117471
Jul 15, 2015
2831
9
0
IPSec Netz zu Netz - ich krieg es nicht hin
Hallo,
ich habe mir eine IPSec Netz zu Netz Verbindung eingerichtet. Dabei hängt ein Cop ("tor") direkt im Internet, ein Cop ("tuxnet") befindet sich hinter einer Fritz!Box (Kabel Deutschland). Ich habe bei KD eine IPV4-Adresse und kann z.B. auch via Portforwarding auf 8443 zugreifen. Meine Fritz!Box zeigt kein DualStack Lite oder Ähnliches an.
Wo ich mir nicht ganz sicher bin:
Der Cop an der Festverbindung sagt:
Der Cop hinter der Fritz!Box sagt:
Vielleicht habt Ihr ja einen Tipp für den Papa?
Gruß,
Jörg
ich habe mir eine IPSec Netz zu Netz Verbindung eingerichtet. Dabei hängt ein Cop ("tor") direkt im Internet, ein Cop ("tuxnet") befindet sich hinter einer Fritz!Box (Kabel Deutschland). Ich habe bei KD eine IPV4-Adresse und kann z.B. auch via Portforwarding auf 8443 zugreifen. Meine Fritz!Box zeigt kein DualStack Lite oder Ähnliches an.
Wo ich mir nicht ganz sicher bin:
- ich habe auf der Fritz!Box UDP 500, 4500 und GRE (ohne Portangabe) an den dahinter befindlichen Cop weitergeleitet
- ich habe auf beiden Cops eine Regel "Zugriff von extern auf Cop" gesetzt und dort 500, 4500 (jeweils TCP/IP und UPD) sowie Port 47 (GRE) geöffnet
Der Cop an der Festverbindung sagt:
11:38:08 pluto[1749] |
11:38:08 pluto[1749] | *received whack message
11:38:08 pluto[1749] | kernel_alg_esp_auth_keylen(auth=2, sadb_aalg=3): a_keylen=20
11:38:08 pluto[1749] | kernel_alg_esp_auth_keylen(auth=1, sadb_aalg=2): a_keylen=16
11:38:08 pluto[1749] | kernel_alg_esp_auth_keylen(auth=2, sadb_aalg=3): a_keylen=20
11:38:08 pluto[1749] | kernel_alg_esp_auth_keylen(auth=1, sadb_aalg=2): a_keylen=16
11:38:08 pluto[1749] | * processed 0 messages from cryptographic helpers
11:38:08 pluto[1749] | next event EVENT_RETRANSMIT in 3 seconds for #5
11:38:08 pluto[1749] | next event EVENT_RETRANSMIT in 3 seconds for #5
11:38:11 pluto[1749] |
11:38:11 pluto[1749] | next event EVENT_RETRANSMIT in 0 seconds for #5
11:38:11 pluto[1749] | *time to handle event
11:38:11 pluto[1749] | handling event EVENT_RETRANSMIT
11:38:11 pluto[1749] | event after this is EVENT_PENDING_DDNS in 30 seconds
11:38:11 pluto[1749] | processing connection tuxnet
11:38:11 pluto[1749] | handling event EVENT_RETRANSMIT for 77.22.19.102 "tuxnet" #5
11:38:11 pluto[1749] | sending 456 bytes for EVENT_RETRANSMIT through wan-1:500 to 77.22.19.102:500 (using #5)
11:38:11 pluto[1749] | inserting event EVENT_RETRANSMIT, timeout in 40 seconds for #5
11:38:11 pluto[1749] | next event EVENT_PENDING_DDNS in 30 seconds
Der Cop hinter der Fritz!Box sagt:
11:38:06 pluto[1511] |
11:38:06 pluto[1511] | next event EVENT_PENDING_DDNS in 0 seconds
11:38:06 pluto[1511] | *time to handle event
11:38:06 pluto[1511] | handling event EVENT_PENDING_DDNS
11:38:06 pluto[1511] | event after this is EVENT_PENDING_PHASE2 in 60 seconds
11:38:06 pluto[1511] | inserting event EVENT_PENDING_DDNS, timeout in 60 seconds
11:38:06 pluto[1511] | next event EVENT_PENDING_DDNS in 60 seconds
11:39:06 pluto[1511] |
11:39:06 pluto[1511] | next event EVENT_PENDING_DDNS in 0 seconds
11:39:06 pluto[1511] | *time to handle event
11:39:06 pluto[1511] | handling event EVENT_PENDING_DDNS
11:39:06 pluto[1511] | event after this is EVENT_PENDING_PHASE2 in 0 seconds
11:39:06 pluto[1511] | inserting event EVENT_PENDING_DDNS, timeout in 60 seconds
11:39:06 pluto[1511] | handling event EVENT_PENDING_PHASE2
11:39:06 pluto[1511] | event after this is EVENT_PENDING_DDNS in 60 seconds
11:39:06 pluto[1511] | inserting event EVENT_PENDING_PHASE2, timeout in 120 seconds
11:39:06 pluto[1511] | pending review: connection "tor" was not up, skipped
11:39:06 pluto[1511] | next event EVENT_PENDING_DDNS in 60 seconds
Vielleicht habt Ihr ja einen Tipp für den Papa?
Gruß,
Jörg
Please also mark the comments that contributed to the solution of the article
Content-Key: 277376
Url: https://administrator.de/contentid/277376
Printed on: April 27, 2024 at 03:04 o'clock
9 Comments
Latest comment
Das hiesige Tutorial zu dem Thema hast du gelesen ??
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Das sollte eigentlich alle deine Fragen beantworten ?!
2 Sachen die vermutlich beides die Ursache deines Scheiterns oben sind:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Das sollte eigentlich alle deine Fragen beantworten ?!
2 Sachen die vermutlich beides die Ursache deines Scheiterns oben sind:
- Da die FB selber IPsec VPNs macht MUSST du wie Kollege LKS oben schon richtig bemerkt IPsec im FB Setting deaktivieren (VPN deaktivieren) ansonsten leitet die FB die IPsec Pakete nicht weiter ! Kannst du auf dem IPsec Endtunnel auch sofort selber sehen wenn du dir mit tcpdump mal die eingehenden Pakete ansiehst !! Bei dir kommt da vermutlich gar nicht erst IPsec an so das ein Scheitern des Tunnelaufbaus klar ist.
- GRE ist Schwachsinn. Sorry, aber das ist Bestandteil von PPTP VPNs wie jeder netzwerker weiss und hat mit IPsec nichts zu tun. Mach dich also bitte kundig was IPsec VPNs benötigen an Protokoll Komponenten: UDP 500, UDP 4500 und das ESP Protokoll (IP Protokoll Nummer 50, Achtung: kein TCP oder UDP 50 ! ESP ist ein eigenes IP Protokoll !)
nitial Main Mode message received on
Main Mode solltest du besser nicht verwenden. Es ist einfacher wenn du auf den Agressive Mode gehst.Laut Fehlermeldung (die leider sehr spartanisch ist ) ist gar keine Policy definiert, d.H. der Tunnel grundsätzlich nicht definiert.
Knackpunkt ist meistens das ESP Protokoll das das nicht durchkommt.
Du kannst doch auf dem Cop ein tcpdump laufen lassen. Check doch mal damit ob da beidseitig überhaupt ESP ankommt ?!
.local in einem Domainnamen zu verwenden ist auch nicht besonders gut, denn das kollidiert mit mDNS das diese Root Domain als Default nutzt. Besser ist hier imm .intern oder .lokal zu nehmen. Das ist aber nicht ursächlich für den obigen Fehler.
Wichtig wäre noch zu wissen ob du eine Authentisierung auf den FQDN Namen oder die IP machst ? Das muss auf beiden Seiten identisch sein. Da du keine öffentlichen Domain Namen verwendest solltest du immer auf die IP authentisieren !
Nämlich den, den er vom DNS der Fritz!Box bekommen hat (xyz.fritz.box)
Genau das ist nämlich der Punkt !Allein schon die Tatsache das du auf Firewall oder Router dynmaische IPs verwendest ist auch kontraproduktiv !
Niemals sollten diese Geräte dynmaische IPs und DNS bekommen sondern immer statische !
Genau deshalb nämlich um solche Diskrepanzen zu verhindern. Änder das dann sind wir ebenfalls einen Schritt weiter !
Ggf. ist das auch die Lösung, da jeder Mismatch diesbezüglich die IPsec Phase 2 zum Abbruch zwingt.
D.h., der Sohn von meiner Frau lädt da öfter mal Kumpels mit diversen mir unbekannten Geräten ins WLAN ein. Die möchte ich nicht unbedingt im gleichen Netz wie meine Rechner haben.
Das löst man aber auch nicht mit so einem VPN Unsinn wie du sondern schlicht und einfach mit einem mSSID fähigen WLAN Accesspoint, 2 unterschiedlichen SSIDs und einem Gast WLAN mit einem CP und entsprechendem User Tracking und Firewall:WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
dass entgegen diverser Tutorials und FAQs ESP statt GRE genutzt wird und dass die Fritz!Box eine VPN-Funktion hat, die ich bis dahin nicht kannte.
Sorry, aber da muss man sich fragen ob du hinterm Mond lebst und wie lange.Jeder Netzwerker und IT Azubi weiss das IPsec basierte VPNs immer ESP nutzen und nur bei PPTP basierten VPNs GRE genutzt wird. Das ist schon seit Jahrzehnten so !
GRE hat mit IPsec soviel zu tun wie ein Fisch mit einem Fahrrad. Ein Blick in die Wikipedia hätte das auch in 3 Sekunden gezeigt.
IPsec VPNs gibt es auch schon seit Jahrzehnten auf der FritzBox und auf zig anderen VPN Routern auch. Das dir das wirklich entgangen ist ist eigentlich völlig unverständlich. Aber egal....
Soviel zu dem Thema....
Weiterhin gibt es beim IPCop die Möglichkeit,....
Das gibt es bei ALLEN anderen IPsec basierten Routern und Firewalls wie z.B. der pfSense auch und ist keineswegs nur aus Spaß da.Auch das erfährt man wenn man entsprechende Tutorials über das IPsec Protokoll mal wirklich liest und versteht wie z.B. hier:
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
usw. usw.
bei Kabel Deutschland noch das Problem, dass ich dort keine echte IPV4-Adresse hatte
Stimmt, das ist natürlich großer Mist aber letztlich hausgemacht, da du dich ja bewusst für diesen Provider mit dieser Technik entschieden hast !In dem Fall bekomme ich eine Hinweismeldung, dass der Schlüssel im Klartext übertragen wird.
Das ist schlicht falsch. Auch im Aggressive Mode passiert sowas nicht. Es werden nur weniger Überprüfuingen gemacht. Der Agressive Mode ist in heterogenen Umgebungen sinnvoller. Wenn du beidseitig die gleiche HW hast kannst du natürlich auch den Main Mode verwenden...keine Frage.wenn ich einen IPCop als Firewall an eine bestehende Infrastruktur klemme um das dahinterliegende Netz abzuschirmen?
Nein, das ist es natürlich nicht !Auch die oben zitierte pfSense Lösung:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
bzw.
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Ist ja vollkommen identisch dazu nur das sie das eben auch mit einem CP und intelligentem Tracking verbindet..oder kann.
Es steht außer Frage das man nicht kontrollierbare Gastnetze immer so mit einer Firewall und möglichst stringenten Regeln abschottet !
Nur das nochmal als VPN auszuführen ist Unsinn ! Darauf bezog sich das. Sorry wenn das missverständlich war.
Dann müsste ich aber sämtliche Rechner über WLAN anbinden.
Nein müsste man nicht wenn man einen preiswerten mSSID fähigen Accesspoint betreibt. Der kann multiple SSIDs über die gleiche HW aufspannen. So hat man die Option das Gäste entweder per LAN Port oder WLAN in ihrem Segment bleiben.Idealerweise kombiniert man das mit einem kleinen, preiswerten 802.1x fähigen Switch der nichtbekannte Mac Adressen dann automatisch in das Gast Segment zwingt. Das wäre das Optimum wenn man auf Sicherheit Wert legt.
Anregungen dazu gibt dir dieses Tutorial, speziell der Part Praxisbeispiel:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Hardware dazu hast du ja alles schon und ein mSSID AP kostet zw. 20 und 30 Euro.
Wenn du die Frau ausnahmsweise 2mal bei Feinkost Albrecht einkaufen schickst hast du die Kosten wieder raus dafür
so etwa?
Cool ! Der ist wirklich gut ! 1:0 für LKS Gut - und wie soll sich derjenige verhalten, der diese Information nicht am ersten Ausbildungstag von seinem Ausbilder zugerufen bekommen hat?
Der macht wie immer das hier:http://bfy.tw/qNH
durch Fehler lernt man mehr
Da hast du absolut Recht, keine Frage !Versuch' mal, deine Frau zu überzeugen dass ein schwarzer Audi besser ist als ein rosaner Fiat...
Oha...wusste nicht das das doch so hart ist bei dir Da hast du natürlich alle Punkte auf deiner Seite...