Preshared Key in Phase 2

Mitglied: Marcel-D

Marcel-D (Level 1) - Jetzt verbinden

24.11.2008, aktualisiert 25.11.2008, 4733 Aufrufe, 8 Kommentare

Hallo,

ich muss einen IPSec VPN zu einem Kunden herstellen. Dieser hat einen Cisco 878 und wir haben
eine Watchguard Firebox X1250e. Der Cisco 878 kann in der Phase 2 als Authentifizierung nur
Preshared Key, rsa-sig und rsa-encr.
Unsere Firebox kann diese Authentifizierungen nicht. Es wäre nett wenn jemand einen Rat hat,
wie man diesen Tunnel trotzdem aufbauen kann.

Gruß
Marcel
Mitglied: aqui
24.11.2008 um 12:38 Uhr
Hier solltest du fündig werden:

http://watchguard.custhelp.com/cgi-bin/watchguard.cfg/php/enduser/std_a ...

Höchst merkwürdig das die Firebox eines der am weitesten verbreiteten Verfahren nicht unterstützt...bist du dir da sicher ??
Jeder einfache NetGear oder Draytek oder Linux Box (was die Firebox ja letztlich ist) kann problemlos ein IPsec VPN zu einem Cisco aufbauen..

Wenn alle Stricke mit IPsec reissen, was eigentlich nicht wirklich sein kann... dann kannst du immer noch auf PPTP ausweichen sofern die Firebox das denn wenigstens kann ??
Bitte warten ..
Mitglied: Marcel-D
24.11.2008 um 12:52 Uhr
Hi,

das komische ist das der Support von Watchguard mir gesagt hat das in der Phase 2 ein Preshared Key "unmöglich" ist. Aber dieser Cisco kann es. Bei der Watchguard kann man nur in den General Settings den Preshared Key angeben.
Bitte warten ..
Mitglied: aqui
24.11.2008 um 16:56 Uhr
Sieh dich einfach mal beim Mitbewerb um die machen das ja auch so:

http://www.draytek.com/support/support_note/router/application/vpn_solu ...

bzw. hier die andere Seite (Cisco)

http://www.draytek.com/support/support_note/router/application/vpn_solu ...

D.h. es geht zu beiden Seiten problemlos, dann müsste eigentlich auch die Firebox mit dem Cisco können....
Bitte warten ..
Mitglied: Marcel-D
24.11.2008 um 17:53 Uhr
Das ist auch nicht das Szenario das ich meine.

Also...

Phase 1 --> Firewalls kommunizieren miteinander und tauschen den Preshared Key aus.
Phase 2 --> Der Tunnel wird aufgebaut.

Der Preshared Key in der Phase 1 ist KEIN Problem.
Das Problem ist, dass in der Phase 2 normalerweise kein Preshared Key mehr benötigt wird. Diesen brauch aber der besagte Router/Firewall von Cisco.
Bitte warten ..
Mitglied: 51705
24.11.2008 um 21:41 Uhr
Hallo Marcel,

der Support liegt insofern richtig, als das in Phase 1 - Internet Key Exchange - die Aushandelung der Keys stattfindet. Phase 2 legt eher die Nutzung des Keys fest. Genaugenommen wird in Phase 2 nur geregelt, wie mit der in Phase 1 bereits erfolgten Authenifizierung weiter verfahren wird. Insofern wundert mich Aquis Aussage etwas...

Du hast deine Situation leider nicht ausreichend geschildert, z.B. feste IP-Adressen oder DynDNS, respektive Agressive oder ID-Protected?

Grüße, Steffen
Bitte warten ..
Mitglied: aqui
25.11.2008 um 10:00 Uhr
Das war auch oben mehr ein quick and dirty Ansatz um langwierige Tipperei zu umgehen. Um jetzt aber mal in der Tiefe zu bleiben: Es ist unrichtig das in Phase 2 kein Preshared Key mehr benötigt wird.
Der Standard sagt ganz klar das hier ein weiterer Schlüsselaustausch mit Diffie Hellmann stattfindet im sog. Quick Mode. Dieser wird sogar zyklisch wiederholt zum Regenerieren der Schlüssel um die Sicherheit der Nutzdatenverschlüsselung sicherzustellen.
Das sind eigentlich standardtisierte Verfahren an die sich auch Watchguard halten sollte...
Nach dem o.a. Beispiel von Draytek (oder sicher auch anderen) verhalten die sich ja standardkonform und hier ist ein Aufbau mit einer Firebox ja durchaus möglich. Folglich müsste es ja dann sehr wohl möglichkeiten geben einen standardkonformen IPsec Tunnel damit aufzubauen...
Bitte warten ..
Mitglied: Marcel-D
25.11.2008 um 10:04 Uhr
Hi,

was ich allerdings daran nicht verstehe warum dann der Cisco nur pre-shared Key kann und nicht die, die die anderen firewalls können.

Aber davon abgesehen was soll ich euch noch schildern von dem Problem? Oder weiß jemand wie man das eventuell umgehen kann zB.
Bitte warten ..
Mitglied: 51705
25.11.2008 um 10:16 Uhr
Der Standard sagt ganz klar das hier ein weiterer
Schlüsselaustausch mit Diffie Hellmann stattfindet im sog. Quick
Mode. Dieser wird sogar zyklisch wiederholt zum Regenerieren der ...

Klar, der Session Key (der Preshared Key wird nicht ausgetauscht ).
Bitte warten ..
Heiß diskutierte Inhalte
Netzwerke
Router1, Router2 + Repeater untereinander erreichbar machen (OpenWrt)
WinstarFrageNetzwerke24 Kommentare

Guten Abend! Kurz vorweg ja, ich weiß dass es hier bereits eine Anleitung gibt, wie man verschiedene Netzwerke zusammen ...

Router & Routing
Lancom Router Site to Site Problem mit Außenstellen
gelöst mossoxFrageRouter & Routing23 Kommentare

Guten Tag zusammen, in der Hauptgeschäftsstelle nutzen wir einen Lancom 1781VA Router und haben i.d.R. zwei gleichzeitige IPSec Site ...

Netzwerke
Sporadische Ausfälle im gesamten Heimnetz
gelöst bilbo-dvdFrageNetzwerke20 Kommentare

Guten Morgen, ich habe einen Kabelanschluss bei Vodafone und mein Tarif wurde im März auf CableMax 1000 umgestellt. Ich ...

Router & Routing
RDP nur im internen Netz möglich nicht aber per vpn?
einfach112FrageRouter & Routing18 Kommentare

Hallo zusammen. Beim Kunden habe ich einen Server mit VMWARE laufen. Darauf ein Windows Server 2016 Essentials als VM ...

Sicherheit
Sicherheit oder bessere Benutzbarkeit?
StefanKittelFrageSicherheit17 Kommentare

Hallo, ich habe eine Webanwendung programmiert und sehe mich nun mit einer Frage zur Benutzbarkeit konfrontiert. Bei der Anmeldung ...

Internet
Über meinen WAN ist lidl.de nicht ereichbar
gelöst NetGodFrageInternet16 Kommentare

Hallo zusammen, mit meinem DTAG-Anschluß ist derzeit kein Durchkommen zu www.lidl.de möglich. Zu den selben Zeitpunkten ist es aber ...

Ähnliche Inhalte
Windows Netzwerk

WLAN-Profile mit PreShared-Key in Domäne verteilen - wie möglich?

gelöst ribrobFrageWindows Netzwerk4 Kommentare

Hallo Community, folgendes Thema stellt sich uns gerade: Wir haben mehrere Notebooks im Unternehmen und mehrere WLAN-Netzwerke. Diese Netzwerke ...

Hardware

Suche M.2 NVME M - Key auf SSD SATA Adapter

gelöst it-froschFrageHardware2 Kommentare

Guten Morgen, ich möchte eine KXG5AZNV256G M.2 mit einem Adapter als SATA SSD verwenden. Die einzigen Adapter die ich ...

Windows 10

Office Key auslesen

FirstLevelDFrageWindows 106 Kommentare

Hallo, ich habe hier 23 Rechner, alle Windows 10 in der Firma, jeder mit Office ausgestattet. Leider hat niemand ...

Microsoft Office

Office Key ändern

gelöst CraftdorFrageMicrosoft Office4 Kommentare

Hallo, ich habe ein komisches Lizenzproblem mit Office 2019 Home and Buisiness. Das Problem ist ich habe 3 Office ...

HTML

Html key für Download

manuelherzFrageHTML6 Kommentare

Hallo, Ich möchte einen Download Button wenn man draufklickt das man zuerst ein Passwort eingeben muss zum Downloaden geht ...

Verschlüsselung & Zertifikate

Linux - SSL Private Key absichern

atomiqueFrageVerschlüsselung & Zertifikate5 Kommentare

Hallo zusammen, folgendes Szenario: Ich habe einen Server mit Apache, Seafile, XMPP-Server usw. und ich aktualisiere gerade mein SSL-Zertifikat. ...

Neue Fragen
Administrator Magazin
11 | 2020 Virtualisierung ist aus der IT nicht mehr wegzudenken. In der November-Ausgabe des IT-Administrator Magazins dreht sich der Schwerpunkt um das Thema "Server- und Storage-Virtualisierung". Darin erfahren Sie, wie sich die Virtualisierungstechnologie entwickelt hat, welche Varianten es im Bereich Server und Speicher gibt und wie ...
Neue Beiträge
Neue Jobangebote
Server- und Storage-VirtualisierungServer- und Storage-VirtualisierungBerechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid Cloud