Dez 082019
 

Der Aufbau einer VPN-Verbindung vom LANCOM Advanced VPN Client zu einem 1781EF+ Router mit Zertifikat gemäß der folgenden Anleitung (und einer weiteren Anleitung zur Erstellung von Zertifikaten mit LANCOM Smart Certificate) gelang nicht:

https://www2.lancom.de/kb.nsf/1275/04D07E79A859D7A6C125824F003613D4?OpenDocument

Der Client meldete nur: “Benutzername oder Passwort falsch” und “error 2110 xauth wrong userid or password“, “Ikev2: Notifymsg=<IKEV2_NOTIFY_AUTHENTICATION_FAILED>“.

Der Router protokollierte dies: “VPN: Error for peer V2TEST: IKE-R-IKE-key-mismatch“.

Bei einem VPN-trace auf der Console des Routers fiel mir sofort diese Meldung auf: “Received Digital Signature altough we do not support it“.

Damit war die Lösung schon nah: Im Widerspruch zu allen Anleitungen und Videos von LANCOM, die ich gefunden habe, müssen in der Konfiguration auf dem Router unter IKEv2/IPSec sowohl die “Lokale Authenfizifierung” als auch die “Entfernte Authentifizierung” von “RSA-Signature” auf “Digital-Signature” umgestellt werden.

Offenbar war das früher anders und die Anleitungen sind nicht aktuell. Meine Feststellungen betreffen den Client Version 5.00 und das LCOS 10.32.0156RU4.

 Leave a Reply