The wise Rob enlightened me with:
> Mark Huizer <
xaa+news_xs...@dohd.org> wrote:
>>
>> Hm, ja ervaring werkt zeker. Maar ik moet regelmatig VPNs bouwen met
>> derde partijen, en ik vind juist dat het er steeds makkelijker op is
>> geworden. Ik verbaas me er alleen regelmatig over hoe iets als IKEv2 zo
>> vaak issues oplevert, afgelopen week weer Fortigate-Checkpoint.
>> Maar indien de gegevens duidelijk zijn is 80 of 90% van de VPNs in 10
>> minuten actief.
>>
>> Als je te maken hebt met mensen die geen verstand van netwerken hebben,
>> wordt het lastig inderdaad, maar goed, niet alles is te reduceren tot
>> Jip&Janneke niveau.
>>
>> En zoals je al aangeef: het is tenminste een standaard.
>
> Nou weet je het gaat me er eigenlijk niet om dat het Jip&Janneke moet
> zijn, maar dat er gewoon zo weinig voorzien is in debug mogelijkheden,
> zowel in de standaard als in de typische implementatie.
> Als je Phase1 of Phase2 niet opkomt dan is het meestal "jammer dan
> het lukt niet" ipv dat je een duidelijke aanwijzing krijgt waarom dat
> dan is (bijv "zij willen AES-256-gcm en wij down alleen AES-128-cbc
> dus dat gaat niet werken").
Hm, dat is ook niet helemaal mijn ervaring. De meest voorkomende dingen
zijn mismatch in proposals en mismatch in PSK. En dat zijn dingen die ik
(weliswaar via CLI, niet via webinterfaces of zo) er wel uit haal.
Maar inderdaad, mijn fortigate/checkpoint ding gaf een vage foutmelding
die ik op basis van ervaring wist terug te herleiden (verkeerde
encryptiedomeinen, ondanks de instelling, ergo: vermoedelijk een bug
ergens).
> Vaak is er wel een low-level packet trace waar je dat in theorie uit
> zou kunnen halen, maar is er geen faciliteit om alleen 1 bepaalde
> verbinding te tracen, dus als je er al 5 hebt en de 6e aan de gang
> wilt krijgen kun je die trace niet meer aanzetten want dan krijg je
> ook alle verkeer van die andere 5 in je trace, wat dan de boel overbelast.
Jaiks, wat voor hardware gebruik je? :)
> Je zit in feite in een black box te prikken tot het ineens werkt.
> Daarom is het met ervaring wel te doen (ik heb er zelf ook ervaring mee)
> maar dan nog is het lastig als jij aan jouw kant merk A hebt en de
> andere kant heeft merk B en zegt alleen "koop ook maar een merk B".
Gelukkig kom ik dat soort mensen niet tegen :)
> Je geeft het al aan. Vaak zijn er detailproblemen of is alleen al het
> probleem dat een kant de boel anders noemt dan de andere, of dat men
> alleen "profielen" heeft en niet alles individueel instelbaar is.
> (of men wil dat niet bij de andere partij)
Nou, ik zei niet "vaak", 'configureren en werken' is bij mij wel de
regel, niet de uitzondering. En verschillende profielen is iets wat je
vooraf vastlegt bij specificatie van de VPN, dus dat probleem kom ik
doorgaans ook niet tegen.
> Je kunt dan makkelijk in de situatie komen dat de combi in principe wel
> zou kunnen werken maar met de gegeven instellingen niet.
Wie weet. Het is in elk geval niet mijn ervaring
Mark