ubuntuusers.de

ich möchte gerne über den networkmanager eine ipsec verbindung aufbauen ohne certifikat, nur per preshared key.

Mit dem kvpnc ist das über den racoon Dienst ganz hervorragend möglich, leider hängt sich kvpnc ganz gerne mal weg.

Die Frage ist also: geht das auch per Networkmanager? Wenn ja: wie?

Danke

Hi! Also ich habe das mal mit network-manager-vpnc gemacht. Das ist ein Zusatzpaket zu Network-Manager und findet sich dann im Networkmanager wieder

vpnc gibt mir nur userpasswort und gruppenpasswort, aber keine Möglichkeit, einen Preshared Key einzutragen

Die vpnc-Erweiterung ist speziell für Cicso-VPNs gedacht.

Basiert das VPN denn überhaupt auf dem proprietären Cisco-Protokoll, oder auf dem ipsec-Protokoll des 2.6-Kernels?

Das sind NICHT die gleichen Protokolle.

öhm. das ist ein Draytek Router zu dem die verbindung aufgebaut werden soll; keine Ahnung was der benutzt.

Wie gesagt mit kvpnc gehts, sofern das Programm nicht abstürzt, was es allzugerne tut, ich hätte solche Einstellung halt gerne im Networkmanager, da wo ich die anderen VPN Zugriffe auch hab.

Ich habe nur bislang KEIN plugin gefunden, welches Ipsec, preshared Key offeriert

Da in der Einleitung von racoon die Rede war, bin ich mir ziemlich sicher, dass es sich um die ipsec-Implementierung des 2.6-Kernels handelt, da racoon der IKE-Daemon des KAME-Projets ist.

Allerdings scheint da die PSK-Variante in keine GUIs außer kvpnc eingeflossen zu sein. Auch das Plugin metwork-manager-strongswan scheint nur verschiedene Zertifikate zu unterstützen, aber keine Verbindung mit PSK. Dies mag daran liegen, dass PSK die unsicherste Variante der Authentifizierung für ein VPN ist.

Da bleibt dann wohl nur konfiguration und Verbindungsaufbau via Konsole. Dies umzusetzen ist jedoch nicht gerade trivial, wenn man nichts genaueres über die Implementierung auf den Router weiß (ESP oder AH, IKEv1 ider IKEv2 ...).

Wie lautet denn die genaue Typenbezeichnung des Routers? Damit könnte ich dann weiter recherchieren.

soll ein 2820n sein: racoon hatte ich bei kvpnc installiert, wonach er mir genau die Authentifizierung via key anbot.

strongswan geht nicht, der bietet mir nicht das an, was ich brauche

DrPaulaner schrieb:

strongswan geht nicht, der bietet mir nicht das an, was ich brauche

Dann bleibt wirklich nur die manuelle Bearbeitung der Konfiguration, sowie der manuelle Verbindungsaufbau via Konsole. Um ihnen dabei helfen zu können, muss ich allerdings mehr über die VPN-Endpunkte wissen.

Normaler Weise würde ich sie bitten hier den Inhalt der Datei /etc/ipsec.conf, bei bestehender VPN-Verbindung zu posten. Allerdings ist es möglich, dass diese den unverschlüsselten PSK enthält. Falls dies der Fall ist, ersetzen sie diesen im posting bitte durch die Zeichenkette <PSK>. So bleibt der Schlüssel dann auch weiterhin geheim, und ich habe was ich brauche, um ihnen weiterhelfen zu können.

Getestet mit dem network-manager-vpnc unter ubuntu 14.04.3 LTS. Am Ende war tatsächlich die lifetime das Problem. Racoon lehnt das Proposal ab, weil diese nicht gepasst hat.

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30

remote anonymous {
        exchange_mode main,aggressive;
        initial_contact off;
        lifetime time 2147483 seconds;
        proposal {
                encryption_algorithm aes 256;
                hash_algorithm sha1;
                authentication_method xauth_psk_server;
                dh_group 2;
        }
        generate_policy unique;
        proposal_check claim;
        ike_frag on;
        mode_cfg on;
        passive on;
        support_proxy on;
        nat_traversal on;
        dpd_retry 5;
        dpd_maxfail 5;
        rekey on;
        dpd_delay 20;
}

sainfo anonymous {
        pfs_group 2;
        lifetime time 60 minutes;
        encryption_algorithm aes 256;
        authentication_algorithm hmac_sha1;
        compression_algorithm deflate;
}