5
Bintec R1202 IPSec Ikev2 VPN-Verbindung mit Zertifikaten schlägt fehl
Hallo,
folgendes Szenario:
Router = Bintec R1202 als VPN-Server für eine IPSec Ikev2 VPN-Verbindung mit Zertifikaten. Als Client dien eine WIN10 Maschine.
Auf dem WIN10 Client ist der „bintec Secure IPSec Client“ installiert. Momentan als Testversion, weil das ganze Szenario erst erprobt werden sollte.
Versucht man nun eine VPN-Verbindung vom „bintec Secure IPSec Client“ zum Router R1202 herzustellen, funktioniert dies zunächst einwandfrei.
Sobald jedoch CRLs in den Router geladen werden, sei es manuell oder per http-Download, kommt keine Verbindung mehr zustande.
Beim „bintec Secure IPSec Client“ erscheint PKI-Fehler. Schaut man sich dann das Zertifikat an, welches der „bintec Secure IPSec Client“ vom Router beim Verbindungsaufbau erhält, erkennt man den Fehler und zwar wird nicht das Zertifikat vom Router übertragen, sondern eine CRL – nur warum?
Es wurde bereits ausgiebig getestet, sowohl mit Zertifikaten ausgestellt von einer Windows Server 2016 CA, als auch mithilfe von XCA und OpenSSL. Immer das gleiche Ergebnis.
Ohne CRL einwandfrei und mit geladenen CRLs wird vom Router anstatt des Zertifikats die CRL an den Client übertragen.
Hat hier noch jemand eine Idee oder kennt dieses Problem?
Vielen Dank!
Grüße,
Mr-Router
folgendes Szenario:
Router = Bintec R1202 als VPN-Server für eine IPSec Ikev2 VPN-Verbindung mit Zertifikaten. Als Client dien eine WIN10 Maschine.
Auf dem WIN10 Client ist der „bintec Secure IPSec Client“ installiert. Momentan als Testversion, weil das ganze Szenario erst erprobt werden sollte.
Versucht man nun eine VPN-Verbindung vom „bintec Secure IPSec Client“ zum Router R1202 herzustellen, funktioniert dies zunächst einwandfrei.
Sobald jedoch CRLs in den Router geladen werden, sei es manuell oder per http-Download, kommt keine Verbindung mehr zustande.
Beim „bintec Secure IPSec Client“ erscheint PKI-Fehler. Schaut man sich dann das Zertifikat an, welches der „bintec Secure IPSec Client“ vom Router beim Verbindungsaufbau erhält, erkennt man den Fehler und zwar wird nicht das Zertifikat vom Router übertragen, sondern eine CRL – nur warum?
Es wurde bereits ausgiebig getestet, sowohl mit Zertifikaten ausgestellt von einer Windows Server 2016 CA, als auch mithilfe von XCA und OpenSSL. Immer das gleiche Ergebnis.
Ohne CRL einwandfrei und mit geladenen CRLs wird vom Router anstatt des Zertifikats die CRL an den Client übertragen.
Hat hier noch jemand eine Idee oder kennt dieses Problem?
Vielen Dank!
Grüße,
Mr-Router
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 556101
Url: https://administrator.de/contentid/556101
Printed on: April 19, 2024 at 01:04 o'clock
5 Comments
Latest comment
Auf dem WIN10 Client ist der „bintec Secure IPSec Client“ installiert
Das ist eigentlich überflüssiger Unsinn, denn der onboard Windows 10 VPN Client spricht auch IKEv2 im Default. Es ist völlig sinnfrei eine externe , da überflüssige, Client Software zu verwenden, da der onboard Client viel besser ins System eingebunden ist.Guckst du hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Würde aber auch das Problem (vermutlich) nicht lösen wenn er nichtmal mit dem richtigen Zertifikat Handling regelkonform umgehen kann.
Das ist dann vermutlich ein Firmware Bug, denn der Router sollte logischerweise das Zertifikat sicher handhaben !
Ist die Firmware des Routers auf dem aktuellsten Stand ?!
Ansonsten Case bei Bintec eröffnen....
So eine einfache Standard Client VPN Konfig mit IKEv2 Konfig kann ja sogar jede beliebige Open Source Firewall oder VPN Router mit links handhaben:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Hi,
Das mit dem „bintec Secure IPSec Client“ war von mir vielleicht etwas unglücklich formuliert. Den WIN10 VPN-Client wollte ich auch nutzen und habe den „bintec Secure IPSec Client“ nur zum Testen installiert, da der WIN10 VPN-Client nicht funktionierte. Dauerhaft eingestetzt werden soll natürlich der WIN10 VPN-Client, da gebe ich dir voll und ganz recht.
Die Firmware ist aktuell. Das mit dem Bug in der Firmware hatte ich auch vermutet und darum auch ein Downgrade selbiger durchgeführt. Aber auch eine Version aus 2018 oder 2019 zeigt das gleiche Fehlerbild mit dem Zertifikat. Ich wollte mir nicht so recht vorstellen, dass ein solcher Bug so lange "mitgeschleppt" wird, ohne das es auffällt. Denn so selten ist ja eine IPsec IKEv2 VPN-Verbindung mit Zertifikaten nun wirklich nicht. Aber etwas anderes fällt mir auch nicht mehr ein.
Ich kenne hier nur den kostenpflichtigen Telefonsupport oder gibt es da noch eine andere Möglichkeit?
Oder ich werde es einfach mal per Mail versuchen.
Grüße,
Mr-Router
Auf dem WIN10 Client ist der „bintec Secure IPSec Client“ installiert
Das ist eigentlich überflüssiger Unsinn, denn der onboard Windows 10 VPN Client spricht auch IKEv2 im Default. Es ist völlig sinnfrei eine externe , da überflüssige, Client Software zu verwenden, da der onboard Client viel besser ins System eingebunden ist.Das mit dem „bintec Secure IPSec Client“ war von mir vielleicht etwas unglücklich formuliert. Den WIN10 VPN-Client wollte ich auch nutzen und habe den „bintec Secure IPSec Client“ nur zum Testen installiert, da der WIN10 VPN-Client nicht funktionierte. Dauerhaft eingestetzt werden soll natürlich der WIN10 VPN-Client, da gebe ich dir voll und ganz recht.
Das ist dann vermutlich ein Firmware Bug, denn der Router sollte logischerweise das Zertifikat sicher handhaben !
Ist die Firmware des Routers auf dem aktuellsten Stand ?!
Ist die Firmware des Routers auf dem aktuellsten Stand ?!
Die Firmware ist aktuell. Das mit dem Bug in der Firmware hatte ich auch vermutet und darum auch ein Downgrade selbiger durchgeführt. Aber auch eine Version aus 2018 oder 2019 zeigt das gleiche Fehlerbild mit dem Zertifikat. Ich wollte mir nicht so recht vorstellen, dass ein solcher Bug so lange "mitgeschleppt" wird, ohne das es auffällt. Denn so selten ist ja eine IPsec IKEv2 VPN-Verbindung mit Zertifikaten nun wirklich nicht. Aber etwas anderes fällt mir auch nicht mehr ein.
Ansonsten Case bei Bintec eröffnen....
Ich kenne hier nur den kostenpflichtigen Telefonsupport oder gibt es da noch eine andere Möglichkeit?
Oder ich werde es einfach mal per Mail versuchen.
Grüße,
Mr-Router
da der WIN10 VPN-Client nicht funktionierte.
Vermutlich dann falsch konfiguriert ?!! Im obigen Tutorial steht ja genau wie es geht !dass ein solcher Bug so lange "mitgeschleppt" wird, ohne das es auffällt
Wäre in der Tat sehr ungewöhnlich bei VPN, denn das würde sofort auffallen weil das (fast) jeder nutzt. Produktiv solltest du aber niemals downgraden schon gar nicht auf Firmware die 2 Jahre alt ist. Belasse also das aktuellste Image drin.Denn so selten ist ja eine IPsec IKEv2 VPN-Verbindung mit Zertifikaten nun wirklich nicht.
In der Tat. Millionenfacher Standard und in Zeiten von vermehrtem Home Office Nutzung wie derzeit auch absolut normal.Da dir ja auch einfache OpenSource Produkte vormachen wie es sauber und fehlerlos klappt (siehe oben !) kann man dann doch nur von einem Bug ausgehen.
Da bleibt dir dann aber nichts weiter als der Email- oder Telefonsupport. Wenn du mit dem Bug einen Produktmangel klar nachweisen kannst, dann sollte das in jedem Falle für dich kostenfrei sein. Zumal Bintec auch ein deutsches Unternehmen ist und den Support vor Ort hat !
Vermutlich dann falsch konfiguriert ?!! Im obigen Tutorial steht ja genau wie es geht !
Nein, nicht falsch konfiguriert. Die gleiche Ursache wie beim „bintec Secure IPSec Client“. Es werden die CRLs übertragen, anstatt des Zertifikats des Routers.Produktiv solltest du aber niemals downgraden schon gar nicht auf Firmware die 2 Jahre alt ist. Belasse also das aktuellste Image drin.
Produktiv mache ich solche Tets auch keinesfalls. Der Router wurde hierzu aus dem Produktivnetz entnommen. Getestet wurde an anderer Stelle.Ich habe nun noch einen Bintec RS353j hier. Ich werde diesen einmal testen ob hier das gleiche Problem auftritt, wenn die CRLs geladen werden und werde dann berichten, was sich ergeben hat.
Da bleibt dir dann aber nichts weiter als der Email- oder Telefonsupport.
Nach Mailkontakt mit Bintec, wurde ich an externe Fachhändler, weche auch Support anbieten, verwiesen. Laut deren Aussage, werden von deren Kunden so gut wie keine CRLs in Verbindung mit Zertifikaten eingesetzt. Daher ist der Bug vermutlich auch noch keinem aufgefallen. Ob ich mich noch direkt mit Bintec in Verbindung setze und ein Supportticket erwerbe, weiß ich noch nicht. Eventuell wechsel ich eher den Router bzw. auch den Hersteller dessen.Grüße,
Mr-Router
Eventuell wechsel ich eher den Router bzw. auch den Hersteller dessen.
Dürfte wohl das sinnigste sein. Sehr vertrauenswürdig ist der Bintec dann eh nicht bei einem solchen Bug in einer VPN Umgebung. Sicher darf man von dem Produkt was eher einen anderen Kundenfocus hat wohl auch nicht zu viel erwarten.Case closed !
How can I mark a post as solved?
