- \n
- ESP-HMAC-SHA2-256<\/li>\n
- ESP-HMAC SHA1<\/li>\n
- ESP-HMAC-MD5<\/li>\n
- AES-128<\/li>\n
- ESP authentication none<\/li>\n
- ESP-3DES<\/li>\n
- ESP-DES<\/li>\n<\/ol>\n
Man erkennt, dass inzwischen mit folgenden Default Proposals gearbeitet wird:<\/p>\n
Phase 1<\/strong><\/p>\n
- \n
- Authentication: SHA2-256<\/li>\n
- Encryption: AES-256<\/li>\n
- Diffie-Hellman Group 2<\/li>\n<\/ul>\n
Phase 2<\/strong><\/p>\n
- \n
- ESP<\/li>\n
- Authentication: SHA2-256<\/li>\n
- Encryption: AES-256<\/li>\n
- kein PFS<\/li>\n<\/ul>\n
Nach dem Abgleichen der Parameter kommt sofort ein Connect zustande, aber leider kein Datentransfer.\u00a0Internet-Recherche bringt zutage, dass der Android-VPN-Client in Marshmallow 6.0.1 leider eine “seltsame” SHA2-Implementierung\u00a0verwendet, und diese auch noch f\u00fcr das Default Proposal eingesetzt wird. (https:\/\/code.google.com\/p\/android\/issues\/detail?id=196939<\/a>)<\/p>\n
[...] It seems the version of SHA2-256 that Android 6.x.x is using is an older draft specification and the one implemented in many other IPsec implementations uses the official SHA2-256 implementation with the correct padding and whatever else. [...]\r\n\r\n(04-Jun-2016):\r\nThis issue is fixed internally and fix will be available in future releases.<\/pre>\n
Stellt man das Phase 2 Proposal auf SHA1 zur\u00fcck, wird das Default ESP-SHA2-256-AES-256 Proposal des Android-Clients von der WatchGuard verworfen und der Client versucht anschlie\u00dfend, mit dem folgenden Proposal eine Verbindung aufzubauen. Dies klappt dann schlie\u00dflich auch.<\/p>\n
Funktionierende Einstellungen:<\/h4>\n
![\"android-ipsec-1\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2016\/08\/android-ipsec-1.png\")
<\/p>\n- \n
- Group Name: Android<\/strong> – wird beim Client nochmal ben\u00f6tigt.<\/li>\n<\/ul>\n
Phase 1:<\/strong><\/p>\n
- \n
- Authentication: SHA2-256<\/strong><\/li>\n
- Encryption: AES-256<\/strong><\/li>\n
- Diffie-Hellman Group 2 <\/strong>(wird unter Advanced eingestellt):<\/li>\n<\/ul>\n
![\"android-ipsec-2\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2016\/08\/android-ipsec-2.png\")
<\/p>\n<\/p>\n
![\"android-ipsec-3\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2016\/08\/android-ipsec-3.png\")
<\/p>\n<\/p>\n
Phase 2 Proposal<\/strong><\/p>\n
- \n
- ESP<\/strong><\/li>\n
- Authentication: SHA1<\/strong><\/li>\n
- Encryption: AES-256<\/strong><\/li>\n
- kein PFS<\/strong><\/li>\n<\/ul>\n
<\/p>\n
<\/p>\n
<\/p>\n
![\"android-ipsec-4\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2016\/08\/android-ipsec-4.png\")
<\/p>\n<\/p>\n
<\/p>\n
<\/p>\n
Der komplette Traffic wird durch den Tunnel geroutet, die Resourcen Any-External und 0.0.0.0\/0 werden dadurch automatisch angelegt.\u00a0<\/strong><\/p>\n
<\/p>\n
<\/p>\n
<\/p>\n
<\/p>\n
<\/p>\n
<\/p>\n
<\/p>\n
<\/p>\n
<\/p>\n
<\/p>\n
<\/p>\n
Einstellungen beim Android Client:<\/h4>\n
![\"android-nativ-ipsec-client-1\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2016\/08\/android-nativ-ipsec-client-1.png\")
\u00a0 \u00a0 \u00a0![\"android-nativ-ipsec-client-2\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2016\/08\/android-nativ-ipsec-client-2.png\")
<\/p>\n- \n
- IPSec-ID ist der oben definierte Group Name (“Android”)<\/li>\n
- Die\u00a0erweiterten Optionen k\u00f6nnen leer bleiben.<\/li>\n<\/ul>\n
Tests<\/h4>\n
Nach dem Connect durch den Android Client sollte man \u00fcber z.B. www.wieistmeineip.de testen, ob das Routing durch die Firewall sauber\u00a0funktioniert. Dort sollte dann als Quell-IP die \u00f6ffentliche IP der WatchGuard angezeigt werden, mit der man per VPN verbunden ist.<\/p>\n","protected":false},"excerpt":{"rendered":"
Dieser Artikel beschreibt die Anbindung eines Android 6.0.1\u00a0Marshmallow mit dem Native Client per\u00a0IPSec an eine WatchGuard Firebox\/XTM. Nativer Client Die in der\u00a0WatchGuard Help (Stand: 04.08.2016) angegebenen Hinweise auf die IPSec Proposals beziehen sich auf Android 4.x. Dort steht “do not use SHA2 in the Phase 1 and Phase 2 settings. SHA2 is not supported on the VPN clients on Android devices”. Mittlerweile wird jedoch SHA1 … Weiterlesen IPSec VPN WatchGuard <=> Android (nativer Client)<\/span>
- Authentication: SHA1<\/strong><\/li>\n
- Encryption: AES-256<\/strong><\/li>\n
- Authentication: SHA2-256<\/strong><\/li>\n
- Group Name: Android<\/strong> – wird beim Client nochmal ben\u00f6tigt.<\/li>\n<\/ul>\n