Es geht in eine weitere Runde bei den VPNs von und zur FRITZ!Box. Nach den unglücklichen Änderungen in Version 06.20 hat AVM wieder ein paar Phase 2 Proposals hinzugenommen, die komplett ohne Kompression laufen. Somit ist es wieder möglich, die FRITZ!Box im Aggressive Mode VPN-Verbindungen zu diversen Firewalls aufbauen zu lassen. Komisch nur, dass noch nicht alles ganz wie erwartet funktioniert. Hier kommen meine Testergebnisse.
IPsec Proposals
Auf Anfrage hat mir AVM die “Strategien” für IPsec in der Version 06.23 zur Verfügung gestellt. Diese sind wie folgt:
Phase 1:
dh5/aes/sha
dh14/aes/sha
dh15/aes/sha
def/all/all
alt/all/all
all/all/all
LT8h/all/all/all
Phase 2:
esp-aes-sha/ah-all/comp-lzjh-no/pfs
esp-all-all/ah-all/comp-all/pfs
esp-all-all/ah-all/comp-all/no-pfs
esp-all-all/ah-none/comp-all/pfs
esp-3des-sha/ah-no/comp-no/no-pfs
esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs
esp-all-all/ah-none/comp-all/no-pfs
LT8h/esp-all-all/ah-none/comp-all/pfs
LT8h/esp-all-all/ah-none/comp-all/no-pfs
Mein Ziel war es also, in beiden Phase möglichst DH-14 und AES-256 einzusetzen, wobei Phase 1 gerne eine Lifetime von 8 Stunden haben darf, während Phase 2 nur eine Stunde laufen soll. (Hintergrund: Da es ständig zu Verbindungsabbrüchen beim Rekeying kommt, sind längere Lifetimes hier wohl besser.) Leider hat das nicht exakt so geklappt…
Tests
Die folgenden Tests habe ich extra alle im Aggressive Mode laufen lassen, so dass stets die FRITZ!Box (hinter einer dynamischen IP) die VPN-Verbindung initiiert. Bei einigen Kunden scheint das Voraussetzung zu sein. Als Gegenstelle hatte ich eine Juniper ScreenOS SSG 5 mit Version 6.3.0r18.0 im Labor (siehe hier). Die FRITZ!Box ist eine 7390 und wie gesagt mit FRITZ!OS Version 06.23.
Folgende Tabelle zeigt immer zweizeilig die Einstellungen für Phase 1 und 2:
#
FRITZ!Box
Juniper
Läuft?
Kommentar
1
dh14/aes/sha
pre-g14-aes256-sha1-3600s
Ja
Leider nur mit 1 h bei Phase 1.
esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs
g14-esp-aes256-sha1-3600s
Ja
2
LT8h/all/all/all
pre-g14-aes256-sha1-28800s
Nein
Phase 1 Mismatch, also scheint DH-14 hier nicht zu klappen
esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs
g14-esp-aes256-sha1-3600s
3
LT8h/all/all/all
pre-g2-aes256-sha1-28800s
Ja
Aha, also mit DH-2 und 8 h klappt es
esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs
g14-esp-aes256-sha1-3600s
Nein
There were no acceptable Phase 2 proposals. WARUM?
4
LT8h/all/all/all
pre-g2-aes256-sha1-28800s
Ja
esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs
g2-esp-aes256-sha1-3600s
Ja
Mit DH-2 klappt es auch hier. Komisch, weil es bei Test 1 ja exakt mit diesem Proposal lief.
Sehr komisch ist also zum Beispiel, dass bei Tests 1 und 3 für Phase 2 jeweils das gleiche Proposal seitens der FRITZ!Box verwendet wurde, es aber in Test 1 mit DH-14 funktioniert hat, in Test 3 aber nicht. Hm.
Bei Variante 1 sah es auf der Juniper SSG also so aus:
Variante 4 entsprechend so:
Und hier noch ein Screenshot von einem Test zur Cisco ASA Version 8.4(7). Hier wurde ebenfalls die Variante mit einer IKE Lifetime von 8 h verwendet. Die Gegenstelle hatte sogar bereits FRITZ!OS 06.24 installiert:
Fazit
So ganz eindeutig scheint es noch nicht zu sein. Die “all/all/all” Varianten decken doch nicht alles ab und die anderen klappen manchmal und manchmal aber auch nicht. Man hat aktuell die Wahl, ob man DH-14 in beiden Phasen verwenden möchte (was aus sicherheitstechnischer Sicht Sinn macht) oder lieber auf eine Lifetime von 8 h in Phase 1 zurückgreift, dann aber nur DH-2 zum Laufen bekommt.
Templates
Hier noch mal zwei komplette Templates, so wie ich sie aktuell verwende. Bei beiden wird davon ausgegangen, dass die FRITZ!Box eine dynamische IP Adresse hat, also der Aggressive Mode verwendet wird.
DH-14 mit Lifetime 1 h
Lifetime 8 h aber nur DH-2