Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Zyxel DSL Router - VPN Konfiguration

Frage Netzwerke Router & Routing

Mitglied: nixxok

nixxok (Level 1) - Jetzt verbinden

20.02.2012 um 15:25 Uhr, 5681 Aufrufe, 17 Kommentare

ist meine erste IPSec-VPN Tunnel konfiguration

versuche Standort-A (Zyxel P-662) und Standort-B (Zyxel P-661) per IPSec VPN zu verbinden. Phase 1 klappt, aber bei Phase 2 scheiterts. Woran kann das liegen?
Hängt das zusammen weil Standort-A schon einen permanenten VPN Tunnel zu Standort-C hat?
Mitglied: Luie86
20.02.2012 um 15:32 Uhr
Hallo,

hmm ja... woran könnte das liegen?
Ich würde vermuten, irgendwas in deiner VPN-Konfiguration stimmt nicht überein.

Ein bisschen mehr Informationen, wären super


Gruß Daniel
Bitte warten ..
Mitglied: nixxok
20.02.2012 um 17:54 Uhr
das log sieht folgendermaßen aus:

Send<:[HASH][NOTFY:ERR_ID_INFO]
2 02/20/2012 17:51:08 Configured Peer ID Content:
3 02/20/2012 17:51:08 Incoming ID Content:
4 02/20/2012 17:51:08 Phase 1 ID content mismatch
5 02/20/2012 17:51:08 Rule [2] Phase 1 ID mismatch
6 02/20/2012 17:51:08 Send<:[HASH][NOTFY:ERR_ID_INFO]
7 02/20/2012 17:51:08 Rule [2] Phase 1 ID mismatch
8 02/20/2012 17:51:08 Recv<:[ID][HASH]
9 02/20/2012 17:51:08 Send<:[KE][NONCE]
10 02/20/2012 17:51:07 Recv<:[KE][NONCE]
11 02/20/2012 17:51:07 Send<:[SA][VID]
12 02/20/2012 17:51:07 Recv<:[SA][VID][VID][VID][VID][VID][
13 02/20/2012 17:51:07 Recv Mode request from <95.171.52.211>
14 02/20/2012 17:51:07 Rule [2] Receiving IKE request
15 02/20/2012 17:50:54 Send<:[HASH][DEL]>

welche Einstellung mache ich falsch?
Bitte warten ..
Mitglied: brammer
20.02.2012 um 19:50 Uhr
Hallo,

dein Log Auszug sagt aber das bereits Phase 1 nicht klappt!

4 02/20/2012 17:51:08 Phase 1 ID content mismatch
5 02/20/2012 17:51:08 Rule [2] Phase 1 ID mismatch

Pre shared Key passt?
Remote IP's passen?
Welche EInstellungen verwendest du für Phase 1?

brammer
Bitte warten ..
Mitglied: Luie86
20.02.2012 um 22:51 Uhr
Wenn das alles stimmt, schau bitte mal noch, ob du irgendwelche ID´s eingetragen hast....
Bitte warten ..
Mitglied: nixxok
22.02.2012 um 18:29 Uhr
bei Router-A habe ich folgende Einstellungen:

Lokal
Adresstyp lokal EinzelnBereichSubnet: = Bereich
IP-Startadresse = 192.168.23.0
End-IP oder Subnet-Maske = 192.168.23.254

Gegenstelle
Adresstyp Gegenstelle EinzelnBereichSubnet = Bereich
IP-Startadresse = 192.168.1.0
End-IP oder Subnet-Maske = 192.168.1.254

Adress-Information
Lokale ID = IP
Inhalt = leer
Lokale ID = öffentliche IP vom Router-A

ID Typ von Gegenstelle = IP
Inhalt = leer
Adresse sicherer Gegenstelle = öffentliche IP vom Router-B


Einstellungen von Router-B:

lokaler Adressentyp = einfach
IP Anfangsadresse = 192.168.1.0

entfernter Adressentyp = einfach
IP Anfangsadresse = 192.168.23.0

Adress Information
Meine IP Adresse = öffentliche IP von Router-B
Secure Gateway Adresse = öffentliche IP von Router-A
Lokale ID = IP
Inhalt = 192.168.1.0
entfernte ID = IP
Inhalt = öffentliche IP von Router-A

auf beiden Routern:
3DES
SHA1
DH2
SA Life Time 28800

3DES
SHA1
DH2
SA Life Time 28800
PFS = keine
DPD = aktiviert (nur auf Router-B vorhanden)

was mache ich falsch? - ich blicke einfach nicht durch
Bitte warten ..
Mitglied: brammer
22.02.2012 um 19:14 Uhr
Hallo,

versuche bitte mal mit einem PSK zu arbeiten der keine Sonderzeichen enthält, es gibt ein paar Sonderzeichen die manchmal kritisch sind.
z.B.: / ! ? % $ sind da Kandidaten.

Außerdem kannst du PFS mal aktivieren
DPD (Dead Peer Detection) solte keinen Einfluss haben, so lange die Gegenseite errreichbar ist.

Wenn das nicht hilft kannst du DH mal auf 1 setzen, nicht das hier ein Performance Problem mit der Schlüssellänge existiert.

Der existierende Tunnel von A zu C zeigt ja eigentlich das es geht.
Was ein Einfluss haben könnte ist der Anschluss an Standort B.
Was für ein Anschluss ist das?

brammer
Bitte warten ..
Mitglied: nixxok
22.02.2012 um 20:04 Uhr
Hi

- mein benutzer PSK enthält keinerlei Sonderzeichen...besteht nur aus Zahlen und Klein- und Großbuchstaben,

- PFS aktiviert auf DH2, weil DH1 der Router-B nicht verfügbar hat (nur DH2, DH5, DH14)

-Tunnel von A nach C funktioniert ja....
könnte es sein weil sich die Tunnels im Netzwerk-A auf gleiche IP'S beziehen, das Problem verursachen? Oder hat das keinerlei Auswirkungen?

- Router-B hat einen ganz normalen ADSL Anschluss

Grüße
Bitte warten ..
Mitglied: Luie86
23.02.2012 um 14:27 Uhr
Hi,

ich glaub deine ID´s stimmen nicht.

Wenn du in Router A -> Remote ID auf öffentliche IP von Router B einstellst
darfst du
in Router B -> Lokale ID nicht 192.168.1.0 eintragen.

Sondern öffentliche IP von Router B.


Läuft der Tunnel im Main- oder Aggressive Mode?


Gruß Daniel
Bitte warten ..
Mitglied: nixxok
23.02.2012 um 14:53 Uhr
Hi Daniel

ok, Phase 1 funktioniert jetzt, aber Phase2 bekomme ich noch nicht hin:

3 02/23/2012 14:48:03 Send<:[HASH][NOTFY:ERR_ID_INFO]
4 02/23/2012 14:48:03 vs. My Remote <192.168.1.0>-<192.168.1.254
5 02/23/2012 14:48:03 Recv ID: SUBNET, <192.168.1.0>-<255.255.255.0
6 02/23/2012 14:48:03 Rule <2> Verifying Remote ID failed:
7 02/23/2012 14:48:03 Start Phase 2: Quick Mode
8 02/23/2012 14:48:03 Recv<:[HASH][SA][NONCE][KE][ID][ID]
9 02/23/2012 14:48:03 Phase 1 IKE SA process done
10 02/23/2012 14:48:03 Send<:[ID][HASH]
11 02/23/2012 14:48:03 Recv<:[ID][HASH]
12 02/23/2012 14:48:03 Send<:[KE][NONCE]
13 02/23/2012 14:48:02 Recv<:[KE][NONCE]
14 02/23/2012 14:48:02 Send<:[SA][VID]
15 02/23/2012 14:48:01 Recv<:[SA][VID][VID][VID][VID][VID][
16 02/23/2012 14:48:01 Recv Mode request from <95.171.52.211
17 02/23/2012 14:48:01 Rule [2] Receiving IKE request

der Tunnel läuft im Main Mode...

Grüße
Bitte warten ..
Mitglied: Luie86
23.02.2012 um 16:20 Uhr
Zitat von nixxok:
4 02/23/2012 14:48:03 vs. My Remote <192.168.1.0>-<192.168.1.254
5 02/23/2012 14:48:03 Recv ID: SUBNET, <192.168.1.0>-<255.255.255.0

Ich glaub da stimmen deine Proxy-ID´s (Vertrautes, Remote Netz) nicht.
Mach mal aus der 192.168.1.254 die 255.255.255.0.
Bitte warten ..
Mitglied: nixxok
23.02.2012 um 16:38 Uhr
ja, es klappt jetzt TUNNEL steht !

eigentlich müsste ich jetzt ja vom Router-B aus mit einer Ping Anfrage an das Netzwerk-A 192.168.23.13 durchkommen.... aber nix.. alle Pakete gehen verloren.
?
Bitte warten ..
Mitglied: Luie86
23.02.2012 um 16:55 Uhr
Dann solltest du jetzt deine Routen und die Firewall überprüfen.
Bitte warten ..
Mitglied: nixxok
23.02.2012 um 17:12 Uhr
die Firewall auf PC mit der IP 192.168.23.13 habe ich zu testzwecken mal deaktiviert.
Trotzdem kann ich aber vom Router-B aus diesen PC nicht anpingen
Bitte warten ..
Mitglied: Luie86
23.02.2012 um 17:16 Uhr
Ich meinte, die Firewall und Routen auf den Routern
Bitte warten ..
Mitglied: nixxok
23.02.2012 um 17:52 Uhr

aber mit einem IPSec-VPN Tunnel von Netzwerk-A und Netzwerk-B ist doch schon eine Sicherheit vorhanden oder?
was muss ich denn jetzt noch machen?
Bitte warten ..
Mitglied: Luie86
24.02.2012 um 10:08 Uhr
Naja... Du hast jetzt im Prinzip nur eine Verschlüsselte Verbindung über das Internet.
Ich weiß jetzt nicht wie das bei Zyxel mit den Routen war, aber normalerweise,
musst du auf deinen Routern noch die entsprechenden Routen einrichten.

D.h. du sagst Router A, das er das Netz von Router B, durch den Tunnel routen soll.
Bei Router B, dann natürlich das gleiche, nur mit dem Netz von Router A.

Außerdem, musst du in deiner Firewall (auf den Zyxel-Kisten) noch die jeweiligen
Netze und Dienste freischalten. So das der Traffic aus den anderen Netzen, auch zugelassen wird.
Bitte warten ..
Mitglied: nixxok
27.02.2012 um 15:58 Uhr
@ Daniel
danke für deine Unterstützung
werde nun ein wenig testen
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...