Inhaltsverzeichnis
- 46.1. Konfigurationskonflikte bei der Umstellung
- 46.2. Unterschiede zwischen strongSwan Version 4 und 6
- 46.2.1. Unterstütztung von IKEv2
- 46.2.2. Pre-Shared Key: IP der Gegenstelle als IKE ID
- 46.2.3. Zusammenfassen von Verbindungen zur selben Gegenstelle
- 46.2.4. Behandlung von Perfect Forward Secrecy (PFS) für Phase 2
- 46.2.5. mode config push vs. pull
- 46.2.6. Begrüßungsnachricht für VPN-Clients per mode config
- 46.2.7. Hex-Codierung für Pre-Shared Keys
- 46.2.8. Fragmentierung von IKE-Paketen
- 46.2.9. NAT-Traversal immer aktiv
Die IPSec-Schlüsselaushandlung des Intra2net Systems ist mit dem Dienst strongSwan implementiert. Ab Intra2net System Version 7.0.4 kann im Menü "" zwischen verschiedenen Versionen von strongSwan gewählt werden.
Ältere Versionen des Intra2net Systems setzten dabei immer Varianten von strongSwan Version 4 ein. Ab Intra2net System Version 7.0.4 steht auch das neuere strongSwan 6 zur Auswahl. Diese Wahlmöglichkeit zwischen den verschiedenen strongSwan-Versionen wird über mehrere Versionen des Intra2net Systems hinweg bestehen bleiben.
Bei neu installierten Intra2net Systemen oder bei solchen, die bisher noch kein IPSec-VPN konfiguriert hatten, wird strongSwan 6 verwendet. Bei allen anderen Systemen wird durch das Update auf Intra2net System Version 7.0.4 und neuer die bisher verwendete Version von strongSwan nicht automatisch verändert.
strongSwan 6 ist Voraussetzung für die Nutzung des empfohlenen IKEv2. Außerdem wird strongSwan 6 besser mit Updates versorgt. Daher ist perspektivisch geplant, alle Intra2net Systeme mit einem zukünftigen Update auf strongSwan 6 umzustellen. Beachten Sie hierfür die Release-Notes zu den jeweiligen Versionen des Intra2net Systems.
Daher wird allen Nutzern empfohlen, bereits jetzt testweise auf strongSwan 6 umzustellen. Sollte es zu Problemen kommen, besteht jetzt noch die Möglichkeit einfach wieder auf die bisherige Version zurückzustellen und die Probleme dann in Ruhe, z.B. mit Unterstützung des Intra2net Fachhändlers und Supports, anzugehen.
Bei der Umstellung auf strongSwan 6 werden bestimmte Konfigurationszusammenhänge, die bisher bereits zu einer Warnung führten, zu Fehlern die das Speichern der Konfiguration blockieren. Dies betrifft vor allem die Konfiguration mehrerer VPN-Tunnel zu derselben Gegenstelle.
Für die Nutzung mit strongSwan 6 müssen in diesem Fall alle Einstellungen, die für diese Verbindungen zu einer Gegenstelle gemeinsam gelten, exakt identisch sein. Ausschließlich die Tunnel-Einstellungen dürfen sich unterscheiden.
Sollte ein solches Problem vorliegen, äußert sich das ähnlich wie hier gezeigt:
Um das Problem zu lösen, notieren Sie sich zuerst alle in der Fehlermeldung genannten Verbindungsnamen. Gehen Sie die Einstellungen dieser Verbindungen durch und vergleichen sie insbesondere die in der Fehlermeldung genannten. Ausschließlich bei den Tunnel-Einstellungen dürfen sie sich unterscheiden. Speichern Sie die korrigierten Einstellungen und wiederholen dies, bis keine Warnung mehr angezeigt wird. Versuchen Sie danach erneut die strongSwan Version umzustellen.