Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN-Tunnel zwischen V7 und V6

Hallo,

ich habe zu Testzwecken einen VPN-Tunnel zwischen einer Astaro V7 und V6 aufgebaut. An jedem Endpunkt sind zwei lokale Subnetze die untereinander einen Tunnel haben sollen. Es sind also insgesamt vier Tunnel. Ich habe zu diesen Testzwecken nur PSK Authentifizierung gewählt.
Ich habe also lediglich einen PSK für alle 4 Tunnel, da auf V7 Seite ja nicht extra für jeden Tunnel eine Verbindung konfiguriert werden muss (man gibt beim Remotegateway zwei Subnetze an und bei der Verbindung ansich die beiden anderen Subnetze). Nun habe ich das Problem, dass aus Sicht der V6 alle Verbindungen zwar UP sind , jedoch nur eine ISAKMP SA "Ampel" grün ist, der Rest rot, mit dem Vermerk "No ISAKMP SA information available". auf der V7 Seite gibt es die ISAKMP SA "Ampeln" nichtmehr, hier steht nur "4 of 4 SAs established". Alle Statusampeln sind grün.

Wo liegt der Fehler? Hat es irgendwelche Auswirkungen auf die Tunnel, wenn der ISAKMP SA Status nicht OK ist?

Vielen Dank!


This thread was automatically locked due to age.
Parents Reply Children
  • ja das geht definitiv, bei der onlinedemo müsste nur mal jemand wieder den lizenzkey aktualisieren dann könntest es sogar hier sehen :-)

    könnte es daran liegen dass VPNId bei allen vier Tunneln identlisch ist und die V6 das nicht mag?


    edit: key ist eingespielt, kannst es dir also selber anschaun
  • Kann es sein das bei Deiner V6 nur die SA grün ist, deren Subnetz bei der V7 an erster Stelle steht ?
  • ...dann wirst Du auf der V7 für jedes Subnetz der V6 einen eigenen Tunnel anlegen müsssen und dann wird alles "grün".
  • Nein, leider ist dies nicht der Fall.

    wenn ich für jeden Tunnel einen eigenen PSK usw anlegen wird nur der "grün" der als erstes UP geht. Der Rest bleibt dann rot
  • Ich hatte mal Tunnel zwischen V5 und V7 konfiguriert, auch mit mehreren Subnetzen. Ich musste lediglich auf den V5 die Tunnel mehrfach konfigurieren, also für jedes Subnetz jeweils - das hat einwandfrei funktioniert.

    Funktioniert es denn, wenn du erstmal nur versuchst die beiden Subnetze auf der V7-Seite anzusprechen, also auf der V6-Seite zwei Tunnel definierst mit je einem V7-remote-Netz?
  • nein hab ich noch nicht, das probier ich nacher noch. Habe gestern einen 16Mbit dsl geschalten bekommen, nun ist leider der Splitter zu alt um fehlerfrei Daten zu übertragen (sekündlich ca 300 CRC fehler)
  • also selbst wenn ich nur 2 tunnel auf der v6 aktiviere die zu den 2 subnetzen auf der v7 seite einen tunnel aufbauen wirds nur beim ersten der UP geht die ISAKMP SA Ampel Grün

    edit:

    tatsächlich, nun sind beide grün


    wenn ich jedoch 2 weitere tunnel auf der v6 anlegen um zu den subnetzen auf die v7 zu kommen bleiben beide rot (habe natürlich einen neuen psk angelegt weil man auf der v7  seite nicht den psk explizit zuweißen kann sondern nur einem remotegateway, der ja dann wieder alle 2 subnetze auf der v6 seite haben müsste und somit die selbe konstelation wie sonst ist
  • Muss das ganze überhaupt mit mehreren Tunnel laufen ?
    Bzw. würde denn nicht ein einziger Tunnel mit vielen PacketFiltern-Regeln auf beiden Seiten ausreichen ?
  • ich wüsste nicht wie. man müsste dann die subnetzs angabe im tunnel leer lassen.  das problem is dann, dass man zwar einen tunnel hat aber nicht darüber routen (der vpn tunnel hat ja kein interface)

    oder irre ich mich grad selber?