Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Zyxel DSL Router - VPN Konfiguration

Frage Netzwerke Router & Routing

Mitglied: nixxok

nixxok (Level 1) - Jetzt verbinden

20.02.2012 um 15:25 Uhr, 5951 Aufrufe, 17 Kommentare

ist meine erste IPSec-VPN Tunnel konfiguration

versuche Standort-A (Zyxel P-662) und Standort-B (Zyxel P-661) per IPSec VPN zu verbinden. Phase 1 klappt, aber bei Phase 2 scheiterts. Woran kann das liegen?
Hängt das zusammen weil Standort-A schon einen permanenten VPN Tunnel zu Standort-C hat?
Mitglied: Luie86
20.02.2012 um 15:32 Uhr
Hallo,

hmm ja... woran könnte das liegen?
Ich würde vermuten, irgendwas in deiner VPN-Konfiguration stimmt nicht überein.

Ein bisschen mehr Informationen, wären super


Gruß Daniel
Bitte warten ..
Mitglied: nixxok
20.02.2012 um 17:54 Uhr
das log sieht folgendermaßen aus:

Send<:[HASH][NOTFY:ERR_ID_INFO]
2 02/20/2012 17:51:08 Configured Peer ID Content:
3 02/20/2012 17:51:08 Incoming ID Content:
4 02/20/2012 17:51:08 Phase 1 ID content mismatch
5 02/20/2012 17:51:08 Rule [2] Phase 1 ID mismatch
6 02/20/2012 17:51:08 Send<:[HASH][NOTFY:ERR_ID_INFO]
7 02/20/2012 17:51:08 Rule [2] Phase 1 ID mismatch
8 02/20/2012 17:51:08 Recv<:[ID][HASH]
9 02/20/2012 17:51:08 Send<:[KE][NONCE]
10 02/20/2012 17:51:07 Recv<:[KE][NONCE]
11 02/20/2012 17:51:07 Send<:[SA][VID]
12 02/20/2012 17:51:07 Recv<:[SA][VID][VID][VID][VID][VID][
13 02/20/2012 17:51:07 Recv Mode request from <95.171.52.211>
14 02/20/2012 17:51:07 Rule [2] Receiving IKE request
15 02/20/2012 17:50:54 Send<:[HASH][DEL]>

welche Einstellung mache ich falsch?
Bitte warten ..
Mitglied: brammer
20.02.2012 um 19:50 Uhr
Hallo,

dein Log Auszug sagt aber das bereits Phase 1 nicht klappt!

4 02/20/2012 17:51:08 Phase 1 ID content mismatch
5 02/20/2012 17:51:08 Rule [2] Phase 1 ID mismatch

Pre shared Key passt?
Remote IP's passen?
Welche EInstellungen verwendest du für Phase 1?

brammer
Bitte warten ..
Mitglied: Luie86
20.02.2012 um 22:51 Uhr
Wenn das alles stimmt, schau bitte mal noch, ob du irgendwelche ID´s eingetragen hast....
Bitte warten ..
Mitglied: nixxok
22.02.2012 um 18:29 Uhr
bei Router-A habe ich folgende Einstellungen:

Lokal
Adresstyp lokal EinzelnBereichSubnet: = Bereich
IP-Startadresse = 192.168.23.0
End-IP oder Subnet-Maske = 192.168.23.254

Gegenstelle
Adresstyp Gegenstelle EinzelnBereichSubnet = Bereich
IP-Startadresse = 192.168.1.0
End-IP oder Subnet-Maske = 192.168.1.254

Adress-Information
Lokale ID = IP
Inhalt = leer
Lokale ID = öffentliche IP vom Router-A

ID Typ von Gegenstelle = IP
Inhalt = leer
Adresse sicherer Gegenstelle = öffentliche IP vom Router-B


Einstellungen von Router-B:

lokaler Adressentyp = einfach
IP Anfangsadresse = 192.168.1.0

entfernter Adressentyp = einfach
IP Anfangsadresse = 192.168.23.0

Adress Information
Meine IP Adresse = öffentliche IP von Router-B
Secure Gateway Adresse = öffentliche IP von Router-A
Lokale ID = IP
Inhalt = 192.168.1.0
entfernte ID = IP
Inhalt = öffentliche IP von Router-A

auf beiden Routern:
3DES
SHA1
DH2
SA Life Time 28800

3DES
SHA1
DH2
SA Life Time 28800
PFS = keine
DPD = aktiviert (nur auf Router-B vorhanden)

was mache ich falsch? - ich blicke einfach nicht durch
Bitte warten ..
Mitglied: brammer
22.02.2012 um 19:14 Uhr
Hallo,

versuche bitte mal mit einem PSK zu arbeiten der keine Sonderzeichen enthält, es gibt ein paar Sonderzeichen die manchmal kritisch sind.
z.B.: / ! ? % $ sind da Kandidaten.

Außerdem kannst du PFS mal aktivieren
DPD (Dead Peer Detection) solte keinen Einfluss haben, so lange die Gegenseite errreichbar ist.

Wenn das nicht hilft kannst du DH mal auf 1 setzen, nicht das hier ein Performance Problem mit der Schlüssellänge existiert.

Der existierende Tunnel von A zu C zeigt ja eigentlich das es geht.
Was ein Einfluss haben könnte ist der Anschluss an Standort B.
Was für ein Anschluss ist das?

brammer
Bitte warten ..
Mitglied: nixxok
22.02.2012 um 20:04 Uhr
Hi

- mein benutzer PSK enthält keinerlei Sonderzeichen...besteht nur aus Zahlen und Klein- und Großbuchstaben,

- PFS aktiviert auf DH2, weil DH1 der Router-B nicht verfügbar hat (nur DH2, DH5, DH14)

-Tunnel von A nach C funktioniert ja....
könnte es sein weil sich die Tunnels im Netzwerk-A auf gleiche IP'S beziehen, das Problem verursachen? Oder hat das keinerlei Auswirkungen?

- Router-B hat einen ganz normalen ADSL Anschluss

Grüße
Bitte warten ..
Mitglied: Luie86
23.02.2012 um 14:27 Uhr
Hi,

ich glaub deine ID´s stimmen nicht.

Wenn du in Router A -> Remote ID auf öffentliche IP von Router B einstellst
darfst du
in Router B -> Lokale ID nicht 192.168.1.0 eintragen.

Sondern öffentliche IP von Router B.


Läuft der Tunnel im Main- oder Aggressive Mode?


Gruß Daniel
Bitte warten ..
Mitglied: nixxok
23.02.2012 um 14:53 Uhr
Hi Daniel

ok, Phase 1 funktioniert jetzt, aber Phase2 bekomme ich noch nicht hin:

3 02/23/2012 14:48:03 Send<:[HASH][NOTFY:ERR_ID_INFO]
4 02/23/2012 14:48:03 vs. My Remote <192.168.1.0>-<192.168.1.254
5 02/23/2012 14:48:03 Recv ID: SUBNET, <192.168.1.0>-<255.255.255.0
6 02/23/2012 14:48:03 Rule <2> Verifying Remote ID failed:
7 02/23/2012 14:48:03 Start Phase 2: Quick Mode
8 02/23/2012 14:48:03 Recv<:[HASH][SA][NONCE][KE][ID][ID]
9 02/23/2012 14:48:03 Phase 1 IKE SA process done
10 02/23/2012 14:48:03 Send<:[ID][HASH]
11 02/23/2012 14:48:03 Recv<:[ID][HASH]
12 02/23/2012 14:48:03 Send<:[KE][NONCE]
13 02/23/2012 14:48:02 Recv<:[KE][NONCE]
14 02/23/2012 14:48:02 Send<:[SA][VID]
15 02/23/2012 14:48:01 Recv<:[SA][VID][VID][VID][VID][VID][
16 02/23/2012 14:48:01 Recv Mode request from <95.171.52.211
17 02/23/2012 14:48:01 Rule [2] Receiving IKE request

der Tunnel läuft im Main Mode...

Grüße
Bitte warten ..
Mitglied: Luie86
23.02.2012 um 16:20 Uhr
Zitat von nixxok:
4 02/23/2012 14:48:03 vs. My Remote <192.168.1.0>-<192.168.1.254
5 02/23/2012 14:48:03 Recv ID: SUBNET, <192.168.1.0>-<255.255.255.0

Ich glaub da stimmen deine Proxy-ID´s (Vertrautes, Remote Netz) nicht.
Mach mal aus der 192.168.1.254 die 255.255.255.0.
Bitte warten ..
Mitglied: nixxok
23.02.2012 um 16:38 Uhr
ja, es klappt jetzt TUNNEL steht !

eigentlich müsste ich jetzt ja vom Router-B aus mit einer Ping Anfrage an das Netzwerk-A 192.168.23.13 durchkommen.... aber nix.. alle Pakete gehen verloren.
?
Bitte warten ..
Mitglied: Luie86
23.02.2012 um 16:55 Uhr
Dann solltest du jetzt deine Routen und die Firewall überprüfen.
Bitte warten ..
Mitglied: nixxok
23.02.2012 um 17:12 Uhr
die Firewall auf PC mit der IP 192.168.23.13 habe ich zu testzwecken mal deaktiviert.
Trotzdem kann ich aber vom Router-B aus diesen PC nicht anpingen
Bitte warten ..
Mitglied: Luie86
23.02.2012 um 17:16 Uhr
Ich meinte, die Firewall und Routen auf den Routern
Bitte warten ..
Mitglied: nixxok
23.02.2012 um 17:52 Uhr

aber mit einem IPSec-VPN Tunnel von Netzwerk-A und Netzwerk-B ist doch schon eine Sicherheit vorhanden oder?
was muss ich denn jetzt noch machen?
Bitte warten ..
Mitglied: Luie86
24.02.2012 um 10:08 Uhr
Naja... Du hast jetzt im Prinzip nur eine Verschlüsselte Verbindung über das Internet.
Ich weiß jetzt nicht wie das bei Zyxel mit den Routen war, aber normalerweise,
musst du auf deinen Routern noch die entsprechenden Routen einrichten.

D.h. du sagst Router A, das er das Netz von Router B, durch den Tunnel routen soll.
Bei Router B, dann natürlich das gleiche, nur mit dem Netz von Router A.

Außerdem, musst du in deiner Firewall (auf den Zyxel-Kisten) noch die jeweiligen
Netze und Dienste freischalten. So das der Traffic aus den anderen Netzen, auch zugelassen wird.
Bitte warten ..
Mitglied: nixxok
27.02.2012 um 15:58 Uhr
@ Daniel
danke für deine Unterstützung
werde nun ein wenig testen
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Zyxel DSL-Router - VPN einrichten
Frage von adm999Router & Routing9 Kommentare

Guten Abend, ich würde gerne auf einem Zyxel DSL-Router (VMG3312) eine VPN (IPSEC) erstellen und von aussen drauf zu ...

Switche und Hubs
Konfiguration von ACLs bei Zyxel GS1910-24
gelöst Frage von aliasdispiSwitche und Hubs3 Kommentare

Hallo, ich hoffe ich habe nicht einen vorherigen Post übersehen und stelle hiermit eine Frage erneut. Zu meinem Problem. ...

Router & Routing
VPN Konfiguration von 3G - WLAN - Router möglich?
Frage von mannomannRouter & Routing3 Kommentare

Nach ein paar Stunden Recherche komm ich alleine nicht mehr weiter. Ich möchte gerne mein Macbook und Iphone per ...

Router & Routing
VPN-Router zur Bündelung von DSL bzw. WAN Anschlüssen
gelöst Frage von jonny11Router & Routing8 Kommentare

Hallo Zusammen, die Aktuelle Situation ist wie folgt: Wir Verwenden aktuell einen VPN-Gateway von Securepoint mit 1 Mbit Uploade ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 11 StundenWindows 101 Kommentar

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 13 StundenSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 1 TagInternet3 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 1 TagDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
TK-Netze & Geräte
VPN-fähige IP-Telefone
Frage von the-buccaneerTK-Netze & Geräte16 Kommentare

Hi! Weiss noch jemand ein VPN-fähiges IP-Telefon mit dem man z.B. einen Heimarbeitsplatz gesichert anbinden könnte? Habe nur einen ...

Windows Server
GPO nur für bestimmte Computer
Frage von Leo-leWindows Server13 Kommentare

Hallo Forum, gern würde ich ein Robocopy script per Bat an eine GPO hängen. Wichtig wäre aber dort der ...

Windows Server
KMS Facts for Client configuration
Frage von winlinWindows Server13 Kommentare

Hey Leute, wir haben in unserem Netz nun einen neuen KMS Server. Haben Bestands-VMs die noch nicht aktiviert sind. ...

Netzwerkgrundlagen
Laufwerkszuordnung mit zwei IPs
Frage von Alex29Netzwerkgrundlagen12 Kommentare

Hallo in die Runde, Ich als Hobbyadmin hätte mal wieder eine Frage an die Profis. Ich habe ein Netzwerk ...