IPSEC - wie mit verschiedenen mobile Clients - Blackberry, IPhone, Android

Started by stefan21, January 25, 2017, 10:14:49 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
January 25, 2017, 10:14:49 PM
Wenn ich das richtig sehe, kann genau ein Mobile Client (Smartphone) definiert werden. Dazu wird ein Tunnel mit Phase 1 und 2 definiert. Wenn alles korrekt ist, dann verbindet sich das entsprechende Smartphone mit OPNsense.

Wie ist aber die Vorgehensweise, wenn nun von mehreren Nutzern unterschiedliche Smartphones, die alle unterschiedliche Phase 1 und 2 Parameter bedingen, verbunden werden sollen?

Vielen Dank für jede Hilfe.
stefan
January 26, 2017, 09:20:07 AM #1
Gilt das auch im Jahr 2017 für OPNsense?

https://forum.pfsense.org/index.php?topic=80354.0

Das würde in der Praxis bedeuten, dass unterschiedliche Smartphones nicht über IPSec anzubinden sind, ist diese Schlussfolgerung korrekt?

stefan
January 26, 2017, 03:44:18 PM #2
Das ist von 2014 und bezog sich noch dazu auf den alten VPN Daemon der pfSense. Inzwischen werkelt dort ja StrongSWAN deshalb - auch wenn ich mir da gerade unschlüssig bin - denke ich nicht, dass die Aussage noch gilt.
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
January 26, 2017, 11:28:48 PM #3
Hallöchen,

Ich glaube die Frage im verlinkten Post war eine andere? Ich verweise erstmal frech auf die IPsec Road-Warrior-Doku:

https://docs.opnsense.org/manual/how-tos/ipsec-road.html

Und bitte um eine Spezifizierung der Frage anhand der vorgestellten Features oder eben denen die fehlen. :)


Grüsse
Franco
January 28, 2017, 10:13:48 AM #4
Quotehttps://docs.opnsense.org/manual/how-tos/ipsec-road.html

Die Anleitung ist in Ordnung.

Meine Frage ziehlt darauf ab, wie können Smartphones mit unterschiedlichen Verschlüsselungs-Algorithmen angebunden werden? Muss in diesem Fall der kleinste kompatible Algorithmus definiert werden? Offensichtlich können nicht mehrere mobile Clients angelegt werden. Im Gegensatz zu OpenVPN, dort sind ja mehrere Clients möglich.

stefan
March 02, 2017, 09:09:07 AM #5
Normalerweise geht das, die Proposals können gemischt gesetzt werden beim Server, zumindest in Phase 2. Phase 1 ist da restriktiver in der GUI, ich weiß aber nicht ob das eine Altlast ist aus Zeiten zu denen noch Racoon in *sense zu finden war.

Der Client sucht sich seinen passenden/unterstützten Proposal und gut ist.

Allerdings muss Phase 1 ein festes IKE Protokoll haben, entweder 1 oder 2, nicht beides. Sonst braucht man 2 Phase 1 Einträge.


Grüsse
Franco
March 03, 2017, 10:33:13 AM #6
Also aus meiner Erfahrung, sollten alle gängigen Mobile Devices SHA-256-MODP-2048 unterstützen.
Ab iOS 8 bzw. Android 5 geht das zumindest.

Print
Go Up Pages1
User actions