0

  • Suche

  • Kategorie

  • Preis

    -
Support & Beratung

0800 2000 023

service@digitalwehr.de

Kostenloser Versand innerhalb Deutschlands

DIGITALWEHR - Wissensdatenbank

IKEv2-Clients können keine Verbindung mit der Firebox aushandeln, da IKE_AUTH-Pakete fragmentiert ankommen

Gilt für:

Produkt: Firebox & XTM
Betriebssystem: 12.x
Problemstatus: Offen

 

Status & Tracking:

Tracking-ID: FBX-17543
Status: Offen
Gelöst in:

 

Beschreibung:

Mobile VPN-Clients mit IKEv2 können keine Verbindung zur Firebox herstellen, wenn die IKE_AUTH-Pakete fragmentiert ankommen.

Dafür gibt es zwei Gründe. Erstens scheinen viele Internetanbieter diese Fragmente zu verwerfen, möglicherweise aufgrund eines IPSec-ALG oder Carrier-Grade-NAT, was bei Mobilfunkanbietern üblich ist.

Die IKE_AUTH-Pakete müssen fragmentiert werden, da IKEv2-Clients einen Hash aller Zertifikate in ihrem vertrauenswürdigen Zertifikatsspeicher enthalten. Wir haben dies bisher nur bei Windows-Clients beobachtet, es könnte aber jedes Clientgerät mit einem größeren Zertifikatsspeicher betreffen.

 

Problemumgehung/Lösung:

  1. Um das Problem zu bestätigen, verwenden Sie das Dienstprogramm TCPDump, um eine Paketerfassung von der externen Schnittstelle der Firewall durchzuführen, mit der der Client verbunden ist.
    Ein typisches Beispiel zeigt eine IKE_SA_INIT MID=00 Initiator-Anfrage vom Client, gefolgt von einer IKE_SA_INIT MID=00 Responder-Antwort, dann üblicherweise drei Fragmente vom Client und keine weitere Antwort von der Firewall. In einem Paketanalysator sehen Sie möglicherweise das Flag „Weitere Fragmente“ beim letzten Fragment, was darauf hinweist, dass der Internetdienstanbieter erwartete eingehende Fragmente verwirft.
  2. Öffnen Sie das Startmenü.
  3. Suchen Sie nach certmgr.msc, das möglicherweise als Benutzerzertifikate verwalten angezeigt wird.
  4. Die primäre Lösung besteht darin, Zertifikate zu löschen, beginnend mit abgelaufenen Zertifikaten von vertrauenswürdigen Stammzertifizierungsstellen, bis die Fragmentierung nicht mehr erforderlich ist und der Client eine Verbindung herstellen kann. Sie als Administrator müssen jedoch entscheiden, welche Zertifikate benötigt werden. Viele Programme und Dienste, wie z. B. Endpoint-Security-Software, können zusätzliche Zertifikate installieren. Ein gemeinsamer Zertifikatssatz kann das Problem verursachen und sollte in Domänenumgebungen zentral verwaltet werden.
Zurück zur Übersicht
Fragen Kategorien