Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

IPSec zwischen Bintec VPN25 und Endian Firewall (OpenVPN)

Frage Netzwerke Router & Routing

Mitglied: chluebke

chluebke (Level 1) - Jetzt verbinden

03.02.2009, aktualisiert 16:19 Uhr, 5315 Aufrufe, 5 Kommentare

Ich möchte einen IPSec-Tunnel zwischen einem Bintec VPN25 und einer Endian Firewall (OpenVPN-basiert) aufbauen.
Config im Groben: Endian hat feste IP, Bintec nicht (ist Initiator der Verbindung). PreSharedKey, Aggressive Mode, Verschlüsselung 3DES/MD5, DH-Group 2, kein PFS.
So wie es aussieht, klappt Phase 1 (IKE), in Phase 2 (ESP) bricht die Verbindung jedoch ab.

Auszug aus meinen Log:
16:07:11 INFO/IPSEC: Trigger Bundle -329 (Peer 18 Traffic 28) prot 1 10.234.10.1:0->192.168.100.250:0
16:07:11 INFO/IPSEC: P2: peer 18 (xxx) traf 28 bundle -329 (I): created 10.234.10.0/24:0 < any > 192.168.100.250/32:0 rekeyed 0
16:07:11 DEBUG/IPSEC: P1: peer 18 (xxx) sa 2638 (I): identified ip yyy.yyy.yyy.yyy -> ip xxx.xxx.xxx.xxx
16:07:11 INFO/IPSEC: P1: peer 18 (xxx) sa 2638 (I): Vendor ID: xxx.xxx.xxx.xxx:500 (ipv4(any:0,[0..3]=xxx.xxx.xxx.xxx)) is 'Dead Peer Detection (DPD, RFC 3706)'
16:07:11 INFO/IPSEC: P1: peer 18 (xxx) sa 2638 (I): Vendor ID: xxx.xxx.xxx.xxx:500 (ipv4(any:0,[0..3]=xxx.xxx.xxx.xxx)) is 'draft-ietf-ipsec-nat-t-ike-03'
16:07:11 INFO/IPSEC: P1: peer 18 (xxx) sa 2638 (I): done id fqdn(any:0,[0..5]=MEINE_ID) -> id ipv4(any:0,[0..3]=xxx.xxx.xxx.xxx) AG[7511b2b5 52a34b18 : 44609696 3bcf1ea0]
16:07:11 INFO/IPSEC: P2: peer 18 (xxx) traf 28 bundle -329 (I): deleted (Lifetime expired), Pkts: 0/0 Hb: 0/0 Bytes: 0(0)/0(0) rekeyed by 0
16:07:11 INFO/IPSEC: Destroy Bundle -329 (Peer 18 Traffic 28)
16:07:11 INFO/IPSEC: P1: peer 18 (xxx) sa 2638 (I): delete ip yyy.yyy.yyy.yyy -> ip xxx.xxx.xxx.xxx: Lifetime expired
16:07:11 DEBUG/IPSEC: IKE_INVALID_COOKIE: 20090203160711: Source addr:0.0.0.0 Destination addr:xxx.xxx.xxx.xxx

Lifetime-Einstellungen sind auf beiden Seiten identisch (P1: 3600 Sekunden=1 Std., P2: 28800 Sekunden=8 Std.).

Der Kollege auf der anderen Seite hat leider keine Erfahrung mit dem IPSec-Modul von Endian.

Hat jemand 'ne Idee?

Danke & Gruß,
Christian
Mitglied: 51705
03.02.2009 um 20:07 Uhr
Hallo Christian,

Zitat von chluebke:
Auszug aus meinen Log:
...
'draft-ietf-ipsec-nat-t-ike-03'

wenn beide VPN-Endpunkte eine öffentliche IP haben, brauchst du kein NAT-T zu konfigurieren (das könnte eher hinderlich sein).

Grüße, Steffen

PS: Ein Log von der Gegenseite wäre auch interessant.

[Edit]

Ist auf der VPN25 DynDns konfiguriert?
Bitte warten ..
Mitglied: chluebke
04.02.2009 um 08:00 Uhr
Auf der Bintec-Seite ist keine öffentliche IP vorhanden, DynDNS ist konfiguriert.

Log von der Endian-Seite fände ich auch gut, hat man mir bisher leider nicht zur Verfügung stellen können.

Gruß, Christian
Bitte warten ..
Mitglied: 51705
04.02.2009 um 11:23 Uhr
Hallo Christian,

Auf der Bintec-Seite ist keine öffentliche IP vorhanden, DynDNS
ist konfiguriert.

Sicher, oder meinst du keine 'feste' IP? Ist den NAT auf dem Bintec aktiviert?

Grüße, Steffen
Bitte warten ..
Mitglied: chluebke
04.02.2009 um 12:49 Uhr
Hallo Steffen,

hast gewonnen, natürlich ist eine (dynamische) öffentliche IP vorhanden aber eben keine feste NAT ist aktiviert, macht zu diversen anderen IPSec-Partnern auch überhaupt kein Problem (egal ob Bintec-Bintec, Bintec-Cisco, Bintec-Netgear etc).

Gruß, Christian
Bitte warten ..
Mitglied: 51705
04.02.2009 um 13:09 Uhr
Hallo,

macht zu diversen anderen IPSec-Partnern auch überhaupt kein
Problem (egal ob Bintec-Bintec, Bintec-Cisco, Bintec-Netgear etc).

Na wo wird denn dann wohl das Problem vorrangig zu suchen sein ?

NAT-T kannst du ja trotzdem deaktivieren.

Grüße, Steffen
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement
gelöst Endian OpenVPN Probleme mit RDP (11)

Frage von Sunny89 zum Thema Netzwerkmanagement ...

Firewall
Endian Firewall Aktivierung UTM Mini (3)

Frage von horstvogel zum Thema Firewall ...

LAN, WAN, Wireless
IPSec VPN zwischen Bintec und AVM FritzBox (2)

Frage von Hajo2006 zum Thema LAN, WAN, Wireless ...

Netzwerke
Ipsec VPN Tunnel RV110W - Bintec Be.IP (2)

Frage von Zero01 zum Thema Netzwerke ...

Neue Wissensbeiträge
LAN, WAN, Wireless

Schwachstelle im WPA2 Protokoll veröffentlicht

(3)

Information von colinardo zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte