Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSec VPN = IP 192.168.254.x ??

Guten Morgen,

ich habe gestern einen IPSec VPN Verbindung über die Anleitung eingerichtet wie sie hier bei Astaro zu finden ist, die Verbindung an sich klappt einwandfrei, ich stehe nur vor dem Problem das der Client eine 192.168.254.x Adresse + Gateway zugewiesen bekommt, wodurch auch keine Verbindung geht.
Ich habe aber keine Ahnung woher er sich diese nimmt, weder in der Astaro ist irgendwo so ein Netz defeniert noch am Client.
Laut Astaro vorgegeben Pool müsste er ja eine Adresse aus dem Pool 10.242.4.0/24 bekommen....[:S][:S][:S]


This thread was automatically locked due to age.
  • Welchen Client verwendest du  - den Astaro Secure CLient oder irgendeinen anderen IPSec Client?
    Deine AUssage ist ein bisschen missverständlich: 
    >> die Verbindung an sich klappt einwandfrei, ich stehe nur vor dem Problem [...] wodurch auch keine Verbindung geht.
     
    Also was jetzt genau?
    Der Tunnel steht (der User wird auch als Online RAS USer angezeigt) ?
     
    Wo genau siehst du, dass dein CLient eine 192.168.254er Adresse zugeweisen bekommt? in Ipconfig/all oder wo?
    Welches CLient-Betriebssystem nutzt du?
    Screenshoots der Konfig des CLients sowie der ASG wären auch nicht sooo schlecht.
  • Hi,

    entschuldige, ja also der Tunnelaufbau funktioniert. 
    Ich nutze den Astaro Secure Client und die IP Adresse sehe ich im ipconfig.
    Windows XP läuft auf dem Client...
    im Log wird angezeigt das sich der User erfolgreich authentifiziert hat...und bei Online User wird er ebenfalls angezeigt
  • fehlen nur noch die Screenshoots.
    Bitte nicht einfach nur sagen "ich sehe die IP"  oder im log steht" sondern alles an Infos, was du selbst zusammenträgst, einfach hier reinposten, damit WIR das auch sehen, was DU siehst.
     
    hast du dem User eine "static remote IP adress" zugewiesen (naemlich die 192.168.254.x ) ?
    hast du lokale User oder Backend.-User (LDAP, ADS, eDir-Authentifizierung) ?
    benutzt du PSK oder Zertifikate?  
    benutzt du XAUTH authentifizierung? 
     
    poste einfach die Screenshoots von:
    ASC-sämtliche Profil-Konfigmenus
    ASG- Ipsec connections EInstellungen
    ASG - userdefinition für den User, mit dem du dich einloggst
    Client: ipconfig/all, route print
  • So hier mal die Screenshots vom Client ASC..habe nur name und domainname mit ***x gemacht als Info.

    was mir auffällt ist bei IP-Sec-Adresszuweisung das dort lokale ip-adresse steht. aber erbekommt ja trotzdem die 192.168.254.x zugewiesen...
  • nun von der ASG und ipconfig..

    ein paar sachen musste ich ausblenden...
  • Weise dem User in der ASG eine "statische Fernzugriffs-IP" zu und trage diese auch statisch in den ASC ein (stelle dazu von "Lokale Adresse" auf "IP-Adresse manuell vergeben" um), dann hast du am wenigsten Probleme, auch wenn du dann an zwei Stellen manuelle Einträge machen musst, was bei vielen Nutzern etwas lästig werden könnte.
    Theoretisch sollte es - da du Zertifikate verwendest - auch mit dem "IKE Config mode" im ASC funktionieren, zumidnest dann, wenn deine ASG nicht hinter einem NAT Device steht. Dann kannst du dir zumindest den statischen IP-Adress-Eintrag auf dem ASC-Client sparen. Aber zuerst würde ich mal mit dem statischen EIntrag auf BEIDEN seiten anfangen, wenn das geht, kannst du immer noch den IKE COnfig mode ausprobieren.
  • Hallo,

    habe ich mal gemacht habe beim statische Remote IP im ASG die 10.242.4.5 (vorgegebener Pool im ASG) gegeben und die auch im ACS eingetragen.

    Nun bekommt der Client wie ja wie eingetragen die 10.242.4.5 aber als Gateway wieder einfach eine nummer höher 10.242.2.6...

    klappt leider genauso wenig..Tunnel steht aber das wars auch

    was mich halt auch mit der 192.168.254.x wunder ist,dieses Netz ist nirgendes defeniert weder im ASG noch ASC oder auf dem Client.
  • wie sieht nun, nachdem du verbunden bist (der Tunnel steht), der output von "ipconfig/all" und von "route print" auf dem Client aus ?

    was genau machst du um zu prüfen, ob etwas durch den Tunnel durchgeht  - ein Ping irgendwo hin (wohin?) ?

    was zeigt dein Ipsec.log an beim Verbindungsaufbau?

    kannst du mal, nachdem du den Client connected hast, und dann einen Ping vom Client zu einem Rechner in deinem "internal Network" machst, schauen, was der output von "tcpdump -np -i ipsec0"  ergibt? (ich hoffe, dass du nur ein ipsec Interface hast)
  • im anhang mal log vom ASC..

    ich teste die verbindung in dem ich z.b meinen dns server anpingen möchte der im internal network steht...

    welche ipsec.log meinst?
    tcpdump?auf der ASG?
  • das ipsec log auf der ASG ("open live log") und den tcpdump ebenfalls auf der ASG (als root)