Dez 082019
 

Der Aufbau einer VPN-Verbindung vom LANCOM Advanced VPN Client zu einem 1781EF+ Router mit Zertifikat gemäß der folgenden Anleitung (und einer weiteren Anleitung zur Erstellung von Zertifikaten mit LANCOM Smart Certificate) gelang nicht:

https://www2.lancom.de/kb.nsf/1275/04D07E79A859D7A6C125824F003613D4?OpenDocument

Der Client meldete nur: „Benutzername oder Passwort falsch“ und „error 2110 xauth wrong userid or password„, „Ikev2: Notifymsg=<IKEV2_NOTIFY_AUTHENTICATION_FAILED>„.

Der Router protokollierte dies: „VPN: Error for peer V2TEST: IKE-R-IKE-key-mismatch„.

Bei einem VPN-trace auf der Console des Routers fiel mir sofort diese Meldung auf: „Received Digital Signature altough we do not support it„.

Damit war die Lösung schon nah: Im Widerspruch zu allen Anleitungen und Videos von LANCOM, die ich gefunden habe, müssen in der Konfiguration auf dem Router unter IKEv2/IPSec sowohl die „Lokale Authenfizifierung“ als auch die „Entfernte Authentifizierung“ von „RSA-Signature“ auf „Digital-Signature“ umgestellt werden.

Offenbar war das früher anders und die Anleitungen sind nicht aktuell. Meine Feststellungen betreffen den Client Version 5.00 und das LCOS 10.32.0156RU4.

 Leave a Reply