Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

IPSec zwischen Bintec VPN25 und Endian Firewall (OpenVPN)

Frage Netzwerke Router & Routing

Mitglied: chluebke

chluebke (Level 1) - Jetzt verbinden

03.02.2009, aktualisiert 16:19 Uhr, 5188 Aufrufe, 5 Kommentare

Ich möchte einen IPSec-Tunnel zwischen einem Bintec VPN25 und einer Endian Firewall (OpenVPN-basiert) aufbauen.
Config im Groben: Endian hat feste IP, Bintec nicht (ist Initiator der Verbindung). PreSharedKey, Aggressive Mode, Verschlüsselung 3DES/MD5, DH-Group 2, kein PFS.
So wie es aussieht, klappt Phase 1 (IKE), in Phase 2 (ESP) bricht die Verbindung jedoch ab.

Auszug aus meinen Log:
16:07:11 INFO/IPSEC: Trigger Bundle -329 (Peer 18 Traffic 28) prot 1 10.234.10.1:0->192.168.100.250:0
16:07:11 INFO/IPSEC: P2: peer 18 (xxx) traf 28 bundle -329 (I): created 10.234.10.0/24:0 < any > 192.168.100.250/32:0 rekeyed 0
16:07:11 DEBUG/IPSEC: P1: peer 18 (xxx) sa 2638 (I): identified ip yyy.yyy.yyy.yyy -> ip xxx.xxx.xxx.xxx
16:07:11 INFO/IPSEC: P1: peer 18 (xxx) sa 2638 (I): Vendor ID: xxx.xxx.xxx.xxx:500 (ipv4(any:0,[0..3]=xxx.xxx.xxx.xxx)) is 'Dead Peer Detection (DPD, RFC 3706)'
16:07:11 INFO/IPSEC: P1: peer 18 (xxx) sa 2638 (I): Vendor ID: xxx.xxx.xxx.xxx:500 (ipv4(any:0,[0..3]=xxx.xxx.xxx.xxx)) is 'draft-ietf-ipsec-nat-t-ike-03'
16:07:11 INFO/IPSEC: P1: peer 18 (xxx) sa 2638 (I): done id fqdn(any:0,[0..5]=MEINE_ID) -> id ipv4(any:0,[0..3]=xxx.xxx.xxx.xxx) AG[7511b2b5 52a34b18 : 44609696 3bcf1ea0]
16:07:11 INFO/IPSEC: P2: peer 18 (xxx) traf 28 bundle -329 (I): deleted (Lifetime expired), Pkts: 0/0 Hb: 0/0 Bytes: 0(0)/0(0) rekeyed by 0
16:07:11 INFO/IPSEC: Destroy Bundle -329 (Peer 18 Traffic 28)
16:07:11 INFO/IPSEC: P1: peer 18 (xxx) sa 2638 (I): delete ip yyy.yyy.yyy.yyy -> ip xxx.xxx.xxx.xxx: Lifetime expired
16:07:11 DEBUG/IPSEC: IKE_INVALID_COOKIE: 20090203160711: Source addr:0.0.0.0 Destination addr:xxx.xxx.xxx.xxx

Lifetime-Einstellungen sind auf beiden Seiten identisch (P1: 3600 Sekunden=1 Std., P2: 28800 Sekunden=8 Std.).

Der Kollege auf der anderen Seite hat leider keine Erfahrung mit dem IPSec-Modul von Endian.

Hat jemand 'ne Idee?

Danke & Gruß,
Christian
Mitglied: 51705
03.02.2009 um 20:07 Uhr
Hallo Christian,

Zitat von chluebke:
Auszug aus meinen Log:
...
'draft-ietf-ipsec-nat-t-ike-03'

wenn beide VPN-Endpunkte eine öffentliche IP haben, brauchst du kein NAT-T zu konfigurieren (das könnte eher hinderlich sein).

Grüße, Steffen

PS: Ein Log von der Gegenseite wäre auch interessant.

[Edit]

Ist auf der VPN25 DynDns konfiguriert?
Bitte warten ..
Mitglied: chluebke
04.02.2009 um 08:00 Uhr
Auf der Bintec-Seite ist keine öffentliche IP vorhanden, DynDNS ist konfiguriert.

Log von der Endian-Seite fände ich auch gut, hat man mir bisher leider nicht zur Verfügung stellen können.

Gruß, Christian
Bitte warten ..
Mitglied: 51705
04.02.2009 um 11:23 Uhr
Hallo Christian,

Auf der Bintec-Seite ist keine öffentliche IP vorhanden, DynDNS
ist konfiguriert.

Sicher, oder meinst du keine 'feste' IP? Ist den NAT auf dem Bintec aktiviert?

Grüße, Steffen
Bitte warten ..
Mitglied: chluebke
04.02.2009 um 12:49 Uhr
Hallo Steffen,

hast gewonnen, natürlich ist eine (dynamische) öffentliche IP vorhanden aber eben keine feste NAT ist aktiviert, macht zu diversen anderen IPSec-Partnern auch überhaupt kein Problem (egal ob Bintec-Bintec, Bintec-Cisco, Bintec-Netgear etc).

Gruß, Christian
Bitte warten ..
Mitglied: 51705
04.02.2009 um 13:09 Uhr
Hallo,

macht zu diversen anderen IPSec-Partnern auch überhaupt kein
Problem (egal ob Bintec-Bintec, Bintec-Cisco, Bintec-Netgear etc).

Na wo wird denn dann wohl das Problem vorrangig zu suchen sein ?

NAT-T kannst du ja trotzdem deaktivieren.

Grüße, Steffen
Bitte warten ..
Neuester Wissensbeitrag
Microsoft Office

MS Office Excel - Formel wird angezeigt, aber nicht berechneter Wert!

Tipp von holli.zimmi zum Thema Microsoft Office ...

Heiß diskutierte Inhalte
Hyper-V
gelöst Reiner Hyper- V Server oder lieber Rolle (16)

Frage von Winuser zum Thema Hyper-V ...

Windows Server
gelöst Rechte als Admin vergeben - Zugriff verweigert (14)

Frage von Ghost108 zum Thema Windows Server ...

Router & Routing
gelöst IP Kamera für drei unabhängige Netzwerke (12)

Frage von ProfessorZ zum Thema Router & Routing ...