andieoh
Goto Top

DH Group 14 (2048Bit) bei VPN Windows 7 zu pfSense

Hallo Sicherheitsexperten,

wir sind hier dabei VPN Tunnel von Windows (Notebooks etc.) zu unserer neuen pfSense Firewall mit IKE2 und EAP-TLS aufzubauen. Nach einigem Hickhack mit den Parametern funktioniert der Tunnel soweit, allerdings will weder Windows 7 noch Windows 10 für den Schlüsseltausch DH > 1024 (DH Group 2) verwenden. In der pfSense sehe ich im IPSEC log

Windows 7 x64 (IKEv2)

charon: 10[CFG] <37> received proposals:
IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024,
IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024,
IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024,
IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024,
IKE:3DES_CBC/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_1024,
IKE:AES_CBC_256/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_1024

Windows 10 (IKEv2)

charon: 07[CFG] <61> received proposals:
IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024,
IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024,
IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024,
IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024,
IKE:3DES_CBC/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_1024,
IKE:AES_CBC_256/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_1024

und damit schlägt dann auch der Tunnelaufbau fehl sobald ich DH key group 14 in der psSense für Phase 1 einstelle face-sad

Da Windows sehr wohl auch bessere Ciphers kann (https://technet.microsoft.com/de-de/library/dd125380%28v=ws.10%29.aspx) würde ich gerne wissen wie man Windows dazu bringt diese auch zu nutzen?
In den erweiterten Firewall Einstellungen kann ich zwar zusätzliche Cipher Kombinationen wählen, allerdings ändern sich die proposals überhaupt nicht.

Danke für jeden Hinweis in die richtige Richtung

Andi

Content-Key: 290679

Url: https://administrator.de/contentid/290679

Printed on: April 25, 2024 at 12:04 o'clock

Member: AndiEoh
AndiEoh Dec 12, 2015 at 15:37:30 (UTC)
Goto Top
Verwendet überhaupt irgend jemand den eingebauten VPN IPSEC Client von Windows ? Bitte Hand heben...

Danke
Member: AndiEoh
AndiEoh Dec 23, 2015 at 17:08:34 (UTC)
Goto Top
Falls jemand das selbe Problem hat und die IKE2/IPSEC Cipher des eingebauten VPN ändern will:

https://technet.microsoft.com/de-de/library/jj554820%28v=wps.630%29.aspx
https://technet.microsoft.com/de-de/library/dn262642%28v=wps.630%29.aspx

Geht aber wohl erst ab Windows 8.1 face-sad

Gruß

Andi
Member: AndiEoh
AndiEoh Oct 28, 2016 at 07:04:44 (UTC)
Goto Top
Falls irgenwann jemand das selbe Problem hat nochmal ein paar Ergebnisse:

Es gibt einen kaum dokumentierten Registry Wert der die sicheren DH Groups 14 für den eingebauten VPN Client freischaltet, nämlich NegotiateDH2048_AES256 wie unter https://wiki.strongswan.org/projects/strongswan/wiki/Windows7 beschrieben. Lediglich der Wert "1" ist wohl ein Dummy weil die gleichen Parameter wie mit "2" (enforce) angeboten werden, also keine DH Group 2.

Funktioniert aber auch unter WIndows 7 obwohl es von MS nicht erwähnt wird.

Weitere Informationen zu diesem Thema gibt es auch hier

https://www.microsoft.com/en-us/download/details.aspx?id=45490