QuoteZertifikate können dahingehend tricky werden, dass man schon bei der Erstellung penibel genau aufpassen muss, welche zusätzlichen Infos man in den SAN-Feldern hinterlegt: FQDN, FQUN, IP-Adressen, ...
Strongswan scheint da recht genau zu prüfen, ob das präsentierte Zertifikat auch wirklich zur angelegten Verbindung passt. Das hat viele Fehlermöglichkeiten und hat mich auch schon die eine oder andere Stunde Debugging gekostet... PSK hingegen nimmt einige zusätzliche Variablen aus dem Spiel und ist speziell bei IPSEC mit Gegenstellen anderer Hersteller da unempfindlicher.
Um es klar zu sagen: Zertifikate sind natürlich sicherer und bei PSK gibt es den einen oder anderen Angriffsvektor, je nach Passwort und IKE-Version/Konfig.
Bei IPsec habe ich noch nie mit Zertifikaten herumgespielt/getestet/etc - bin da noch bei 0 - weswegen es mich wundert, warum da die Zertifikatsmeldung war und deswegen habe ich diese genannt
QuoteIch habe die Erfahrung gemacht, dass man primär auf beiden Seiten für jede Stellschraube exakt die gleichen Werte einstellen muss. Dann klappt es in aller Regel auch. Problem ist natürlich auch die unterschiedliche Benennung. Problematisch sind da die Identitätstypen (meine Empfehlung: FQUN / E-Mail-Adresse, speziell bei Dyndns) und die Einstellungen für PFS (in der Regel DH14, sowohl bei Phase1 als auch bei Phase2). Dann müssen die Hash-Funktionen übereinstimmen (SHA256 oder SHA512). Und AES-256 ist was anderes als AES-256-GCM, also genau prüfen. Ein bisschen Transferleistung ist auch immer nötig, leider.
Meine Erfahrung zeigt, dass bei einem FQUN funktioniert und beim anderen FQDN! :D Ich checke noch nicht die Logik, wann genau es funktioniert, da ich hier echt rumspielen/testen musste und es dann mal geklappt hat, obwohl es eigentlich schon vorher hätte funktionieren müssen
QuoteAuf der OPNsense wird der PSK nur 1x eingegeben, bei Lancom gibt es den lokalen PSK und den entfernten PSK. Da also 2x das gleiche Passwort rein.
Ansonsten gehen mir die Ideen leider langsam aus.
Habe ich so gemacht, ohne Erfolg.
Dir gehen die Ideen aus? - Freut mich trotzdem sehr dich kennen gelernt zu haben! :D
Quote from: dmark on May 01, 2025, 11:02:54 AMQuote2025-04-22T14:33:15 Informational charon 12[IKE] <con7|491> authentication of 'subdomain.dyndns.tld' (myself) with pre-shared keyDer Part von deinem Log auf der OPNsense irritiert mich. Anscheinend wird versucht, eine Authentifizierung mit Zertifikat vorzunehmen. Bei PSK auf der Lancom-Seite ist dies jedoch zum Scheitern verurteilt.
2025-04-22T14:33:15 Informational charon 12[IKE] <con7|491> sending cert request for "C=DE, ST=##, L=##########, O=##########, E=mail@domain.tld, CN=CA"
Hast Du schonmal versucht, die Verbindung auf der OPNsense komplett zu löschen und neu anzulegen? Vielleicht ist irgendwo im Hintergrund durch die Testerei Schrott hängen geblieben, der jetzt stört.
Ich kann am Montag die Verbindung neu anlegen. Vielleicht hilft es wenn ich das inklusive Neustarts mache. Vielleicht lag es nicht an mir, dass sich da eine PSK eingeschlichen hat sondern an der OPNsense/LANCOM. (wobei im Moment und auch schon die ganze Zeit nichts eingestellt war soweit ich weiß)
Ich habe schon eine IKEv1 Verbindung getestet, ohne Erfolg.
-----
Danke für deine Antworten! :) Ich melde mich am Montag wieder!
Liebe Grüße! Schönes Restwochenende bzw. schöne neue Woche! :)