Kompatibilität mit anderen IPSec-Implementierungen

In der Regel ist es kein Problem, eine VPN-Verbindungen zwischen SX-GATE und einem beliebigen anderen IPSec-fähigen Produkten zu etablieren. Entscheidend ist jedoch die Wahl der richtigen Parameter.

Die folgende Übersicht soll Ihnen dabei helfen.

Parameter der Phase 1:

  • Main-Mode
  • TripleDES (3DES), AES-128, AES-256
  • MD5-96, SHA1-96, SHA2-256, SHA2-512
  • Oakley Gruppen 2, 5, sowie 14 bis 18 (MODP1024, MODP1536, MODP2048, MODP3072, MODP4096, MODP6144, MODP8192)
  • Grundeinstellung Rekeying: 6 Stunden

Parameter der Phase 2:

  • ESP
  • TripleDES (3DES), AES-128, AES-256
  • MD5-96, SHA1-96, SHA2-256, SHA2-384, SHA2-512
  • Optional Perfect-Forward-Secrecy (Grundeinstellung: aktiviert, gleiche Gruppe wie in Phase 1)
  • Grundeinstellung Rekeying: 9 Stunden

Die Interoperabilität mit den eingebauten IPSec-Implementierung aktueller Microsoft Windows Versionen, Android, MacOS und iOS Betriebssysteme wird von uns regelmäßig überprüft. Bitte haben Sie Verständnis dafür, dass wir bezüglich der Interoperabilität mit den Produkten anderer Hersteller keine Aussage machen können. Die Vielzahl von Produkten und hier die teilweise deutlichen Unterschiede zwischen einzelnen Versionen macht uns dies unmöglich. Bei Problemen ist es jedoch in der Regel nicht schwierig, mit Hilfe der Log-Dateien beider Kommunikationspartner die Ursache zu finden und das Problem zu beseitigen.

Android 6 und SHA2-256

Mit Android 6.0 wurde SHA2-256 als Standard Proposal für Phase 2 festgelegt. Allerdings wird hier die Draft Version verwendet, die den Hash auf 96Bit begrenzt.
 
Bei XAuth kann dies über den Schalter "SHA2-256 96bit Draft Version" unter "Module > Netzwerk > Schnittstellen > ipsec0 > Verbindungen > Verbindungsname > Phase 2" aktiviert werden. Bei L2TP kann dies momentan (Stand: 6.0-4-9 / 7.0-0-1) nur in den Konfigurationsdateien selber eingestellt werden. Dadurch können sich allerdings andere Clients von dieser Verbindung, welche die normale SHA2-256 Implementation nutzen, nicht mehr verbinden.
 
Alternativ kann auch in der Verbindung SHA1-96 für Phase 2 forciert werden.