DH Group 14 (2048Bit) bei VPN Windows 7 zu pfSense
Hallo Sicherheitsexperten,
wir sind hier dabei VPN Tunnel von Windows (Notebooks etc.) zu unserer neuen pfSense Firewall mit IKE2 und EAP-TLS aufzubauen. Nach einigem Hickhack mit den Parametern funktioniert der Tunnel soweit, allerdings will weder Windows 7 noch Windows 10 für den Schlüsseltausch DH > 1024 (DH Group 2) verwenden. In der pfSense sehe ich im IPSEC log
Windows 7 x64 (IKEv2)
charon: 10[CFG] <37> received proposals:
IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024,
IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024,
IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024,
IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024,
IKE:3DES_CBC/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_1024,
IKE:AES_CBC_256/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_1024
Windows 10 (IKEv2)
charon: 07[CFG] <61> received proposals:
IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024,
IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024,
IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024,
IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024,
IKE:3DES_CBC/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_1024,
IKE:AES_CBC_256/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_1024
und damit schlägt dann auch der Tunnelaufbau fehl sobald ich DH key group 14 in der psSense für Phase 1 einstelle
Da Windows sehr wohl auch bessere Ciphers kann (https://technet.microsoft.com/de-de/library/dd125380%28v=ws.10%29.aspx) würde ich gerne wissen wie man Windows dazu bringt diese auch zu nutzen?
In den erweiterten Firewall Einstellungen kann ich zwar zusätzliche Cipher Kombinationen wählen, allerdings ändern sich die proposals überhaupt nicht.
Danke für jeden Hinweis in die richtige Richtung
Andi
wir sind hier dabei VPN Tunnel von Windows (Notebooks etc.) zu unserer neuen pfSense Firewall mit IKE2 und EAP-TLS aufzubauen. Nach einigem Hickhack mit den Parametern funktioniert der Tunnel soweit, allerdings will weder Windows 7 noch Windows 10 für den Schlüsseltausch DH > 1024 (DH Group 2) verwenden. In der pfSense sehe ich im IPSEC log
Windows 7 x64 (IKEv2)
charon: 10[CFG] <37> received proposals:
IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024,
IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024,
IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024,
IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024,
IKE:3DES_CBC/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_1024,
IKE:AES_CBC_256/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_1024
Windows 10 (IKEv2)
charon: 07[CFG] <61> received proposals:
IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024,
IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024,
IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024,
IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024,
IKE:3DES_CBC/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_1024,
IKE:AES_CBC_256/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_1024
und damit schlägt dann auch der Tunnelaufbau fehl sobald ich DH key group 14 in der psSense für Phase 1 einstelle
Da Windows sehr wohl auch bessere Ciphers kann (https://technet.microsoft.com/de-de/library/dd125380%28v=ws.10%29.aspx) würde ich gerne wissen wie man Windows dazu bringt diese auch zu nutzen?
In den erweiterten Firewall Einstellungen kann ich zwar zusätzliche Cipher Kombinationen wählen, allerdings ändern sich die proposals überhaupt nicht.
Danke für jeden Hinweis in die richtige Richtung
Andi
Please also mark the comments that contributed to the solution of the article
Content-ID: 290679
Url: https://administrator.de/contentid/290679
Printed on: November 5, 2024 at 07:11 o'clock
3 Comments
Latest comment