Sempre attivo VPN (IKEv2 macchina tunnel) tipi di crittografia

Ciao a tutti,

Attualmente sto distribuendo un VPN sempre attivo nel mio ambiente utilizzando tunnel dispositivi IKEv2 e un Cisco ASA come concentratore.

Sono riuscito a far funzionare il VPN, ma vedo che i valori predefiniti di Windows sono 3DES, SHA1 e parametri DH a 1024 bit. Naturalmente, questa crittografia è così debole che tanto vale non usarla per niente.

Sto cercando di configurare ASA e il client Windows per utilizzare il tipo di crittografia AES-GCM, parte anche con parametri ECDH a 256 bit e autenticazione con messaggi SHA256, ma sto incontrando alcuni problemi.

La configurazione del mio ASA include quanto segue:

Politica IKEv2:

crypto ikev2 policy 60
encryption aes-gcm
integrity null
group 19
prf sha256
lifetime seconds 86400

Proposta IPsec:
crypto ipsec ikev2 ipsec-proposal ipsec-proposal
protocol esp encryption aes-gcm aes-gcm-192 aes-gcm-256
protocol esp integrity sha-256

Ho poi configurato il client Windows così:

$connection = “[nome connessione]”
Set-VpnConnectionIPsecConfiguration -ConnectionName $connection -AuthenticationTransformConstants AESGCM -CipherTransformConstants AES128 -DHGroup ECP256 -EncryptionMethod AES128 -IntegrityCheckMethod SHA256 -PFSgroup PFS2048 -Force

Ho catturato un pacchetto e posso vedere proposte corrispondenti sia dal ASA che dal client Windows - ma la connessione non si completa mai e sembra scadere.

Qualcuno ha una configurazione ASA funzionante da condividere? Penso di aver forse dimenticato qualcosa.

Con il gruppo Diffie-Hellman è necessario almeno 14, preferibilmente 19 o 20, ma come leggo nella configurazione hai 19 sull’ASA e 14 su Windows, giusto?

Capire perché IPsec non si connette con successo può essere complicato, poiché i protocolli non vogliono fornire feedback che aiuterebbero nelle forzature.

Se non trovi nulla qui, posta anche su /r/networking.

Ho avuto un problema simile prima, devo dirlo, la mia soluzione è stata aspettare 6 mesi, tutto è stato spostato su Azure, e impostare Always On su Azure.

Spero che qualcuno con più di un CCNA superato possa aiutare in questa situazione.

Hai considerato di usare semplicemente AnyConnect con Start Before Login? È molto facile da configurare.

Non sono sicuro del caso d’uso specifico che hai, ma ho pensato di chiedere.

Inoltre, hai almeno un algoritmo di hashing e un mismatch DH, basta una occhiata casuale.

Ops, ho corretto quel mismatch. Ora ricevo un errore “fallito il verificare la firma” - forse devo fare ulteriori debug sull’ASA con il mio tecnico di rete.

Bug Search Tool Spero che non sia un bug che sto incontrando

A meno che qualcosa non sia cambiato, AnythingConnect è un client VPN dTLS pressoché proprietario che richiede una licenza per utente, ma IPsec/IKEv2 era illimitato sull’ASA. Penso che l’OP abbia la giusta idea. La conservazione di un client IPsec Windows a 64 bit per ASA potrebbe essere stato uno dei principali motivi per cui abbiamo smesso di usare gli ASA.

Beh, la firma dovrebbe essere SHA2-256/SHA256, che superficialmente sembra uguale su entrambi i lati.

Se non riesci a farlo funzionare in un paio d’ore di tentativi, aggiornerei il firmware o inizierei a cercare bug specifici che potrebbero essere correlati. Se non sei tu a gestire le unità, aggiornare il firmware potrebbe richiedere una trattativa commerciale.

Anche AnyConnect ha un’esperienza utente davvero carente. Con il client nativo di Windows, è sempre attivo in background (o puoi fare clic per connettersi). Con AnyConnect, è un altro client da supportare senza benefici tangibili. Penso che abbia un suo spazio in scenari BYOD, ma per dispositivi gestiti in azienda non vedo nessun vantaggio nel utilizzarlo.