VPN, X509, pppd, eap-tls, w2k8r2

To: debian-user-german@lists.debian.org
Subject: VPN, X509, pppd, eap-tls, w2k8r2
From: Michael Welle <mwe012008@gmx.net>
Date: Tue, 30 Aug 2011 09:56:46 +0200
Message-id: <[🔎] 87fwkjs56p.fsf@luisa.c0t0d0s0.de>

Hallo,

ich wuerde gerne Debian-Clients mit dem VPN-GW dieses anderen
Herstellers reden lassen, scheitere aber. Was ich bisher gemacht habe:

- X509-Zertifikat besorgt und in handliche Teile zerschnitten

- openswan aufgesetzt. Knirscht ein bischen, aber die logs auf beiden
  Seiten der IPSEC-Verbindung lassen den Schluss zu, dass das geklappt
  hat.

- xl2tpd aufgesetzt. Koennte geklappt haben. Es gibt aber noch ein paar
  Unsicherheiten bei den zu verwendenen Benutzernamen

- pppd mit dem eap-tls-patch versehen. Die Konfiguration ist auch noch
  unsicher. 

Wenn ich nun die Verbindung aufbaue, endet das in der ppp-Phase so:

Aug 30 09:46:04 bar pppd[15537]: rcvd [EAP Request id=0x0 Identity <No message>]
Aug 30 09:46:04 bar pppd[15537]: sent [EAP Response id=0x0 Identity <Name "foo">]
Aug 30 09:46:04 bar xl2tpd[3761]: network_thread: recv packet from 1.1.1.1, size = 16, tunnel = 54571, call = 50420 ref=0 refhim=0 
Aug 30 09:46:04 bar pppd[15537]: rcvd [EAP Request id=0x1 TLS --S]
Aug 30 09:46:04 bar pppd[15537]: calling get_eaptls_secret
Aug 30 09:46:04 bar pppd[15537]: calling eaptls_init_ssl
Aug 30 09:46:04 bar pppd[15537]:  -> Handshake: Client Hello
Aug 30 09:46:04 bar pppd[15537]: sent [EAP Response id=0x1 TLS --- ...]
Aug 30 09:46:04 bar xl2tpd[3761]: network_thread: recv packet from 1.1.1.1, size = 14, tunnel = 54571, call = 50420 ref=0 refhim=0 
Aug 30 09:46:04 bar xl2tpd[3761]: network_thread: recv packet from 1.1.1.1, size = 28, tunnel = 54571, call = 50420 ref=0 refhim=0 
Aug 30 09:46:04 bar pppd[15537]: rcvd [EAP Failure id=0x1]
Aug 30 09:46:04 bar pppd[15537]: EAP: peer reports authentication failure
Aug 30 09:46:04 bar pppd[15537]: sent [LCP TermReq id=0x2 "Failed to authenticate ourselves to peer"]
Aug 30 09:46:04 bar pppd[15537]: rcvd [LCP TermReq id=0x4 06 3b 2d d2 00 3c cd 74 00 00 03 2c]
Aug 30 09:46:04 bar pppd[15537]: sent [LCP TermAck id=0x4]

Die logs auf der Serverseite sind... uebersichtlich. Der Client soll
eine TLS1.0-Verbindung aufgebaut haben und Client und Server wuerden
kein gemeinsames Verschluesselungsverfahren finden.

Hat das schonmal jemand eingefaedelt? Ich glaube, Teil der
Herausforderung ist, dass der Gegner ein w2k8r2 ist. Weitere Infos, mehr
traces etc. koennen bei Bedarf geliefert werden.

VG
hmw

-- 
biff4emacsen - A biff-like tool for (X)Emacs
http://www.c0t0d0s0.de/biff4emacsen/biff4emacsen.html
Flood - Your friendly network packet generator
http://www.c0t0d0s0.de/flood/flood.html

Reply to:

Prev by Date: Re: wie Imap Zugang von Außen über iPhone sicher machen
Next by Date: Re: Prüf-Programm für Laptop-Display?
Previous by thread: Re: wie Imap Zugang von Außen über iPhone sicher machen
Next by thread: Shutdown-Reihenfolge
Index(es):
- Date
- Thread