Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

IPSec zwischen Bintec VPN25 und Endian Firewall (OpenVPN)

Frage Netzwerke Router & Routing

Mitglied: chluebke

chluebke (Level 1) - Jetzt verbinden

03.02.2009, aktualisiert 16:19 Uhr, 5142 Aufrufe, 5 Kommentare

Ich möchte einen IPSec-Tunnel zwischen einem Bintec VPN25 und einer Endian Firewall (OpenVPN-basiert) aufbauen.
Config im Groben: Endian hat feste IP, Bintec nicht (ist Initiator der Verbindung). PreSharedKey, Aggressive Mode, Verschlüsselung 3DES/MD5, DH-Group 2, kein PFS.
So wie es aussieht, klappt Phase 1 (IKE), in Phase 2 (ESP) bricht die Verbindung jedoch ab.

Auszug aus meinen Log:
16:07:11 INFO/IPSEC: Trigger Bundle -329 (Peer 18 Traffic 28) prot 1 10.234.10.1:0->192.168.100.250:0
16:07:11 INFO/IPSEC: P2: peer 18 (xxx) traf 28 bundle -329 (I): created 10.234.10.0/24:0 < any > 192.168.100.250/32:0 rekeyed 0
16:07:11 DEBUG/IPSEC: P1: peer 18 (xxx) sa 2638 (I): identified ip yyy.yyy.yyy.yyy -> ip xxx.xxx.xxx.xxx
16:07:11 INFO/IPSEC: P1: peer 18 (xxx) sa 2638 (I): Vendor ID: xxx.xxx.xxx.xxx:500 (ipv4(any:0,[0..3]=xxx.xxx.xxx.xxx)) is 'Dead Peer Detection (DPD, RFC 3706)'
16:07:11 INFO/IPSEC: P1: peer 18 (xxx) sa 2638 (I): Vendor ID: xxx.xxx.xxx.xxx:500 (ipv4(any:0,[0..3]=xxx.xxx.xxx.xxx)) is 'draft-ietf-ipsec-nat-t-ike-03'
16:07:11 INFO/IPSEC: P1: peer 18 (xxx) sa 2638 (I): done id fqdn(any:0,[0..5]=MEINE_ID) -> id ipv4(any:0,[0..3]=xxx.xxx.xxx.xxx) AG[7511b2b5 52a34b18 : 44609696 3bcf1ea0]
16:07:11 INFO/IPSEC: P2: peer 18 (xxx) traf 28 bundle -329 (I): deleted (Lifetime expired), Pkts: 0/0 Hb: 0/0 Bytes: 0(0)/0(0) rekeyed by 0
16:07:11 INFO/IPSEC: Destroy Bundle -329 (Peer 18 Traffic 28)
16:07:11 INFO/IPSEC: P1: peer 18 (xxx) sa 2638 (I): delete ip yyy.yyy.yyy.yyy -> ip xxx.xxx.xxx.xxx: Lifetime expired
16:07:11 DEBUG/IPSEC: IKE_INVALID_COOKIE: 20090203160711: Source addr:0.0.0.0 Destination addr:xxx.xxx.xxx.xxx

Lifetime-Einstellungen sind auf beiden Seiten identisch (P1: 3600 Sekunden=1 Std., P2: 28800 Sekunden=8 Std.).

Der Kollege auf der anderen Seite hat leider keine Erfahrung mit dem IPSec-Modul von Endian.

Hat jemand 'ne Idee?

Danke & Gruß,
Christian
Mitglied: 51705
03.02.2009 um 20:07 Uhr
Hallo Christian,

Zitat von chluebke:
Auszug aus meinen Log:
...
'draft-ietf-ipsec-nat-t-ike-03'

wenn beide VPN-Endpunkte eine öffentliche IP haben, brauchst du kein NAT-T zu konfigurieren (das könnte eher hinderlich sein).

Grüße, Steffen

PS: Ein Log von der Gegenseite wäre auch interessant.

[Edit]

Ist auf der VPN25 DynDns konfiguriert?
Bitte warten ..
Mitglied: chluebke
04.02.2009 um 08:00 Uhr
Auf der Bintec-Seite ist keine öffentliche IP vorhanden, DynDNS ist konfiguriert.

Log von der Endian-Seite fände ich auch gut, hat man mir bisher leider nicht zur Verfügung stellen können.

Gruß, Christian
Bitte warten ..
Mitglied: 51705
04.02.2009 um 11:23 Uhr
Hallo Christian,

Auf der Bintec-Seite ist keine öffentliche IP vorhanden, DynDNS
ist konfiguriert.

Sicher, oder meinst du keine 'feste' IP? Ist den NAT auf dem Bintec aktiviert?

Grüße, Steffen
Bitte warten ..
Mitglied: chluebke
04.02.2009 um 12:49 Uhr
Hallo Steffen,

hast gewonnen, natürlich ist eine (dynamische) öffentliche IP vorhanden aber eben keine feste NAT ist aktiviert, macht zu diversen anderen IPSec-Partnern auch überhaupt kein Problem (egal ob Bintec-Bintec, Bintec-Cisco, Bintec-Netgear etc).

Gruß, Christian
Bitte warten ..
Mitglied: 51705
04.02.2009 um 13:09 Uhr
Hallo,

macht zu diversen anderen IPSec-Partnern auch überhaupt kein
Problem (egal ob Bintec-Bintec, Bintec-Cisco, Bintec-Netgear etc).

Na wo wird denn dann wohl das Problem vorrangig zu suchen sein ?

NAT-T kannst du ja trotzdem deaktivieren.

Grüße, Steffen
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Router & Routing
gelöst Bekomme keine Verbindung zwischen zwei Bintec Routern hin (7)

Frage von DJBreezer zum Thema Router & Routing ...

LAN, WAN, Wireless
gelöst VLAN zwischen Routern und Firewall (9)

Frage von Seoxx1 zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (22)

Frage von patz223 zum Thema Windows Userverwaltung ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (19)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...