Text only | Text with Images

OPNsense Forum

International Forums => German - Deutsch => Topic started by: stefan21 on January 25, 2017, 10:14:49 PM

Title: IPSEC - wie mit verschiedenen mobile Clients - Blackberry, IPhone, Android
Post by: stefan21 on January 25, 2017, 10:14:49 PM
Wenn ich das richtig sehe, kann genau ein Mobile Client (Smartphone) definiert werden. Dazu wird ein Tunnel mit Phase 1 und 2 definiert. Wenn alles korrekt ist, dann verbindet sich das entsprechende Smartphone mit OPNsense.

Wie ist aber die Vorgehensweise, wenn nun von mehreren Nutzern unterschiedliche Smartphones, die alle unterschiedliche Phase 1 und 2 Parameter bedingen, verbunden werden sollen?

Vielen Dank für jede Hilfe.
stefan
Title: Re: IPSEC - wie mit verschiedenen mobile Clients - Blackberry, IPhone, Android
Post by: stefan21 on January 26, 2017, 09:20:07 AM
Gilt das auch im Jahr 2017 für OPNsense?

https://forum.pfsense.org/index.php?topic=80354.0 (https://forum.pfsense.org/index.php?topic=80354.0)

Das würde in der Praxis bedeuten, dass unterschiedliche Smartphones nicht über IPSec anzubinden sind, ist diese Schlussfolgerung korrekt?

stefan
Title: Re: IPSEC - wie mit verschiedenen mobile Clients - Blackberry, IPhone, Android
Post by: JeGr on January 26, 2017, 03:44:18 PM
Das ist von 2014 und bezog sich noch dazu auf den alten VPN Daemon der pfSense. Inzwischen werkelt dort ja StrongSWAN deshalb - auch wenn ich mir da gerade unschlüssig bin - denke ich nicht, dass die Aussage noch gilt.
Title: Re: IPSEC - wie mit verschiedenen mobile Clients - Blackberry, IPhone, Android
Post by: franco on January 26, 2017, 11:28:48 PM
Hallöchen,

Ich glaube die Frage im verlinkten Post war eine andere? Ich verweise erstmal frech auf die IPsec Road-Warrior-Doku:

https://docs.opnsense.org/manual/how-tos/ipsec-road.html

Und bitte um eine Spezifizierung der Frage anhand der vorgestellten Features oder eben denen die fehlen. :)


Grüsse
Franco
Title: Re: IPSEC - wie mit verschiedenen mobile Clients - Blackberry, IPhone, Android
Post by: stefan21 on January 28, 2017, 10:13:48 AM
Quotehttps://docs.opnsense.org/manual/how-tos/ipsec-road.html

Die Anleitung ist in Ordnung.

Meine Frage ziehlt darauf ab, wie können Smartphones mit unterschiedlichen Verschlüsselungs-Algorithmen angebunden werden? Muss in diesem Fall der kleinste kompatible Algorithmus definiert werden? Offensichtlich können nicht mehrere mobile Clients angelegt werden. Im Gegensatz zu OpenVPN, dort sind ja mehrere Clients möglich.

stefan
Title: Re: IPSEC - wie mit verschiedenen mobile Clients - Blackberry, IPhone, Android
Post by: franco on March 02, 2017, 09:09:07 AM
Normalerweise geht das, die Proposals können gemischt gesetzt werden beim Server, zumindest in Phase 2. Phase 1 ist da restriktiver in der GUI, ich weiß aber nicht ob das eine Altlast ist aus Zeiten zu denen noch Racoon in *sense zu finden war.

Der Client sucht sich seinen passenden/unterstützten Proposal und gut ist.

Allerdings muss Phase 1 ein festes IKE Protokoll haben, entweder 1 oder 2, nicht beides. Sonst braucht man 2 Phase 1 Einträge.


Grüsse
Franco
Title: Re: IPSEC - wie mit verschiedenen mobile Clients - Blackberry, IPhone, Android
Post by: jmalter on March 03, 2017, 10:33:13 AM
Also aus meiner Erfahrung, sollten alle gängigen Mobile Devices SHA-256-MODP-2048 unterstützen.
Ab iOS 8 bzw. Android 5 geht das zumindest.

Text only | Text with Images