Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

IPSec TR200bw zu R3000

Frage Netzwerke Router & Routing

Mitglied: tomyy666

tomyy666 (Level 1) - Jetzt verbinden

21.04.2008, aktualisiert 26.04.2008, 11530 Aufrufe, 9 Kommentare

Probleme mit dem Tunnel!

Hallo Forum,

ich habe zwischenzeitlich einiges zu diesem Thema in diesen und in anderen Foren gelesen und leider keine passenden Hinweise gefunden.

Auch habe ich die Anleitungen von Funkwerk als Basis für die Konfiguration genutzt.

Es sollte eigentlich nicht so schwer sein die entsprechende Konfiguration auf beiden Seiten vorzunehmen und damit ein funktionierendes VPN aufzubauen.

Kurz zu den Rahmenbedingungen:

Ich habe die Zentrale (TR200bw) und die Filiale (R3000). Auf beiden Routern ist die aktuelle Systemsoftware 7.5.1 Patch 6.
Beide Seiten nutzen eine dynamische IP über DynDns. Das funktioniert auch auf beiden Seiten.

Jetzt habe ich das Problem, dass sich der Tunnel von der R3000-Seite aufbaut, dies jedoch auf der TR200bw-Seite nicht.

Auf der R3000-Seite erscheint Peers Up: 1 / 1 Dormant: 0 Blocked: 0
SAs Phase1: 1 / 1 Phase2: 0 / 0

Auch wird auf der R3000-Seite die Remote ID - Remote IP - Local ID richtig angezeigt.

Auf der TR200bw-Seite steht bei Remote ID "No Id", die Remote IP und die Local ID sind jedoch richtig.

Hat jemand vielleicht noch ne Idee oder einen Tip aus eigenen Erfahrungen. Vielleicht bin ich ja auch schon zu langean dem Thema dran, so dass ich den Fehler nicht mehr sehe.

Wäre toll wenn sich jemand meldet und hierfür gleich meinen Dank vorab.

th
Mitglied: 51705
21.04.2008 um 21:00 Uhr
Hallo th,

ein paar mehr Einzelheiten wären hilfreich.

Phase1/Phase2 Settings pro Router
Syslog (auf IPSEC gefiltert) pro Router
NAT Settings pro Router
SIF (so aktiv) pro Router
Portfilter (so aktiv) pro Router

Grüße, Steffen
Bitte warten ..
Mitglied: tomyy666
21.04.2008 um 21:52 Uhr
Hallo Steffen,

vielen Dank für die schnelle Reaktion.

Zwischenzeitlich hatte ich eine Verbindung zum R3000. Ich konnte mich anmelden. Nach einer kurzen Zeit war die Verbindung wieder weg und kam auch nicht mehr zustande.

So, hier erst einmal einige Details:

Phase1 (gilt für beide Router bis auf die Local ID):

Proposal: (DES3/MD5)
Lifetime Policy: Use default lifetime settings
Group: (1024 bit MODP)
Authentication Method: Pre Shared Keys
Mode: aggressive
Alive Check: Heartbeats (send and expect)
Block Time: 0
Local ID: die von TR200bw auf R3000 und umgekehrt
Local Certificate: none
CA Certificates:
Nat - Travelsal: enabled

Phase2 (gilt auch für beide Router)

Proposal: (ESP(DES3/MD5) no Comp)
Lifetime Policy: Use default lifetime settings
Use PFS: group 2 (1024 bit MODP)
Alive Check: Heartbeats (send and expect)
Propagate PMTU: no

Traffic List
Local Address M/R Port Proto Remote Address M/R Port A Proposal
*192.168.10.0 M24 500 udp 192.168.0.0 M24 500 PA
0.0.0.0 M0 500 udp 0.0.0.0 M0 500 PA

Basic IP-Settings:
IP Transit Network no
Local IP Address 192.168.10.100
Default Route no
Remote IP Address 192.168.0.0
Remote Netmask 255.255.255.0


Virtual Interface: yes
[PEERS][EDIT][SPECIAL][IP][ROUTING][EDIT]
Route Type Network route
Network WAN without transit network
Destination IP-Address 192.168.0.0
Netmask 255.255.255.0
Partner / Interface Name des Interface
Metric 1

[ADVANCED]: IPsec Configuration - Advanced Settings
Ignore Cert Req Payloads : no
Dont send Cert Req Payl. : no
Dont Send Cert Chains : no
Dont send CRLs : yes
Dont send Key Hash Payl. : no
Trust ICMP Messages : no
Dont Send Initial Contact: no
Sync SAs With Local Ifc : yes
Max. Symmetric Key Length: 1024
Use Zero Cookies : no
RADIUS Authentication : disabled

[IP][NAT][EDIT]..[EDIT]: NAT - sessions from OUTSIDE

Service user defined
Protocol any
Remote Address
Remote Mask
External Address
External Mask
External Port any
Internal Address 192.168.10.100
Internal Mask 255.255.255.255
Internal Port any

Syslog ist in Arbeit und wird nachgereicht!

Leider kann ich vorerst nur das Log des TR200bw liefern. An den R3000 komme ich so schnell nicht ran.

Mit der o.g. Konfiguration kam die Verbindung zustande. Habe noch nichts geändert.

Mercy, th
Bitte warten ..
Mitglied: tomyy666
21.04.2008 um 22:20 Uhr
... so, das sind die Meldungen wenn eine Verbindung aufgebaut werden soll.
Sieht so aus als können die Schlüssel nicht sauber ausgetauscht werden.
Vielleicht hängt das mit der Lifetime Policy zusammen!?

22:04:18 INFO/INET: NAT: refused incoming session on ifc 10001 prot 17 79.xxx.xx
x.204:20753 <- 79.xxx.xx.241:34137
22:05:04 INFO/INET: NAT: refused incoming session on ifc 10001 prot 17 79.xxx.xx
x.204:20753 <- 80.xxx.xxx.212:37031
22:05:05 DEBUG/IPSEC: IKE_RETRY_LIMIT_REACHED: 20080421220505: SPI:0x90a1cdb63
d7f7045 Source addr:79.xxx.xxx.204 Destination addr:79.xxx.xx.71 Description:
ISAKMP negotiation retry limit reached
22:05:05 INFO/IPSEC: P1: peer 1 (Peer-Kennung) sa 1455 (I): failed id fqdn(any:0
,[0..11]=Local ID) -> ip 79.xxx.xx.71 (Timeout)
22:05:05 INFO/IPSEC: P1: peer 1 (Peer-Kennung) sa 0 (-): blocked for 15 seconds
22:05:05 INFO/IPSEC: P1: peer 1 (Peer-Kennung) sa 1455 (I): delete ip 79.xxx.xxx
.204 -> ip 79.xxx.xx.71: Blocked
22:05:06 DEBUG/INET: NAT: delete session on ifc 10001 prot 17 79.xxx.xxx.204:500
/79.xxx.xxx.204:1023 <-> 79.xxx.xx.71:500
22:05:19 INFO/IPSEC: P1: peer 1 (Peer-Kennung) sa 0 (-): reactivated
22:05:19 DEBUG/IPSEC: P1: peer 1 (Peer-Kennung) sa 0 (-): Automatic dialup
22:05:19 DEBUG/INET: NAT: new outgoing session on ifc 10001 prot 17 79.xxx.xxx.2
04:1030/79.xxx.xxx.204:34635 -> 194.25.2.129:53
22:05:19 DEBUG/INET: NAT: new outgoing session on ifc 10001 prot 17 79.xxx.xxx.2
04:500/79.220.xxx.xxx:1023 -> 79.xxx.xx.71:500
22:05:19 DEBUG/IPSEC: P1: peer 1 (Peer-Kennung) sa 1456 (I): identified ip 79.xxx.
xxx.204 -> ip 79.xxx.xx.71
Bitte warten ..
Mitglied: 51705
22.04.2008 um 11:03 Uhr
22:05:05 INFO/IPSEC: P1: peer 1 (Peer-Kennung) sa 1455 (I): failed id fqdn(any:0,[0..11]=Local ID) -> ip 79.xxx.xx.71 (Timeout)

Stimmen die Local und Peer IDs auf beiden Seiten überein (wobei du ja meinst, das es schon funktionierte...)?

Grüße, Steffen
Bitte warten ..
Mitglied: 51705
22.04.2008 um 11:10 Uhr
Hallo th,

Nat - Travelsal: enabled

wenn die Router auf beiden Seiten das NAT selbst erledigen, kannst du NAT-Traversal abschalten.

Grüße, Steffen
Bitte warten ..
Mitglied: tomyy666
22.04.2008 um 12:35 Uhr
Hallo Steffen,

ja, die ID´s sind gleich. Ich habe auch fast keine Idee mehr.

So kompliziert ist doch so eine Konfiguration wirklich nicht.

Nur noch einmal zum Verständnis.

Zentrale Peer ID: fritzchen
Zentrale Local ID : 123456789

Standort Peer ID: fritzchen
Standort Local ID: 123456789

So wie es im Logfile zu sehen ist, scheitert der Austausch der Schlüssel in der Phase1.

Da muss irgendwo ein Dreher in den ID´s sein!
Warum ich gestern mit genau dieser Konfig eine Verbindung hatte ist mir ein Rätsel.

Ich werde mich heute wohl mal ins Auto setzen und mir die Konfig auf der R3000-Seite ansehen und neue ID´s vergeben. Hoffentlich klappt es dann.

Vorsetzung folgt.

Gruß
th
Bitte warten ..
Mitglied: 51705
22.04.2008 um 12:46 Uhr
Hallo th,

Zentrale Peer ID: fritzchen
Zentrale Local ID : 123456789

Standort Peer ID: fritzchen
Standort Local ID: 123456789

versuche doch mal 'echte' FQDN zu verwenden, z.B.:

Router1:
Phase 1 Profile -> Local ID: router1.standort.vpn
Configure Peer -> Peer ID: router2.standort.vpn

Router2:
Phase 1 Profile -> Local ID: router2.standort.vpn
Configure Peer -> Peer ID: router1.standort.vpn

Zumindest in Verbindung mit dem Secure IPSec Client ist die richtige Definition FQDN/FQUN wichtig.

PS: Mit SSH und/oder Isdnlogin muß man dazu nicht hinfahren.

Grüße, Steffen
Bitte warten ..
Mitglied: tomyy666
22.04.2008 um 13:15 Uhr
Hallo Steffen,

Deine Darstellung der Vergabe der ID´s ist natürlich richtig. So ist es auch konfiguriert.

Ich versuche das mal mit den FQDN/FQUN.

Leider steht mit auf der R3000-Seite kein ISDN-Anschluss zur Verfügung. Daran mußte ich auch die letzten Tage immer wieder denken. Da wäre schön einfach.


Gruß
th
Bitte warten ..
Mitglied: tomyy666
26.04.2008 um 09:12 Uhr
... so, es ist geschafft!

Ich bin hingefahren und habe bei dem R3000 eine fragmentierte Konfiguration vorgefunden. ADSL war aktiv, jedoch gab es keine Anschlusskennung oder sonstige Angaben in dieser Hinsicht mehr. DynDNS stand auf failed!. Ich habe den Router dann aus- und wieder eingeschaltet. Jetzt war er nahezu im Werkszustand. Keine Ahnung was passiert ist. Habe dann auch in diesem Moment gemerkt, das ich die DSL Kennung und das Password zu Hause vergessen habe. Als wieder zurück und wieder hin. Konfiguriert via Wizzard und dann noch schnell das voreingestellte Annex A auf Annex B umgestellt und siehe da, es funktioniert.

Also alles tutti!

Besten Dank für die Unterstützung
Bitte warten ..
Ähnliche Inhalte
Windows Server
IPSec - Datenverschlüsselung
gelöst Frage von 117109Windows Server4 Kommentare

Hallo, kann man eigentlich bei IPSec die Sicherheitsmethoden so anpassen, dass man nur die Daten verschlüsselt? Wenn ja, wie ...

Router & Routing
Fortigate ipsec
Frage von meister00Router & Routing5 Kommentare

hallo, ich habe folgendes Problem. ich möchte von einem aussenstandort einen Server in unsere Domäne einbinden. habe mit 2 ...

Netzwerke
VPN DHCP IPSec im Vergleich zu L2TP over IPSec
Frage von TomJonesNetzwerke1 Kommentar

Moin zusammen, wenn ich per DHCP IP-Adressen an meine VPN Klienten zuweisen möchte, benötige ich dann zwingend L2TP over ...

Firewall
PfSense IPsec Unitymedia
Frage von comtelFirewall10 Kommentare

Hallo, Ich habe eine pfSense Installation auf einem PC Engines APU1D4 Board laufen. Internetanbieter ist Unitymedia Business IPv4 (Feste ...

Neue Wissensbeiträge
Apple

IOS 11.2.1 stopft HomeKit-Remote-Lücke

Tipp von BassFishFox vor 15 StundenApple

Das Update für iPhone, iPad und Apple TV soll die Fernsteuerung von Smart-Home-Geräten wieder in vollem Umfang ermöglichen. Apple ...

Windows 10

Windows 10 v1709 EN murkst bei den Regionseinstellungen

Tipp von DerWoWusste vor 20 StundenWindows 10

Dieser kurze Tipp richtet sich an den kleinen Personenkreis, der Win10 v1709 EN-US frisch installiert und dabei die englische ...

Webbrowser

Kein Ton bei Firefox Quantum über RDP

Tipp von Moddry vor 20 StundenWebbrowser

Hallo Kollegen! Hatte das Problem, dass der neue Firefox bei mir auf der Kiste keinen Ton hat, wenn ich ...

Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 1 TagInternet4 Kommentare

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registrierung von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Heiß diskutierte Inhalte
Windows Server
RODC kann nicht aus Domäne entfernt werden
Frage von NilsvLehnWindows Server18 Kommentare

HAllo, ich arbeite in einem Universitätsnetzwerk mit 3 Standorten. Die Standorte haben alle ein ESXi Cluster und auf diesen ...

Windows XP
Windows XP Aktivieren geht nicht
Frage von tetikmiroWindows XP13 Kommentare

Hallo Ich habe einen Windows XP mit einen vCenter Converter umgezogen auf eine ESXI. Soweit funktioniert dies auch ohne ...

Blogs
Immer wiederkehrende PHP Fehlermeldung bei Wordpress UTF-8 - ASCII
gelöst Frage von vcdweltBlogs11 Kommentare

Hi, seit einiger Zeit wird mein error_log meines Wordpress Blogs mit immer der gleichen Fehlermeldung überschwemmt. 14-Dec-2017 08:18:05 UTC ...

Switche und Hubs
Redundante L2 LWL Leitung über 2 Standorte - Spanning Tree - HP Equipment
gelöst Frage von ResolvSwitche und Hubs10 Kommentare

Hallo, ich stehe vor der Herausforderung eine Redundante L2 LWL Leitung über 2 Standorte herzustellen. Grundsätzliches Switching Know How ...