Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN-Tunnel zwischen V7 und V6

Hallo,

ich habe zu Testzwecken einen VPN-Tunnel zwischen einer Astaro V7 und V6 aufgebaut. An jedem Endpunkt sind zwei lokale Subnetze die untereinander einen Tunnel haben sollen. Es sind also insgesamt vier Tunnel. Ich habe zu diesen Testzwecken nur PSK Authentifizierung gewählt.
Ich habe also lediglich einen PSK für alle 4 Tunnel, da auf V7 Seite ja nicht extra für jeden Tunnel eine Verbindung konfiguriert werden muss (man gibt beim Remotegateway zwei Subnetze an und bei der Verbindung ansich die beiden anderen Subnetze). Nun habe ich das Problem, dass aus Sicht der V6 alle Verbindungen zwar UP sind , jedoch nur eine ISAKMP SA "Ampel" grün ist, der Rest rot, mit dem Vermerk "No ISAKMP SA information available". auf der V7 Seite gibt es die ISAKMP SA "Ampeln" nichtmehr, hier steht nur "4 of 4 SAs established". Alle Statusampeln sind grün.

Wo liegt der Fehler? Hat es irgendwelche Auswirkungen auf die Tunnel, wenn der ISAKMP SA Status nicht OK ist?

Vielen Dank!


This thread was automatically locked due to age.
Parents
  • ....können ab V7 wirklich mehrere Subnetze in eine Tunneldefinition ? Bis V6 gings definitiv nicht.
  • ja das geht definitiv, bei der onlinedemo müsste nur mal jemand wieder den lizenzkey aktualisieren dann könntest es sogar hier sehen :-)

    könnte es daran liegen dass VPNId bei allen vier Tunneln identlisch ist und die V6 das nicht mag?


    edit: key ist eingespielt, kannst es dir also selber anschaun
  • Kann es sein das bei Deiner V6 nur die SA grün ist, deren Subnetz bei der V7 an erster Stelle steht ?
  • ...dann wirst Du auf der V7 für jedes Subnetz der V6 einen eigenen Tunnel anlegen müsssen und dann wird alles "grün".
  • Nein, leider ist dies nicht der Fall.

    wenn ich für jeden Tunnel einen eigenen PSK usw anlegen wird nur der "grün" der als erstes UP geht. Der Rest bleibt dann rot
  • Ich hatte mal Tunnel zwischen V5 und V7 konfiguriert, auch mit mehreren Subnetzen. Ich musste lediglich auf den V5 die Tunnel mehrfach konfigurieren, also für jedes Subnetz jeweils - das hat einwandfrei funktioniert.

    Funktioniert es denn, wenn du erstmal nur versuchst die beiden Subnetze auf der V7-Seite anzusprechen, also auf der V6-Seite zwei Tunnel definierst mit je einem V7-remote-Netz?
  • nein hab ich noch nicht, das probier ich nacher noch. Habe gestern einen 16Mbit dsl geschalten bekommen, nun ist leider der Splitter zu alt um fehlerfrei Daten zu übertragen (sekündlich ca 300 CRC fehler)
  • also selbst wenn ich nur 2 tunnel auf der v6 aktiviere die zu den 2 subnetzen auf der v7 seite einen tunnel aufbauen wirds nur beim ersten der UP geht die ISAKMP SA Ampel Grün

    edit:

    tatsächlich, nun sind beide grün


    wenn ich jedoch 2 weitere tunnel auf der v6 anlegen um zu den subnetzen auf die v7 zu kommen bleiben beide rot (habe natürlich einen neuen psk angelegt weil man auf der v7  seite nicht den psk explizit zuweißen kann sondern nur einem remotegateway, der ja dann wieder alle 2 subnetze auf der v6 seite haben müsste und somit die selbe konstelation wie sonst ist
Reply
  • also selbst wenn ich nur 2 tunnel auf der v6 aktiviere die zu den 2 subnetzen auf der v7 seite einen tunnel aufbauen wirds nur beim ersten der UP geht die ISAKMP SA Ampel Grün

    edit:

    tatsächlich, nun sind beide grün


    wenn ich jedoch 2 weitere tunnel auf der v6 anlegen um zu den subnetzen auf die v7 zu kommen bleiben beide rot (habe natürlich einen neuen psk angelegt weil man auf der v7  seite nicht den psk explizit zuweißen kann sondern nur einem remotegateway, der ja dann wieder alle 2 subnetze auf der v6 seite haben müsste und somit die selbe konstelation wie sonst ist
Children
  • Muss das ganze überhaupt mit mehreren Tunnel laufen ?
    Bzw. würde denn nicht ein einziger Tunnel mit vielen PacketFiltern-Regeln auf beiden Seiten ausreichen ?
  • ich wüsste nicht wie. man müsste dann die subnetzs angabe im tunnel leer lassen.  das problem is dann, dass man zwar einen tunnel hat aber nicht darüber routen (der vpn tunnel hat ja kein interface)

    oder irre ich mich grad selber?
  • Ich habe es eben mit 2 * V7 ausprobiert, damit geht es mit 1 IPSEC Verbindung.
  • die v7 seite sieht bei mir genauso aus...alles wunderbar

    nur die v6 seigt 2 von 4 bei ISAKMP SA als nicht aktiv an
  • wie ClausP es bereits gepostet hat,
    wahrscheinlich kann die V6 Seite nur ein Subnetz innerhalb einer Definition.

    Gregor Kemter
  • selbst wenn ich auf beiden seiten 4 seperate tunnel mit je einem eigenen psk anlege, werden nur 2 von 4 grün...

    edit:

    ich hab die selbe situation nocheinmal nachgebaut. 4 seperate tunnel mit 4 eigenen psks. und habe nacheinander alle aktiv geschalten. die tunnel werden alle aktiv, jedoch nur beim werden wird auch ISAKMP SA grün.

    auf der v7 seite wird augenscheinlich alles grün, jedoch erhalte ich im Livelog diese Errormeldung, nachdem ich den 2. tunnel aktiv geschalten habe.

    2007:11:05-08:57:59 (none) pluto[345]: "S_REF_lngeHlTRvD_0" #1: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x4bb400a5 (perhaps this is a duplicated packet)
    2007:11:05-08:57:59 (none) pluto[345]: "S_REF_lngeHlTRvD_0" #1: sending encrypted notification INVALID_MESSAGE_ID to xx.***.***.xx:500
    2007:11:05-08:58:19 (none) pluto[345]: "S_REF_lngeHlTRvD_0" #1: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x4bb400a5 (perhaps this is a duplicated packet)
    2007:11:05-08:58:19 (none) pluto[345]: "S_REF_lngeHlTRvD_0" #1: sending encrypted notification INVALID_MESSAGE_ID to xx.***.***.xx:500 


    warum tut er sowas?