Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

L2TP VPN mittels einer Astaro 7.5

Frage Sicherheit Firewall

Mitglied: bongartz

bongartz (Level 1) - Jetzt verbinden

15.03.2010 um 14:23 Uhr, 6781 Aufrufe, 9 Kommentare

Hallo,

ich test gerade eine Astaro Firewall und versuche schon etwas länger einen VPN mittels L2TP und IPsec. umzusetzen. Habe die Anleitung von Astaro eins zu eins umgesetzt aber irgendwie kann ich mich nicht mit dem VPN Server verbinden. Hier mal mein Protokoll von der Firewall:

2010:03:13-19:46:54 firewall pluto[3560]: packet from xx:xx:xx:xx:500: received Vendor ID payload [RFC 3947]
2010:03:13-19:46:54 firewall pluto[3560]: packet from xx:xx:xx:xx:500: ignoring Vendor ID payload [4df37928e9fc4fd1b3262170d515c662]
2010:03:13-19:46:54 firewall pluto[3560]: packet from xx:xx:xx:xx:500: ignoring Vendor ID payload [8f8d83826d246b6fc7a8a6a428c11de8]
2010:03:13-19:46:54 firewall pluto[3560]: packet from xx:xx:xx:xx:500: ignoring Vendor ID payload [439b59f8ba676c4c7737ae22eab8f582]
2010:03:13-19:46:54 firewall pluto[3560]: packet from xx:xx:xx:xx:500: ignoring Vendor ID payload [4d1e0e136deafa34c4f3ea9f02ec7285]
2010:03:13-19:46:54 firewall pluto[3560]: packet from xx:xx:xx:xx:500: ignoring Vendor ID payload [80d0bb3def54565ee84645d4c85ce3ee]
2010:03:13-19:46:54 firewall pluto[3560]: packet from xx:xx:xx:xx:500: ignoring Vendor ID payload [9909b64eed937c6573de52ace952fa6b]
2010:03:13-19:46:54 firewall pluto[3560]: packet from xx:xx:xx:xx:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
2010:03:13-19:46:54 firewall pluto[3560]: packet from xx:xx:xx:xx:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
2010:03:13-19:46:54 firewall pluto[3560]: packet from xx:xx:xx:xx:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
2010:03:13-19:46:54 firewall pluto[3560]: packet from xx:xx:xx:xx:500: received Vendor ID payload [Dead Peer Detection]
2010:03:13-19:46:54 firewall pluto[3560]: "S_REF_OIyuDzalKP"[23] xx:xx:xx:xx #12: responding to Main Mode from unknown peer xx:xx:xx:xx
2010:03:13-19:46:54 firewall pluto[3560]: "S_REF_OIyuDzalKP"[23] xx:xx:xx:xx #12: NAT-Traversal: Result using RFC 3947: both are NATed
2010:03:13-19:46:54 firewall pluto[3560]: "S_REF_OIyuDzalKP"[23] xx:xx:xx:xx #12: Peer ID is ID_IPV4_ADDR: '10.0.2.113'
2010:03:13-19:46:54 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx #12: deleting connection "S_REF_OIyuDzalKP" instance with peer xx:xx:xx:xx {isakmp=#0/ipsec=#0}
2010:03:13-19:46:54 firewall pluto[3560]: | NAT-T: new mapping xx:xx:xx:xx:500/4500)
2010:03:13-19:46:54 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: sent MR3, ISAKMP SA established
2010:03:13-19:46:54 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: ignoring informational payload, type IPSEC_INITIAL_CONTACT
2010:03:13-19:46:55 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: cannot respond to IPsec SA request because no connection is known for yy:yy:yy:yy/32===192.168.0.10:4500:17/1701...xx:xx:xx:xx:4500[10.0.2.113]:17/%any==={10.0.2.113/32}
2010:03:13-19:46:55 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: sending encrypted notification INVALID_ID_INFORMATION to xx:xx:xx:xx:4500
2010:03:13-19:46:58 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x62f547e0 (perhaps this is a duplicated packet)
2010:03:13-19:46:58 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: sending encrypted notification INVALID_MESSAGE_ID to xx:xx:xx:xx:4500
2010:03:13-19:47:01 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x62f547e0 (perhaps this is a duplicated packet)
2010:03:13-19:47:01 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: sending encrypted notification INVALID_MESSAGE_ID to xx:xx:xx:xx:4500
2010:03:13-19:47:04 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x62f547e0 (perhaps this is a duplicated packet)
2010:03:13-19:47:04 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: sending encrypted notification INVALID_MESSAGE_ID to xx:xx:xx:xx:4500
2010:03:13-19:47:07 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x62f547e0 (perhaps this is a duplicated packet)
2010:03:13-19:47:07 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: sending encrypted notification INVALID_MESSAGE_ID to xx:xx:xx:xx:4500
2010:03:13-19:47:10 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x62f547e0 (perhaps this is a duplicated packet)
2010:03:13-19:47:10 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: sending encrypted notification INVALID_MESSAGE_ID to xx:xx:xx:xx:4500
2010:03:13-19:47:13 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x62f547e0 (perhaps this is a duplicated packet)
2010:03:13-19:47:13 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: sending encrypted notification INVALID_MESSAGE_ID to xx:xx:xx:xx:4500
2010:03:13-19:47:16 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x62f547e0 (perhaps this is a duplicated packet)
2010:03:13-19:47:16 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: sending encrypted notification INVALID_MESSAGE_ID to xx:xx:xx:xx:4500
2010:03:13-19:47:19 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x62f547e0 (perhaps this is a duplicated packet)
2010:03:13-19:47:19 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: sending encrypted notification INVALID_MESSAGE_ID to xx:xx:xx:xx:4500
2010:03:13-19:47:22 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x62f547e0 (perhaps this is a duplicated packet)
2010:03:13-19:47:22 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: sending encrypted notification INVALID_MESSAGE_ID to xx:xx:xx:xx:4500
2010:03:13-19:47:25 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: received Delete SA payload: deleting ISAKMP State #12
2010:03:13-19:47:25 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500: deleting connection "S_REF_OIyuDzalKP" instance with peer xx:xx:xx:xx {isakmp=#0/ipsec=#0}

Zur Umgebung: Ich habe eine Netgear Router welcher sich für mich ins Internet einwählt. Hinter dem Router steht dann meine Firewall mit 2 Netzwerkkarten. Also eine externe Schnittstelle und eine interne. Bei dem Router habe ich alle Notwenigen Ports auf die Firewall freigeben. Nur irgendwie haut es nicht hin.

Ich hoffe das einer von euch mit hier weiter helfen kann.

Danke
Mitglied: FlashOver
22.03.2010 um 17:06 Uhr
nimm mal die Netgear raus. Wir hatten mal mit der gleichen Konstellation Probleme wenn hinter der Netgear eine Juniper SSG war. Die Netgear ist gelinde gesagt zu blöd zu schnallen, daß die Pakete nicht für Sie sind und schluckt die teilweise. Wenn die Netgear raus ist von der Konfiguration wirst sehen, daß es geht.
Was bei der Netgear konfiguriert ist mit NAT usw. mag zwar sinnvoll sein - hat aber bei uns häufig nicht funktioniert und wir haben das in ganz Bayern bei hunderten Kunden gehabt, daß eine Netgear (meist Prosafe) als primärer Router im Netz war und Probleme gemacht hat.
Bitte warten ..
Mitglied: bongartz
22.03.2010 um 17:21 Uhr
Hi,

ja diese Vermutung hatte ich auch schon geht. Nur irgendwie will der das Netgear ding umbedingt behalten.

Ich werde es dann mal testen. Danke
Bitte warten ..
Mitglied: FlashOver
22.03.2010 um 17:30 Uhr
Probier es mal so, daß du die Astaro als DMZ einträgst und alle Ports via NAT umleitest.
also 4500, 500 und 10000, am besten UDP und TCP... IKE nat. auch.
Vielleicht noch ein Firemware Update der Netgear und auf der Netgear darf kein VPN Dienst laufen... evtl. das VPN Passthrough an oder aus... mußt mal testen.. ich würd sagen eher aus.
Bitte warten ..
Mitglied: bongartz
22.03.2010 um 18:27 Uhr
also alle Ports und den dmz habe ich schon auf meine Friwall gerichtet. das VPN Passthrough ist aus.

ich glaube wir sollten einfach den router in die tonne werfen.
Bitte warten ..
Mitglied: FlashOver
22.03.2010 um 18:43 Uhr
ganz meine Rede. Die Netgear ist einfach nicht intelligent genug unter der Haube, um IKE Traffic weiter zu reichen und terminiert ihn auf sich selbst und da hört nat. nichts bzw. geht der Handshake nicht klar und es kommt nur die Hälfte an der Astaro an. Ich würde es auf jeden Fall erstma so testen ohne die Netgear
Bitte warten ..
Mitglied: bongartz
22.03.2010 um 18:47 Uhr
Also vorher hatten wir einen L2TP laufen. Der Router war im Netzwerk, keine Firewall und auf einem Mac Mini leif iVPN. Dies ging ohne große Probleme. Aber jetzt sieht ja die konfig etwas anders aus.
Bitte warten ..
Mitglied: FlashOver
22.03.2010 um 18:52 Uhr
könnte auch ein NAT-T Problem sein denn es gibt ja dann sozusagen ein Transfernetz. Mit Logik hat das nichts zu tun daß die Netgear da rein fummelt - wie gesagt, haben viel negative Erfahrung damit bei Kunden. Grad mit der ProSafe.
Bitte warten ..
Mitglied: bongartz
22.03.2010 um 19:35 Uhr
an den NAt hatte ich auch gedacht. Habe dann im Netgear router versucht NAT auszuschalten, aber dann ging das I-Net nicht mehr also auch keine Lösung.
Bitte warten ..
Mitglied: FlashOver
22.03.2010 um 21:17 Uhr
Nicht NAT, sondern NAT-T (NAT Traversal)
Das gehört zum IPSec dazu. Einfach mal google nutzen mit NAT-T
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Windows Server
gelöst L2TP VPN Server funktioniert nicht - Win2012R2 (33)

Frage von 118080 zum Thema Windows Server ...

Netzwerke
VPN DHCP IPSec im Vergleich zu L2TP over IPSec (1)

Frage von TomJones zum Thema Netzwerke ...

LAN, WAN, Wireless
gelöst L2TP-IPsec VPN pfSense 2.3 (6)

Frage von maddig zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (18)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...