Netzwerkanalyse, Fehlersuche, Testberichte
Home / News
Netzwerkanalyse
Grundlagen
Verkabelung
Erste Schritte
Baselining
Let's sniff
Tools
Auswerten/Filtern
Typische Probleme 1
Typische Probleme 2
Sicherheit
Bücher
Tutorials
Cacti
DSL einrichten
DynDNS einrichten
m0n0wall | pfSense
Nmap
VirtualBox
Wireshark
FAQ
Know How
Testberichte
Hardware-DB
Netzwerklexikon
Links / Service
Suche
Kontakt
Impressum
Feedback
Sitemap
Netzwerktechnik Forum

Forum Netzwerktechnik (Archiv)

Kategorie Netzwerktechnik - Forum VPN

 
VPN zum Netgear FVS 338 mittels RSA verschlüsseln

geschrieben am 10.06.2009 um 17:46 von basha

Hallo Forum,
ich habe einen FVS338 in Betrieb und kann mich wunderbar per Shrewsoft in mein Netz einwählen.

Doch habe ich meine Zweifel, ob dass alles so super sicher ist. Ist es möglich auch schon die Einwahl - ähnlich wie beim ssh - mit einem Public und Secret Key, der nicht ausgetauscht wird, sondern im Besitz des Einwählenden sein muss, zu schützen?

Laut der Anleitung: http://blog.edv-helferlein.de/2009/01/21/shrewsoft-netgear-fvs338-vpn-verbindung/

reicht dem Angreifer ja schließlich das Passwort und meine temporäre DynDns, was ja alles mehr oder weniger leicht umgehbar ist.

Vielen Dank!
Basha
 

geschrieben am 10.06.2009 um 22:06 von Mirko

Der Netgear-Router und auch der Shrew VPN-Client unterstützen RSA Authentication. Die Zertifikate kannst Du beispielsweise mit OpenSSL erstellen. Vielleicht hilft Dir diese kurze Anleitung von Netgear ftp://downloads.netgear.com/files/certUserguide1_final1.pdf

Im Handbuch ftp://downloads.netgear.com/files/FVS338_RM_28Feb09.pdf ab Seite 5-31 ist auch einiges beschrieben.

Wobei ein VPN mit einem starken PSK doch recht sicher ist.

Mirko
 

geschrieben am 16.06.2009 um 19:26 von basha

Super, vielen Dank für die Info!

Viele Grüße
Basha
 

geschrieben am 21.06.2009 um 17:27 von basha

Ich muss leider noch mal nachhaken, da ich nun fast nicht mehr weiter weiß.

Und zwar bin ich der obigen Anleitung bis auf einen Tippfehler gefolgt und habe mir eine entsprechende VPN-Verbindung eingerichtet, doch gibt's laut log den Fehler:

Code:

2009 Jun 21 15:35:05 [FVS338] [IKE] failed to get subjectAltName_
2009 Jun 21 15:35:05 [FVS338] [IKE] Sending Informational Exchange: notify payload[INVALID-CERTIFICATE]_


Alle Variationen von Angaben brachten mich nicht weiter.

Ein Test der Zertifikate mittels
Code:
openssl verify host.crt
ergab, das mein eigenes okay ist, doch das vom Router einen Fehler aufweist.
Code:
host.crt: /CN=fvs
error 20 at 0 depth lookup:unable to get local issuer certificate


Reicht es wirklich aus, den selbst generierten Zertifikat Request mit einem eigenen Zertifikat zu bestätigen - so wie es die Anleitung beschreibt, oder fehlt da irgendwo ein Schritt? Ich hab' gelesen, dass man mit einer openssl Extension zusätzliche Parameter zum Alternative Subject Name angeben kann, werde aber aus den Anleitungen nicht so recht schlau ...

Über jegliche Hinweise würde ich mich freuen ;-)

VIele Grüße
Basha
 

[ Dieses Thema im Live-Forum aufrufen ]

Sie befinden sich im Archiv des Forums.
Zum Forum

Archiv erstellt mit phpBB2HTML 0.1 - Foren in statisches HTML umwandeln © 2006 Mirko Kulpa

 

 
© 2004-2023, network lab - we make your net work - Netzwerkforum
aktualisiert am 13.05.2019