This discussion has been locked.

You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site-Site VPN zwischen Sophos UTM 9 und ISA Server 2006 klappt nicht (ISA-Log: notify: INVALID-ID-INFORMATION)

Hallo zusammen,

sicher nicht State-of-the-Art aber aus Kostengründen momentan unverzichtbar ist unser zentraler ISA-Server, mit dem eine VPN-Standortverbindung zu einer Sophos UTM 9 erstellt werden soll. Die Sophos hängt an einer Fritzbox (DSL-Router), die als "Exposed Host" sämtlichen Datenverkehr an die Sophos weiterleitet (bzw. weiterleiten soll). Das interne Subnetz auf der Sophos-Seite wird in der Sophos gemapped, da dieses an einem anderen Standort bereits vergeben ist.

Die IPSec-Einstellungen stimmen überein, Auf dem ISA-Server ist das (gemappte) lokale Subnetz und die öffentliche IP der Sophos-Seite eingetragen. Auf der Sophos ist unter "Remote Gateway" als Gateway die öffentliche IP-Adresse des ISA-Servers sowie als "remote Network" das interne Subnetz auf der ISA-Seite eingetragen. Als VPN-ID ist die öffentliche IP-Adresse der Sophos hinterlegt. Dennoch kommt die VPN-Verbindung nicht zustande. Im oakley-log des ISA steht: notify: INVALID-ID-INFORMATION.

Hilfreiche Tipps sind sehr willkommen. Weitere Infos oder Logfiles werden gerne nachgereicht.

Besten Dank.

Peter

This thread was automatically locked due to age.

0 BAlfson over 6 years ago
Hallo Peter,

Erstmal herzlich willkommen hier in der Community !

(Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

Die Sophos hängt an einer Fritzbox (DSL-Router), die als "Exposed Host" sämtlichen Datenverkehr an die Sophos weiterleitet (bzw. weiterleiten soll).

I'm not familiar with Fritzbox - does this mean that the UTM has a public IP on its External interface?

Das interne Subnetz auf der Sophos-Seite wird in der Sophos gemapped, da dieses an einem anderen Standort bereits vergeben ist.

Ouch!

If the error appears in the UTM's IPsec log right after Main Mode, the problem is the VPN ID you assigned the UTM. If it has a public IP on the External interface, no such assignment is necessary. I'm not familiar enough with TMG to know, if when it initiates the connection, it can assign the private IP of the UTM's External interface as the VPN ID. In the UTM, this is done in the Remote Gateway. If that's not possible, and the TMG DOES have a public IP on its interface, then the best solution is to put the TMG into the equivalent of "Respond only" mode.

If my guess wasn't on target, we need to look at some log lines. With Debug NOT enabled:

Disable the IPsec Connection.

Start the IPsec Live Log and wait until a few lines are shown.

Enable the IPsec Connection.

Show us the lines from startup including the error line.

MfG - Bob (Bitte auf Deutsch weiterhin.)
Sophos UTM Community Moderator
Sophos Certified Architect - UTM
Sophos Certified Engineer - XG
Gold Solution Partner since 2005

MediaSoft, Inc. USA
Cancel
Vote Up 0 Vote Down

Cancel
0 Peter Huber over 6 years ago in reply to BAlfson

Hallo Bob,

vielen Dank für die Unterstützung.

I'm not familiar with Fritzbox - does this mean that the UTM has a public IP on its External interface?

Die UTM hängt im Fritzbox-Netz und wurde als "Exposed Host" für den kompletten Internet-Zugriff freigegeben. Die öffentliche IP-Adresse hat die Fritzbox und das ist vermutlich das Problem.

I'm not familiar enough with TMG to know, if when it initiates the connection, it can assign the private IP of the UTM's External interface as the VPN ID. In the UTM, this is done in the Remote Gateway.

Das werde ich bei nächster Gelegenheit versuchen, ich trage auf der UTM als VPN-ID die interne Adresse des externen UTM-Interfaces ein und auf dem ISA-Server füge ich diese Adresse dem UTM IP-Adressbereich hinzu. Ist das richtig? Eine VPN-ID kann ich beim ISA-Server nicht einstellen.

Best regards, Peter
Cancel
Vote Up 0 Vote Down

Cancel
0 Peter Huber over 6 years ago in reply to Peter Huber

Es hat funktioniert, Vielen Dank.

Peter
Cancel
Vote Up 0 Vote Down

Cancel