Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
XAUTH-Fehler bei IPSEC zwischen Android und Bintec R1200w
159 views
Skip to first unread message
Jens Tautenhahn
May 14, 2013, 2:39:10 PM5/14/13
to
Hallo zusammen,
ich veruche schon seit lï¿œngerem, mit dem Stock-IPSEC-Client von Android
(4.1.1) einen Tunnel zu meinem Bintec R1200w herzustellen. Vorgegangen
bin ich nach der Anleitung von (jetzt) Teldat:
> http://faq.teldat.de/faq_bintec_285_ipsec_android_rs232bw_gui_01_de,10992,194.html
Die Anleitung beschreibt zwar ein anderes Gerï¿œt, aber die FCI sieht bei
mir mit der aktuellen Bintec-Firmware (V.7.10 Rev. 1 (Patch 10) IPSec
from 2012/05/31 00:00:00) genau so aus.
Leider komme ich ï¿œber XAUTH nicht drï¿œber hinaus. Die Bintec erzï¿œhlt mir
mit "debug ipsec" Folgendes:
> 20:23:26 DEBUG/IPSEC: P1: peer 0 () sa 18 (R): new ip 84.138.77.45 <- ip 46.115.59.82
> 20:23:26 INFO/IPSEC: P1: peer 0 () sa 18 (R): Vendor ID: 46.115.59.82:500 (No Id) is '4048b7d56ebce88525e7de7f00d6c2d380000000'
> 20:23:26 INFO/IPSEC: P1: peer 0 () sa 18 (R): Vendor ID: 46.115.59.82:500 (No Id) is '4a131c81070358455c5728f20e95452f'
> 20:23:26 INFO/IPSEC: P1: peer 0 () sa 18 (R): Vendor ID: 46.115.59.82:500 (No Id) is 'draft-ietf-ipsec-nat-t-ike-02'
> 20:23:26 INFO/IPSEC: P1: peer 0 () sa 18 (R): Vendor ID: 46.115.59.82:500 (No Id) is 'draft-ietf-ipsec-nat-t-ike-02'
> 20:23:26 INFO/IPSEC: P1: peer 0 () sa 18 (R): Vendor ID: 46.115.59.82:500 (No Id) is 'draft-ietf-ipsec-nat-t-ike-00'
> 20:23:26 INFO/IPSEC: P1: peer 0 () sa 18 (R): Vendor ID: 46.115.59.82:500 (No Id) is 'draft-ietf-ipsra-isakmp-xauth-06'
> 20:23:26 INFO/IPSEC: P1: peer 0 () sa 18 (R): Vendor ID: 46.115.59.82:500 (No Id) is '12f5f28c457168a9702d9fe274cc0100'
> 20:23:26 INFO/IPSEC: P1: peer 0 () sa 18 (R): Vendor ID: 46.115.59.82:500 (No Id) is 'Dead Peer Detection (DPD, RFC 3706)'
> 20:23:26 DEBUG/IPSEC: P1: peer 2 (Android) sa 18 (R): identified ip 84.138.77.45 <- ip 46.115.59.82
> 20:23:27 DEBUG/IPSEC: P1: peer 2 (Android) sa 18 (R): [Aggr] NAT-T: port change: local: 84.138.77.45:500->84.138.77.45:4500, remote: 46.115.59.82:500->46.115.59.82:4500
> 20:23:27 INFO/IPSEC: P1: peer 2 (Android) sa 18 (R): done id fqdn(any:0,[0..15]=r1200.xxxabc.lan) <- id key_id(any:0,[0..6]=android) AG[3afc9e03 159d5694 : 8668ccb3 6fe3ef74]
> 20:23:27 INFO/IPSEC: XAUTH: peer 2 (Android) sa 18 (I): request client for extended authentication
> 20:23:27 DEBUG/IPSEC: P1: peer 2 (Android) sa 18 (R): Notify "Initial contact notification" from 46.115.59.82:4500 for protocol ISAKMP spi[16]=3AFC9E03
> 20:23:27 INFO/IPSEC: XAUTH: peer 2 (Android) sa 18 (I): reply for extended authentication received
> 20:23:27 INFO/IPSEC: XAUTH: peer 2 (Android) sa 18 (I): extended authentication for user 'xxxabc' failed
> 20:23:27 DEBUG/IPSEC: IKE_DELETE_PAYLOAD_RECEIVED: 20130514182327: Source addr:84.138.77.45 Destination addr:46.115.59.82 SPI:0x74efe36fb3cc688694569d15039efc3a Description:Received delete notification
> 20:23:27 INFO/IPSEC: P1: peer 2 (Android) sa 18 (R): delete ip 84.138.77.45 <- ip 46.115.59.82: Received delete
Die Passwï¿œrter habe ich schon gefï¿œhlte 100 Mal kontrolliert. Eine andere
IPSEC-Strecke in die Firma lï¿œuft ohne Probleme, allerdings ohne XAUTH.
Wo kï¿œnnte ich da noch suchen?
Gruᅵ
Jens
ich veruche schon seit lï¿œngerem, mit dem Stock-IPSEC-Client von Android
(4.1.1) einen Tunnel zu meinem Bintec R1200w herzustellen. Vorgegangen
bin ich nach der Anleitung von (jetzt) Teldat:
> http://faq.teldat.de/faq_bintec_285_ipsec_android_rs232bw_gui_01_de,10992,194.html
Die Anleitung beschreibt zwar ein anderes Gerï¿œt, aber die FCI sieht bei
mir mit der aktuellen Bintec-Firmware (V.7.10 Rev. 1 (Patch 10) IPSec
from 2012/05/31 00:00:00) genau so aus.
Leider komme ich ï¿œber XAUTH nicht drï¿œber hinaus. Die Bintec erzï¿œhlt mir
mit "debug ipsec" Folgendes:
> 20:23:26 DEBUG/IPSEC: P1: peer 0 () sa 18 (R): new ip 84.138.77.45 <- ip 46.115.59.82
> 20:23:26 INFO/IPSEC: P1: peer 0 () sa 18 (R): Vendor ID: 46.115.59.82:500 (No Id) is '4048b7d56ebce88525e7de7f00d6c2d380000000'
> 20:23:26 INFO/IPSEC: P1: peer 0 () sa 18 (R): Vendor ID: 46.115.59.82:500 (No Id) is '4a131c81070358455c5728f20e95452f'
> 20:23:26 INFO/IPSEC: P1: peer 0 () sa 18 (R): Vendor ID: 46.115.59.82:500 (No Id) is 'draft-ietf-ipsec-nat-t-ike-02'
> 20:23:26 INFO/IPSEC: P1: peer 0 () sa 18 (R): Vendor ID: 46.115.59.82:500 (No Id) is 'draft-ietf-ipsec-nat-t-ike-02'
> 20:23:26 INFO/IPSEC: P1: peer 0 () sa 18 (R): Vendor ID: 46.115.59.82:500 (No Id) is 'draft-ietf-ipsec-nat-t-ike-00'
> 20:23:26 INFO/IPSEC: P1: peer 0 () sa 18 (R): Vendor ID: 46.115.59.82:500 (No Id) is 'draft-ietf-ipsra-isakmp-xauth-06'
> 20:23:26 INFO/IPSEC: P1: peer 0 () sa 18 (R): Vendor ID: 46.115.59.82:500 (No Id) is '12f5f28c457168a9702d9fe274cc0100'
> 20:23:26 INFO/IPSEC: P1: peer 0 () sa 18 (R): Vendor ID: 46.115.59.82:500 (No Id) is 'Dead Peer Detection (DPD, RFC 3706)'
> 20:23:26 DEBUG/IPSEC: P1: peer 2 (Android) sa 18 (R): identified ip 84.138.77.45 <- ip 46.115.59.82
> 20:23:27 DEBUG/IPSEC: P1: peer 2 (Android) sa 18 (R): [Aggr] NAT-T: port change: local: 84.138.77.45:500->84.138.77.45:4500, remote: 46.115.59.82:500->46.115.59.82:4500
> 20:23:27 INFO/IPSEC: P1: peer 2 (Android) sa 18 (R): done id fqdn(any:0,[0..15]=r1200.xxxabc.lan) <- id key_id(any:0,[0..6]=android) AG[3afc9e03 159d5694 : 8668ccb3 6fe3ef74]
> 20:23:27 INFO/IPSEC: XAUTH: peer 2 (Android) sa 18 (I): request client for extended authentication
> 20:23:27 DEBUG/IPSEC: P1: peer 2 (Android) sa 18 (R): Notify "Initial contact notification" from 46.115.59.82:4500 for protocol ISAKMP spi[16]=3AFC9E03
> 20:23:27 INFO/IPSEC: XAUTH: peer 2 (Android) sa 18 (I): reply for extended authentication received
> 20:23:27 INFO/IPSEC: XAUTH: peer 2 (Android) sa 18 (I): extended authentication for user 'xxxabc' failed
> 20:23:27 DEBUG/IPSEC: IKE_DELETE_PAYLOAD_RECEIVED: 20130514182327: Source addr:84.138.77.45 Destination addr:46.115.59.82 SPI:0x74efe36fb3cc688694569d15039efc3a Description:Received delete notification
> 20:23:27 INFO/IPSEC: P1: peer 2 (Android) sa 18 (R): delete ip 84.138.77.45 <- ip 46.115.59.82: Received delete
Die Passwï¿œrter habe ich schon gefï¿œhlte 100 Mal kontrolliert. Eine andere
IPSEC-Strecke in die Firma lï¿œuft ohne Probleme, allerdings ohne XAUTH.
Wo kï¿œnnte ich da noch suchen?
Gruᅵ
Jens
u...@reichert.me.uk
Jun 29, 2013, 4:06:55 PM6/29/13
to
Hallo,
schon eine Lösung in Sicht? Stehe gerade vor dem gleichen Problem.
MfG
Uli
schon eine Lösung in Sicht? Stehe gerade vor dem gleichen Problem.
MfG
Uli
Jens Tautenhahn
Jul 1, 2013, 7:21:42 PM7/1/13
to
Am 29.06.2013 22:06, schrieb u...@reichert.me.uk:
> schon eine Lösung in Sicht? Stehe gerade vor dem gleichen Problem.
Leider nicht. Für die Gerätegeneration scheint es auch keine Updates
> schon eine Lösung in Sicht? Stehe gerade vor dem gleichen Problem.
mehr zu geben :(
Mein nächster Router wird irgendwas im Minicomputer-Format (Raspberry Pi
und dergleichen), auf dem ich die Software selber warten kann.
Gruß
Jens
weinzie...@googlemail.com
Sep 3, 2013, 10:28:47 AM9/3/13
to
Am Dienstag, 14. Mai 2013 20:39:10 UTC+2 schrieb Jens Tautenhahn:
> Die Passwï¿œrter habe ich schon gefï¿œhlte 100 Mal kontrolliert. Eine andere
>
> IPSEC-Strecke in die Firma lï¿œuft ohne Probleme, allerdings ohne XAUTH.
Das Problem ist nicht der Router, sondern die VPN-Implementierung des Androids.
> Die Passwï¿œrter habe ich schon gefï¿œhlte 100 Mal kontrolliert. Eine andere
>
> IPSEC-Strecke in die Firma lï¿œuft ohne Probleme, allerdings ohne XAUTH.
Das vom Android gesendete XAUTH-Passwort wird mit '\0' terminiert. Somit schlägt die Authentifizierung fehl.
Nachzulesen hier:
https://lists.strongswan.org/pipermail/users/2012-February/007124.html
Ab der Firmware-Version 9.1.2 klappt die Einwahl.
Viele Grüße
Jens Tautenhahn
Sep 29, 2013, 9:31:19 AM9/29/13
to
Am 03.09.2013 16:28, schrieb weinzie...@googlemail.com:
> Das Problem ist nicht der Router, sondern die VPN-Implementierung des Androids.
> Das vom Android gesendete XAUTH-Passwort wird mit '\0' terminiert. Somit schl�gt die Authentifizierung fehl.
> Das Problem ist nicht der Router, sondern die VPN-Implementierung des Androids.
>
> Nachzulesen hier:
> https://lists.strongswan.org/pipermail/users/2012-February/007124.html
>
> Ab der Firmware-Version 9.1.2 klappt die Einwahl.
Vielen Dank f�r den Hinweis. Damit kann ich das mit meiner R1200w
> Nachzulesen hier:
> https://lists.strongswan.org/pipermail/users/2012-February/007124.html
>
> Ab der Firmware-Version 9.1.2 klappt die Einwahl.
vergessen, denn da war bei Firmware 7.10.1 Schluss mit Updates. Eine
�nderung in Android scheint auch nicht in Sicht, da ich jetzt schon die
dritte Version habe, die den gleichen Bug hat.
Gru�
ses...@gmail.com
Jan 29, 2014, 10:47:39 AM1/29/14
to
Nur mal so als Nachtrag: auch in Android 4.4.2 ist der Bug im VPN-Client nicht gefixt :(
0 new messages