Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Eigene Zertifizierungsstelle für IKEv2-VPN

Mitglied: N-A-G-U-S

N-A-G-U-S (Level 1) - Jetzt verbinden

02.12.2019 um 23:11 Uhr, 184 Aufrufe, 2 Kommentare

Hallo zusammen,

aktuelle Situation und Vorhaben:
ich setze zuhause einen LANCOM 1781VA-4G (VPN-5) ein. Zu diesem verbinde ich mich bei Bedarf mit meinem Google Pixel 2 via VPN (derzeit IPSec Xauth PSK; also IKEv1, richtig?). Nun möchte ich auch einen Win10-Laptop via VPN verbinden.
Zu diesem Zweck würde ich nun gerne komplett auf zertifikatsbasiertes IKEv2 umschwenken - wenn ich die Tutorials und Diskussionen richtig verfolgt habe, sollte eine VPN-Verbindung aus Sicherheitsgründen nur noch so erfolgen.

Problem 1:
Ich würde gerne Bordmittel verwenden. Android unterstützt nativ aber ja kein IKEv2. Kann mir jemand erklären, wieso? Als Best-Practice-VPN-Lösung sollte diese doch mittlerweile mal Einzug gehalten haben, oder?
Lösungsansatz zu 1:
? Vermutlich nur eine VPN-App, oder? StrongSwan wird diesbezüglich beworben. Muss ich dabei spezifische Sicherheitsbedenken gegenüber einer VPN-App haben?

Problem 2:
Leider unterstützt mein LANCOM (mit dem ich grds. sehr zufrieden bin) die Funktion der eigenen Zertifizierungsstelle (CA) nur ab einer lizenzierten VPN-25-Option (https://www.lancom-systems.de/produkte/software-optionen/lancom-vpn-opti ... - Kostenpunkt ~200 €). Da ich die weiteren Tunnel für Zuhause (5 sind ja inklusive) beim besten Willen nicht benötige, bin ich nicht gewillt, das Geld dafür auszugeben.
Lösungsansatz zu 2:
Deswegen fiel mein Blick jetzt auf meine pfSense (in meiner Erinnerung ein ALIX 2D13), die ich nach aquis Anleitung vor Längerem aufgesetzt habe, mittlerweile aber nicht mehr einsetze (u.a. weil ich es nicht "gebacken" bekommen habe, eine funktionierende VPN-Verbindung einzurichten, was aber sicherlich an meiner Unwissenheit / Ungeduld lag). Diese pfSense müsste sich aber doch als Zertifizierungsstelle in meinem Heimnetz einsetzen lassen, oder?

1. Wo liegen mögliche Vor-/Nachteile zur Variante innerhalb des LANCOM? Sind die 200 € vielleicht doch gut angelegt?
2. Gibt es bei Administrator.de ein Tutorial, wie ich das am besten umsetze? Meine Suche war bislang erfolglos - und ich fürchte, ich brauch's etwas ausführlicher, sodass mir die allgemeinen Hinweise nicht ausgereicht haben

Vielen Dank für Eure Antworten!

Gruß
Nagus
Mitglied: aqui
03.12.2019, aktualisiert um 10:23 Uhr
Android unterstützt nativ aber ja kein IKEv2. Kann mir jemand erklären, wieso?
Das ist so nicht richtig ! Leider gibt es bei Android bekanntermaßen keinerlei Einheitlichkeit bei den Standard Apps. Jeder Hersteller macht die Komponenten von Android so oder so und kocht sein eigenes Süppchen. Neben anderen nachteilen ein weiterer von Android.
Es gibt diverse Android Hersteller die sehr wohl IKEv2 supporten aber viele eben auch nicht.
Da wo es nicht supportet ist und nur IKEv1 nimmst du ganz einfach den Client Klassiker Strongswan den es als Download im Google Play Store gibt und der einen gute Wahl ist.
https://play.google.com/store/apps/details?id=org.strongswan.android& ...

Wie die ganzen IKEv2 Clients aller bekannten OS zu konfigurieren sind mit IKEv2 erklärt dir dieses Foren Tutorial im Detail:
https://administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-opnsen ...

Damit solltest auch DU es eigentlich gebacken bekommen, denn einfaches Abtippen reicht völlig dafür aus !! Das wirst du hoffentlich ja gerade noch hinbekommen, oder ?! Sollte es daran auch schon scheitern brauchst du vermutlich das VPN auf deiner Lancom Kiste gar nicht erst in Angriff zu nehmen.
Und Ja...mit der pfSense kannst du auch deine Server Zertifikate erstellen. Die hat im Gegensatz zu deiner Lancom Gurke eine komplette CA an Bord aber mit der XCA Option vom Kollegen @tikayevent hast du ja eine adäquate Alternative ohne dich wieder mit der pfSense beschäftigen zu müssen.
https://hohnstaedt.de/xca/
Vielleicht übst du aber mal vorher mit der pfSense ?!
Bitte warten ..
Mitglied: tikayevent
03.12.2019 um 10:21 Uhr
In der LANCOM-KB findest du einen Eintrag, wie man mit XCA Zertifikate erzeugt und einen weiteren Eintrag für zertifikatsbasiertes VPN.
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement
IKEv2 VPN Authentifizierungsfehler
Frage von itschloeglNetzwerkmanagement14 Kommentare

Hallo und Guten Abend, folgendes Problem: Ich habe eine IKEv2-VPN nach folgender Anleitung erstellt: Leider sagt mir mein Windows-Rechner: ...

Router & Routing
Lancom IKEv2 - Mac OS VPN
Frage von geforce28Router & Routing17 Kommentare

Hallo Leute, gibt es hier zufällig einen Lancom Experten, der das besagte Szenario schon einmal erfolgreich durchgeführt hat ? ...

Netzwerkmanagement

SonicWALL VPN IKEv2 Received notify error payload

Frage von lasterNetzwerkmanagement4 Kommentare

Hallo, habe eine SonicWALL NSA3600 und 20, per Site-2-Site-VPN (IPsec) anbebundene kleine SonicWALLs (SOHO). Die Verbindung der Netzwerke durch ...

Router & Routing

Lancom VPN IKEv2 nur einseitiger Ping hinter CGN

gelöst Frage von aif-getRouter & Routing12 Kommentare

Hallo, wir haben aktuell zwei Standorte: Standort A: Zentrale Feste IP V4 - LANCOM 1781 Standort B: 100.64.0.0/8 -> ...

Neue Wissensbeiträge
Windows Installation

Windows Install ISO mit übergroßer Install.wim auf FAT32 übertragen

Tipp von Lochkartenstanzer vor 4 TagenWindows Installation11 Kommentare

Moin Kollegen, Viele von euch werden sicher aus praktischen Gründen nicht nur DVDs oder "virtuelle" CD-Laufwerke (Zalman, IODD) zum ...

Datenschutz

Gehe zurück auf Los, ziehe keine 4.000 Mark. E-Privacy (erstmal) gescheitert

Information von certifiedit.net vor 5 TagenDatenschutz

Webbrowser

Firefox 71 verfügbar mit Picture in Picture Funktion

Information von sabines vor 5 TagenWebbrowser2 Kommentare

Die neue Firefox Version 71 unterstützt, zunächst nur für Windows, Picture in Picture. Damit kann ein Video in einem ...

E-Mail
SPF beim Versenden testen
Tipp von StefanKittel vor 7 TagenE-Mail3 Kommentare

Hallo, wenn man einen SPF für einen Exchange, oder anderen Mail-Server, konfigiruert muss man das ja auch testen. Ganz ...

Heiß diskutierte Inhalte
Router & Routing
Fritz VPN und WoL mit Mikrotik HEX RB750Gr2 möglich?
gelöst Frage von SionzrisRouter & Routing20 Kommentare

Hallo erstmal und danke fürs anklicken :) Ich habe folgendes Setup geplant und scheitere zurzeit an der Realisierung vom ...

Router & Routing
Mikrotik CRS305 4Port SFP+ Router-Switch, VMWare und Fritzbox (Netzwerk Internetproblem)
Frage von SickcultureRouter & Routing18 Kommentare

Auf der Suche nach Antworten im Netz kommt man unweigerlich auf eure Seite und die deutsche Mikrotik Blog Seite. ...

Windows Server
Netzwerk Planung Homeoffice
Frage von siopoqruipWindows Server17 Kommentare

Hallo, ich plane zurzeit ein kleines Netzwerk. 5-8 User jeder mit eigenem Laptop (Lenovo T590) Windows 10 Professional Homeoffice ...

MikroTik RouterOS
Mikrotik Router empfehlenswert?
gelöst Frage von matze2090MikroTik RouterOS16 Kommentare

Hallo, ich würde gerne mir Mikrotik anschauen. Reicht dieser Router zum erstmal Test? Er Kostet ca 23€. Ich habe ...