Hallo zusammen,
bisher habe ich für die IPSec VPN Verbindung eines Android Smartphone zu meinem VPN Server (strongSwan) auf der pfSense mittels IKEv1 aggressive Mode gelöst.
Diese Meldung in den Logs ließ mich aufhorchen:
WARNING: Setting i_dont_care_about_security_and_use_aggressive_mode_psk option because a phase 1 is configured using aggressive mode with pre-shared keys. This is not a secure configuration.
Die Meldung brachte mich auf folgende Website:IKE VPNs Supporting Aggressive Mode – Security Exploits & News
Da mein Gerät auch IKEv2 unterstützt, entschloss ich mich auf die neure Protokollversion des Internet Key Exchange zu verwenden.
Inhaltsverzeichnis
Verwendete Komponenten
Server: pfSense 2.4.4 Release p2
Client: Samsung Android 8.0.0 Smartphone
Server Einstellungen
Im Webinterface unter
VPN / IPsec / Tunnels
| Option | neue Einstellung | bisherige Einstellung |
|---|---|---|
| General Information | ||
| Key Exchange version | IKEv2 | IKEv1 |
| Internet Protocol | IPv4 | IPv4 |
| Interface | WAN | WAN |
| Phase 1 Proposal (Authentication) | ||
| Authentication Method | Mutal PSK | Mutal PSK + Xauth |
| My identifier | My IP Address | My IP Address |
| Peer identifier | verschoben zu Pre-Shared Keys | Android |
| Pre-Shared Key | verschoben zu Pre-Shared Keys | GeheimesPassw0rt |
| Phase 1 Proposal (Encryption Algorithm) | ||
| Algorithm | AES | AES |
| Key length | 256 bits | 256 bits |
| Hash | SHA512 | SHA256 |
| DH Group | 14 (2048bit) | 2 (1024bit) |
pfSense -> VPN -> IPSec -> Edit Phase1
Die Einstellungen, die aus Tunnels weggefallen sind, werden hier eingetragen
- Add
- identifier = Android, Select Type = PSK, Pre-Shared Key = GeheimesPassw0rt
- Save
pfsense -> VPN -> IPSec ->Pre-Shared Keys ->Add
Client Einstellungen
Einstellungen -> Verbindungen -> Weitere Verbindungseinstellungen -> VPN
| Option | neue Einstellunge | bisherige Einstellung |
|---|---|---|
| Typ | IPSec IKEv2 PSK | IPSec Xauth PSK |