Alles Füße, alles Schießgewehre

Na groß­ar­tig.
Kol­le­ge fuhr heu­te in die Außen­stel­le, um einen Edgerouter‑X als VPN-Gate­way zu instal­lie­ren. Ich hat­te vor­her auf mei­nem hier bei mir zuhau­se die initia­le Con­fig getes­tet, der Kol­le­ge dann in der Zen­tra­le eben­falls. Alles erfolg­reich, los gehts!
Ein­zig und allein die IP des loka­len VPN-End­points muß­te geän­dert werden.
Nun ist das bei Edge­OS so: Die gesam­te Kon­fi­gu­ra­ti­on steht in einer Text­da­tei: /config/config.boot. Ich habe immer die mit vi bear­bei­tet, das hat gut geklappt.
Es gibt aber auch eine Web-Ober­flä­che zum Kli­cken, die hat der Kol­le­ge ver­wen­det, um eben die­se IP zu ändern. Natür­lich baut die­se Ober­flä­che auch nur config.boot.
Jeden­falls: Es gibt nur eine Web­ober­flä­che für alle Edge­OS-Ver­sio­nen., aber unter­schied­li­che SoCs. Ist zwar alles MIPS, aber manch­mal von Media­tek, manch­mal von Cavium.
Media­tek kann SHA-256 in Hard­ware, Cavi­um nicht.

 

Quel­le: https://help.ui.com/hc/en-us/articles/115006567467-EdgeRouter-Hardware-Offloading

Da unser ER‑X Media­tek-basiert ist, hat­te ich SHA-256 ausgewählt:

vpn {
    ipsec {
        allow-access-to-local-interface disable
        auto-firewall-nat-exclude enable
        esp-group FOO0 {
            compression disable
            lifetime 3600
            mode tunnel
            pfs enable
            proposal 1 {
                encryption aes256
                hash sha256
            }
        }

Da aber wie gesagt nicht jedes Gerät AES-256 in Hard­ware kann, bie­tet das Web-UI das gar nicht erst an, son­dern steht auf SHA‑1 — weil es für alle Gerä­te pas­sen muß, nimmt man den kleins­ten gemein­sa­men Nen­ner. Und so pas­sier­te es: Der Kol­le­ge änder­te im Web-UI nur die IP des VPN-End­points, und in der Con­fig lan­de­te dann:

vpn {
    ipsec {
        auto-firewall-nat-exclude enable
        esp-group FOO0 {
            compression disable
            lifetime 3600
            mode tunnel
            pfs enable
            proposal 1 {
                encryption aes256
                hash sha1
            }
        }

Und natür­lich kam der Tun­nel nicht hoch. Wir haben uns tot­ge­sucht (erschwe­rend kommt hin­zu: der VPN-End­point in der Außen­stel­le steht hin­ter NAT) und die Ursa­che nicht gefun­den. Erst heu­te abend kam der Kol­le­ge auf den Trichter.
Und die Moral von der Geschicht: Trau kei­ner Web-GUI nicht!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert