Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 37 subscribers
  • Views 10156 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Probleme mit IPSEC

sbay
Hallo zusammen...
Ich versuche krampfhaft einen Tunnel zwischen 2 ASG 220 (V 7) aufzubauen.
Die eine ASG steht im INET und hat eine feste IP.
Die andere hängt hinter einen DSL-Router (Linksys).

Nun habe ich auf der ASG (INET) unter "Site-to-Site VPN -> IPSec -> Remote Gateways, einen Remote Gateway als "Respondonly" und "Preshared Key" eingetragen.
Als "Remote Network" ist das Netzwerk eingetragen welches auf der ASG am DSL-Router existiert


Auf der anderen ASG (DSL-Router) habe ich unter "Remote Gateways" folgendes eingetragen:
- Initiate Connection
- Gateway ist die IP vom Internet!
- gleicher Preshared key wie bei der anderen ASG
- Das Netzwerk welches ich erreichen will


Bei Connections habe dann folgendes eingetragen:
- Remote Gate den ich oben angelegt habe
- Schittstelle wo es an den DSL-Router geht
- Policy AES-128
- Locale Network ist das wo ich an dem DSL-Router angeschlossen bin


Laut Auskunft eines Kollegen sollte es ausreichen um eine Verbindung herzustellen.Nur leider klappt es nicht...
2007:09:05-12:51:48 (none) pluto[4366]: ERROR: "S_REF_LCiFRlfDKG_0" #1: sendto on eth7 to IP der ASG im Internet:500 failed in main_outI1. Errno 1: Operation not permitted
2007:09:05-12:51:48 (none) pluto[4366]: | inserting event EVENT_RETRANSMIT, timeout in 10 seconds for #1
2007:09:05-12:51:48 (none) pluto[4366]: | next event EVENT_RETRANSMIT in 10 seconds for #1
2007:09:05-12:51:58 (none) pluto[4366]: |
2007:09:05-12:51:58 (none) pluto[4366]: | *time to handle event
2007:09:05-12:51:58 (none) pluto[4366]: | event after this is EVENT_SHUNT_SCAN in 109 seconds
2007:09:05-12:51:58 (none) pluto[4366]: | handling event EVENT_RETRANSMIT for IP der ASG im Internet "S_REF_LCiFRlfDKG_0" #1
2007:09:05-12:51:58 (none) pluto[4366]: | inserting event EVENT_RETRANSMIT, timeout in 20 seconds for #1
2007:09:05-12:51:58 (none) pluto[4366]: | next event EVENT_RETRANSMIT in 20 seconds for #1 


Das sind die Fehler die ich im LIVE-Log bekomme...
Wo mache ich denn hier den Fehler?
MAche ich einengrundsätzlichen Denkfehler oder ist es nur eine Kleinigkeit?

Danke schon malfür Eure Hilfe


This thread was automatically locked due to age.
  • 0
    Ist beim Linksys das Port-Forwardung für die IPSec Pakete auf die ASG eingerichtet?

    Unkomlizierter wäre es, wenn die ASG den Linksys ersetzten würde, also mit einem DSL Modem direkt ans Internet angeschlossen wird.
  • 0 in reply to gunny
    War der Meinung das der Punkt VPN im Linksys eine eigene Freischlatung dafür macht..
    Also ein klares Nein...Habe ich nicht gemacht...
    Port 500? Oder noch eins?

    Leider kann ich bei dem DSL auf den Linksys nicht verzichten...[:@]
  • 0 in reply to sbay
    ICh bin ein Stück weiter gekommen...
    Die 2 ASG reden miteinander, aber immer noch mit Fehlern
    *received 60 bytes from IP der ASG im Internet:4500 on eth7
    2007:09:06-13:14:22 (none) pluto[30385]: | ICOOKIE: a1 39 ad ba 31 94 e3 bd
    2007:09:06-13:14:22 (none) pluto[30385]: | RCOOKIE: 5d c2 22 24 4d e0 c8 17
    2007:09:06-13:14:22 (none) pluto[30385]: | peer: c3 f3 9c e2
    2007:09:06-13:14:22 (none) pluto[30385]: | state hash entry 27
    2007:09:06-13:14:22 (none) pluto[30385]: | state object #1 found, in STATE_MAIN_I4
    2007:09:06-13:14:22 (none) pluto[30385]: | last Phase 1 IV: fa a1 ee 64 eb 52 9a 62 76 1a 03 33 4b 7f 60 44
    2007:09:06-13:14:22 (none) pluto[30385]: | computed Phase 2 IV:
    2007:09:06-13:14:22 (none) pluto[30385]: | 27 8e 4d f3 4a ca 45 7e 46 6a 43 ec c1 f6 90 84
    2007:09:06-13:14:22 (none) pluto[30385]: | received encrypted packet from IP der ASG im Internet:4500
    2007:09:06-13:14:22 (none) pluto[30385]: | decrypting 32 bytes using algorithm OAKLEY_AES_CBC
    2007:09:06-13:14:22 (none) pluto[30385]: | decrypted:
    2007:09:06-13:14:22 (none) pluto[30385]: | 0b 00 00 14 52 e1 fe 04 2b b6 26 e9 00 3e 1e c4
    2007:09:06-13:14:22 (none) pluto[30385]: | 46 d5 36 2b 00 00 00 0c 00 00 00 01 01 00 00 09
    2007:09:06-13:14:22 (none) pluto[30385]: | next IV: cc 0b bb 11 7f dd aa 66 61 e7 86 4a 7f 22 02 8a
    2007:09:06-13:14:22 (none) pluto[30385]: "S_REF_uWURwgDguM_0" #1: ignoring informational payload, type INVALID_MESSAGE_ID
    2007:09:06-13:14:22 (none) pluto[30385]: | next event EVENT_RETRANSMIT in 40 seconds for #9 


    Das Port 4500 habe ich auch weitergeleitet...
    Vielleicht einen Tip woran das liegen könnte?
  • 0
    Hm, also es sieht so aus als der VPN Identifier  nicht stimmt... aber hast du auch deen IPSec Port 1701 freigeschaltet? und ich würde vielleicht wenn es dann immer noch nciht geht.. noch die policys umstellen auf AES256 und MD5 ..


    Gruß

    Hannes
  • 0 in reply to dJ!hannes
    Ich habe das Port auch noch freigegeben...
    Auch habe ich die Policy geändert...Nix... Immer noch Fehler...
    Ich habe nochmal in den Logfiles gestöbert:

    2007:09:07-05:48:13 (none) pluto[8368]: "S_REF_vsrVPNzHte_0"[12] 84.*.*.*:4500 #6: cannot respond to IPsec SA request because no connection is known for IP-Range was erreicht werden soll/24===IP der ASG im Internet:4500...84.*.*.*:4500[192.168.112.15]===192.168.2.0/24
    2007:09:07-05:48:13 (none) pluto[8368]: "S_REF_vsrVPNzHte_0"[12] 84.*.*.*:4500 #6: sending encrypted notification INVALID_ID_INFORMATION to 84.*.*.*:4500


    2007:09:07-05:49:23 (none) pluto[8368]: | state transition function for STATE_QUICK_R0 failed: INVALID_ID_INFORMATION
    2007:09:07-05:49:23 (none) pluto[8368]: | next event EVENT_SHUNT_SCAN in 58 seconds



    2007:09:07-05:48:23 (none) pluto[8368]: "S_REF_vsrVPNzHte_0"[12] 84.*.*.*:4500 #6: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x0b2faa59 (perhaps this is a duplicated packet)
    2007:09:07-05:48:23 (none) pluto[8368]: "S_REF_vsrVPNzHte_0"[12] 84.*.*.*:4500 #6: sending encrypted notification INVALID_MESSAGE_ID to 84.*.*.*:4500



    2007:09:07-05:49:23 (none) pluto[8368]: ERROR: asynchronous network error report on eth0 for message to 84.*.*.* port 4500, complainant 84.*.*.*: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)]


    Mein Latein ist am Ende. Nur dieser Tunnel wäre wirklich wichtig.
    Kann vielleicht einer mit diesen Fehlern was anfangen?
  • 0 in reply to dJ!hannes
    Hm, also es sieht so aus als der VPN Identifier  nicht stimmt... aber hast du auch deen IPSec Port 1701 freigeschaltet? ....


    Für was soll denn der Port 1701 in diesem Fall benötigt werden ?

    Der wird doch nur benötigt wenn L2TP ohne IPSEC benutzt wird und dieses unterstützt meines Wissens die ASG nicht. [;)]

    Weitergeleitet oder "geforwarded" muss auf jeden Fall noch UDP Port 500 IKE, denn sonst wird es nicht funktionieren.

    Gruß
     Claus
  • 0 in reply to ClausP
    So...
    Ich habe nochmal alles gelöscht und Step by Step per Astaro-Anleitung versucht den Tunnel aufzubauen...
    ICh weiß nicht woich den Fehler gemacht habe, aber der Tunnel steht...
    Danke für Eure Hilfe
  • 0 in reply to sbay
    Versuch mal anstelle von PSK - RSA Keys zu verwenden!

    Medic
Unfiltered HTML