8
Preshared Key in Phase 2
Hallo,
ich muss einen IPSec VPN zu einem Kunden herstellen. Dieser hat einen Cisco 878 und wir haben
eine Watchguard Firebox X1250e. Der Cisco 878 kann in der Phase 2 als Authentifizierung nur
Preshared Key, rsa-sig und rsa-encr.
Unsere Firebox kann diese Authentifizierungen nicht. Es wäre nett wenn jemand einen Rat hat,
wie man diesen Tunnel trotzdem aufbauen kann.
Gruß
Marcel
ich muss einen IPSec VPN zu einem Kunden herstellen. Dieser hat einen Cisco 878 und wir haben
eine Watchguard Firebox X1250e. Der Cisco 878 kann in der Phase 2 als Authentifizierung nur
Preshared Key, rsa-sig und rsa-encr.
Unsere Firebox kann diese Authentifizierungen nicht. Es wäre nett wenn jemand einen Rat hat,
wie man diesen Tunnel trotzdem aufbauen kann.
Gruß
Marcel
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 102498
Url: https://administrator.de/contentid/102498
Ausgedruckt am: 26.11.2024 um 10:11 Uhr
8 Kommentare
Neuester Kommentar
Hier solltest du fündig werden:
http://watchguard.custhelp.com/cgi-bin/watchguard.cfg/php/enduser/std_a ...
Höchst merkwürdig das die Firebox eines der am weitesten verbreiteten Verfahren nicht unterstützt...bist du dir da sicher ??
Jeder einfache NetGear oder Draytek oder Linux Box (was die Firebox ja letztlich ist) kann problemlos ein IPsec VPN zu einem Cisco aufbauen..
Wenn alle Stricke mit IPsec reissen, was eigentlich nicht wirklich sein kann... dann kannst du immer noch auf PPTP ausweichen sofern die Firebox das denn wenigstens kann ??
http://watchguard.custhelp.com/cgi-bin/watchguard.cfg/php/enduser/std_a ...
Höchst merkwürdig das die Firebox eines der am weitesten verbreiteten Verfahren nicht unterstützt...bist du dir da sicher ??
Jeder einfache NetGear oder Draytek oder Linux Box (was die Firebox ja letztlich ist) kann problemlos ein IPsec VPN zu einem Cisco aufbauen..
Wenn alle Stricke mit IPsec reissen, was eigentlich nicht wirklich sein kann... dann kannst du immer noch auf PPTP ausweichen sofern die Firebox das denn wenigstens kann ??
Hi,
das komische ist das der Support von Watchguard mir gesagt hat das in der Phase 2 ein Preshared Key "unmöglich" ist. Aber dieser Cisco kann es. Bei der Watchguard kann man nur in den General Settings den Preshared Key angeben.
das komische ist das der Support von Watchguard mir gesagt hat das in der Phase 2 ein Preshared Key "unmöglich" ist. Aber dieser Cisco kann es. Bei der Watchguard kann man nur in den General Settings den Preshared Key angeben.
Sieh dich einfach mal beim Mitbewerb um die machen das ja auch so:
http://www.draytek.com/support/support_note/router/application/vpn_solu ...
bzw. hier die andere Seite (Cisco)
http://www.draytek.com/support/support_note/router/application/vpn_solu ...
D.h. es geht zu beiden Seiten problemlos, dann müsste eigentlich auch die Firebox mit dem Cisco können....
http://www.draytek.com/support/support_note/router/application/vpn_solu ...
bzw. hier die andere Seite (Cisco)
http://www.draytek.com/support/support_note/router/application/vpn_solu ...
D.h. es geht zu beiden Seiten problemlos, dann müsste eigentlich auch die Firebox mit dem Cisco können....
Das ist auch nicht das Szenario das ich meine.
Also...
Phase 1 --> Firewalls kommunizieren miteinander und tauschen den Preshared Key aus.
Phase 2 --> Der Tunnel wird aufgebaut.
Der Preshared Key in der Phase 1 ist KEIN Problem.
Das Problem ist, dass in der Phase 2 normalerweise kein Preshared Key mehr benötigt wird. Diesen brauch aber der besagte Router/Firewall von Cisco.
Also...
Phase 1 --> Firewalls kommunizieren miteinander und tauschen den Preshared Key aus.
Phase 2 --> Der Tunnel wird aufgebaut.
Der Preshared Key in der Phase 1 ist KEIN Problem.
Das Problem ist, dass in der Phase 2 normalerweise kein Preshared Key mehr benötigt wird. Diesen brauch aber der besagte Router/Firewall von Cisco.
Hallo Marcel,
der Support liegt insofern richtig, als das in Phase 1 - Internet Key Exchange - die Aushandelung der Keys stattfindet. Phase 2 legt eher die Nutzung des Keys fest. Genaugenommen wird in Phase 2 nur geregelt, wie mit der in Phase 1 bereits erfolgten Authenifizierung weiter verfahren wird. Insofern wundert mich Aquis Aussage etwas...
Du hast deine Situation leider nicht ausreichend geschildert, z.B. feste IP-Adressen oder DynDNS, respektive Agressive oder ID-Protected?
Grüße, Steffen
der Support liegt insofern richtig, als das in Phase 1 - Internet Key Exchange - die Aushandelung der Keys stattfindet. Phase 2 legt eher die Nutzung des Keys fest. Genaugenommen wird in Phase 2 nur geregelt, wie mit der in Phase 1 bereits erfolgten Authenifizierung weiter verfahren wird. Insofern wundert mich Aquis Aussage etwas...
Du hast deine Situation leider nicht ausreichend geschildert, z.B. feste IP-Adressen oder DynDNS, respektive Agressive oder ID-Protected?
Grüße, Steffen
Das war auch oben mehr ein quick and dirty Ansatz um langwierige Tipperei zu umgehen. Um jetzt aber mal in der Tiefe zu bleiben: Es ist unrichtig das in Phase 2 kein Preshared Key mehr benötigt wird.
Der Standard sagt ganz klar das hier ein weiterer Schlüsselaustausch mit Diffie Hellmann stattfindet im sog. Quick Mode. Dieser wird sogar zyklisch wiederholt zum Regenerieren der Schlüssel um die Sicherheit der Nutzdatenverschlüsselung sicherzustellen.
Das sind eigentlich standardtisierte Verfahren an die sich auch Watchguard halten sollte...
Nach dem o.a. Beispiel von Draytek (oder sicher auch anderen) verhalten die sich ja standardkonform und hier ist ein Aufbau mit einer Firebox ja durchaus möglich. Folglich müsste es ja dann sehr wohl möglichkeiten geben einen standardkonformen IPsec Tunnel damit aufzubauen...
Der Standard sagt ganz klar das hier ein weiterer Schlüsselaustausch mit Diffie Hellmann stattfindet im sog. Quick Mode. Dieser wird sogar zyklisch wiederholt zum Regenerieren der Schlüssel um die Sicherheit der Nutzdatenverschlüsselung sicherzustellen.
Das sind eigentlich standardtisierte Verfahren an die sich auch Watchguard halten sollte...
Nach dem o.a. Beispiel von Draytek (oder sicher auch anderen) verhalten die sich ja standardkonform und hier ist ein Aufbau mit einer Firebox ja durchaus möglich. Folglich müsste es ja dann sehr wohl möglichkeiten geben einen standardkonformen IPsec Tunnel damit aufzubauen...
Hi,
was ich allerdings daran nicht verstehe warum dann der Cisco nur pre-shared Key kann und nicht die, die die anderen firewalls können.
Aber davon abgesehen was soll ich euch noch schildern von dem Problem? Oder weiß jemand wie man das eventuell umgehen kann zB.
was ich allerdings daran nicht verstehe warum dann der Cisco nur pre-shared Key kann und nicht die, die die anderen firewalls können.
Aber davon abgesehen was soll ich euch noch schildern von dem Problem? Oder weiß jemand wie man das eventuell umgehen kann zB.
Der Standard sagt ganz klar das hier ein weiterer
Schlüsselaustausch mit Diffie Hellmann stattfindet im sog. Quick
Mode. Dieser wird sogar zyklisch wiederholt zum Regenerieren der ...
Schlüsselaustausch mit Diffie Hellmann stattfindet im sog. Quick
Mode. Dieser wird sogar zyklisch wiederholt zum Regenerieren der ...
Klar, der Session Key (der Preshared Key wird nicht ausgetauscht
).
