IPSec VPN Verbindung auf BlackBerry Phone einrichten

Discussion in 'Anleitungen' started by Gudri, Jul 28, 2015.

  1. G

    Gudri New Member

    How To IPSec IKEv2 on Blackberry:

    Vorbereitungen:
    1. Kopiert die IPSec-Zertifikate auf das Mobiltelefon

    2. Importiert das Zertifikat für den gewünschten Server unter Einstellungen / Sicherheit und Datenschutz / Zertifikate

    Das Passwort zum Importieren lautet "pp"

    VPN Einrichten:
    1.Unter Einstellungen / Netzwerke und Verbindungen / VPN ein neues VPN-Profil hinzufügen

    Profilname: Gewünschte Bezeichnung um den Überblick eurer Verbindungen zu behalten
    Serveradresse: eintragen der Serveradresse des gewünschten VPN-Servers, welche im Memberbereich einzusehen ist
    Gateway-Typ: Generischer IKEv2 VPN-Server
    Authentifizierungstyp: EAP-MSCHAPV2
    Typ der Authentifizierung: Vollständiger Domänenname
    Authentifizierungs-ID: könnt ihr irgendwas hinschreiben
    MSCHAPV2 EAP-Identität: könnt ihr irgendwas hinschreiben
    MSCHAPV2-Benutzername: PP-Member Benutzername
    MSCHAPV2-Kennwort: PP-Member Kennwort
    Typ der Gateway-Auth.: PKI
    Typ der Gateway-Auth.-ID: eintragen der Serveradresse wie oben bei Serveradresse
    Nicht vertrauenswürdiges Zertifikat: Nicht zulassen
    Zertifizierungsstellenzertifikat für Gateway: perfect-privacy

    2. Speichern
    3. Verbinden

    Viel Spaß
     

    Attached Files:

    Dr_Iwan_Kakalakow and PP Frank like this.
  2. f

    frodofailed New Member

    Hallo und danke für den Guide!

    Ich kann leider die IPSec-Zertifikate nicht finden die man runterladen sollte.
    Danke für die Hilfe.

    Beste Grüße
    Frodofailed
     
  3. PP Frank

    PP Frank Staff Member

  4. f

    frodofailed New Member

    Herzlichen Dank für die schnelle Antwort!
     
  5. G

    Gudri New Member

    Hi,

    habt ihr irgendwas geändert ? Seit einigen Wochen kann das Telefon keine VPN Verbindung mehr aufbauen: Authentifizierungsfehler
     
  6. PP Frank

    PP Frank Staff Member

  7. 4

    4Frame New Member

    Guten Abend,
    ich bekomme ebenfalls bei meinem Z10 eine Authentifizierungsfehler Meldung.
    Konnte der Fehler unterdessen gefunden werden?
    Trotzdem - Danke für die Anleitung!
     
  8. 4

    4Frame New Member

    Nachfrage:
    ging die Frage unter, oder und gibt es keine Lösung für das Problem?
     
  9. PP Frank

    PP Frank Staff Member

    Ich selber kann da nur nicht Antworten, da keiner von uns BB hat. Mit Android ist das bei uns schon schwierig, aber BB hat wirklich gar keiner von uns. Ist leider eben ein absolutes Nieschengerät.
     
  10. JackCarver

    JackCarver Junior Member

    Musste heute mal wieder mein IPsec Zertifikat auf meinem Server erneuern da abgelaufen...War auch wieder richtig schön IPsec auf OSX zum Laufen zu bringen, IPsec halt, einfach ohne Worte...

    Das bringt mich aber zu folgendem und evtl passend zu diesem Thread hier:

    Also zu euren Servern kann ich mich mit der Methode, wie ich mich zu meinem Server per IPsec verbinde nicht verbinden. Auch hier kommt ein Auth-Fehler, der allerdings nix mit dem Account etc zu tun hat, sondern mit dem jeweiligen X509 Zertifikat.

    Um das vergleichbar zu halten:

    In beiden Fällen hab ich die Verbindung unter OSX folg. eingerichtet:

    - Cisco IPsec
    - Serveradresse: zb amsterdam.perfect-privacy.com
    - Accountname: Mein PP Account
    - Kennwort: Mein PP Kennwort
    - Authentifizierungseinstellungen:
    --> Das in die Keychain importierte Maschinenzertifikat

    Zum Zertifikat selber:
    Beide Zertifikate, meines sowie eures, liegt unter den Systemzertifikaten der Keychain. Vertrauen auf -> "immer vertrauen", Schlüssel -> "alle Programme, also auch racoon dürfen den Schlüssel verwenden"

    Verbinde ich mich nun mit racoon, ich hab da mal das umfangreichere Logging eingeschalten, passiert bei PP folgendes Problem:

    Das Serverzertifikat wird gesendet und im Log sieht man das:

    Code:
    23.03.16 16:17:12,690    racoon[6215]    CERT saved:
    23.03.16 16:17:12,691    racoon[6215]    failed to get subjectAltName
    23.03.16 16:17:12,691    racoon[6215]    Discarding CERT: does not match ID:
    23.03.16 16:17:12,691    racoon[6215]    No ID match.
    23.03.16 16:17:12,691    racoon[6215]    *** SIGN passed
    23.03.16 16:17:12,691    racoon[6215]    no peer's CERT payload found.
    23.03.16 16:17:12,691    racoon[6215]    IKEv1 Phase 1 AUTH: failed. (Initiator, Main-Mode Message 6).
    23.03.16 16:17:12,691    racoon[6215]    IKE Packet: receive failed. (Initiator, Main-Mode Message 6).
    Er findet den subjectAltName nicht und die ID matched ebenso nicht. Das ganze wiederholt sich dann ne gewisse Zeit und bricht dann ab.

    Verbinde ich zu meinem Server sieht das so aus:

    Code:
    23.03.16 17:06:15,104    racoon[6811]    CERT saved:
    23.03.16 17:06:15,104    racoon[6811]    *** SIGN passed
    23.03.16 17:06:15,112    racoon[6811]    CERT validated
    23.03.16 17:06:15,112    racoon[6811]    hmac(hmac_sha1)
    23.03.16 17:06:15,114    racoon[6811]    SIG authenticated
    23.03.16 17:06:15,114    racoon[6811]    IKEv1 Phase 1 AUTH: success. (Initiator, Main-Mode Message 6).
    23.03.16 17:06:15,114    racoon[6811]    peer's ID:
    02000000 636c6f75 642e6a61 636b7373 65727665 72677569 6465732e 6465
    Kurze Zeit danach verbindet sich das ganze. Die Authentifizierung vom Serverzertifikat läuft da irgendwie schief. Kann es ein, dass ihr auf den Servern andere Zertifikate verwendet, als die, die man unter den ipsec_certs Ordner findet?

    Edit:
    Per PSK klappt alles ohne Probs.

    Das Amsterdam Zertifikat aus dem ipsec_certs Ordner hat 2 SANs:

    - amsterdam.perfect-privacy.com
    - amsterdam*.perfect-privacy.com

    Da scheints aber beim Serverzertifikat, das gesendet wird, ein Problem zu geben.

    Die Zerts, die man unter der OSX Keychain importiert und das was vom Server gesendet wird müssen identisch sein, sonst klappt das nicht. Das dient der Maschinen-Auth, das andere ist dann die Account-Auth.
     
    Last edited: Mar 23, 2016
  11. JackCarver

    JackCarver Junior Member

    Ich hab nun mal versucht den Fehler am eigenen Server irgendwie nachzustellen und es ist mir letztlich auch gelungen :)

    Das Problem, zumindest was OSX betrifft, ist eine Option in der Strongswan Config. Dort gibt es eine Option, die heißt zb:

    Code:
    leftid = FQDN
    Dabei sollte dort am besten das stehen, was auch irgendwo im SAN des Serverzertifikats steht, also verwendet man als SAN statt dem FQDN des Servers dessen IP, dann eben:

    Code:
    leftid = serverIP
    Verwendet man nun dabei aber Wildcards, wird es nix mit racoon, also ein:

    Code:
    leftid = *.perfect-privacy.com
    ist eher schlecht, denn genau in dem Fall kommt der oben angesprochene Fehler. Würde natürlich bei mehreren Servern irgendwo Sinn machen, aber halt nicht für racoon.

    @PP Frank :

    Evtl kannst du da ja mal Lars drauf ansprechen, ob das in der Ipsec-Server conf so ähnlich der Fall ist. Man kann ja bei Strongswan für verschiedene Systeme verschiedene conn Unterabschnitte machen und dabei beim OSX/iOS conn dann die Wildcard, falls vorhanden, weglassen.

    Und evtl hat auch Blackberry genau damit ein Problem, sofern Zertifikate verwendet werden.
     
  12. b

    bar4me New Member

    KrisWolf likes this.
  13. b

    blackberry New Member

    Hallo habe ein Blackberry Q5
    die Zertifikate sind trotz download nicht hinzu zufuegen.
    woran liegt das??
     
  14. b

    b2201 New Member

    Hello,
    I am a new member and would like to set up my BB Z10 to connect to your VPN. However, there is no certificates to be found on your download area --or anywhere in your forum.
    Please help.
    Thank you very much!!

    Edit:
    I found a link in another forum (https://board.perfect-privacy.com/threads/blackberry-passport-certificate.2225/). PP posted this link:
    https://www.perfect-privacy.com/member/download/?file=ipsec_ca.zip

    The link you provided above --has two files
    1. perfect-privacy_ipsec_ca.crt
    2. perfect-privacy_ipsec_ca.mobileconfig (This is for iOS)

    However, BB does not recognize the files as certificates --when I try to import them via
    System Settings > Security and Privacy > Certificates > Import > (then going to the folder with the above two files)

    I think the certificates should have file-type .p12 For example, perfect-privacy_cert.p12. I changed the file type to p12 to test it. BB os then sees the file as a cert, but of course it failed to decode the certificate as it is not the correct format.

    Please help.
    Thank you very much!!
     
    Last edited: Feb 12, 2018
  15. b

    b2201 New Member

    This is a continuation of my prior entry:

    I managed to somehow convert the perfect-privacy_ipsec_ca.crt to a .der file for BB os to accept.
    This link shows how to do it:
    http://support.blackberry.com/kb/articleDetail?articleNumber=000036404

    Now I can import the CA certificate to BB. However, when I make all the changes to set up a VPN to connect to PP VPN. It gives me a "Connection Error Invalid certificate" error.

    Would someone from PP kindly provide a valid certificate for BB use to connect to your VPN? Please provide the certifciate in .DER format.

    Thanks a lot!
     
    Last edited: Feb 12, 2018
  16. PP Stephan

    PP Stephan Staff Member

    Thanks for reviving this old thread, as we can now provide instructions for Blackberry. Find the certificate here:
    https://www.perfect-privacy.com/member/download/?file=ipsec_ca.zip

    Import the *.p12 file, the password is "pp" (without the quotes)

    VPN Configuration:
    • Server Address: the VPN server you want to use, for instance basel.perfect-privacy.com
    • Gateway Type: Generic IKEv2 VPN Server
    • Authentication Type: EAP-MSCHAPv2
    • Authentication ID Type: Fully Qualified Domain Name
    • Authentication ID: <enter anything>
    • MSCHAPv2 Identity: <enter anything>
    • MSCHAPv2 Username: <your Perfect Privacy username>
    • MSCHAPv2 Password: <your Perfect Privacy password>
    • Gateway Auth Type: PKI
    • Gateway Auth ID Type: Fully Qualified Domain Type
    • Gateway Auth ID: leave empty
    • Allow Untrusted Certificate: Prompt