Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

IPSec IKE (raccoon) mit Draytec Vigor 2500 als Gegenstelle

Frage Linux Linux Netzwerk

Mitglied: peterschen

peterschen (Level 1) - Jetzt verbinden

12.05.2009, aktualisiert 18.10.2012, 5255 Aufrufe, 7 Kommentare

Hallo,

ich möchte einen Tunnel zwischen zwei Locations machen. An der einen Location hab ich eine Vigor 2500, die PPTP aber auch IPSec unterstützt. PPTP ist kein Problem die Requirements schreiben aber IPSec vor. Ich hab ein Debian Gateway eingerichtet mit IPSec im Kernel, racoon und den ipsec-tools. Meine Verbindung wird aufgebaut allerdings werden keinerlei Daten übertragen.

Wireshark liefert zwar ISAKMP pakete und auch meine NAT-Traversals, leider aber keine enkapsulierten Pakete.

Hat jemand so eine Verbindung bereits eingerichtet und kann mir Hinweise geben, welche Optionen aktiviert werden müssen? Bei Bedarf kann ich die Konfigurationen liefern, sobald ich im Office bin

Danke und Grüße
Christoph
Mitglied: aqui
12.05.2009, aktualisiert 18.10.2012
Du musst darauf achten das die racoon SW im ESP Modus arbeitet, was du aber vermutlich schon machst.
Was sagt denn das Racoon Log ???
Wenn du mit dem Sniffer keine IPsec ESP Pakete siehst hast du auch gar keinen aktiven IPsec Tunnel !!
Deine Aussage "...Meine Verbindung wird aufgebaut.." ist dann falsch bzw. es wäre hilfreich zu wissen woran du das denn erkennst wenn es keine ESP Pakete gibt !!!
Die Vigor Implementation supportet kein NAT Traversal, deshalb solltest du es erstmal ohne probieren.

Generell funktioniert die Racoon Implementation vollkommen problemlos auch mit anderen IPsec Endgeräten wie Cisco oder Draytek usw.
Ggf. hilft dir noch etwas dies Tutorial:

http://www.administrator.de/wissen/ipsec-vpn-auf-m0n0wall-oder-pfsense- ...
Bitte warten ..
Mitglied: peterschen
12.05.2009 um 11:58 Uhr
HI aqui,

Racoon log gibts später sobald ich im Office bin. Wireshark am wan meine Gateways "sieht keinerlei ESP" Pakete. Die Verbindung wird in sofern aufgebaut, dass ich in der Gegenstelle die eingehende Verbindung als established sehe. Ein Zeichen für mich, dass die Verbindung auf jeden Fall an der Gegenstelle terminiert wird.

Okay - allerdings funktioniert die Verbindung auch ohne NAT-Traversel nicht...

Grüße
Christoph
Bitte warten ..
Mitglied: aqui
12.05.2009 um 12:08 Uhr
Du müsstest aber in jedem Falle ESP Pakete sehen wenn du z.B. nur einen Ping ins entfernte Netz schickst, das ist Fakt !
Vermutlich ist dein Tunnel dann doch nicht wirklich aktiv oder die SAs stimmen nicht wegen falscher Maske, IP Netzadresse usw.
Hast du ggf. eine Firewall am Laufen wo du den ESP Tunnel noch freigeben musst ???
Das du keine ESP Pakete siehst sollte dich stutzig machen !
Bitte warten ..
Mitglied: peterschen
12.05.2009 um 12:15 Uhr
Tut es ja auch, darum frag ich ja die Experten ;) Ich hab gestern ein paar Stunden nach den fehlenden ESP paketen gesucht aber keinen Schimmer warum die nicht kommen. Gelegentleich hab ich welche gesehen aber nicht viele und auf keinen Fall reproduzierbar...

Firewall hab ich auch schon überlegt aber der rest der Kommunikation (ISAKMP, NAT-T) kommt fehlerfrei durch...

Ich werde heute Abend noch mal eine Debug-Session machen und ein paar Logs posten.

Danke & Grüße
Christoph
Bitte warten ..
Mitglied: sysad
12.05.2009 um 13:58 Uhr
Zitat von aqui:
Du musst darauf achten das die racoon SW im ESP Modus arbeitet, was du
aber vermutlich schon machst.
Was sagt denn das Racoon Log ???
Wenn du mit dem Sniffer keine IPsec ESP Pakete siehst hast du auch
gar keinen aktiven IPsec Tunnel !!
Deine Aussage "...Meine Verbindung wird aufgebaut.."
ist dann falsch bzw. es wäre hilfreich zu wissen woran du das
denn erkennst wenn es keine ESP Pakete gibt !!!

Es kommt bei mir auch vor, dass beim Zusammenspiel Draytek 2700 und IPSecuritas (racoon-basiert?) die IPSEC-Verbindung als 'aufgebaut' angezeigt wird, obwohl keine Verbindung besteht. Das 'funktioniert' bisweilen sogar ohne NW, hat dann also nichts mit Draytek zu tun.
Bitte warten ..
Mitglied: peterschen
12.05.2009 um 16:28 Uhr
Mhhh - hast du das bei dir dann inzwischen gefixt? Oder suchst du auch nach einer Lösung?
Bitte warten ..
Mitglied: sysad
13.05.2009 um 08:48 Uhr
Lösung ist nur teilweise gelungen:

Ich habe ipsecuritas wieder entfernt, jetzt verwende ich auf Windows den von Draytek mitgelieferten 'smart' VPN-Client (ist nicht echt smart oder gar praktisch, aber er läuft wenigstens) und auf Macs den in OSX eingebauten L2TP/IPSEC Clients. Nachteil, und hier konnte mir bisher keiner helfen: Mein Draytek 2700 unterbricht nach exakt 3636 Sekunden die Verbindung, obwohl nirgends ein Timeout drinsteht.

Insgesamt läuft es so ganz gut, aber eben nicht perfekt.....
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
IPsec IKE Phase 2 startet nicht

Frage von Karottenkern zum Thema LAN, WAN, Wireless ...

Router & Routing
Cisco ios IPSEC not time to kick IKE

Frage von pppp666 zum Thema Router & Routing ...

Router & Routing
gelöst VPN 1x Draytec 2860 mit 15x Vigor 2760 Vn (13)

Frage von Nichtsnutz zum Thema Router & Routing ...

Router & Routing
gelöst Kein Zugriff auf Draytek Vigor 3200 Weboberfläche (18)

Frage von halington zum Thema Router & Routing ...

Neue Wissensbeiträge
Sicherheits-Tools

Trendmicro OSCE und das Fall Creators Update Win10 RS3

(3)

Information von Henere zum Thema Sicherheits-Tools ...

Microsoft Office

Text in Zahlen umwandeln

Tipp von logische zum Thema Microsoft Office ...

Erkennung und -Abwehr

Infineon TPMs unsicher! Bitlocker ggf. angreifbar

(4)

Information von Lochkartenstanzer zum Thema Erkennung und -Abwehr ...

Firewall

PfSense Repository für Version 2.3.x

(6)

Information von Dobby zum Thema Firewall ...

Heiß diskutierte Inhalte
Microsoft Office
ICH BIN AM ENDE MEINES IT-WISSENS ANGELANGT!!!! (38)

Frage von 134537 zum Thema Microsoft Office ...

Windows Server
gelöst Gruppenrichtlinie greift nicht zu! (23)

Frage von Syosse zum Thema Windows Server ...

Hosting & Housing
Mailserver Software Empfehlungen (21)

Frage von sunics zum Thema Hosting & Housing ...