Inhaltsverzeichnis
- 46.1. Konfigurationskonflikte bei der Umstellung
- 46.2. Unterschiede zwischen strongSwan Version 4 und 6
- 46.2.1. Pre-Shared Key: IP der Gegenstelle als IPSec-ID
- 46.2.2. Zusammenfassen von Verbindungen zur selben Gegenstelle
- 46.2.3. Behandlung von Perfect Forward Secrecy (PFS) für Phase 2
- 46.2.4. mode config push vs. pull
- 46.2.5. Begrüßungsnachricht für VPN-Clients per mode config
- 46.2.6. Hex-Codierung für Pre-Shared Keys
- 46.2.7. Fragmentierung von IKE-Paketen
Die IPSec-Schlüsselaushandlung des Intra2net Systems ist mit dem Dienst strongSwan implementiert. Ab Intra2net System Version 7.0.4 kann im Menü "" zwischen verschiedenen Versionen von strongSwan gewählt werden.
Ältere Versionen des Intra2net Systems setzten dabei immer Varianten von strongSwan Version 4 ein. Ab Intra2net System Version 7.0.4 steht auch das neuere strongSwan 6 zur Auswahl. Diese Wahlmöglichkeit zwischen den verschiedenen strongSwan-Versionen wird über mehrere Versionen des Intra2net Systems hinweg bestehen bleiben.
Bei neu installierten Intra2net Systemen oder bei solchen, die bisher noch kein IPSec-VPN konfiguriert hatten, wird strongSwan 6 verwendet. Bei allen anderen Systemen wird durch das Update auf Intra2net System Version 7.0.4 und neuer die bisher verwendete Version von strongSwan nicht automatisch verändert.
strongSwan 6 ist die Basis um in Zukunft auch IKEv2 anbieten zu können. Außerdem wird strongSwan 6 besser mit Updates versorgt. Daher ist perspektivisch geplant alle Intra2net Systeme mit einem zukünftigen Update auf strongSwan 6 umzustellen. Beachten Sie hierfür die Release-Notes zu den jeweiligen Versionen des Intra2net Systems.
Daher wird allen Nutzern empfohlen, bereits jetzt testweise auf strongSwan 6 umzustellen. Sollte es zu Problemen kommen, besteht jederzeit die Möglichkeit wieder auf die bisherige Version zurückzustellen und die Probleme dann in Ruhe, z.B. mit Unterstützung des Intra2net Fachhändlers und Supports, anzugehen.
Bei der Umstellung auf strongSwan 6 werden bestimmte Konfigurationszusammenhänge, die bisher bereits zu einer Warnung führten, zu Fehlern die das Speichern der Konfiguration blockieren. Dies betrifft vor allem die Konfiguration mehrerer VPN-Tunnel zu derselben Gegenstelle.
Für die Nutzung mit strongSwan 6 müssen in diesem Fall alle Einstellungen, die für diese Verbindungen zu einer Gegenstelle gemeinsam gelten, exakt identisch sein. Ausschließlich die Tunnel-Einstellungen dürfen sich unterscheiden.
Sollte ein solches Problem vorliegen, äußert sich das ähnlich wie hier gezeigt:
Um das Problem zu lösen notieren Sie sich zuerst alle in der Fehlermeldung genannten Verbindungsnamen. Gehen Sie die Einstellungen dieser Verbindungen durch und vergleichen sie, insbesondere die in der Fehlermeldung genannten. Ausschließlich bei den Tunnel-Einstellungen dürfen sie sich unterscheiden. Speichern Sie die korrigierten Einstellungen und wiederholen dies bis keine Warnung mehr angezeigt wird. Versuchen Sie danach erneut die strongSwan Version umzustellen.