Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

IPSec zwischen Bintec VPN25 und Endian Firewall (OpenVPN)

Frage Netzwerke Router & Routing

Mitglied: chluebke

chluebke (Level 1) - Jetzt verbinden

03.02.2009, aktualisiert 16:19 Uhr, 5288 Aufrufe, 5 Kommentare

Ich möchte einen IPSec-Tunnel zwischen einem Bintec VPN25 und einer Endian Firewall (OpenVPN-basiert) aufbauen.
Config im Groben: Endian hat feste IP, Bintec nicht (ist Initiator der Verbindung). PreSharedKey, Aggressive Mode, Verschlüsselung 3DES/MD5, DH-Group 2, kein PFS.
So wie es aussieht, klappt Phase 1 (IKE), in Phase 2 (ESP) bricht die Verbindung jedoch ab.

Auszug aus meinen Log:
16:07:11 INFO/IPSEC: Trigger Bundle -329 (Peer 18 Traffic 28) prot 1 10.234.10.1:0->192.168.100.250:0
16:07:11 INFO/IPSEC: P2: peer 18 (xxx) traf 28 bundle -329 (I): created 10.234.10.0/24:0 < any > 192.168.100.250/32:0 rekeyed 0
16:07:11 DEBUG/IPSEC: P1: peer 18 (xxx) sa 2638 (I): identified ip yyy.yyy.yyy.yyy -> ip xxx.xxx.xxx.xxx
16:07:11 INFO/IPSEC: P1: peer 18 (xxx) sa 2638 (I): Vendor ID: xxx.xxx.xxx.xxx:500 (ipv4(any:0,[0..3]=xxx.xxx.xxx.xxx)) is 'Dead Peer Detection (DPD, RFC 3706)'
16:07:11 INFO/IPSEC: P1: peer 18 (xxx) sa 2638 (I): Vendor ID: xxx.xxx.xxx.xxx:500 (ipv4(any:0,[0..3]=xxx.xxx.xxx.xxx)) is 'draft-ietf-ipsec-nat-t-ike-03'
16:07:11 INFO/IPSEC: P1: peer 18 (xxx) sa 2638 (I): done id fqdn(any:0,[0..5]=MEINE_ID) -> id ipv4(any:0,[0..3]=xxx.xxx.xxx.xxx) AG[7511b2b5 52a34b18 : 44609696 3bcf1ea0]
16:07:11 INFO/IPSEC: P2: peer 18 (xxx) traf 28 bundle -329 (I): deleted (Lifetime expired), Pkts: 0/0 Hb: 0/0 Bytes: 0(0)/0(0) rekeyed by 0
16:07:11 INFO/IPSEC: Destroy Bundle -329 (Peer 18 Traffic 28)
16:07:11 INFO/IPSEC: P1: peer 18 (xxx) sa 2638 (I): delete ip yyy.yyy.yyy.yyy -> ip xxx.xxx.xxx.xxx: Lifetime expired
16:07:11 DEBUG/IPSEC: IKE_INVALID_COOKIE: 20090203160711: Source addr:0.0.0.0 Destination addr:xxx.xxx.xxx.xxx

Lifetime-Einstellungen sind auf beiden Seiten identisch (P1: 3600 Sekunden=1 Std., P2: 28800 Sekunden=8 Std.).

Der Kollege auf der anderen Seite hat leider keine Erfahrung mit dem IPSec-Modul von Endian.

Hat jemand 'ne Idee?

Danke & Gruß,
Christian
Mitglied: 51705
03.02.2009 um 20:07 Uhr
Hallo Christian,

Zitat von chluebke:
Auszug aus meinen Log:
...
'draft-ietf-ipsec-nat-t-ike-03'

wenn beide VPN-Endpunkte eine öffentliche IP haben, brauchst du kein NAT-T zu konfigurieren (das könnte eher hinderlich sein).

Grüße, Steffen

PS: Ein Log von der Gegenseite wäre auch interessant.

[Edit]

Ist auf der VPN25 DynDns konfiguriert?
Bitte warten ..
Mitglied: chluebke
04.02.2009 um 08:00 Uhr
Auf der Bintec-Seite ist keine öffentliche IP vorhanden, DynDNS ist konfiguriert.

Log von der Endian-Seite fände ich auch gut, hat man mir bisher leider nicht zur Verfügung stellen können.

Gruß, Christian
Bitte warten ..
Mitglied: 51705
04.02.2009 um 11:23 Uhr
Hallo Christian,

Auf der Bintec-Seite ist keine öffentliche IP vorhanden, DynDNS
ist konfiguriert.

Sicher, oder meinst du keine 'feste' IP? Ist den NAT auf dem Bintec aktiviert?

Grüße, Steffen
Bitte warten ..
Mitglied: chluebke
04.02.2009 um 12:49 Uhr
Hallo Steffen,

hast gewonnen, natürlich ist eine (dynamische) öffentliche IP vorhanden aber eben keine feste NAT ist aktiviert, macht zu diversen anderen IPSec-Partnern auch überhaupt kein Problem (egal ob Bintec-Bintec, Bintec-Cisco, Bintec-Netgear etc).

Gruß, Christian
Bitte warten ..
Mitglied: 51705
04.02.2009 um 13:09 Uhr
Hallo,

macht zu diversen anderen IPSec-Partnern auch überhaupt kein
Problem (egal ob Bintec-Bintec, Bintec-Cisco, Bintec-Netgear etc).

Na wo wird denn dann wohl das Problem vorrangig zu suchen sein ?

NAT-T kannst du ja trotzdem deaktivieren.

Grüße, Steffen
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement
gelöst Endian OpenVPN Probleme mit RDP (11)

Frage von Sunny89 zum Thema Netzwerkmanagement ...

LAN, WAN, Wireless
IPSec VPN zwischen Bintec und AVM FritzBox (2)

Frage von Hajo2006 zum Thema LAN, WAN, Wireless ...

Netzwerke
Ipsec VPN Tunnel RV110W - Bintec Be.IP (2)

Frage von Zero01 zum Thema Netzwerke ...

Windows Server
Windows Firewall Einstellungen für OpenVPN Tunnel (4)

Frage von Aubanan zum Thema Windows Server ...

Neue Wissensbeiträge
Windows Update

Microsoft Update KB4034664 verursacht Probleme mit Multimonitor-Systemen

(2)

Tipp von beidermachtvongreyscull zum Thema Windows Update ...

Viren und Trojaner

CNC-Fräsen von MECANUMERIC werden (ggf.) mit Viren, Trojanern, Würmern ausgeliefert

(4)

Erfahrungsbericht von anteNope zum Thema Viren und Trojaner ...

Windows 10

Windows 10: Erste Anmeldung Animation deaktivieren

(3)

Anleitung von alemanne21 zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Netzwerkprotokolle
gelöst Leiten "dumme" Switches VLAN-Tags mit durch? (26)

Frage von coltseavers zum Thema Netzwerkprotokolle ...

Netzwerkgrundlagen
Kann auf Freigabe nicht Zugreifen (16)

Frage von leon123 zum Thema Netzwerkgrundlagen ...

Windows Server
gelöst Neues KB für W10 1607 und W2K16 wieder mal nicht im WSUS 3.0, hat das noch jemand? (16)

Frage von departure69 zum Thema Windows Server ...

Router & Routing
FTTH bzw FTTB Router (13)

Frage von ukulele-7 zum Thema Router & Routing ...