Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Watchguard XTM505 und Astaro ASG220 Site-to-Site-Verbindung

Mitglied: VaderDarth

VaderDarth (Level 1) - Jetzt verbinden

19.07.2012 um 10:52 Uhr, 5388 Aufrufe, 8 Kommentare

Hallo Zusammen,

ich möchte für unsere zwei Standorte eine Site-to-Site-Verbindung anlegen. Hier stoße ich allerdings an meine Grenzen und hoffe Ihr könnt mir weiterhelfen.

Standort A:
Astaro ASG 220 (V8)

Standard B:
Watchguard XTM 505


Folgende Konfig habe ich vorgenommen:

Standort A:
IPSec-Policy:
IKE 3DES, MD5, Lifetime 3600, DH Group 1
IPSec 3DES, MD5, Lifetime 3600, DH Group 1
keine strict policy und keine Compression

Remote-Gateway:
Gateway-IP zeigt auf WAN-Adresse von Standort B
Presharedkey: Zahlenkombi
Remotenetwork: internes Subnetz von Standort B

IPSec-Connection:
local Interface: extern
Policy: die zuvor angelegte
Automatic Firewall Rules: aktiviert



Standort B:
Mobile >VPN with IPSec:
Passphrase: wie zuvor bei Standort A angelegt
Firebox IP Adresses: WAN-Adresse des lokalen Standortes B
IPSec Tunnel:
Phase 1: MD5, 3DESSA, Life 1 Std, DH-Goup 1
Phase 2: MD5, 3DESSA, Life 1 Std, DH-Goup 1

Allow all traffic thorugh tunnel:
Any-External + 0.0.0.0/0
Virtual IP Adresspool: 192.168.180.10
Connect Mode: Automatic


Im Watchguard-Protokoll kann ich den Verbindungsaufbau/Abweisung überhaupt nicht sehen, auf der Astaro steht u.a. dies im Protokoll:

2012:07:18-13:41:03 exefw-2 pluto[5161]: | Notify Message Type: INVALID_EXCHANGE_TYPE
2012:07:18-13:41:03 exefw-2 pluto[5161]: packet from StandortB-IP: ignoring informational payload, type INVALID_EXCHANGE_TYPE
2012:07:18-13:41:03 exefw-2 pluto[5161]: | info: 6a 17 b5 6f 3e 55 28 0f c2 ba 8d b5 1d 97 c9 d1
2012:07:18-13:41:03 exefw-2 pluto[5161]: | next event EVENT_SA_SYNC_UPDATE in 15 seconds


Habt ihr vielleicht eine Idee wo mein Fehler liegt?

Vielen Dank schon mal im Voraus.

Michl
Mitglied: aqui
19.07.2012 um 13:08 Uhr
Benutzt du auf beiden Seiten den Agressive Mode ? Das ist Pflicht wenn du herstellerfremde Komponenten über IPsec koppelst !!
Bitte warten ..
Mitglied: VaderDarth
19.07.2012 um 16:20 Uhr
Nein, kannst Du mir bitte sagen wo ich den bei Astaro finde? Ist das der Punkt "Strict policy"?
Ansonsten finde ich dazu gar nichts in der Astaro-Config.
Bitte warten ..
Mitglied: aqui
19.07.2012 um 17:04 Uhr
Nein, das ist es nicht ! Wenn du IPsec im ESP Mode machst wovon wir hier mal alle ausgehen hast du immer 2 Optionen den IKE Schlüsseltausch ausführen zu lassen nämlich im sog. "Main Mode" und "Agressive Mode".
Siehe auch:
https://www.administrator.de/wissen/IPSEC-Protokoll-Einsatz%2C-Aufbau%2C ...
In deinem Fall ist der Agressive Mode Pflicht. Vermutlich rennen beide Seiten im Main Mode was immer zu Problemen führt in gemischten Umgebungen.
Sinnvoll wäre noch ein Log Trace der Geräte vom Tunnelaufbau damit man mal genau sehen kann WO es kneift !
Bitte warten ..
Mitglied: VaderDarth
19.07.2012 um 18:11 Uhr
Ääääähm, sorry. Halte mich wenns sein muss für blind. Ich finde in der Astaro nicht die Möglichkeit zwischen ESP und IKE wählen zu können. Somit habe ich auch die Einstellung mit dem "Aggressiv Mode" nicht. Ich habe auch schon mal danach gegoogelt bin jetzt auf die schnelle noch nicht fündig geworden.

Anbei auf jeden Fall mal den Auszug aus dem Log Trace.

* WG Diagnostic Report for Gateway "HHGateway" *
Created On: Thu Jul 19 18:03:38 2012

[Gateway Summary]
Gateway "HHGateway" contains "1" gateway endpoint(s).
Gateway Endpoint #1 (name "HHGateway")
Mode: Aggressive PFS: Disabled
DPD: Disabled Keepalive: Disabled
Local ID<->Remote ID: {IP_ADDR(Standort-GAR-IP) <-> IP_ADDR(Standort-HH-IP)}
Local GW_IP<->Remote GW_IP: {Standort-GAR-IP <-> Standort-HH-IP}
Outgoing Interface: eth0 (ifIndex=2, ifMark=0x10000, linkStatus=2)


[Tunnel Summary]
"1" tunnel(s) are found using the previous gateway

Name: "HHGAR"
PFS: "Enabled" DH-Group: "1"
Number of Proposals: "1"
Proposal "HHGARPhase2"
ESP:
EncryptAlgo: "3DES" KeyLen: "32(bytes)"
AuthAlgo: "MD5"
LifeTime: "3600(seconds)" LifeByte: "128000(kbytes)"
Number of Tunnel Routes: "1"
#1
Direction: "BOTH"
"192.168.0.0/255.255.128.0<->192.168.168.0/255.255.255.0"


[Run-time Info (gateway IKE_SA)]
Name: "HHGateway" (IfStatus: 0x80000001)
ISAKMP SAID: "0x0" State: "AM SA Wait"
Created: Thu Jan 1 01:00:00 1970
My Address: Standort-GAR-IP:500 Peer Address: Standort-HH-IP:500
InitCookie: "807705b21a8e26a9" RespCookie: "0000000000000000"
LifeTime: "0(seconds)" LifeByte: "0(kbtyes)" DPD: "Disabled"



[Run-time Info (tunnel IPSEC_SA)]

[Run-time Info (tunnel IPSEC_SP)]
"1" IPSEC SP(s) are found
#1
Tunnel Endpoint: "Standort-GAR-IP->Standort-HH-IP"
Tunnel Selector: 192.168.0.0/17 -> 192.168.168.0/24 Proto: ANY
Created On: Thu Jul 19 17:52:07 2012
Gateway Name: "HHGateway"
Tunnel Name: "HHGAR"

[Related Logs]
<156>Jul 19 18:02:39 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Drop negotiation to peer Standort-HH-IP:500 due to phase 1 retry timeout
<158>Jul 19 18:02:39 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)ike_p1_status_chg: ikePcyName=HHGateway, status=DOWN
<158>Jul 19 18:02:39 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)ikeMultiWanMarkIkePcyObj: MWAN ikePcyGroup(HHGateway)'s ikePcy(HHGateway) ifStatus=0x80000001, mark it as DOWN
<158>Jul 19 18:02:39 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeDeleteIsakmpSA: try to delete Isakmp SA 0x8149d28 for Gateway HHGateway
<158>Jul 19 18:02:39 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Totally 0 Pending P2 SA Requests Got Dropped.
<158>Jul 19 18:02:39 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeDeleteDelState: try to delete DelState 0x816a180 with IsakmpSA 0x8149d28
<158>Jul 19 18:02:39 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeDeleteDelState: try to delete DelState 0x8169f30 with IsakmpSA 0x8149d28
<158>Jul 19 18:02:39 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeDeleteIsakmpSA: Stop Phase One Retry and Life Timer
<158>Jul 19 18:02:39 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeDeleteIsakmpSA: Stop Phase One DPD Retry timer
<158>Jul 19 18:02:57 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP) RECV an IKE packet at Standort-GAR-IP:500(socket=11 ifIndex=2) from Peer Standort-HH-IP:500
<158>Jul 19 18:02:57 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Found IKE Policy [HHGateway, dev=eth0] for peer IP=Standort-HH-IP, numXform=1, pkt ifIndex=2
<158>Jul 19 18:02:57 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Delete Unknown Isakmp SA: try to delete P1 SA, dstIp 0x509caf6b, srcIp 0x5d68ecdc
<158>Jul 19 18:02:57 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Found IKE Policy [HHGateway, dev=eth0] for peer IP=Standort-HH-IP, numXform=1, pkt ifIndex=2
<158>Jul 19 18:02:57 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeCreateIsakmpSA: init vpnDpdSequenceNum = 160155251(Isakmp SA 0x8149360)
<158>Jul 19 18:02:57 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)AggrMode: Start (Ct=65) pcy [HHGateway]
<158>Jul 19 18:02:57 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeProposalHtoN : net order spi(0000 0000 0000 0000)
<158>Jul 19 18:02:57 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Starting phase 1 negotiation using [HHGateway] to Standort-HH-IP:500 aggressive mode
<156>Jul 19 18:02:57 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Received unknown phase one SA from Standort-HH-IP:500. Start IKE negotiation to delete it
<158>Jul 19 18:02:57 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP) RECV an IKE packet at Standort-GAR-IP:500(socket=11 ifIndex=2) from Peer Standort-HH-IP:500
<158>Jul 19 18:02:57 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Found IKE Policy [HHGateway, dev=eth0] for peer IP=Standort-HH-IP, numXform=1, pkt ifIndex=2
<158>Jul 19 18:03:00 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Phase 1 IkeRetryTimeout:: Retrying 1st phase.. (Gateway HHGateway)
<158>Jul 19 18:03:01 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP) RECV an IKE packet at Standort-GAR-IP:500(socket=11 ifIndex=2) from Peer Standort-HH-IP:500
<158>Jul 19 18:03:01 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Found IKE Policy [HHGateway, dev=eth0] for peer IP=Standort-HH-IP, numXform=1, pkt ifIndex=2
<158>Jul 19 18:03:03 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Phase 1 IkeRetryTimeout:: Retrying 1st phase.. (Gateway HHGateway)
<158>Jul 19 18:03:03 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP) RECV an IKE packet at Standort-GAR-IP:500(socket=11 ifIndex=2) from Peer Standort-HH-IP:500
<158>Jul 19 18:03:03 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Found IKE Policy [HHGateway, dev=eth0] for peer IP=Standort-HH-IP, numXform=1, pkt ifIndex=2
<158>Jul 19 18:03:06 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Phase 1 IkeRetryTimeout:: Retrying 1st phase.. (Gateway HHGateway)
<158>Jul 19 18:03:06 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP) RECV an IKE packet at Standort-GAR-IP:500(socket=11 ifIndex=2) from Peer Standort-HH-IP:500
<158>Jul 19 18:03:06 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Found IKE Policy [HHGateway, dev=eth0] for peer IP=Standort-HH-IP, numXform=1, pkt ifIndex=2
<156>Jul 19 18:03:09 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Drop negotiation to peer Standort-HH-IP:500 due to phase 1 retry timeout
<158>Jul 19 18:03:09 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)ike_p1_status_chg: ikePcyName=HHGateway, status=DOWN
<158>Jul 19 18:03:09 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)ikeMultiWanMarkIkePcyObj: MWAN ikePcyGroup(HHGateway)'s ikePcy(HHGateway) ifStatus=0x80000001, mark it as DOWN
<158>Jul 19 18:03:09 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeDeleteIsakmpSA: try to delete Isakmp SA 0x8149360 for Gateway HHGateway
<158>Jul 19 18:03:09 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Totally 0 Pending P2 SA Requests Got Dropped.
<158>Jul 19 18:03:09 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeDeleteDelState: try to delete DelState 0x816a4f8 with IsakmpSA 0x8149360
<158>Jul 19 18:03:09 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeDeleteIsakmpSA: Stop Phase One Retry and Life Timer
<158>Jul 19 18:03:09 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeDeleteIsakmpSA: Stop Phase One DPD Retry timer
<158>Jul 19 18:03:38 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP) RECV an IKE packet at Standort-GAR-IP:500(socket=11 ifIndex=2) from Peer Standort-HH-IP:500
<158>Jul 19 18:03:38 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Found IKE Policy [HHGateway, dev=eth0] for peer IP=Standort-HH-IP, numXform=1, pkt ifIndex=2
<158>Jul 19 18:03:38 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Delete Unknown Isakmp SA: try to delete P1 SA, dstIp 0x509caf6b, srcIp 0x5d68ecdc
<158>Jul 19 18:03:38 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Found IKE Policy [HHGateway, dev=eth0] for peer IP=Standort-HH-IP, numXform=1, pkt ifIndex=2
<158>Jul 19 18:03:38 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeCreateIsakmpSA: init vpnDpdSequenceNum = 461821219(Isakmp SA 0x8148998)
<158>Jul 19 18:03:38 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)AggrMode: Start (Ct=66) pcy [HHGateway]
<158>Jul 19 18:03:38 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeProposalHtoN : net order spi(0000 0000 0000 0000)
<158>Jul 19 18:03:38 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Starting phase 1 negotiation using [HHGateway] to Standort-HH-IP:500 aggressive mode
<156>Jul 19 18:03:38 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Received unknown phase one SA from Standort-HH-IP:500. Start IKE negotiation to delete it
<158>Jul 19 18:03:38 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP) RECV an IKE packet at Standort-GAR-IP:500(socket=11 ifIndex=2) from Peer Standort-HH-IP:500
<158>Jul 19 18:03:38 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Found IKE Policy [HHGateway, dev=eth0] for peer IP=Standort-HH-IP, numXform=1, pkt ifIndex=2


Vielen Dank für Deine Hilfe.

VG Michl
Bitte warten ..
Mitglied: VaderDarth
19.07.2012 um 18:37 Uhr
Jetzt habe ich was rausgefunden

http://www.astaro.org/astaro-gateway-products/vpn-site-site-remote-acce ...

Aussage Astaro zu der Thematik: Aggressiv-Mode ist nicht sicher, da es sich bei Astaro um ein Sicherheitsprodukt handelt wird das nicht angeboten (siehe link)

Kann ich die Sache noch irgendwie anders angehen? Ich meine wenn das gleiche Protokoll verwendet wird sollten doch normal alle die gleiche Sprache sprechen, oder?

VG und Danke

Michl
Bitte warten ..
Mitglied: aqui
19.07.2012 um 18:54 Uhr
Das ist eine unsinnige Aussage und zeugt von wenig Fachkenntniss der Astaro Hotline...aber egal. Das zu deaktivieren ist eher ein übler Marketing Trick um den Kauf einer weiteren Appliance zu erzwingen und die Kopplung mit Drittanbietern so zu unterbinden.
Dann kannst du nur den Main Mode versuchen und hoffen das es klappt. Die Chancen sind aber nicht groß.
Oder du erwirbst einen andere FW Hardware die sowas kann:
https://www.administrator.de/contentid/149915
Hilfreich für ein weiteres Troubleshooting sind immer noch die Log Auszüge beider Seiten !!
Bitte warten ..
Mitglied: VaderDarth
19.07.2012 um 19:16 Uhr
Im Main Mode habe ich die Watchguard standardmäßig konfiguriert, da hat es nicht funktioniert. Ansonsten hätte ich leider nicht das Drama. Die Astaro ist erst vor 1,5 Jahren angeschafft worden und hat 17k gekostet. Mein Chef reist mir die Rübe runter wenn ich ihm sage er soll das Ding in die Tonne treten ;o)

Anbei noch der LOG-Auszug aus der Astaro, sorry hatte ich vorher vergessen anzuhängen:

2012:07:19-19:08:36 exefw-2 pluto[31711]: loaded ca certificate from '/etc/ipsec.d/cacerts/VPN Signing CA.pem'
2012:07:19-19:08:36 exefw-2 pluto[31711]: loading aa certificates from '/etc/ipsec.d/aacerts'
2012:07:19-19:08:36 exefw-2 pluto[31711]: loading ocsp certificates from '/etc/ipsec.d/ocspcerts'
2012:07:19-19:08:36 exefw-2 pluto[31711]: loading attribute certificates from '/etc/ipsec.d/acerts'
2012:07:19-19:08:36 exefw-2 pluto[31711]: Changing to directory '/etc/ipsec.d/crls'
2012:07:19-19:08:36 exefw-2 pluto[31711]: "S_HH-GAR (IPSec)" #275: received Vendor ID payload [XAUTH]
2012:07:19-19:08:37 exefw-2 pluto[31711]: "S_HH-GAR (IPSec)" #275: Peer ID is ID_IPV4_ADDR: 'Standort-GAR-IP'
2012:07:19-19:08:37 exefw-2 pluto[31711]: "S_HH-GAR (IPSec)" #275: ISAKMP SA established
2012:07:19-19:08:37 exefw-2 pluto[31711]: "S_HH-GAR (IPSec)" #276: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS+UP {using isakmp#275}
2012:07:19-19:08:37 exefw-2 pluto[31711]: "S_HH-GAR (IPSec)" #275: ignoring informational payload, type NO_PROPOSAL_CHOSEN
2012:07:19-19:08:48 exefw-2 pluto[31711]: "S_HH-GAR (IPSec)" #275: ignoring informational payload, type NO_PROPOSAL_CHOSEN
2012:07:19-19:09:07 exefw-2 pluto[31711]: "S_HH-GAR (IPSec)" #275: ignoring informational payload, type NO_PROPOSAL_CHOSEN
2012:07:19-19:09:14 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: received Vendor ID payload [strongSwan]
2012:07:19-19:09:14 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: ignoring Vendor ID payload [Cisco-Unity]
2012:07:19-19:09:14 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: received Vendor ID payload [XAUTH]
2012:07:19-19:09:14 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: received Vendor ID payload [Dead Peer Detection]
2012:07:19-19:09:14 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: ignoring Vendor ID payload [RFC 3947]
2012:07:19-19:09:14 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
2012:07:19-19:09:14 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
2012:07:19-19:09:14 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
2012:07:19-19:09:14 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
2012:07:19-19:09:14 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: initial Main Mode message received on Standort-HH-IP:500 but no connection has been authorized with policy=PSK
2012:07:19-19:09:47 exefw-2 pluto[31711]: "S_HH-GAR (IPSec)" #276: max number of retransmissions (2) reached STATE_QUICK_I1. No acceptable response to our first Quick Mode message: perhaps peer likes no proposal
2012:07:19-19:09:47 exefw-2 pluto[31711]: "S_HH-GAR (IPSec)" #276: starting keying attempt 2 of an unlimited number
2012:07:19-19:09:47 exefw-2 pluto[31711]: "S_HH-GAR (IPSec)" #277: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS+UP to replace #276 {using isakmp#275}
2012:07:19-19:09:47 exefw-2 pluto[31711]: "S_HH-GAR (IPSec)" #275: ignoring informational payload, type NO_PROPOSAL_CHOSEN
2012:07:19-19:09:54 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: received Vendor ID payload [strongSwan]
2012:07:19-19:09:54 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: ignoring Vendor ID payload [Cisco-Unity]
2012:07:19-19:09:54 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: received Vendor ID payload [XAUTH]
2012:07:19-19:09:54 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: received Vendor ID payload [Dead Peer Detection]
2012:07:19-19:09:54 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: ignoring Vendor ID payload [RFC 3947]
2012:07:19-19:09:54 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
2012:07:19-19:09:54 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
2012:07:19-19:09:54 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
2012:07:19-19:09:54 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
2012:07:19-19:09:54 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: initial Main Mode message received on Standort-HH-IP:500 but no connection has been authorized with policy=PSK

VG Michl
Bitte warten ..
Mitglied: VaderDarth
20.07.2012 um 08:43 Uhr
Manchmal ist es besser es mal eine Nacht ruhen zu lassen. Man verrennt sich so leicht.

Also ich habe weiterhin auf beiden Seiten MD5, 3DES, Group1, Main Mode (Astaro läßt ja nix anderes zu)

Es hätte eigentlich alles laufen müssen, wenn ich nicht versehentlich der Astaro das falsche "Lokal Network" zugewiesen hätte *würg*

Das hatte ich auch in den Logs nicht gesehen. Hätte ich einen Ping auf das Remotenetzwerk abgesetzt wären auch in den Logs die notwendigen Hinweise dafür gestanden.

@aqui: Vielen Dank nochmal für Deine Unterstützung und sorry das es dann doch wieder ein PebKaC (Problem exist between keyboard and chair) war ;o)

VG Michl
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless

VPN Site to Site Verbindung zwischen Astaro und DD-WRT

gelöst Frage von deethreeLAN, WAN, Wireless3 Kommentare

Hallo, kann man folgendes Szenario realisieren ? Es soll von meinem Astaro Gateway (an dyn. Ip Kabel Anschluss und ...

Router & Routing

PFSense OpenVPN Site to Site

gelöst Frage von m.reegerRouter & Routing7 Kommentare

Hallo zusammen, ich habe hier gerade ein Site to Site VPN zwischen 2 virtuellen PFSense eingerichtet. Die Folgende Anleitung ...

LAN, WAN, Wireless

Site to Site VPN FritzBox

gelöst Frage von marni1996LAN, WAN, Wireless7 Kommentare

Hallo Zusammen, Ich versuche vergeblich eine VPN Verbindung zwischen Office <> RZ herzustellen. Leider klappt es nicht im RZ ...

Router & Routing

Mikrotik Site to Site VPN Firewall Probleme

gelöst Frage von Rolf-HankaRouter & Routing19 Kommentare

Hallo Leute, ich habe mal eine kleine Frage. Ich habe hier zwei Mikrotik Router. Einer hat extern eine feste ...

Neue Wissensbeiträge
Server-Hardware
HP iLO ist gefährdet (iLO 4))
Tipp von AlFalcone vor 11 StundenServer-Hardware2 Kommentare

Gemäss Twitter und Heise gibt es eine Angriffsmöglichkeit auf iLO Quelle: iLO ist gefährdet

CMS
Erneut kritische Zero-Day-Lücke in Drupal
Tipp von Reini82 vor 20 StundenCMS

Laut einem Bericht auf t3n gibt es eine Schwere Sicherheitslücke in Drupal die auch schon ausgenutzt wird. Betroffen sind ...

Sicherheit

MikroTik-Router patchen, Schwachstelle wird ausgenutzt

Information von kgborn vor 1 TagSicherheit

Am 23. April 2018 wurde von Mikrotik ein Security Advisory herausgegeben, welches auf eine Schwachstelle im RouterOS hinwies. Mikrotik ...

Windows 10

Microcode-Updates KB4090007, KB4091663, KB4091664, KB4091666 für Windows 10

Information von kgborn vor 1 TagWindows 101 Kommentar

Kurze Information für Administratoren von Windows 10-Systemen, die mit neueren Intel CPUs laufen. Microsoft hat zum 23. April 2018 ...

Heiß diskutierte Inhalte
Ausbildung
Wie gelingt ein guter Einstieg in die FiSi-Ausbildung? (Umschulung)
Frage von SiAnKoAusbildung30 Kommentare

Schönen guten Tag, ich bin SiAnKo und habe seit dem 1.04.2018 eine Umschulung als FiSi angefangen. Ich möchte natürlich ...

Windows Server
Alten DC entfernen
gelöst Frage von smartinoWindows Server27 Kommentare

Hallo zusammen, ich habe hier eine Umgebung übernommen und erstmal einen DCDIAG gemacht. Dabei fällt auf, daß eine ganze ...

Batch & Shell
OU an eine Variable übergeben
gelöst Frage von oesi1989Batch & Shell22 Kommentare

Hallo, ich würde gerne alle OUs an eine Variable übergeben und danach einen Teil per .remove entfernen. Das Anzeigen ...

Batch & Shell
Mit Powershell den Inhalt einer Excel mit einer Text Datei abgleichen
gelöst Frage von Bommi1961Batch & Shell21 Kommentare

Hallo zusammen, ich muss den Inhalt einer Excel Datei (Mappe1) mit dem Daten einer Text Datei abgleichen. Die Daten ...