2
IPSec Phase 1 Main Mode und Aggressive Mode gemeinsam
Moin zusammen!
Bin grade über was merkwürdiges gestolptert:
IPSec Site2Site Verbindung funktioniert mit Site A (PfSense, feste IP) Aggressive Mode und Site B (FB, dyn. IP) Main Mode. (Oder im AVM-Duktus: mode_idp)
Ist das bekannt? Ich dachte bisher immer, man muss auf beiden Seiten den gleichen Modus definieren.
Es werden doch in den Modi per definitionem vollkommen verschiedene Identifizierungspakete getauscht, dachte ich und habe ich hier nochmal nachgelesen:
http://www.ciscopress.com/articles/article.asp?p=25474&seqNum=7
Da dürfte doch keine Verbindung ausgehandelt werden? Geht aber. Und zwar nur, wenn auf der dyn. IP Seite (also hier der FB) der main Mode definiert ist. Setze ich den Main Mode auch auf der PfSense mit der festen IP motzt der Racoon, dass er für die dyn. IP der Gegenseite keinen definierten Schlüssel hat. (Wie erwartet, eigentlich)
Ist das ein Bug auf einer der Seiten oder ist das so definiert? (Konnte ich nicht finden)
War eine reine Verzweiflungstat, den main Mode zu probieren, da der Reconnect mit den Kisten immer noch nicht stabil läuft, und dann sowas...
Mag das jemand (z.B. aqui?)
mal spaseshalber mit anderer Hardware nachstellen? Ich kann nur noch PfSense --- PfSense probieren.
Die Welt ist voller Wunder...
Nächtens.
Buc
Bin grade über was merkwürdiges gestolptert:
IPSec Site2Site Verbindung funktioniert mit Site A (PfSense, feste IP) Aggressive Mode und Site B (FB, dyn. IP) Main Mode. (Oder im AVM-Duktus: mode_idp)
Ist das bekannt? Ich dachte bisher immer, man muss auf beiden Seiten den gleichen Modus definieren.
Es werden doch in den Modi per definitionem vollkommen verschiedene Identifizierungspakete getauscht, dachte ich und habe ich hier nochmal nachgelesen:
http://www.ciscopress.com/articles/article.asp?p=25474&seqNum=7
Da dürfte doch keine Verbindung ausgehandelt werden? Geht aber. Und zwar nur, wenn auf der dyn. IP Seite (also hier der FB) der main Mode definiert ist. Setze ich den Main Mode auch auf der PfSense mit der festen IP motzt der Racoon, dass er für die dyn. IP der Gegenseite keinen definierten Schlüssel hat. (Wie erwartet, eigentlich)
Ist das ein Bug auf einer der Seiten oder ist das so definiert? (Konnte ich nicht finden)
War eine reine Verzweiflungstat, den main Mode zu probieren, da der Reconnect mit den Kisten immer noch nicht stabil läuft, und dann sowas...
Mag das jemand (z.B. aqui?)
mal spaseshalber mit anderer Hardware nachstellen? Ich kann nur noch PfSense --- PfSense probieren.Die Welt ist voller Wunder...
Nächtens.
Buc
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 276234
Url: https://administrator.de/contentid/276234
Printed on: April 23, 2024 at 22:04 o'clock
2 Comments
Latest comment
Ich probiers mal auf einem Cisco. Es ist aber gut möglich das bei einigen Implementationen das negotiatable ist. Eigentlich dürfte es das nicht sein, den der erheblich sicherere Main Mode dürfte sich niemals so aushebeln lassen und dann auf den weniger sichereren Agressive Mode zurückfallen. Wäre fatal. Möglich aber das in einigen Consumer Produkten das so implementiert ist um sich Support Calls von nicht fachkundigen Usern vom Hals zu halten.
Moin!
Schon getestet? Der Witz ist, dass der reconnect mit diesen "unmöglichen" Settings definitiv stabiler läuft, als mit beiden Seiten "aggressive".
Wenn sich das stabilisiert, werde ich auch AVM mal teilhaben lassen...
Buc
Schon getestet? Der Witz ist, dass der reconnect mit diesen "unmöglichen" Settings definitiv stabiler läuft, als mit beiden Seiten "aggressive".
Wenn sich das stabilisiert, werde ich auch AVM mal teilhaben lassen...
Buc
