Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Sicherheit Firewall

GELÖST

Watchguard XTM505 und Astaro ASG220 Site-to-Site-Verbindung

Mitglied: VaderDarth

VaderDarth (Level 1) - Jetzt verbinden

19.07.2012 um 10:52 Uhr, 5339 Aufrufe, 8 Kommentare

Hallo Zusammen,

ich möchte für unsere zwei Standorte eine Site-to-Site-Verbindung anlegen. Hier stoße ich allerdings an meine Grenzen und hoffe Ihr könnt mir weiterhelfen.

Standort A:
Astaro ASG 220 (V8)

Standard B:
Watchguard XTM 505


Folgende Konfig habe ich vorgenommen:

Standort A:
IPSec-Policy:
IKE 3DES, MD5, Lifetime 3600, DH Group 1
IPSec 3DES, MD5, Lifetime 3600, DH Group 1
keine strict policy und keine Compression

Remote-Gateway:
Gateway-IP zeigt auf WAN-Adresse von Standort B
Presharedkey: Zahlenkombi
Remotenetwork: internes Subnetz von Standort B

IPSec-Connection:
local Interface: extern
Policy: die zuvor angelegte
Automatic Firewall Rules: aktiviert



Standort B:
Mobile >VPN with IPSec:
Passphrase: wie zuvor bei Standort A angelegt
Firebox IP Adresses: WAN-Adresse des lokalen Standortes B
IPSec Tunnel:
Phase 1: MD5, 3DESSA, Life 1 Std, DH-Goup 1
Phase 2: MD5, 3DESSA, Life 1 Std, DH-Goup 1

Allow all traffic thorugh tunnel:
Any-External + 0.0.0.0/0
Virtual IP Adresspool: 192.168.180.10
Connect Mode: Automatic


Im Watchguard-Protokoll kann ich den Verbindungsaufbau/Abweisung überhaupt nicht sehen, auf der Astaro steht u.a. dies im Protokoll:

2012:07:18-13:41:03 exefw-2 pluto[5161]: | Notify Message Type: INVALID_EXCHANGE_TYPE
2012:07:18-13:41:03 exefw-2 pluto[5161]: packet from StandortB-IP: ignoring informational payload, type INVALID_EXCHANGE_TYPE
2012:07:18-13:41:03 exefw-2 pluto[5161]: | info: 6a 17 b5 6f 3e 55 28 0f c2 ba 8d b5 1d 97 c9 d1
2012:07:18-13:41:03 exefw-2 pluto[5161]: | next event EVENT_SA_SYNC_UPDATE in 15 seconds


Habt ihr vielleicht eine Idee wo mein Fehler liegt?

Vielen Dank schon mal im Voraus.

Michl
Mitglied: aqui
19.07.2012 um 13:08 Uhr
Benutzt du auf beiden Seiten den Agressive Mode ? Das ist Pflicht wenn du herstellerfremde Komponenten über IPsec koppelst !!
Bitte warten ..
Mitglied: VaderDarth
19.07.2012 um 16:20 Uhr
Nein, kannst Du mir bitte sagen wo ich den bei Astaro finde? Ist das der Punkt "Strict policy"?
Ansonsten finde ich dazu gar nichts in der Astaro-Config.
Bitte warten ..
Mitglied: aqui
19.07.2012 um 17:04 Uhr
Nein, das ist es nicht ! Wenn du IPsec im ESP Mode machst wovon wir hier mal alle ausgehen hast du immer 2 Optionen den IKE Schlüsseltausch ausführen zu lassen nämlich im sog. "Main Mode" und "Agressive Mode".
Siehe auch:
http://www.administrator.de/wissen/IPSEC-Protokoll-Einsatz%2C-Aufbau%2C ...
In deinem Fall ist der Agressive Mode Pflicht. Vermutlich rennen beide Seiten im Main Mode was immer zu Problemen führt in gemischten Umgebungen.
Sinnvoll wäre noch ein Log Trace der Geräte vom Tunnelaufbau damit man mal genau sehen kann WO es kneift !
Bitte warten ..
Mitglied: VaderDarth
19.07.2012 um 18:11 Uhr
Ääääähm, sorry. Halte mich wenns sein muss für blind. Ich finde in der Astaro nicht die Möglichkeit zwischen ESP und IKE wählen zu können. Somit habe ich auch die Einstellung mit dem "Aggressiv Mode" nicht. Ich habe auch schon mal danach gegoogelt bin jetzt auf die schnelle noch nicht fündig geworden.

Anbei auf jeden Fall mal den Auszug aus dem Log Trace.

* WG Diagnostic Report for Gateway "HHGateway" *
Created On: Thu Jul 19 18:03:38 2012

[Gateway Summary]
Gateway "HHGateway" contains "1" gateway endpoint(s).
Gateway Endpoint #1 (name "HHGateway")
Mode: Aggressive PFS: Disabled
DPD: Disabled Keepalive: Disabled
Local ID<->Remote ID: {IP_ADDR(Standort-GAR-IP) <-> IP_ADDR(Standort-HH-IP)}
Local GW_IP<->Remote GW_IP: {Standort-GAR-IP <-> Standort-HH-IP}
Outgoing Interface: eth0 (ifIndex=2, ifMark=0x10000, linkStatus=2)


[Tunnel Summary]
"1" tunnel(s) are found using the previous gateway

Name: "HHGAR"
PFS: "Enabled" DH-Group: "1"
Number of Proposals: "1"
Proposal "HHGARPhase2"
ESP:
EncryptAlgo: "3DES" KeyLen: "32(bytes)"
AuthAlgo: "MD5"
LifeTime: "3600(seconds)" LifeByte: "128000(kbytes)"
Number of Tunnel Routes: "1"
#1
Direction: "BOTH"
"192.168.0.0/255.255.128.0<->192.168.168.0/255.255.255.0"


[Run-time Info (gateway IKE_SA)]
Name: "HHGateway" (IfStatus: 0x80000001)
ISAKMP SAID: "0x0" State: "AM SA Wait"
Created: Thu Jan 1 01:00:00 1970
My Address: Standort-GAR-IP:500 Peer Address: Standort-HH-IP:500
InitCookie: "807705b21a8e26a9" RespCookie: "0000000000000000"
LifeTime: "0(seconds)" LifeByte: "0(kbtyes)" DPD: "Disabled"



[Run-time Info (tunnel IPSEC_SA)]

[Run-time Info (tunnel IPSEC_SP)]
"1" IPSEC SP(s) are found
#1
Tunnel Endpoint: "Standort-GAR-IP->Standort-HH-IP"
Tunnel Selector: 192.168.0.0/17 -> 192.168.168.0/24 Proto: ANY
Created On: Thu Jul 19 17:52:07 2012
Gateway Name: "HHGateway"
Tunnel Name: "HHGAR"

[Related Logs]
<156>Jul 19 18:02:39 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Drop negotiation to peer Standort-HH-IP:500 due to phase 1 retry timeout
<158>Jul 19 18:02:39 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)ike_p1_status_chg: ikePcyName=HHGateway, status=DOWN
<158>Jul 19 18:02:39 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)ikeMultiWanMarkIkePcyObj: MWAN ikePcyGroup(HHGateway)'s ikePcy(HHGateway) ifStatus=0x80000001, mark it as DOWN
<158>Jul 19 18:02:39 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeDeleteIsakmpSA: try to delete Isakmp SA 0x8149d28 for Gateway HHGateway
<158>Jul 19 18:02:39 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Totally 0 Pending P2 SA Requests Got Dropped.
<158>Jul 19 18:02:39 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeDeleteDelState: try to delete DelState 0x816a180 with IsakmpSA 0x8149d28
<158>Jul 19 18:02:39 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeDeleteDelState: try to delete DelState 0x8169f30 with IsakmpSA 0x8149d28
<158>Jul 19 18:02:39 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeDeleteIsakmpSA: Stop Phase One Retry and Life Timer
<158>Jul 19 18:02:39 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeDeleteIsakmpSA: Stop Phase One DPD Retry timer
<158>Jul 19 18:02:57 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP) RECV an IKE packet at Standort-GAR-IP:500(socket=11 ifIndex=2) from Peer Standort-HH-IP:500
<158>Jul 19 18:02:57 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Found IKE Policy [HHGateway, dev=eth0] for peer IP=Standort-HH-IP, numXform=1, pkt ifIndex=2
<158>Jul 19 18:02:57 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Delete Unknown Isakmp SA: try to delete P1 SA, dstIp 0x509caf6b, srcIp 0x5d68ecdc
<158>Jul 19 18:02:57 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Found IKE Policy [HHGateway, dev=eth0] for peer IP=Standort-HH-IP, numXform=1, pkt ifIndex=2
<158>Jul 19 18:02:57 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeCreateIsakmpSA: init vpnDpdSequenceNum = 160155251(Isakmp SA 0x8149360)
<158>Jul 19 18:02:57 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)AggrMode: Start (Ct=65) pcy [HHGateway]
<158>Jul 19 18:02:57 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeProposalHtoN : net order spi(0000 0000 0000 0000)
<158>Jul 19 18:02:57 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Starting phase 1 negotiation using [HHGateway] to Standort-HH-IP:500 aggressive mode
<156>Jul 19 18:02:57 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Received unknown phase one SA from Standort-HH-IP:500. Start IKE negotiation to delete it
<158>Jul 19 18:02:57 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP) RECV an IKE packet at Standort-GAR-IP:500(socket=11 ifIndex=2) from Peer Standort-HH-IP:500
<158>Jul 19 18:02:57 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Found IKE Policy [HHGateway, dev=eth0] for peer IP=Standort-HH-IP, numXform=1, pkt ifIndex=2
<158>Jul 19 18:03:00 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Phase 1 IkeRetryTimeout:: Retrying 1st phase.. (Gateway HHGateway)
<158>Jul 19 18:03:01 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP) RECV an IKE packet at Standort-GAR-IP:500(socket=11 ifIndex=2) from Peer Standort-HH-IP:500
<158>Jul 19 18:03:01 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Found IKE Policy [HHGateway, dev=eth0] for peer IP=Standort-HH-IP, numXform=1, pkt ifIndex=2
<158>Jul 19 18:03:03 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Phase 1 IkeRetryTimeout:: Retrying 1st phase.. (Gateway HHGateway)
<158>Jul 19 18:03:03 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP) RECV an IKE packet at Standort-GAR-IP:500(socket=11 ifIndex=2) from Peer Standort-HH-IP:500
<158>Jul 19 18:03:03 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Found IKE Policy [HHGateway, dev=eth0] for peer IP=Standort-HH-IP, numXform=1, pkt ifIndex=2
<158>Jul 19 18:03:06 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Phase 1 IkeRetryTimeout:: Retrying 1st phase.. (Gateway HHGateway)
<158>Jul 19 18:03:06 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP) RECV an IKE packet at Standort-GAR-IP:500(socket=11 ifIndex=2) from Peer Standort-HH-IP:500
<158>Jul 19 18:03:06 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Found IKE Policy [HHGateway, dev=eth0] for peer IP=Standort-HH-IP, numXform=1, pkt ifIndex=2
<156>Jul 19 18:03:09 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Drop negotiation to peer Standort-HH-IP:500 due to phase 1 retry timeout
<158>Jul 19 18:03:09 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)ike_p1_status_chg: ikePcyName=HHGateway, status=DOWN
<158>Jul 19 18:03:09 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)ikeMultiWanMarkIkePcyObj: MWAN ikePcyGroup(HHGateway)'s ikePcy(HHGateway) ifStatus=0x80000001, mark it as DOWN
<158>Jul 19 18:03:09 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeDeleteIsakmpSA: try to delete Isakmp SA 0x8149360 for Gateway HHGateway
<158>Jul 19 18:03:09 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Totally 0 Pending P2 SA Requests Got Dropped.
<158>Jul 19 18:03:09 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeDeleteDelState: try to delete DelState 0x816a4f8 with IsakmpSA 0x8149360
<158>Jul 19 18:03:09 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeDeleteIsakmpSA: Stop Phase One Retry and Life Timer
<158>Jul 19 18:03:09 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeDeleteIsakmpSA: Stop Phase One DPD Retry timer
<158>Jul 19 18:03:38 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP) RECV an IKE packet at Standort-GAR-IP:500(socket=11 ifIndex=2) from Peer Standort-HH-IP:500
<158>Jul 19 18:03:38 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Found IKE Policy [HHGateway, dev=eth0] for peer IP=Standort-HH-IP, numXform=1, pkt ifIndex=2
<158>Jul 19 18:03:38 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Delete Unknown Isakmp SA: try to delete P1 SA, dstIp 0x509caf6b, srcIp 0x5d68ecdc
<158>Jul 19 18:03:38 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Found IKE Policy [HHGateway, dev=eth0] for peer IP=Standort-HH-IP, numXform=1, pkt ifIndex=2
<158>Jul 19 18:03:38 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeCreateIsakmpSA: init vpnDpdSequenceNum = 461821219(Isakmp SA 0x8148998)
<158>Jul 19 18:03:38 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)AggrMode: Start (Ct=66) pcy [HHGateway]
<158>Jul 19 18:03:38 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeProposalHtoN : net order spi(0000 0000 0000 0000)
<158>Jul 19 18:03:38 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Starting phase 1 negotiation using [HHGateway] to Standort-HH-IP:500 aggressive mode
<156>Jul 19 18:03:38 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Received unknown phase one SA from Standort-HH-IP:500. Start IKE negotiation to delete it
<158>Jul 19 18:03:38 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP) RECV an IKE packet at Standort-GAR-IP:500(socket=11 ifIndex=2) from Peer Standort-HH-IP:500
<158>Jul 19 18:03:38 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Found IKE Policy [HHGateway, dev=eth0] for peer IP=Standort-HH-IP, numXform=1, pkt ifIndex=2


Vielen Dank für Deine Hilfe.

VG Michl
Bitte warten ..
Mitglied: VaderDarth
19.07.2012 um 18:37 Uhr
Jetzt habe ich was rausgefunden

http://www.astaro.org/astaro-gateway-products/vpn-site-site-remote-acce ...

Aussage Astaro zu der Thematik: Aggressiv-Mode ist nicht sicher, da es sich bei Astaro um ein Sicherheitsprodukt handelt wird das nicht angeboten (siehe link)

Kann ich die Sache noch irgendwie anders angehen? Ich meine wenn das gleiche Protokoll verwendet wird sollten doch normal alle die gleiche Sprache sprechen, oder?

VG und Danke

Michl
Bitte warten ..
Mitglied: aqui
19.07.2012 um 18:54 Uhr
Das ist eine unsinnige Aussage und zeugt von wenig Fachkenntniss der Astaro Hotline...aber egal. Das zu deaktivieren ist eher ein übler Marketing Trick um den Kauf einer weiteren Appliance zu erzwingen und die Kopplung mit Drittanbietern so zu unterbinden.
Dann kannst du nur den Main Mode versuchen und hoffen das es klappt. Die Chancen sind aber nicht groß.
Oder du erwirbst einen andere FW Hardware die sowas kann:
http://www.administrator.de/contentid/149915
Hilfreich für ein weiteres Troubleshooting sind immer noch die Log Auszüge beider Seiten !!
Bitte warten ..
Mitglied: VaderDarth
19.07.2012 um 19:16 Uhr
Im Main Mode habe ich die Watchguard standardmäßig konfiguriert, da hat es nicht funktioniert. Ansonsten hätte ich leider nicht das Drama. Die Astaro ist erst vor 1,5 Jahren angeschafft worden und hat 17k gekostet. Mein Chef reist mir die Rübe runter wenn ich ihm sage er soll das Ding in die Tonne treten ;o)

Anbei noch der LOG-Auszug aus der Astaro, sorry hatte ich vorher vergessen anzuhängen:

2012:07:19-19:08:36 exefw-2 pluto[31711]: loaded ca certificate from '/etc/ipsec.d/cacerts/VPN Signing CA.pem'
2012:07:19-19:08:36 exefw-2 pluto[31711]: loading aa certificates from '/etc/ipsec.d/aacerts'
2012:07:19-19:08:36 exefw-2 pluto[31711]: loading ocsp certificates from '/etc/ipsec.d/ocspcerts'
2012:07:19-19:08:36 exefw-2 pluto[31711]: loading attribute certificates from '/etc/ipsec.d/acerts'
2012:07:19-19:08:36 exefw-2 pluto[31711]: Changing to directory '/etc/ipsec.d/crls'
2012:07:19-19:08:36 exefw-2 pluto[31711]: "S_HH-GAR (IPSec)" #275: received Vendor ID payload [XAUTH]
2012:07:19-19:08:37 exefw-2 pluto[31711]: "S_HH-GAR (IPSec)" #275: Peer ID is ID_IPV4_ADDR: 'Standort-GAR-IP'
2012:07:19-19:08:37 exefw-2 pluto[31711]: "S_HH-GAR (IPSec)" #275: ISAKMP SA established
2012:07:19-19:08:37 exefw-2 pluto[31711]: "S_HH-GAR (IPSec)" #276: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS+UP {using isakmp#275}
2012:07:19-19:08:37 exefw-2 pluto[31711]: "S_HH-GAR (IPSec)" #275: ignoring informational payload, type NO_PROPOSAL_CHOSEN
2012:07:19-19:08:48 exefw-2 pluto[31711]: "S_HH-GAR (IPSec)" #275: ignoring informational payload, type NO_PROPOSAL_CHOSEN
2012:07:19-19:09:07 exefw-2 pluto[31711]: "S_HH-GAR (IPSec)" #275: ignoring informational payload, type NO_PROPOSAL_CHOSEN
2012:07:19-19:09:14 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: received Vendor ID payload [strongSwan]
2012:07:19-19:09:14 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: ignoring Vendor ID payload [Cisco-Unity]
2012:07:19-19:09:14 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: received Vendor ID payload [XAUTH]
2012:07:19-19:09:14 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: received Vendor ID payload [Dead Peer Detection]
2012:07:19-19:09:14 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: ignoring Vendor ID payload [RFC 3947]
2012:07:19-19:09:14 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
2012:07:19-19:09:14 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
2012:07:19-19:09:14 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
2012:07:19-19:09:14 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
2012:07:19-19:09:14 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: initial Main Mode message received on Standort-HH-IP:500 but no connection has been authorized with policy=PSK
2012:07:19-19:09:47 exefw-2 pluto[31711]: "S_HH-GAR (IPSec)" #276: max number of retransmissions (2) reached STATE_QUICK_I1. No acceptable response to our first Quick Mode message: perhaps peer likes no proposal
2012:07:19-19:09:47 exefw-2 pluto[31711]: "S_HH-GAR (IPSec)" #276: starting keying attempt 2 of an unlimited number
2012:07:19-19:09:47 exefw-2 pluto[31711]: "S_HH-GAR (IPSec)" #277: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS+UP to replace #276 {using isakmp#275}
2012:07:19-19:09:47 exefw-2 pluto[31711]: "S_HH-GAR (IPSec)" #275: ignoring informational payload, type NO_PROPOSAL_CHOSEN
2012:07:19-19:09:54 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: received Vendor ID payload [strongSwan]
2012:07:19-19:09:54 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: ignoring Vendor ID payload [Cisco-Unity]
2012:07:19-19:09:54 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: received Vendor ID payload [XAUTH]
2012:07:19-19:09:54 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: received Vendor ID payload [Dead Peer Detection]
2012:07:19-19:09:54 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: ignoring Vendor ID payload [RFC 3947]
2012:07:19-19:09:54 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
2012:07:19-19:09:54 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
2012:07:19-19:09:54 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
2012:07:19-19:09:54 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
2012:07:19-19:09:54 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: initial Main Mode message received on Standort-HH-IP:500 but no connection has been authorized with policy=PSK

VG Michl
Bitte warten ..
Mitglied: VaderDarth
20.07.2012 um 08:43 Uhr
Manchmal ist es besser es mal eine Nacht ruhen zu lassen. Man verrennt sich so leicht.

Also ich habe weiterhin auf beiden Seiten MD5, 3DES, Group1, Main Mode (Astaro läßt ja nix anderes zu)

Es hätte eigentlich alles laufen müssen, wenn ich nicht versehentlich der Astaro das falsche "Lokal Network" zugewiesen hätte *würg*

Das hatte ich auch in den Logs nicht gesehen. Hätte ich einen Ping auf das Remotenetzwerk abgesetzt wären auch in den Logs die notwendigen Hinweise dafür gestanden.

@aqui: Vielen Dank nochmal für Deine Unterstützung und sorry das es dann doch wieder ein PebKaC (Problem exist between keyboard and chair) war ;o)

VG Michl
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
VPN Site to Site Verbindung zwischen Astaro und DD-WRT
Frage von deethreeLAN, WAN, Wireless3 Kommentare

Hallo, kann man folgendes Szenario realisieren ? Es soll von meinem Astaro Gateway (an dyn. Ip Kabel Anschluss und ...

Netzwerke
Projekt VPN Site to Site
Frage von obamakingNetzwerke2 Kommentare

Hi Leute, ich bin momentan an einem Projekt dran. Ich habe ein Home Office und einen Hauptstandort. Am Hauptstandort ...

Router & Routing
PFSense OpenVPN Site to Site
gelöst Frage von m.reegerRouter & Routing7 Kommentare

Hallo zusammen, ich habe hier gerade ein Site to Site VPN zwischen 2 virtuellen PFSense eingerichtet. Die Folgende Anleitung ...

LAN, WAN, Wireless
Site to Site VPN FritzBox
gelöst Frage von marni1996LAN, WAN, Wireless7 Kommentare

Hallo Zusammen, Ich versuche vergeblich eine VPN Verbindung zwischen Office <> RZ herzustellen. Leider klappt es nicht im RZ ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 6 StundenLinux1 Kommentar

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 1 TagTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 1 TagSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 1 TagSicherheit9 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
Sicherheit
Meltdown und Spectre: Die machen uns alle was vor
Information von FrankSicherheit23 Kommentare

Aktuell sieht es in den Medien so aus, als hätten die Hersteller wie Intel, Microsoft und Co den aktuellen ...

Netzwerkgrundlagen
Welches Modem für VDSL 50000 der T-Com
gelöst Frage von Windows10GegnerNetzwerkgrundlagen22 Kommentare

Hallo, ein Kollege von mir will sich VDSL50000 von der T-Com holen, um daran einen Server zu betreiben. Ich ...

Netzwerke
Packet loss bei "InternetLeitungsvollauslastung"
gelöst Frage von Freak-On-SiliconNetzwerke17 Kommentare

Servus; Ja der Titel klingt komisch, is aber so. Wenn die Internetleitung voll ausgelastet ist, hab ich extreme packet ...

Ubuntu
Ubuntu - Starter für nicht vertrauenswürdige Anwendungen
Frage von adm2015Ubuntu17 Kommentare

Hallo zusammen, Ich verwende derzeit die Ubuntu Versionen 17.10 bzw. im Test 18.04. Ich habe mehrere .desktop Dateien in ...