Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Mikrotik - Cisco RV042 IPSec VPN Tunnel

Frage Netzwerke Router & Routing

Mitglied: Androxin

Androxin (Level 1) - Jetzt verbinden

26.09.2014 um 20:12 Uhr, 3419 Aufrufe, 5 Kommentare

Moin,

ich probiere gerade einen Mikrotik Router mit einem CISCO RV042 Router über einen IPSec Tunnel zu verbinden. (Siehe: Homeoffice via VPN anbinden)

Auf der Client-Seite gibt es eine Router-Kaskade mit dynamischer, öffentlicher IP. Der IPSec-Server/Router ist direkt über eine statische IP erreichbar.
Hinter dem Cisco Router läuft ein SBS als PPTP Server.

50726a705cce9753e9813d14e6c73369 - Klicke auf das Bild, um es zu vergrößern


Der VPN Tunnel zwischen Small Business Server und MikroTik via PPTP funktioniert problemlos.
IPSec dagegen nicht.
Der Verbindungsaufbau bricht mit der Fehlermeldung:
cannot respond to IPsec SA request because no connection is known for 192.168.71.0/24===1.1.1.1...2.2.2.2[test@*******************]===192.168.88.0/24 
ab.

Hier die VPN-Konfigurationen, angelehnt an IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software.

Cisco RV042
Firewall:
3568c72899f69ec3c2dce2d008c0f3c8 - Klicke auf das Bild, um es zu vergrößern

VPN Passthrough:
8e33c9df7e8148ab01d6de47478b6c5b - Klicke auf das Bild, um es zu vergrößern

Gateway to Gateway VPN:
d76edeede34156f01ebef1c882ed101e - Klicke auf das Bild, um es zu vergrößern
b55fab2cdaa5339df10de3d45525d563 - Klicke auf das Bild, um es zu vergrößern



MikroTik:
Address List:
9923a89332960273ee6d8d16abedbe98 - Klicke auf das Bild, um es zu vergrößern

Proposal:
af4971a1b3e1261c761db8226800e539 - Klicke auf das Bild, um es zu vergrößern

Policy:
ce0015ecdd4c2305102a5a4113c6b398 - Klicke auf das Bild, um es zu vergrößern
05215807ea7aa0a7a1cb781f2d4df07f - Klicke auf das Bild, um es zu vergrößern


Peer:
c1a507f9aedc1a97f37d36dd633e3cc5 - Klicke auf das Bild, um es zu vergrößern



Log vom Cisco RV042:
Sep 26 16:47:37 2014 VPN Log packet from 2.2.2.2:500: received Vendor ID payload [Dead Peer Detection]   
Sep 26 16:47:37 2014 VPN Log packet from 2.2.2.2:500: received Vendor ID payload [Dead Peer Detection]   
Sep 26 16:47:37 2014 VPN Log packet from 2.2.2.2:500: [Tunnel Negotiation Info] <<< Responder Received Aggressive Mode 1st packet   
Sep 26 16:47:37 2014 VPN Log packet from 2.2.2.2:500: [Tunnel Negotiation Info] <<< Responder Received Aggressive Mode 1st packet   
Sep 26 16:47:37 2014 VPN Log (g2gips0)[3] 2.2.2.2 #107: Peer ID is ID_USER_FQDN: 'test@*******************'   
Sep 26 16:47:37 2014 VPN Log (g2gips0)[3] 2.2.2.2 #107: responding to Aggressive Mode, state #107, connection 'g2gips0' from 2.2.2.2   
Sep 26 16:47:37 2014 VPN Log (g2gips0)[3] 2.2.2.2 #107: [Tunnel Negotiation Info] >>> Responder Send Aggressive Mode 2nd packet   
Sep 26 16:47:37 2014 VPN Log (g2gips0)[3] 2.2.2.2 #107: [Tunnel Negotiation Info] >>> Responder Send Aggressive Mode 2nd packet   
Sep 26 16:47:37 2014 VPN Log (g2gips0)[3] 2.2.2.2 #107: [Tunnel Negotiation Info] <<< Responder Received Aggressive Mode 3rd packet   
Sep 26 16:47:37 2014 VPN Log (g2gips0)[3] 2.2.2.2 #107: [Tunnel Negotiation Info] <<< Responder Received Aggressive Mode 3rd packet   
Sep 26 16:47:37 2014 VPN Log (g2gips0)[3] 2.2.2.2 #107: Peer ID is ID_USER_FQDN: 'test@*******************'   
Sep 26 16:47:37 2014 VPN Log (g2gips0)[3] 2.2.2.2 #107: Peer ID is ID_USER_FQDN: 'test@*******************'   
Sep 26 16:47:37 2014 VPN Log (g2gips0)[3] 2.2.2.2 #107: [Tunnel Negotiation Info] Aggressive Mode Phase 1 SA Established   
Sep 26 16:47:37 2014 VPN Log (g2gips0)[3] 2.2.2.2 #107: [Tunnel Negotiation Info] Aggressive Mode Phase 1 SA Established   
Sep 26 16:47:37 2014 VPN Log (g2gips0)[3] 2.2.2.2 #107: ISAKMP SA established   
Sep 26 16:47:38 2014 VPN Log (g2gips0)[3] 2.2.2.2 #107: [Tunnel Negotiation Info] <<< Responder Received Quick Mode 1st packet   
Sep 26 16:47:38 2014 VPN Log (g2gips0)[3] 2.2.2.2 #107: [Tunnel Negotiation Info] <<< Responder Received Quick Mode 1st packet   
Sep 26 16:47:38 2014 VPN Log (g2gips0)[3] 2.2.2.2 #107: cannot respond to IPsec SA request because no connection is known for 192.168.71.0/24===1.1.1.1...2.2.2.2[test@*******************]===192.168.88.0/24   
Sep 26 16:47:38 2014 VPN Log (g2gips0)[3] 2.2.2.2 #107: sending encrypted notification INVALID_ID_INFORMATION to 2.2.2.2:500  
Log vom MikroTik:
f8b445ceb08401733b0d751ed944410d - Klicke auf das Bild, um es zu vergrößern



Unabhängig von dem Testaufbau mit dem MikroTik Router, habe ich versucht direkt mit aus dem 192.168.1.0/24er Netz eine IPSec Verbindung mittels Shrew-Client aufzubauen. Auch das ist genau mit der selben Fehlermeldung an der gleichen Stelle abgebrochen.

Durch fleißiges googeln bin ich darauf gestoßen, dass der IPSec Server ggf. Probleme mit der dynamischen IP des Clients haben könnte oder das es mit NAT-T zusammenhängen könnte oder das die Subnetze nicht zusammenpassen.
NAT-T habe ich testweise eingeschaltet und auch die dynamische IP habe ich fest konfiguriert. - Kein Erfolg. Selbe Fehlermeldung.
Auf dem Cisco Router habe ich alle VPN "Typen" (Gateway To Gateway, Client To Gateway (Tunnel/Group VPN)) durchprobiert. Jedes mal ist der wieder an dieser Stelle hängengeblieben.

Was könnte man noch probieren?
An welcher Stelle hakt es?

Vielen Dank schon einmal.
Mitglied: Dobby
26.09.2014 um 21:58 Uhr
Hallo,

wir haben hier auch eine Suchfunktion die Anleitungen liefert!
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen

Gruß
Dobby
Bitte warten ..
Mitglied: Androxin
27.09.2014 um 00:08 Uhr
Zitat von Dobby:

wir haben hier auch eine Suchfunktion die Anleitungen liefert!

Vielen Dank für den Hinweis, Dobby.

Leider hilft mir das, abgesehen davon, dass ich mich fachlich korrekter ausdrücken kann, leider nicht weiter.

Grundsätzlich scheint der Aufbau des Tunnels ja zu funktionieren. Shrew und Mikrotik erkennen, dass da was passiert ist:

8386c5c89072da67aad4a04a682905fe - Klicke auf das Bild, um es zu vergrößern 2defa38a999723b963ab5dc17bd33c24 - Klicke auf das Bild, um es zu vergrößern

Allerdings gibt es keinen Datenverkehr durch den Tunnel, was wohl mit besagter Fehlermeldung zutun haben muss.
Der PC bzw. Mikrotik auf der Clientseite laufen als ExposedHost und alle Firewalls sind auf Durchzug geschaltet. An der Stelle kann es eigentlich nicht haken.

Ich komme nicht dahinter, an welcher stelle es noch klemmen könnte.
Bitte warten ..
Mitglied: aqui
27.09.2014, aktualisiert um 11:40 Uhr
Dein Fehler ist ein ID Message oder Notification Mismatch. Das passiert wenn deine Lokale ID (FQDN oder IP) nicht mit der übereinstimmt die du auf der anderen Seite als Remote definiert hast.
Z.B. wenn du auf der einen Seite ein FQDN angibst auf der anderen aber eine IP oder auf der einen Seite ein Subnetz und Maske auf der anderen Seite aber z.B. bei der IP oder bei der Maske einen Tippfehler machst.
Dann stimmen die SAsnicht und es kommt zum Abbruch der Phase 2.
Genau das ist der Fall bei dir ! Irgendwo hast du also einen Tippfehler in der Konfiguration. Vermutlich ist es die Mikrotik Policy denn dort sind in der Src und Dst Address falsche Werte !
Bitte warten ..
Mitglied: Dobby
27.09.2014 um 12:40 Uhr
Der PC bzw. Mikrotik auf der Clientseite laufen als ExposedHost und alle Firewalls sind
auf Durchzug geschaltet. An der Stelle kann es eigentlich nicht haken.
Eigentlich braucht man nur die Ports und Protokolle öffnen die man dort in der Anleitung
sieht und nicht alles offen wie ein Scheunentor stehen lassen.

Ich komme nicht dahinter, an welcher stelle es noch klemmen könnte.
Daher noch einmal der Link zu der Anleitung die kann man auch Step-by-Step
nachmachen bzw. umsetzen und findet dann meist solche Fehler wie sie @aqui
ja schon angesprochen hat bzw. um so etwas zufinden müsste man schon einmal
die Konfiguration genauer kennen.

Gruß
Dobby
Bitte warten ..
Mitglied: Androxin
27.09.2014, aktualisiert um 13:55 Uhr
Hey ihr beiden.

Vielen Dank für eure Unterstützung.

Wie bereits eingangs geschrieben, habe ich bei der Konfiguration die Anleitung (IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software) verwendet.
Die Einstellungen im Mikrotik entsprechen dieser.

Wo genau ist denn der Fehler in der Src und Dst Address?
Ich habe es so verstanden, dass in
Src das LAN der Clients und bei
Dst das LAN der Serverseite hinterlegt werden müssen.


Selbstverständlich war der Mikrotik nur zum Ausschließen eines Fehlers innerhalb der Fritzbox-Config als ExposedHost konfiguriert.
Bitte warten ..
Neuester Wissensbeitrag
Microsoft

Lizenzwiederverkauf und seine Tücken

(5)

Erfahrungsbericht von DerWoWusste zum Thema Microsoft ...

Ähnliche Inhalte
Router & Routing
Cisco IPSEC VPN - Magic Packet (WOL) - ip helper-address (4)

Frage von Bernhard-B zum Thema Router & Routing ...

Router & Routing
gelöst 18 Standorte via IPSEC VPN verbinden (26)

Frage von Nichtsnutz zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Windows Netzwerk
Windows 10 RDP geht nicht (16)

Frage von Fiasko zum Thema Windows Netzwerk ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (13)

Frage von Motte990 zum Thema Microsoft Office ...