Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 24 replies
  • Subscribers 38 subscribers
  • Views 11701 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ASC IKE-Fehler

Marita
Modell: ASG320, Firmware version:  7.405, Pattern version:  10378 

Seit ich den Zugriff für owa über extern konfiguriert habe, klappt der Zugriff der Remote Access über ASC nicht mehr.

Folgende Konfig:
Network - Interfaces - Additionel Adresses: Exchange_Public on interface External (WAN)

Network Security - Nat - DNAT/SNAT: 
Traffic selcttor:  Any --> HTTPS_neuer_Port -> Exchange_Public 
Destination Translation: Exchange -> HTTPS

Packetfilter: Any HTTPS -> Exchange_Public

OWA funktioniert einwandfrei!


This thread was automatically locked due to age.
  • 0
    Ich habe mir das jetzt mal mit dem Packetyzer angesehen
    Source Address [externeIP] Dest Adresse [ClientIP] Summary ICMP: Destination unreachable (Port unreachable)
    Ich verstehe was da steht - aber nicht wie ich das ändern kann?!
  • 0
    @KKnecht: Jetzt war's verständlich! Der Exchange ist in dem Netz, aber so weit komme ich ja auch gar nicht. Der ASC bricht mit IKE-Fehler (Phase 1) ab). Im Logbuch steht: 

    27.08.2009 09:25:20  IPSDIALCHAN::start building connection
    27.08.2009 09:25:21  NCPIKE-phase1:name(REF_pdccpzWaZV) - outgoing connect request - main mode.
    27.08.2009 09:25:21  XMIT_MSG1_MAIN - REF_pdccpzWaZV
    27.08.2009 09:25:38  NCPIKE-phase1:name(REF_pdccpzWaZV) - error - retry timeout - max retries
    27.08.2009 09:25:38  IPSDIAL  - disconnected from REF_pdccpzWaZV on channel 1.
  • 0
    Vielleicht erkläre ich mal meine Vorgehensweise:
    ASC funktionierte prima. Dann kam die Anforderung OWA für Mobile Devices einzuführen. Wegen der Probleme der FQDN für die Zertifikate habe ich unseren Exchange öffentlich gemacht und zwar mit folgender Konfig:

    1. Network
    a. Interfaces
    i. Additional Addresses
    Exchange_Public [xx.xx.xx.xx/32] on interface External (WAN) [eth1]
    b. DNS
    i. Static Entries
    Owa.domain.de -> [interneExchangeIP]
    2. Network Security
    a. NAT
    i. DNAT
    Traffice selector: Any -> HTTPS –> Exchange_Public (Address)
    Destination translation: Exchange_intern -> HTTPS
    b. Packet Filter
    i. Any -> HTTPS -> Exchange_intern

    Auf unserem Windows DNS-Server die primäre Zone domain.de erstellt und den host owa.domain.de mit der internen IP eingetragen

    Und jetzt funktioniert , wie erwähnt, der Zugriff über den ASC nicht mehr.
  • 0
    Gibt es noch weitere Ideen? Im Log des ASC steht:
    27.08.2009 14:12:42IPSec: Start building connection
    27.08.2009 14:12:42Ike: phase1:name(REF_pdccpzWaZV) - outgoing connect request - main mode.
    27.08.2009 14:12:42Ike: XMIT_MSG1_MAIN - REF_pdccpzWaZV
    27.08.2009 14:13:00ERROR - 4021: IKE(phase1) - Could not contact Gateway (No response) in state  - REF_pdccpzWaZV.
    27.08.2009 14:13:00Ike: phase1:name(REF_pdccp
  • 0
    Ich habe nun ein Backup zurückgespielt - dann komme ich bei Aufruf von https://owa.domain.de logischerweise auf das Userprotal der Astaro (da war im Backup noch der Port 443 eingestellt) - aber der VPN-Zugriff funktioniert trotzdem nicht.

    Vor meinen ganzen Bemühungen (als IPSec noch funktionierte) war der A-Record für OWA beim Provider noch nicht gesetzt. 

    Wenn der Endpoint für IPSec auf dem Wan-Interface liegt - warum antwortet die Astaro dann nicht?
  • 0 in reply to Marita
    Wie verbindet sich der ASC zu deiner Firewall ?
    Über IP oder DNS-Namen ?
    Wenn DNS-Name, kann der Client diesen richtig auflösen ?

    Gregor Kemter
  • 0
    Guten Morgen!
    Im ASC ist die öffentliche IP eingetragen.
  • 0
    Hallo!
    Das Problem besteht weiterhin. Hat noch jemand eine Idee?
  • 0 in reply to Marita
    Gibt es noch weitere Ideen? Im Log des ASC steht:
    27.08.2009 14:13:00ERROR - 4021: IKE(phase1) - Could not contact Gateway (No response) in state  - REF_pdccpzWaZV.


    Kann der Client die Firewall pingen ?
    Wurde am Client was geändert (Firewall) ?

    Gregor Kemter
  • 0
    Ja, der Client kann die Firewall pingen und es wurde dort nichts verändert. Habe auch schon bei ausgeschalteter Firewall die Verbindung versucht - alles ohne Erfolg.
Unfiltered HTML