IPSec VPN Verbindung auf BlackBerry Phone einrichten

Gudri

New Member
How To IPSec IKEv2 on Blackberry:

Vorbereitungen:
1. Kopiert die IPSec-Zertifikate auf das Mobiltelefon

2. Importiert das Zertifikat für den gewünschten Server unter Einstellungen / Sicherheit und Datenschutz / Zertifikate

Das Passwort zum Importieren lautet "pp"

VPN Einrichten:
1.Unter Einstellungen / Netzwerke und Verbindungen / VPN ein neues VPN-Profil hinzufügen

Profilname: Gewünschte Bezeichnung um den Überblick eurer Verbindungen zu behalten
Serveradresse: eintragen der Serveradresse des gewünschten VPN-Servers, welche im Memberbereich einzusehen ist
Gateway-Typ: Generischer IKEv2 VPN-Server
Authentifizierungstyp: EAP-MSCHAPV2
Typ der Authentifizierung: Vollständiger Domänenname
Authentifizierungs-ID: könnt ihr irgendwas hinschreiben
MSCHAPV2 EAP-Identität: könnt ihr irgendwas hinschreiben
MSCHAPV2-Benutzername: PP-Member Benutzername
MSCHAPV2-Kennwort: PP-Member Kennwort
Typ der Gateway-Auth.: PKI
Typ der Gateway-Auth.-ID: eintragen der Serveradresse wie oben bei Serveradresse
Nicht vertrauenswürdiges Zertifikat: Nicht zulassen
Zertifizierungsstellenzertifikat für Gateway: perfect-privacy

2. Speichern
3. Verbinden

Viel Spaß
 

Attachments

frodofailed

New Member
Hallo und danke für den Guide!

Ich kann leider die IPSec-Zertifikate nicht finden die man runterladen sollte.
Danke für die Hilfe.

Beste Grüße
Frodofailed
 

Gudri

New Member
Hi,

habt ihr irgendwas geändert ? Seit einigen Wochen kann das Telefon keine VPN Verbindung mehr aufbauen: Authentifizierungsfehler
 

4Frame

New Member
Guten Abend,
ich bekomme ebenfalls bei meinem Z10 eine Authentifizierungsfehler Meldung.
Konnte der Fehler unterdessen gefunden werden?
Trotzdem - Danke für die Anleitung!
 

PP Frank

Staff member
Ich selber kann da nur nicht Antworten, da keiner von uns BB hat. Mit Android ist das bei uns schon schwierig, aber BB hat wirklich gar keiner von uns. Ist leider eben ein absolutes Nieschengerät.
 

JackCarver

Junior Member
Musste heute mal wieder mein IPsec Zertifikat auf meinem Server erneuern da abgelaufen...War auch wieder richtig schön IPsec auf OSX zum Laufen zu bringen, IPsec halt, einfach ohne Worte...

Das bringt mich aber zu folgendem und evtl passend zu diesem Thread hier:

Also zu euren Servern kann ich mich mit der Methode, wie ich mich zu meinem Server per IPsec verbinde nicht verbinden. Auch hier kommt ein Auth-Fehler, der allerdings nix mit dem Account etc zu tun hat, sondern mit dem jeweiligen X509 Zertifikat.

Um das vergleichbar zu halten:

In beiden Fällen hab ich die Verbindung unter OSX folg. eingerichtet:

- Cisco IPsec
- Serveradresse: zb amsterdam.perfect-privacy.com
- Accountname: Mein PP Account
- Kennwort: Mein PP Kennwort
- Authentifizierungseinstellungen:
--> Das in die Keychain importierte Maschinenzertifikat

Zum Zertifikat selber:
Beide Zertifikate, meines sowie eures, liegt unter den Systemzertifikaten der Keychain. Vertrauen auf -> "immer vertrauen", Schlüssel -> "alle Programme, also auch racoon dürfen den Schlüssel verwenden"

Verbinde ich mich nun mit racoon, ich hab da mal das umfangreichere Logging eingeschalten, passiert bei PP folgendes Problem:

Das Serverzertifikat wird gesendet und im Log sieht man das:

Code:
23.03.16 16:17:12,690    racoon[6215]    CERT saved:
23.03.16 16:17:12,691    racoon[6215]    failed to get subjectAltName
23.03.16 16:17:12,691    racoon[6215]    Discarding CERT: does not match ID:
23.03.16 16:17:12,691    racoon[6215]    No ID match.
23.03.16 16:17:12,691    racoon[6215]    *** SIGN passed
23.03.16 16:17:12,691    racoon[6215]    no peer's CERT payload found.
23.03.16 16:17:12,691    racoon[6215]    IKEv1 Phase 1 AUTH: failed. (Initiator, Main-Mode Message 6).
23.03.16 16:17:12,691    racoon[6215]    IKE Packet: receive failed. (Initiator, Main-Mode Message 6).
Er findet den subjectAltName nicht und die ID matched ebenso nicht. Das ganze wiederholt sich dann ne gewisse Zeit und bricht dann ab.

Verbinde ich zu meinem Server sieht das so aus:

Code:
23.03.16 17:06:15,104    racoon[6811]    CERT saved:
23.03.16 17:06:15,104    racoon[6811]    *** SIGN passed
23.03.16 17:06:15,112    racoon[6811]    CERT validated
23.03.16 17:06:15,112    racoon[6811]    hmac(hmac_sha1)
23.03.16 17:06:15,114    racoon[6811]    SIG authenticated
23.03.16 17:06:15,114    racoon[6811]    IKEv1 Phase 1 AUTH: success. (Initiator, Main-Mode Message 6).
23.03.16 17:06:15,114    racoon[6811]    peer's ID:
02000000 636c6f75 642e6a61 636b7373 65727665 72677569 6465732e 6465
Kurze Zeit danach verbindet sich das ganze. Die Authentifizierung vom Serverzertifikat läuft da irgendwie schief. Kann es ein, dass ihr auf den Servern andere Zertifikate verwendet, als die, die man unter den ipsec_certs Ordner findet?

Edit:
Per PSK klappt alles ohne Probs.

Das Amsterdam Zertifikat aus dem ipsec_certs Ordner hat 2 SANs:

- amsterdam.perfect-privacy.com
- amsterdam*.perfect-privacy.com

Da scheints aber beim Serverzertifikat, das gesendet wird, ein Problem zu geben.

Die Zerts, die man unter der OSX Keychain importiert und das was vom Server gesendet wird müssen identisch sein, sonst klappt das nicht. Das dient der Maschinen-Auth, das andere ist dann die Account-Auth.
 
Last edited:

JackCarver

Junior Member
Ich hab nun mal versucht den Fehler am eigenen Server irgendwie nachzustellen und es ist mir letztlich auch gelungen :)

Das Problem, zumindest was OSX betrifft, ist eine Option in der Strongswan Config. Dort gibt es eine Option, die heißt zb:

Code:
leftid = FQDN
Dabei sollte dort am besten das stehen, was auch irgendwo im SAN des Serverzertifikats steht, also verwendet man als SAN statt dem FQDN des Servers dessen IP, dann eben:

Code:
leftid = serverIP
Verwendet man nun dabei aber Wildcards, wird es nix mit racoon, also ein:

Code:
leftid = *.perfect-privacy.com
ist eher schlecht, denn genau in dem Fall kommt der oben angesprochene Fehler. Würde natürlich bei mehreren Servern irgendwo Sinn machen, aber halt nicht für racoon.

@PP Frank :

Evtl kannst du da ja mal Lars drauf ansprechen, ob das in der Ipsec-Server conf so ähnlich der Fall ist. Man kann ja bei Strongswan für verschiedene Systeme verschiedene conn Unterabschnitte machen und dabei beim OSX/iOS conn dann die Wildcard, falls vorhanden, weglassen.

Und evtl hat auch Blackberry genau damit ein Problem, sofern Zertifikate verwendet werden.
 

b2201

New Member
Hello,
I am a new member and would like to set up my BB Z10 to connect to your VPN. However, there is no certificates to be found on your download area --or anywhere in your forum.
Please help.
Thank you very much!!

Edit:
I found a link in another forum (https://board.perfect-privacy.com/threads/blackberry-passport-certificate.2225/). PP posted this link:
https://www.perfect-privacy.com/member/download/?file=ipsec_ca.zip

The link you provided above --has two files
1. perfect-privacy_ipsec_ca.crt
2. perfect-privacy_ipsec_ca.mobileconfig (This is for iOS)

However, BB does not recognize the files as certificates --when I try to import them via
System Settings > Security and Privacy > Certificates > Import > (then going to the folder with the above two files)

I think the certificates should have file-type .p12 For example, perfect-privacy_cert.p12. I changed the file type to p12 to test it. BB os then sees the file as a cert, but of course it failed to decode the certificate as it is not the correct format.

Please help.
Thank you very much!!
 
Last edited:

b2201

New Member
This is a continuation of my prior entry:

I managed to somehow convert the perfect-privacy_ipsec_ca.crt to a .der file for BB os to accept.
This link shows how to do it:
http://support.blackberry.com/kb/articleDetail?articleNumber=000036404

Now I can import the CA certificate to BB. However, when I make all the changes to set up a VPN to connect to PP VPN. It gives me a "Connection Error Invalid certificate" error.

Would someone from PP kindly provide a valid certificate for BB use to connect to your VPN? Please provide the certifciate in .DER format.

Thanks a lot!
 
Last edited:

PP Stephan

Staff member
Thanks for reviving this old thread, as we can now provide instructions for Blackberry. Find the certificate here:
https://www.perfect-privacy.com/member/download/?file=ipsec_ca.zip

Import the *.p12 file, the password is "pp" (without the quotes)

VPN Configuration:
  • Server Address: the VPN server you want to use, for instance basel.perfect-privacy.com
  • Gateway Type: Generic IKEv2 VPN Server
  • Authentication Type: EAP-MSCHAPv2
  • Authentication ID Type: Fully Qualified Domain Name
  • Authentication ID: <enter anything>
  • MSCHAPv2 Identity: <enter anything>
  • MSCHAPv2 Username: <your Perfect Privacy username>
  • MSCHAPv2 Password: <your Perfect Privacy password>
  • Gateway Auth Type: PKI
  • Gateway Auth ID Type: Fully Qualified Domain Type
  • Gateway Auth ID: leave empty
  • Allow Untrusted Certificate: Prompt
 
Top