglichkeiten geben einen standardkonformen IPsec Tunnel damit aufzubauen...
Hi,
was ich allerdings daran nicht verstehe warum dann der Cisco nur pre-shared Key kann und nicht die, die die anderen firewalls können.
Aber davon abgesehen was soll ich euch noch schildern von dem Problem? Oder weiß jemand wie man das eventuell umgehen kann zB.
was ich allerdings daran nicht verstehe warum dann der Cisco nur pre-shared Key kann und nicht die, die die anderen firewalls können.
Aber davon abgesehen was soll ich euch noch schildern von dem Problem? Oder weiß jemand wie man das eventuell umgehen kann zB.
Der Standard sagt ganz klar das hier ein weiterer
Schlüsselaustausch mit Diffie Hellmann stattfindet im sog. Quick
Mode. Dieser wird sogar zyklisch wiederholt zum Regenerieren der ...
Schlüsselaustausch mit Diffie Hellmann stattfindet im sog. Quick
Mode. Dieser wird sogar zyklisch wiederholt zum Regenerieren der ...
Klar, der Session Key (der Preshared Key wird nicht ausgetauscht
).
