3
DH Group 14 (2048Bit) bei VPN Windows 7 zu pfSense
Hallo Sicherheitsexperten,
wir sind hier dabei VPN Tunnel von Windows (Notebooks etc.) zu unserer neuen pfSense Firewall mit IKE2 und EAP-TLS aufzubauen. Nach einigem Hickhack mit den Parametern funktioniert der Tunnel soweit, allerdings will weder Windows 7 noch Windows 10 für den Schlüsseltausch DH > 1024 (DH Group 2) verwenden. In der pfSense sehe ich im IPSEC log
Windows 7 x64 (IKEv2)
charon: 10[CFG] <37> received proposals:
IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024,
IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024,
IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024,
IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024,
IKE:3DES_CBC/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_1024,
IKE:AES_CBC_256/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_1024
Windows 10 (IKEv2)
charon: 07[CFG] <61> received proposals:
IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024,
IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024,
IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024,
IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024,
IKE:3DES_CBC/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_1024,
IKE:AES_CBC_256/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_1024
und damit schlägt dann auch der Tunnelaufbau fehl sobald ich DH key group 14 in der psSense für Phase 1 einstelle
Da Windows sehr wohl auch bessere Ciphers kann (https://technet.microsoft.com/de-de/library/dd125380%28v=ws.10%29.aspx) würde ich gerne wissen wie man Windows dazu bringt diese auch zu nutzen?
In den erweiterten Firewall Einstellungen kann ich zwar zusätzliche Cipher Kombinationen wählen, allerdings ändern sich die proposals überhaupt nicht.
Danke für jeden Hinweis in die richtige Richtung
Andi
wir sind hier dabei VPN Tunnel von Windows (Notebooks etc.) zu unserer neuen pfSense Firewall mit IKE2 und EAP-TLS aufzubauen. Nach einigem Hickhack mit den Parametern funktioniert der Tunnel soweit, allerdings will weder Windows 7 noch Windows 10 für den Schlüsseltausch DH > 1024 (DH Group 2) verwenden. In der pfSense sehe ich im IPSEC log
Windows 7 x64 (IKEv2)
charon: 10[CFG] <37> received proposals:
IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024,
IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024,
IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024,
IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024,
IKE:3DES_CBC/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_1024,
IKE:AES_CBC_256/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_1024
Windows 10 (IKEv2)
charon: 07[CFG] <61> received proposals:
IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024,
IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024,
IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024,
IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024,
IKE:3DES_CBC/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_1024,
IKE:AES_CBC_256/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_1024
und damit schlägt dann auch der Tunnelaufbau fehl sobald ich DH key group 14 in der psSense für Phase 1 einstelle
Da Windows sehr wohl auch bessere Ciphers kann (https://technet.microsoft.com/de-de/library/dd125380%28v=ws.10%29.aspx) würde ich gerne wissen wie man Windows dazu bringt diese auch zu nutzen?
In den erweiterten Firewall Einstellungen kann ich zwar zusätzliche Cipher Kombinationen wählen, allerdings ändern sich die proposals überhaupt nicht.
Danke für jeden Hinweis in die richtige Richtung
Andi
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 290679
Url: https://administrator.de/contentid/290679
Printed on: April 18, 2024 at 23:04 o'clock
3 Comments
Latest comment
Verwendet überhaupt irgend jemand den eingebauten VPN IPSEC Client von Windows ? Bitte Hand heben...
Danke
Danke
Falls jemand das selbe Problem hat und die IKE2/IPSEC Cipher des eingebauten VPN ändern will:
https://technet.microsoft.com/de-de/library/jj554820%28v=wps.630%29.aspx
https://technet.microsoft.com/de-de/library/dn262642%28v=wps.630%29.aspx
Geht aber wohl erst ab Windows 8.1
Gruß
Andi
https://technet.microsoft.com/de-de/library/jj554820%28v=wps.630%29.aspx
https://technet.microsoft.com/de-de/library/dn262642%28v=wps.630%29.aspx
Geht aber wohl erst ab Windows 8.1
Gruß
Andi
Falls irgenwann jemand das selbe Problem hat nochmal ein paar Ergebnisse:
Es gibt einen kaum dokumentierten Registry Wert der die sicheren DH Groups 14 für den eingebauten VPN Client freischaltet, nämlich NegotiateDH2048_AES256 wie unter https://wiki.strongswan.org/projects/strongswan/wiki/Windows7 beschrieben. Lediglich der Wert "1" ist wohl ein Dummy weil die gleichen Parameter wie mit "2" (enforce) angeboten werden, also keine DH Group 2.
Funktioniert aber auch unter WIndows 7 obwohl es von MS nicht erwähnt wird.
Weitere Informationen zu diesem Thema gibt es auch hier
https://www.microsoft.com/en-us/download/details.aspx?id=45490
Es gibt einen kaum dokumentierten Registry Wert der die sicheren DH Groups 14 für den eingebauten VPN Client freischaltet, nämlich NegotiateDH2048_AES256 wie unter https://wiki.strongswan.org/projects/strongswan/wiki/Windows7 beschrieben. Lediglich der Wert "1" ist wohl ein Dummy weil die gleichen Parameter wie mit "2" (enforce) angeboten werden, also keine DH Group 2.
Funktioniert aber auch unter WIndows 7 obwohl es von MS nicht erwähnt wird.
Weitere Informationen zu diesem Thema gibt es auch hier
https://www.microsoft.com/en-us/download/details.aspx?id=45490
