Ich hatte an dieser Stelle vor einiger Zeit beschrieben, wie man das IPSEC-VPN der OVGU konfiguriert um einigermaßen schmerzfrei arbeiten zu können.
Mit einem Update vor kurzem funktioniert die dort beschrieben Konfiguration nicht mehr, die Verbindung wird zwar zunächst aufgebaut, aber sofort terminiert. Wie ich nach einigem Debuggen (IKEv1 ist ein absurdes Protokoll, aber hier trotzdem ein kleines Parserchen) und einem Ticket mit erwartungsgemäß vollständig nutzloser Support-Antwort (dort meint man nur AnyConnect supporten zu müssen, obwohl IPSEC offiziell auf der Webseite beschrieben wird) festgestellt habe, liegt das an einer einzelnen Einstellung. Irgendwo in der PFS-Aushandlung nach dem initialen Handshake wird nochmal eine RSA-Gruppe eingestellt, und die „default“-Einstellung von SSVPN (und auch den meisten OS-nativen Clients) ist eine 768-bit MODP group. Diese MUSS laut RFC von jeder Serversoftware unterstützt werden. Wird sie aber mit der jetzt ausgerollten Version „Cisco Systems, Inc ASA5540 Version 9.1(devil) built by builders on Fri 27-Feb-15 13:50“ nicht mehr, die damit gegen RFC 2409 verstößt. Die korrekte Verhaltensweise im Falle unsupporteter Gruppen-Anforderungen ist übrigens eine „ATTRIBUTES-NOT-SUPPORTED(13)“-Message. Stattdessen kommt eine „NO-PROPOSAL-CHOSEN(14)“, man verstößt also gleich nochmal gegen die RFC, und das in einer Art und Weise, die das Debuggen gleich nochmal schwerer macht.
Der Fix ist jetzt also: in SSVPN in den Phase2-Einstellung die Group 2 erzwingen.
Hier findet ihr eine Konfigurationsdatei zum direkten Importieren: UniMDVPN.vpn