Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Watchguard XTM505 und Astaro ASG220 Site-to-Site-Verbindung

Frage Sicherheit Firewall

Mitglied: VaderDarth

VaderDarth (Level 1) - Jetzt verbinden

19.07.2012 um 10:52 Uhr, 5079 Aufrufe, 8 Kommentare

Hallo Zusammen,

ich möchte für unsere zwei Standorte eine Site-to-Site-Verbindung anlegen. Hier stoße ich allerdings an meine Grenzen und hoffe Ihr könnt mir weiterhelfen.

Standort A:
Astaro ASG 220 (V8)

Standard B:
Watchguard XTM 505


Folgende Konfig habe ich vorgenommen:

Standort A:
IPSec-Policy:
IKE 3DES, MD5, Lifetime 3600, DH Group 1
IPSec 3DES, MD5, Lifetime 3600, DH Group 1
keine strict policy und keine Compression

Remote-Gateway:
Gateway-IP zeigt auf WAN-Adresse von Standort B
Presharedkey: Zahlenkombi
Remotenetwork: internes Subnetz von Standort B

IPSec-Connection:
local Interface: extern
Policy: die zuvor angelegte
Automatic Firewall Rules: aktiviert



Standort B:
Mobile >VPN with IPSec:
Passphrase: wie zuvor bei Standort A angelegt
Firebox IP Adresses: WAN-Adresse des lokalen Standortes B
IPSec Tunnel:
Phase 1: MD5, 3DESSA, Life 1 Std, DH-Goup 1
Phase 2: MD5, 3DESSA, Life 1 Std, DH-Goup 1

Allow all traffic thorugh tunnel:
Any-External + 0.0.0.0/0
Virtual IP Adresspool: 192.168.180.10
Connect Mode: Automatic


Im Watchguard-Protokoll kann ich den Verbindungsaufbau/Abweisung überhaupt nicht sehen, auf der Astaro steht u.a. dies im Protokoll:

2012:07:18-13:41:03 exefw-2 pluto[5161]: | Notify Message Type: INVALID_EXCHANGE_TYPE
2012:07:18-13:41:03 exefw-2 pluto[5161]: packet from StandortB-IP: ignoring informational payload, type INVALID_EXCHANGE_TYPE
2012:07:18-13:41:03 exefw-2 pluto[5161]: | info: 6a 17 b5 6f 3e 55 28 0f c2 ba 8d b5 1d 97 c9 d1
2012:07:18-13:41:03 exefw-2 pluto[5161]: | next event EVENT_SA_SYNC_UPDATE in 15 seconds


Habt ihr vielleicht eine Idee wo mein Fehler liegt?

Vielen Dank schon mal im Voraus.

Michl
Mitglied: aqui
19.07.2012 um 13:08 Uhr
Benutzt du auf beiden Seiten den Agressive Mode ? Das ist Pflicht wenn du herstellerfremde Komponenten über IPsec koppelst !!
Bitte warten ..
Mitglied: VaderDarth
19.07.2012 um 16:20 Uhr
Nein, kannst Du mir bitte sagen wo ich den bei Astaro finde? Ist das der Punkt "Strict policy"?
Ansonsten finde ich dazu gar nichts in der Astaro-Config.
Bitte warten ..
Mitglied: aqui
19.07.2012 um 17:04 Uhr
Nein, das ist es nicht ! Wenn du IPsec im ESP Mode machst wovon wir hier mal alle ausgehen hast du immer 2 Optionen den IKE Schlüsseltausch ausführen zu lassen nämlich im sog. "Main Mode" und "Agressive Mode".
Siehe auch:
http://www.administrator.de/wissen/IPSEC-Protokoll-Einsatz%2C-Aufbau%2C ...
In deinem Fall ist der Agressive Mode Pflicht. Vermutlich rennen beide Seiten im Main Mode was immer zu Problemen führt in gemischten Umgebungen.
Sinnvoll wäre noch ein Log Trace der Geräte vom Tunnelaufbau damit man mal genau sehen kann WO es kneift !
Bitte warten ..
Mitglied: VaderDarth
19.07.2012 um 18:11 Uhr
Ääääähm, sorry. Halte mich wenns sein muss für blind. Ich finde in der Astaro nicht die Möglichkeit zwischen ESP und IKE wählen zu können. Somit habe ich auch die Einstellung mit dem "Aggressiv Mode" nicht. Ich habe auch schon mal danach gegoogelt bin jetzt auf die schnelle noch nicht fündig geworden.

Anbei auf jeden Fall mal den Auszug aus dem Log Trace.

* WG Diagnostic Report for Gateway "HHGateway" *
Created On: Thu Jul 19 18:03:38 2012

[Gateway Summary]
Gateway "HHGateway" contains "1" gateway endpoint(s).
Gateway Endpoint #1 (name "HHGateway")
Mode: Aggressive PFS: Disabled
DPD: Disabled Keepalive: Disabled
Local ID<->Remote ID: {IP_ADDR(Standort-GAR-IP) <-> IP_ADDR(Standort-HH-IP)}
Local GW_IP<->Remote GW_IP: {Standort-GAR-IP <-> Standort-HH-IP}
Outgoing Interface: eth0 (ifIndex=2, ifMark=0x10000, linkStatus=2)


[Tunnel Summary]
"1" tunnel(s) are found using the previous gateway

Name: "HHGAR"
PFS: "Enabled" DH-Group: "1"
Number of Proposals: "1"
Proposal "HHGARPhase2"
ESP:
EncryptAlgo: "3DES" KeyLen: "32(bytes)"
AuthAlgo: "MD5"
LifeTime: "3600(seconds)" LifeByte: "128000(kbytes)"
Number of Tunnel Routes: "1"
#1
Direction: "BOTH"
"192.168.0.0/255.255.128.0<->192.168.168.0/255.255.255.0"


[Run-time Info (gateway IKE_SA)]
Name: "HHGateway" (IfStatus: 0x80000001)
ISAKMP SAID: "0x0" State: "AM SA Wait"
Created: Thu Jan 1 01:00:00 1970
My Address: Standort-GAR-IP:500 Peer Address: Standort-HH-IP:500
InitCookie: "807705b21a8e26a9" RespCookie: "0000000000000000"
LifeTime: "0(seconds)" LifeByte: "0(kbtyes)" DPD: "Disabled"



[Run-time Info (tunnel IPSEC_SA)]

[Run-time Info (tunnel IPSEC_SP)]
"1" IPSEC SP(s) are found
#1
Tunnel Endpoint: "Standort-GAR-IP->Standort-HH-IP"
Tunnel Selector: 192.168.0.0/17 -> 192.168.168.0/24 Proto: ANY
Created On: Thu Jul 19 17:52:07 2012
Gateway Name: "HHGateway"
Tunnel Name: "HHGAR"

[Related Logs]
<156>Jul 19 18:02:39 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Drop negotiation to peer Standort-HH-IP:500 due to phase 1 retry timeout
<158>Jul 19 18:02:39 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)ike_p1_status_chg: ikePcyName=HHGateway, status=DOWN
<158>Jul 19 18:02:39 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)ikeMultiWanMarkIkePcyObj: MWAN ikePcyGroup(HHGateway)'s ikePcy(HHGateway) ifStatus=0x80000001, mark it as DOWN
<158>Jul 19 18:02:39 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeDeleteIsakmpSA: try to delete Isakmp SA 0x8149d28 for Gateway HHGateway
<158>Jul 19 18:02:39 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Totally 0 Pending P2 SA Requests Got Dropped.
<158>Jul 19 18:02:39 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeDeleteDelState: try to delete DelState 0x816a180 with IsakmpSA 0x8149d28
<158>Jul 19 18:02:39 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeDeleteDelState: try to delete DelState 0x8169f30 with IsakmpSA 0x8149d28
<158>Jul 19 18:02:39 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeDeleteIsakmpSA: Stop Phase One Retry and Life Timer
<158>Jul 19 18:02:39 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeDeleteIsakmpSA: Stop Phase One DPD Retry timer
<158>Jul 19 18:02:57 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP) RECV an IKE packet at Standort-GAR-IP:500(socket=11 ifIndex=2) from Peer Standort-HH-IP:500
<158>Jul 19 18:02:57 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Found IKE Policy [HHGateway, dev=eth0] for peer IP=Standort-HH-IP, numXform=1, pkt ifIndex=2
<158>Jul 19 18:02:57 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Delete Unknown Isakmp SA: try to delete P1 SA, dstIp 0x509caf6b, srcIp 0x5d68ecdc
<158>Jul 19 18:02:57 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Found IKE Policy [HHGateway, dev=eth0] for peer IP=Standort-HH-IP, numXform=1, pkt ifIndex=2
<158>Jul 19 18:02:57 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeCreateIsakmpSA: init vpnDpdSequenceNum = 160155251(Isakmp SA 0x8149360)
<158>Jul 19 18:02:57 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)AggrMode: Start (Ct=65) pcy [HHGateway]
<158>Jul 19 18:02:57 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeProposalHtoN : net order spi(0000 0000 0000 0000)
<158>Jul 19 18:02:57 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Starting phase 1 negotiation using [HHGateway] to Standort-HH-IP:500 aggressive mode
<156>Jul 19 18:02:57 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Received unknown phase one SA from Standort-HH-IP:500. Start IKE negotiation to delete it
<158>Jul 19 18:02:57 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP) RECV an IKE packet at Standort-GAR-IP:500(socket=11 ifIndex=2) from Peer Standort-HH-IP:500
<158>Jul 19 18:02:57 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Found IKE Policy [HHGateway, dev=eth0] for peer IP=Standort-HH-IP, numXform=1, pkt ifIndex=2
<158>Jul 19 18:03:00 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Phase 1 IkeRetryTimeout:: Retrying 1st phase.. (Gateway HHGateway)
<158>Jul 19 18:03:01 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP) RECV an IKE packet at Standort-GAR-IP:500(socket=11 ifIndex=2) from Peer Standort-HH-IP:500
<158>Jul 19 18:03:01 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Found IKE Policy [HHGateway, dev=eth0] for peer IP=Standort-HH-IP, numXform=1, pkt ifIndex=2
<158>Jul 19 18:03:03 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Phase 1 IkeRetryTimeout:: Retrying 1st phase.. (Gateway HHGateway)
<158>Jul 19 18:03:03 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP) RECV an IKE packet at Standort-GAR-IP:500(socket=11 ifIndex=2) from Peer Standort-HH-IP:500
<158>Jul 19 18:03:03 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Found IKE Policy [HHGateway, dev=eth0] for peer IP=Standort-HH-IP, numXform=1, pkt ifIndex=2
<158>Jul 19 18:03:06 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Phase 1 IkeRetryTimeout:: Retrying 1st phase.. (Gateway HHGateway)
<158>Jul 19 18:03:06 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP) RECV an IKE packet at Standort-GAR-IP:500(socket=11 ifIndex=2) from Peer Standort-HH-IP:500
<158>Jul 19 18:03:06 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Found IKE Policy [HHGateway, dev=eth0] for peer IP=Standort-HH-IP, numXform=1, pkt ifIndex=2
<156>Jul 19 18:03:09 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Drop negotiation to peer Standort-HH-IP:500 due to phase 1 retry timeout
<158>Jul 19 18:03:09 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)ike_p1_status_chg: ikePcyName=HHGateway, status=DOWN
<158>Jul 19 18:03:09 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)ikeMultiWanMarkIkePcyObj: MWAN ikePcyGroup(HHGateway)'s ikePcy(HHGateway) ifStatus=0x80000001, mark it as DOWN
<158>Jul 19 18:03:09 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeDeleteIsakmpSA: try to delete Isakmp SA 0x8149360 for Gateway HHGateway
<158>Jul 19 18:03:09 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Totally 0 Pending P2 SA Requests Got Dropped.
<158>Jul 19 18:03:09 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeDeleteDelState: try to delete DelState 0x816a4f8 with IsakmpSA 0x8149360
<158>Jul 19 18:03:09 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeDeleteIsakmpSA: Stop Phase One Retry and Life Timer
<158>Jul 19 18:03:09 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeDeleteIsakmpSA: Stop Phase One DPD Retry timer
<158>Jul 19 18:03:38 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP) RECV an IKE packet at Standort-GAR-IP:500(socket=11 ifIndex=2) from Peer Standort-HH-IP:500
<158>Jul 19 18:03:38 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Found IKE Policy [HHGateway, dev=eth0] for peer IP=Standort-HH-IP, numXform=1, pkt ifIndex=2
<158>Jul 19 18:03:38 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Delete Unknown Isakmp SA: try to delete P1 SA, dstIp 0x509caf6b, srcIp 0x5d68ecdc
<158>Jul 19 18:03:38 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Found IKE Policy [HHGateway, dev=eth0] for peer IP=Standort-HH-IP, numXform=1, pkt ifIndex=2
<158>Jul 19 18:03:38 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeCreateIsakmpSA: init vpnDpdSequenceNum = 461821219(Isakmp SA 0x8148998)
<158>Jul 19 18:03:38 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)AggrMode: Start (Ct=66) pcy [HHGateway]
<158>Jul 19 18:03:38 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeProposalHtoN : net order spi(0000 0000 0000 0000)
<158>Jul 19 18:03:38 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Starting phase 1 negotiation using [HHGateway] to Standort-HH-IP:500 aggressive mode
<156>Jul 19 18:03:38 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Received unknown phase one SA from Standort-HH-IP:500. Start IKE negotiation to delete it
<158>Jul 19 18:03:38 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP) RECV an IKE packet at Standort-GAR-IP:500(socket=11 ifIndex=2) from Peer Standort-HH-IP:500
<158>Jul 19 18:03:38 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Found IKE Policy [HHGateway, dev=eth0] for peer IP=Standort-HH-IP, numXform=1, pkt ifIndex=2


Vielen Dank für Deine Hilfe.

VG Michl
Bitte warten ..
Mitglied: VaderDarth
19.07.2012 um 18:37 Uhr
Jetzt habe ich was rausgefunden

http://www.astaro.org/astaro-gateway-products/vpn-site-site-remote-acce ...

Aussage Astaro zu der Thematik: Aggressiv-Mode ist nicht sicher, da es sich bei Astaro um ein Sicherheitsprodukt handelt wird das nicht angeboten (siehe link)

Kann ich die Sache noch irgendwie anders angehen? Ich meine wenn das gleiche Protokoll verwendet wird sollten doch normal alle die gleiche Sprache sprechen, oder?

VG und Danke

Michl
Bitte warten ..
Mitglied: aqui
19.07.2012 um 18:54 Uhr
Das ist eine unsinnige Aussage und zeugt von wenig Fachkenntniss der Astaro Hotline...aber egal. Das zu deaktivieren ist eher ein übler Marketing Trick um den Kauf einer weiteren Appliance zu erzwingen und die Kopplung mit Drittanbietern so zu unterbinden.
Dann kannst du nur den Main Mode versuchen und hoffen das es klappt. Die Chancen sind aber nicht groß.
Oder du erwirbst einen andere FW Hardware die sowas kann:
http://www.administrator.de/contentid/149915
Hilfreich für ein weiteres Troubleshooting sind immer noch die Log Auszüge beider Seiten !!
Bitte warten ..
Mitglied: VaderDarth
19.07.2012 um 19:16 Uhr
Im Main Mode habe ich die Watchguard standardmäßig konfiguriert, da hat es nicht funktioniert. Ansonsten hätte ich leider nicht das Drama. Die Astaro ist erst vor 1,5 Jahren angeschafft worden und hat 17k gekostet. Mein Chef reist mir die Rübe runter wenn ich ihm sage er soll das Ding in die Tonne treten ;o)

Anbei noch der LOG-Auszug aus der Astaro, sorry hatte ich vorher vergessen anzuhängen:

2012:07:19-19:08:36 exefw-2 pluto[31711]: loaded ca certificate from '/etc/ipsec.d/cacerts/VPN Signing CA.pem'
2012:07:19-19:08:36 exefw-2 pluto[31711]: loading aa certificates from '/etc/ipsec.d/aacerts'
2012:07:19-19:08:36 exefw-2 pluto[31711]: loading ocsp certificates from '/etc/ipsec.d/ocspcerts'
2012:07:19-19:08:36 exefw-2 pluto[31711]: loading attribute certificates from '/etc/ipsec.d/acerts'
2012:07:19-19:08:36 exefw-2 pluto[31711]: Changing to directory '/etc/ipsec.d/crls'
2012:07:19-19:08:36 exefw-2 pluto[31711]: "S_HH-GAR (IPSec)" #275: received Vendor ID payload [XAUTH]
2012:07:19-19:08:37 exefw-2 pluto[31711]: "S_HH-GAR (IPSec)" #275: Peer ID is ID_IPV4_ADDR: 'Standort-GAR-IP'
2012:07:19-19:08:37 exefw-2 pluto[31711]: "S_HH-GAR (IPSec)" #275: ISAKMP SA established
2012:07:19-19:08:37 exefw-2 pluto[31711]: "S_HH-GAR (IPSec)" #276: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS+UP {using isakmp#275}
2012:07:19-19:08:37 exefw-2 pluto[31711]: "S_HH-GAR (IPSec)" #275: ignoring informational payload, type NO_PROPOSAL_CHOSEN
2012:07:19-19:08:48 exefw-2 pluto[31711]: "S_HH-GAR (IPSec)" #275: ignoring informational payload, type NO_PROPOSAL_CHOSEN
2012:07:19-19:09:07 exefw-2 pluto[31711]: "S_HH-GAR (IPSec)" #275: ignoring informational payload, type NO_PROPOSAL_CHOSEN
2012:07:19-19:09:14 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: received Vendor ID payload [strongSwan]
2012:07:19-19:09:14 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: ignoring Vendor ID payload [Cisco-Unity]
2012:07:19-19:09:14 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: received Vendor ID payload [XAUTH]
2012:07:19-19:09:14 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: received Vendor ID payload [Dead Peer Detection]
2012:07:19-19:09:14 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: ignoring Vendor ID payload [RFC 3947]
2012:07:19-19:09:14 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
2012:07:19-19:09:14 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
2012:07:19-19:09:14 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
2012:07:19-19:09:14 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
2012:07:19-19:09:14 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: initial Main Mode message received on Standort-HH-IP:500 but no connection has been authorized with policy=PSK
2012:07:19-19:09:47 exefw-2 pluto[31711]: "S_HH-GAR (IPSec)" #276: max number of retransmissions (2) reached STATE_QUICK_I1. No acceptable response to our first Quick Mode message: perhaps peer likes no proposal
2012:07:19-19:09:47 exefw-2 pluto[31711]: "S_HH-GAR (IPSec)" #276: starting keying attempt 2 of an unlimited number
2012:07:19-19:09:47 exefw-2 pluto[31711]: "S_HH-GAR (IPSec)" #277: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS+UP to replace #276 {using isakmp#275}
2012:07:19-19:09:47 exefw-2 pluto[31711]: "S_HH-GAR (IPSec)" #275: ignoring informational payload, type NO_PROPOSAL_CHOSEN
2012:07:19-19:09:54 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: received Vendor ID payload [strongSwan]
2012:07:19-19:09:54 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: ignoring Vendor ID payload [Cisco-Unity]
2012:07:19-19:09:54 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: received Vendor ID payload [XAUTH]
2012:07:19-19:09:54 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: received Vendor ID payload [Dead Peer Detection]
2012:07:19-19:09:54 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: ignoring Vendor ID payload [RFC 3947]
2012:07:19-19:09:54 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
2012:07:19-19:09:54 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
2012:07:19-19:09:54 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
2012:07:19-19:09:54 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
2012:07:19-19:09:54 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: initial Main Mode message received on Standort-HH-IP:500 but no connection has been authorized with policy=PSK

VG Michl
Bitte warten ..
Mitglied: VaderDarth
20.07.2012 um 08:43 Uhr
Manchmal ist es besser es mal eine Nacht ruhen zu lassen. Man verrennt sich so leicht.

Also ich habe weiterhin auf beiden Seiten MD5, 3DES, Group1, Main Mode (Astaro läßt ja nix anderes zu)

Es hätte eigentlich alles laufen müssen, wenn ich nicht versehentlich der Astaro das falsche "Lokal Network" zugewiesen hätte *würg*

Das hatte ich auch in den Logs nicht gesehen. Hätte ich einen Ping auf das Remotenetzwerk abgesetzt wären auch in den Logs die notwendigen Hinweise dafür gestanden.

@aqui: Vielen Dank nochmal für Deine Unterstützung und sorry das es dann doch wieder ein PebKaC (Problem exist between keyboard and chair) war ;o)

VG Michl
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Netzwerkprotokolle
gelöst Site-to-Site Verbindung mit Pfsense 2.3.2 auf APU Board (18)

Frage von bchristopeit zum Thema Netzwerkprotokolle ...

Firewall
gelöst VPN Site to Site von IPFire zu Sophos UTM (19)

Frage von touro411 zum Thema Firewall ...

Router & Routing
Site to Site VPN zwischen Sonicwall und Fritzbox (5)

Frage von Kiste zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (17)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

DSL, VDSL
DSL-Signal bewerten (14)

Frage von SarekHL zum Thema DSL, VDSL ...