VPN Tunnel über Sonicwall
Hi Leute,
folgendes Szenario:
Ich möchte bei einer Sonicwall Pro 3060 den 2. WAN-Port genauso wie den ersten für die VPN-Einwahl nutzen.
An jedem WAN-Port hängt ein "Router" (TZ170) und dahinter dann ein DSL-Modem, d.h. die TZ170 sollen die VPN-Verbindung von außen transparent auf die Pro 3060 weitergeben (auf der 3060 sind die VPN-Policies konfiguriert).
Beim Versuch über den Globel VPN Client eine Verbindung aufzubauen kommen jedoch folgende Meldungen:
The connection "XY" has been enabled.
Starting ISAKMP phase 1 negotiation.
The peer is not responding to phase 1 ISAKMP requests.
Wass muss auf welcher Firewall noch eingestellt werden, damit die VPN-Verbindung an die 3060 "durchgereicht" wird und von dort aus dann aufgebaut wird?
Wie gesagt, auf der Pro 3060 sind die VPN-Policies hinterlegt, die TZ170 dient als Router und dort ist wiederrum ein DSL-Modem angeschlossen.
Einwahl über Global VPN Client bzw. VPN-fähige Appliance.
Ist das ein Routing-Problem? Oder fehlende Protokolle freigeschaltet?
P.S.: Ich habe dieses Konstrukt nicht eingerichtet. Der 1. WAN-Port funktioniert derzeit schon wunderbar für VPN-Tunnel (als Gateway). Kann jedoch nicht auf das Gerät hinter dem 1. WAN Port zwecks Konfig-Einstellungen draufschauen.
folgendes Szenario:
Ich möchte bei einer Sonicwall Pro 3060 den 2. WAN-Port genauso wie den ersten für die VPN-Einwahl nutzen.
An jedem WAN-Port hängt ein "Router" (TZ170) und dahinter dann ein DSL-Modem, d.h. die TZ170 sollen die VPN-Verbindung von außen transparent auf die Pro 3060 weitergeben (auf der 3060 sind die VPN-Policies konfiguriert).
Beim Versuch über den Globel VPN Client eine Verbindung aufzubauen kommen jedoch folgende Meldungen:
The connection "XY" has been enabled.
Starting ISAKMP phase 1 negotiation.
The peer is not responding to phase 1 ISAKMP requests.
Wass muss auf welcher Firewall noch eingestellt werden, damit die VPN-Verbindung an die 3060 "durchgereicht" wird und von dort aus dann aufgebaut wird?
Wie gesagt, auf der Pro 3060 sind die VPN-Policies hinterlegt, die TZ170 dient als Router und dort ist wiederrum ein DSL-Modem angeschlossen.
Einwahl über Global VPN Client bzw. VPN-fähige Appliance.
Ist das ein Routing-Problem? Oder fehlende Protokolle freigeschaltet?
P.S.: Ich habe dieses Konstrukt nicht eingerichtet. Der 1. WAN-Port funktioniert derzeit schon wunderbar für VPN-Tunnel (als Gateway). Kann jedoch nicht auf das Gerät hinter dem 1. WAN Port zwecks Konfig-Einstellungen draufschauen.
Please also mark the comments that contributed to the solution of the article
Content-Key: 70984
Url: https://administrator.de/contentid/70984
Printed on: April 27, 2024 at 03:04 o'clock
6 Comments
Latest comment
Wie soll man dir sagen WAS genau du einstellen musst wenn du es nicht mal für nötig erachtest uns hier zu sagen WAS für ein VPN Protokoll du benutzt ?
Wie du ja sicher selber weisst gibt es davon viele (PPTP, L2TP, IPsec(AH), IPsec(ESP), SSL, etc.) und genau davon sind diese Einstellungen dann abhängig !!! Vermutlich ists ja IPsec nach der ISAKMP Meldung zu urteilen nur welcher Modus.. aber das ist auch nur vage geraten...
Ein bischen mehr Präzision wär ja deshalb nicht schlecht für eine hilfreiche Antwort !?!
Wie du ja sicher selber weisst gibt es davon viele (PPTP, L2TP, IPsec(AH), IPsec(ESP), SSL, etc.) und genau davon sind diese Einstellungen dann abhängig !!! Vermutlich ists ja IPsec nach der ISAKMP Meldung zu urteilen nur welcher Modus.. aber das ist auch nur vage geraten...
Ein bischen mehr Präzision wär ja deshalb nicht schlecht für eine hilfreiche Antwort !?!
Wenn man jetzt noch wüsste ob AH oder ESP Modus. Vermutlich aber ESP denn AH ist technisch nicht über eine NAT Firwall zu übertragen !
Folgende Ports musst du dann forwarden in der PFW Tabelle:
Damit sollte das dann problemlos klappen.
Folgende Ports musst du dann forwarden in der PFW Tabelle:
- ESP (Encapsulation Security Payload) das ist die IP Protokoll Nummer 50 (Achtung nicht Port 50 !)
- IKE mit Port UDP 500
- NAT Traversal mit Port UDP 4500
Damit sollte das dann problemlos klappen.