Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst IPSec TR200bw zu R3000

Mitglied: tomyy666

tomyy666 (Level 1) - Jetzt verbinden

21.04.2008, aktualisiert 26.04.2008, 11642 Aufrufe, 9 Kommentare

Probleme mit dem Tunnel!

Hallo Forum,

ich habe zwischenzeitlich einiges zu diesem Thema in diesen und in anderen Foren gelesen und leider keine passenden Hinweise gefunden.

Auch habe ich die Anleitungen von Funkwerk als Basis für die Konfiguration genutzt.

Es sollte eigentlich nicht so schwer sein die entsprechende Konfiguration auf beiden Seiten vorzunehmen und damit ein funktionierendes VPN aufzubauen.

Kurz zu den Rahmenbedingungen:

Ich habe die Zentrale (TR200bw) und die Filiale (R3000). Auf beiden Routern ist die aktuelle Systemsoftware 7.5.1 Patch 6.
Beide Seiten nutzen eine dynamische IP über DynDns. Das funktioniert auch auf beiden Seiten.

Jetzt habe ich das Problem, dass sich der Tunnel von der R3000-Seite aufbaut, dies jedoch auf der TR200bw-Seite nicht.

Auf der R3000-Seite erscheint Peers Up: 1 / 1 Dormant: 0 Blocked: 0
SAs Phase1: 1 / 1 Phase2: 0 / 0

Auch wird auf der R3000-Seite die Remote ID - Remote IP - Local ID richtig angezeigt.

Auf der TR200bw-Seite steht bei Remote ID "No Id", die Remote IP und die Local ID sind jedoch richtig.

Hat jemand vielleicht noch ne Idee oder einen Tip aus eigenen Erfahrungen. Vielleicht bin ich ja auch schon zu langean dem Thema dran, so dass ich den Fehler nicht mehr sehe.

Wäre toll wenn sich jemand meldet und hierfür gleich meinen Dank vorab.

th
Mitglied: 51705
21.04.2008 um 21:00 Uhr
Hallo th,

ein paar mehr Einzelheiten wären hilfreich.

Phase1/Phase2 Settings pro Router
Syslog (auf IPSEC gefiltert) pro Router
NAT Settings pro Router
SIF (so aktiv) pro Router
Portfilter (so aktiv) pro Router

Grüße, Steffen
Bitte warten ..
Mitglied: tomyy666
21.04.2008 um 21:52 Uhr
Hallo Steffen,

vielen Dank für die schnelle Reaktion.

Zwischenzeitlich hatte ich eine Verbindung zum R3000. Ich konnte mich anmelden. Nach einer kurzen Zeit war die Verbindung wieder weg und kam auch nicht mehr zustande.

So, hier erst einmal einige Details:

Phase1 (gilt für beide Router bis auf die Local ID):

Proposal: (DES3/MD5)
Lifetime Policy: Use default lifetime settings
Group: (1024 bit MODP)
Authentication Method: Pre Shared Keys
Mode: aggressive
Alive Check: Heartbeats (send and expect)
Block Time: 0
Local ID: die von TR200bw auf R3000 und umgekehrt
Local Certificate: none
CA Certificates:
Nat - Travelsal: enabled

Phase2 (gilt auch für beide Router)

Proposal: (ESP(DES3/MD5) no Comp)
Lifetime Policy: Use default lifetime settings
Use PFS: group 2 (1024 bit MODP)
Alive Check: Heartbeats (send and expect)
Propagate PMTU: no

Traffic List
Local Address M/R Port Proto Remote Address M/R Port A Proposal
*192.168.10.0 M24 500 udp 192.168.0.0 M24 500 PA
0.0.0.0 M0 500 udp 0.0.0.0 M0 500 PA

Basic IP-Settings:
IP Transit Network no
Local IP Address 192.168.10.100
Default Route no
Remote IP Address 192.168.0.0
Remote Netmask 255.255.255.0


Virtual Interface: yes
[PEERS][EDIT][SPECIAL][IP][ROUTING][EDIT]
Route Type Network route
Network WAN without transit network
Destination IP-Address 192.168.0.0
Netmask 255.255.255.0
Partner / Interface Name des Interface
Metric 1

[ADVANCED]: IPsec Configuration - Advanced Settings
Ignore Cert Req Payloads : no
Dont send Cert Req Payl. : no
Dont Send Cert Chains : no
Dont send CRLs : yes
Dont send Key Hash Payl. : no
Trust ICMP Messages : no
Dont Send Initial Contact: no
Sync SAs With Local Ifc : yes
Max. Symmetric Key Length: 1024
Use Zero Cookies : no
RADIUS Authentication : disabled

[IP][NAT][EDIT]..[EDIT]: NAT - sessions from OUTSIDE

Service user defined
Protocol any
Remote Address
Remote Mask
External Address
External Mask
External Port any
Internal Address 192.168.10.100
Internal Mask 255.255.255.255
Internal Port any

Syslog ist in Arbeit und wird nachgereicht!

Leider kann ich vorerst nur das Log des TR200bw liefern. An den R3000 komme ich so schnell nicht ran.

Mit der o.g. Konfiguration kam die Verbindung zustande. Habe noch nichts geändert.

Mercy, th
Bitte warten ..
Mitglied: tomyy666
21.04.2008 um 22:20 Uhr
... so, das sind die Meldungen wenn eine Verbindung aufgebaut werden soll.
Sieht so aus als können die Schlüssel nicht sauber ausgetauscht werden.
Vielleicht hängt das mit der Lifetime Policy zusammen!?

22:04:18 INFO/INET: NAT: refused incoming session on ifc 10001 prot 17 79.xxx.xx
x.204:20753 <- 79.xxx.xx.241:34137
22:05:04 INFO/INET: NAT: refused incoming session on ifc 10001 prot 17 79.xxx.xx
x.204:20753 <- 80.xxx.xxx.212:37031
22:05:05 DEBUG/IPSEC: IKE_RETRY_LIMIT_REACHED: 20080421220505: SPI:0x90a1cdb63
d7f7045 Source addr:79.xxx.xxx.204 Destination addr:79.xxx.xx.71 Description:
ISAKMP negotiation retry limit reached
22:05:05 INFO/IPSEC: P1: peer 1 (Peer-Kennung) sa 1455 (I): failed id fqdn(any:0
,[0..11]=Local ID) -> ip 79.xxx.xx.71 (Timeout)
22:05:05 INFO/IPSEC: P1: peer 1 (Peer-Kennung) sa 0 (-): blocked for 15 seconds
22:05:05 INFO/IPSEC: P1: peer 1 (Peer-Kennung) sa 1455 (I): delete ip 79.xxx.xxx
.204 -> ip 79.xxx.xx.71: Blocked
22:05:06 DEBUG/INET: NAT: delete session on ifc 10001 prot 17 79.xxx.xxx.204:500
/79.xxx.xxx.204:1023 <-> 79.xxx.xx.71:500
22:05:19 INFO/IPSEC: P1: peer 1 (Peer-Kennung) sa 0 (-): reactivated
22:05:19 DEBUG/IPSEC: P1: peer 1 (Peer-Kennung) sa 0 (-): Automatic dialup
22:05:19 DEBUG/INET: NAT: new outgoing session on ifc 10001 prot 17 79.xxx.xxx.2
04:1030/79.xxx.xxx.204:34635 -> 194.25.2.129:53
22:05:19 DEBUG/INET: NAT: new outgoing session on ifc 10001 prot 17 79.xxx.xxx.2
04:500/79.220.xxx.xxx:1023 -> 79.xxx.xx.71:500
22:05:19 DEBUG/IPSEC: P1: peer 1 (Peer-Kennung) sa 1456 (I): identified ip 79.xxx.
xxx.204 -> ip 79.xxx.xx.71
Bitte warten ..
Mitglied: 51705
22.04.2008 um 11:03 Uhr
22:05:05 INFO/IPSEC: P1: peer 1 (Peer-Kennung) sa 1455 (I): failed id fqdn(any:0,[0..11]=Local ID) -> ip 79.xxx.xx.71 (Timeout)

Stimmen die Local und Peer IDs auf beiden Seiten überein (wobei du ja meinst, das es schon funktionierte...)?

Grüße, Steffen
Bitte warten ..
Mitglied: 51705
22.04.2008 um 11:10 Uhr
Hallo th,

Nat - Travelsal: enabled

wenn die Router auf beiden Seiten das NAT selbst erledigen, kannst du NAT-Traversal abschalten.

Grüße, Steffen
Bitte warten ..
Mitglied: tomyy666
22.04.2008 um 12:35 Uhr
Hallo Steffen,

ja, die ID´s sind gleich. Ich habe auch fast keine Idee mehr.

So kompliziert ist doch so eine Konfiguration wirklich nicht.

Nur noch einmal zum Verständnis.

Zentrale Peer ID: fritzchen
Zentrale Local ID : 123456789

Standort Peer ID: fritzchen
Standort Local ID: 123456789

So wie es im Logfile zu sehen ist, scheitert der Austausch der Schlüssel in der Phase1.

Da muss irgendwo ein Dreher in den ID´s sein!
Warum ich gestern mit genau dieser Konfig eine Verbindung hatte ist mir ein Rätsel.

Ich werde mich heute wohl mal ins Auto setzen und mir die Konfig auf der R3000-Seite ansehen und neue ID´s vergeben. Hoffentlich klappt es dann.

Vorsetzung folgt.

Gruß
th
Bitte warten ..
Mitglied: 51705
22.04.2008 um 12:46 Uhr
Hallo th,

Zentrale Peer ID: fritzchen
Zentrale Local ID : 123456789

Standort Peer ID: fritzchen
Standort Local ID: 123456789

versuche doch mal 'echte' FQDN zu verwenden, z.B.:

Router1:
Phase 1 Profile -> Local ID: router1.standort.vpn
Configure Peer -> Peer ID: router2.standort.vpn

Router2:
Phase 1 Profile -> Local ID: router2.standort.vpn
Configure Peer -> Peer ID: router1.standort.vpn

Zumindest in Verbindung mit dem Secure IPSec Client ist die richtige Definition FQDN/FQUN wichtig.

PS: Mit SSH und/oder Isdnlogin muß man dazu nicht hinfahren.

Grüße, Steffen
Bitte warten ..
Mitglied: tomyy666
22.04.2008 um 13:15 Uhr
Hallo Steffen,

Deine Darstellung der Vergabe der ID´s ist natürlich richtig. So ist es auch konfiguriert.

Ich versuche das mal mit den FQDN/FQUN.

Leider steht mit auf der R3000-Seite kein ISDN-Anschluss zur Verfügung. Daran mußte ich auch die letzten Tage immer wieder denken. Da wäre schön einfach.


Gruß
th
Bitte warten ..
Mitglied: tomyy666
26.04.2008 um 09:12 Uhr
... so, es ist geschafft!

Ich bin hingefahren und habe bei dem R3000 eine fragmentierte Konfiguration vorgefunden. ADSL war aktiv, jedoch gab es keine Anschlusskennung oder sonstige Angaben in dieser Hinsicht mehr. DynDNS stand auf failed!. Ich habe den Router dann aus- und wieder eingeschaltet. Jetzt war er nahezu im Werkszustand. Keine Ahnung was passiert ist. Habe dann auch in diesem Moment gemerkt, das ich die DSL Kennung und das Password zu Hause vergessen habe. Als wieder zurück und wieder hin. Konfiguriert via Wizzard und dann noch schnell das voreingestellte Annex A auf Annex B umgestellt und siehe da, es funktioniert.

Also alles tutti!

Besten Dank für die Unterstützung
Bitte warten ..
Ähnliche Inhalte
Windows Server
IPSec - Datenverschlüsselung
gelöst Frage von 117109Windows Server4 Kommentare

Hallo, kann man eigentlich bei IPSec die Sicherheitsmethoden so anpassen, dass man nur die Daten verschlüsselt? Wenn ja, wie ...

Router & Routing
Fortigate ipsec
Frage von meister00Router & Routing5 Kommentare

hallo, ich habe folgendes Problem. ich möchte von einem aussenstandort einen Server in unsere Domäne einbinden. habe mit 2 ...

Netzwerke

VPN DHCP IPSec im Vergleich zu L2TP over IPSec

Frage von TomJonesNetzwerke1 Kommentar

Moin zusammen, wenn ich per DHCP IP-Adressen an meine VPN Klienten zuweisen möchte, benötige ich dann zwingend L2TP over ...

Firewall

PfSense IPsec Unitymedia

Frage von comtelFirewall10 Kommentare

Hallo, Ich habe eine pfSense Installation auf einem PC Engines APU1D4 Board laufen. Internetanbieter ist Unitymedia Business IPv4 (Feste ...

Neue Wissensbeiträge
Multimedia & Zubehör
AVM Fritz USB WLAN Sticks schneller einschalten
Tipp von NetzwerkDude vor 16 StundenMultimedia & Zubehör

Die AVM Fritz WLAN Sticks haben in der Firmware 2 Modis: Einmal als Massenspeicher und einmal als WLAN Netzwerkkarte ...

Windows Server

Windows Server Backup schlögt Fehl -Lösung 2008-2016

Tipp von BiGnoob vor 18 StundenWindows Server

Hi zusammen , ich möchte gerne einen Lösungstipp abgeben für folgenden fehler: lösung ist folgende:

Humor (lol)
Telekom vs. O2 - 3:2
Erfahrungsbericht von the-buccaneer vor 1 TagHumor (lol)3 Kommentare

Unglaublich aber wahr: Nachdem mein privater Anschluss am 19.04.18 auf VOIP und VDSL umgestellt wurde, hatte ich seitdem 1,5 ...

Batch & Shell

Windows 10 Heimnetzgruppe abgeschaft. Ein Script für einfache Netzwerk - Freigabe im Heimnetzwerk

Anleitung von treehe vor 1 TagBatch & Shell3 Kommentare

Anleitung für eine einfache Netzwerkfreigabe unter Windows 10 Wie weiter hab mal ein kleines CMD - Script gebastelt. Womit ...

Heiß diskutierte Inhalte
Netzwerke
IP-Adresse am zweiten Domänencontroller fest vergeben - Server verschwunden
gelöst Frage von DanielG1974Netzwerke26 Kommentare

Ich hab ein Problem, was ich bisher noch nicht erlebt habe Ich habe erfolgreich einen zweiten Server mit ActiveDirectory ...

Windows Tools
Virtueller Drucker gesucht (Schnittstelle: USB oder Seriell)
Frage von chrisButterflyWindows Tools19 Kommentare

Hi, ich suche einen virtuellen Drucker, den ich über eine USB oder serieller Schnittstelle ansprechen kann. Dieser Drucker soll ...

Windows Server
Windows Server 2012 - Update - Beim Booten bleibt der Server beim Windows Zeichen stehen
Frage von KeilbachWindows Server15 Kommentare

Hallo Zusammen, ich grüße euch, mein Name ist Michele. Ich bin hier ganz Neu - da ich einfach nicht ...

Firewall
Sophos SG 125 nicht mehr erreichbar
Frage von GwaihirFirewall14 Kommentare

Hallo zusammen, ausgerechnet über die Feiertage stimmt etwas mit meiner Firmen-Firewall nicht. Es ist eine Sophos SG 125 und ...