Shared Secret / Pre-Shared Key (PSK) Problem

**alexb** · 24.02.2006 17:17

Mein Problem ist folgender ich möchte eine Verbindung über Shared Secret / Pre-Shared Key (PSK) herstellen.

Ich habe in
Eigene IPSec ID: test@intranator.net
IPSec ID Gegenstelle: test_gegenstelle@safe.net

eingetragen

Als Schlüssel habe ich die Zahlenkombination 1-9 eingetragen

und bekomme nach dem Versuch zu speichern alles in rot mit follgendem Satz:

Alle Gegenstellen mit dynamischer IP Adresse (DNS, Road Warriors) brauchen das gleiche Authentifizierungsverfahren.

Meine Frage wo muss ich sonst noch was einstellen oder mach ich da etwas falsch das dies nicht funktioniert.

Im vorraus schojn mal vielen Dank für eure bemühungen

MFG

Alex.B

**Gerd von Egidy** · 25.02.2006 15:33

Hallo,

nun, wie die Fehlermeldung es schon sagt: Alle VPN-Verbindungen mit dynamischen IPs müssen das selbe Authentifizierungsverfahren verwenden. Also entweder Pre-Shared Key oder X.509-Zertifikate. Sie müssen also die anderen VPN-Verbindungen deaktivieren.

Herzliche Grüße,

v. Egidy

**compro** · 19.09.2008 16:04

Zitat von Gerd von Egidy

Hallo,

nun, wie die Fehlermeldung es schon sagt: Alle VPN-Verbindungen mit dynamischen IPs müssen das selbe Authentifizierungsverfahren verwenden. Also entweder Pre-Shared Key oder X.509-Zertifikate. Sie müssen also die anderen VPN-Verbindungen deaktivieren.

D.h. es würde dann zusammen funktionieren, wenn alle X.509 VPN Verbindungen direkt mit festen IP Adressen arbeiten und so auch eingetragen werden?

Sozusagen; beide Gegenstellen mit fester IP -> verwenden X.509.
Alle (Möchtegerne) ohne feste IP müssen dann Preshared Keys nutzen.

Dann können alle zusammen auf dem Ball tanzen

**Gerd von Egidy** · 19.09.2008 16:53

Hallo,

das würde funktionieren, davon kann ich aber nur abraten. Denn alle Verbindungen mit dynamischen IPs müssen den selben Pre-shared-Key verwenden. Und das stellt ein Sicherheitsrisiko dar, da Sie jetzt nicht mehr einzelne Verbindungen geziehlt deaktivieren können.

Es würde andersrum deutlich mehr Sinn machen:

- die Verbindungen mit X.509-Zertifikaten greifen von dynamischen IPs zu, jede Gegenstelle hat ihr eigenes Zertifikat

- die Verbindungen mit Pre-shared-Key greifen von festen IPs zu, jede Gegenstelle hat ihren eigenen Schlüssel, der über die verwendete IP zugewiesen wird.

Herzliche Grüße,

v. Egidy

**compro** · 23.09.2008 11:37

Zitat von Gerd von Egidy

Es würde andersrum deutlich mehr Sinn machen:

- die Verbindungen mit X.509-Zertifikaten greifen von dynamischen IPs zu, jede Gegenstelle hat ihr eigenes Zertifikat

- die Verbindungen mit Pre-shared-Key greifen von festen IPs zu, jede Gegenstelle hat ihren eigenen Schlüssel, der über die verwendete IP zugewiesen wird.

Aber das genau ist das Problem. Die Haus und Hof Router können keine X.509 Zertifikate. Aber mit Pre-shared-Keys ist halt mal schnell eine VPN Verbindung für das gelegentliche Heimarbeiten aufgebaut. Die große Lösung lohnt sich in der Regel halt nicht. Und ich finde doch Zertifikate vieeeeeeeel besser!

Thema: Shared Secret / Pre-Shared Key (PSK) Problem

Themen-Optionen

Thema bewerten

Anzeige

Shared Secret / Pre-Shared Key (PSK) Problem

Key Mix oder wie bekommen wir die Mannschaft aufs Eis.

Berechtigungen