Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 1 reply
  • Subscribers 38 subscribers
  • Views 2855 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ipsec Bintec -> ASG220

b.schmidt
Hallo,

ich habe ein Problem beim Site2Site VPN zwischen einem Bintec R232b und einer ASG220. 
Wenn die Astaro die VPN Verbindugn aufbaut kommt der Tunnel zustande und Daten werden übertragen. Wenn aber der Bintec die Verbindung initiiert, dann kommt nur Phase 1 zustande. Phase2 fehlt und es werden keine Daten übertragen.

Folgende Meldungen habe ich auf der Astaro:

2008:02:19-17:48:03 (none) pluto[5301]: packet from x.x.x.x:1023: ignoring Vendor ID payload [0048e2270bea8395ed778d343cc2a076] 
2008:02:19-17:48:03 (none) pluto[5301]: packet from x.x.x.x:1023: received Vendor ID payload [Dead Peer Detection] 
2008:02:19-17:48:03 (none) pluto[5301]: "S_Elmshorn_0"[1] x.x.x.x:1023 #15: responding to Main Mode from unknown peer x.x.x.x:1023 
2008:02:19-17:48:06 (none) pluto[5301]: "S_Elmshorn_0"[1] x.x.x.x:1023 #15: ignoring informational payload, type IPSEC_INITIAL_CONTACT 
2008:02:19-17:48:06 (none) pluto[5301]: "S_Elmshorn_0"[1] x.x.x.x:1023 #15: Peer ID is ID_IPV4_ADDR: 'x.x.x.x' 
2008:02:19-17:48:06 (none) pluto[5301]: "S_Elmshorn_0"[1] x.x.x.x:1023 #15: we have a cert and are sending it 
2008:02:19-17:48:06 (none) pluto[5301]: "S_Elmshorn_0"[1] x.x.x.x:1023 #15: sent MR3, ISAKMP SA established 
2008:02:19-17:48:06 (none) pluto[5301]: "S_Elmshorn_0"[1] x.x.x.x:1023 #15: Informational Exchange message must be encrypted 
2008:02:19-17:48:21 (none) pluto[5301]: packet from x.x.x.x:1023: ignoring Vendor ID payload [0048e2270bea8395ed778d343cc2a076] 
2008:02:19-17:48:21 (none) pluto[5301]: packet from x.x.x.x:1023: received Vendor ID payload [Dead Peer Detection] 
2008:02:19-17:48:21 (none) pluto[5301]: "S_Elmshorn_0"[1] x.x.x.x:1023 #16: responding to Main Mode from unknown peer x.x.x.x:1023 
2008:02:19-17:48:24 (none) pluto[5301]: "S_Elmshorn_0"[1] x.x.x.x:1023 #16: ignoring informational payload, type IPSEC_INITIAL_CONTACT 
2008:02:19-17:48:24 (none) pluto[5301]: "S_Elmshorn_0"[1] x.x.x.x:1023 #16: Peer ID is ID_IPV4_ADDR: 'x.x.x.x' 
2008:02:19-17:48:24 (none) pluto[5301]: "S_Elmshorn_0"[1] x.x.x.x:1023 #16: crl not found 
2008:02:19-17:48:24 (none) pluto[5301]: "S_Elmshorn_0"[1] x.x.x.x:1023 #16: certificate status unknown 
2008:02:19-17:48:24 (none) pluto[5301]: "S_Elmshorn_0"[1] x.x.x.x:1023 #16: crl not found 
2008:02:19-17:48:24 (none) pluto[5301]: "S_Elmshorn_0"[1] x.x.x.x:1023 #16: certificate status unknown 
2008:02:19-17:48:24 (none) pluto[5301]: "S_Elmshorn_0"[1] x.x.x.x:1023 #16: we have a cert and are sending it 
2008:02:19-17:48:24 (none) pluto[5301]: "S_Elmshorn_0"[1] x.x.x.x:1023 #16: sent MR3, ISAKMP SA established 

Ich habe bereits versucht an der Astaro DPD und NAT-T zu deaktivieren, dann kommt aber nicht mal Phase1 zustande.

Seitens Funkwerk / Bintec habe ich den Router vom Support überprüfen lassen. Der konnte sich aber das Verhalten der Astaro auch nicht erklären. Die Konfiguration am Bintec soll aber OK sein.

Ich hoffe jemand hat eine Idee, denn seitens Astaro habe ich bisher nicht viel unterstützung erhalten.

Gruß,

Björn


This thread was automatically locked due to age.
  • 0
    Hallo b.schmidt,

    das Problem bei einer VPN Vebindung Astaro->Bintec liegt auf der Bintec-
    Seite.

    Bintec:
    NAT-T deaktivieren oder Änderung in den Tabellen.
    - Einloggen auf dem Bintec Router
    - ipnatouttable
    - ifindex=0 protocol=udp extaddr=0.0.0.0 intaddr=0.0.0.0 extport=500
    intport=500
    - cmd=1

    > inx IfIndex(*rw)             Protocol(-rw)            RemoteAddr(rw)
    >     RemoteMask(rw)           ExtAddr(*rw)             RemotePort(rw)
    >     RemotePortRange(rw)      IntAddr(*rw)             IntMask(rw)
    >     IntPort(rw)              ExtPort(rw)              ExtMask(rw)
    >     Timeout(rw)
    >
    >   2 0                        udp                      0.0.0.0
    >     0.0.0.0                  0.0.0.0                  -1
    >     -1                       0.0.0.0                  0.0.0.0
    >     500                      500                      255.255.255.255
    >     0
    Wenn dieser Eintrag nicht da ist, kommt es zu dem Problem das die Bintec dann
    statt UDP Port 500 UDP Port 1023 verwendet. Und dies scheint dann wohl die
    Astaro zu verwirren.

    Keine virt. Interfaces konfigurieren.

    Lifetime von 80% auf 100% umstellen (Tabellen) oder autodetect.

    ikeProfileTable> LifeRekeyPercent:0=100
    ipsecProfileTable> LifeRekeyPercent:0=100
    ipsecProfileTable> cmd=save

    Ansonsten alles auf autodetect.


    Trotz dieser Einstellungen kommt es immer wieder zu Abbrüchen der VPN-
    Tunnel.
    Auch eine Umstellung auf Zertifikate brachte keinen Erfolg.

    Viel Erfolg
Unfiltered HTML