ich möchte meine ASG 8.103 mit einer Fritzbox 7270 über einen Site-to-Site IPSec-VPN verbinden.
Hierbei hat die ASG eine fester IP-Adresse und die Fritzbox eine Dyn.IP-Adresse, diese über einen
dyndns-Namen aufgelöst werden kann. Das Ganze funktioniert auch soweit, bis die IP-Adresse der
Fritzbox durch eine DSL-Zwangstrennung geändert wird. Es dauert ca. 2-3 Minuten danach wird
der VPN-Tunnel mit der neuen IP-Adresse aufgebaut. Bis hier scheint alles ohne Probleme abzulaufen,
Pakete werden durch den Tunnel geschickt, das ist über tcpdump auf der Console zu beobachten,
folgendes wird geloggt:
= IP-Adresse hinter der Fritzbox
= IP-Adresse hinter der ASG
# tcpdump -i eth0 -n host
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
03:04:08.874090 IP .1266 > .: S 2822439769:2822439769(0) win 5840
03:04:08.874559 IP . > .1266: S 817408142:817408142(0) ack 2822439770 win 5792
03:04:09.609251 IP . > .1262: S 795099107:795099107(0) ack 2801948320 win 5792
03:04:09.786480 IP . > .1266: S 817408142:817408142(0) ack 2822439770 win 5792
03:04:11.032938 IP . > .1246: S 732740647:732740647(0) ack 2732157593 win 5792
Die Pakete kommen aber am Ziel nicht an, sie werden wohl durch den Paketfilter geblockt:
= ASG feste IP-Adresse
= Fritzbox dyn.IP-Adresse
02:57:07 Default DROP 51 → len=144 ttl=64 tos=0x00 srcmac=0:c:21:3d:22:a5
02:57:07 Default DROP 51 → len=144 ttl=64 tos=0x00 srcmac=0:c:21:3d:22:a5
02:57:08 Default DROP 51 → len=144 ttl=64 tos=0x00 srcmac=0:c:21:3d:22:a5
02:57:08 Default DROP 51 → len=144 ttl=64 tos=0x00 srcmac=0:c:21:3d:22:a5
02:57:08 Default DROP 51 → len=144 ttl=64 tos=0x00 srcmac=0:c:21:3d:22:a5
02:57:08 Default DROP 51 → len=144 ttl=64 tos=0x00 srcmac=0:c:21:3d:22:a5
02:57:08 Default DROP 51 → len=144 ttl=64 tos=0x00 srcmac=0:c:21:3d:22:a5
02:57:09 Default DROP 51 → len=144 ttl=64 tos=0x00 srcmac=0:c:21:3d:22:a5
02:57:11 Default DROP 51 → len=144 ttl=64 tos=0x00 srcmac=0:c:21:3d:22:a5
02:57:13 Default DROP 51 → len=144 ttl=64 tos=0x00 srcmac=0:c:21:3d:22:a5
02:57:14 Default DROP 51 → len=144 ttl=64 tos=0x00 srcmac=0:c:21:3d:22:a5
02:57:15 Default DROP 51 → len=144 ttl=64 tos=0x00 srcmac=0:c:21:3d:22:a5
02:57:16 Default DROP 51 → len=144 ttl=64 tos=0x00 srcmac=0:c:21:3d:22:a5
02:57:16 Default DROP 51 → len=144 ttl=64 tos=0x00 srcmac=0:c:21:3d:22:a5
02:57:16 Default DROP 51 → len=144 ttl=64 tos=0x00 srcmac=0:c:21:3d:22:a5
Im iptables wird die aktuelle IP-Adresse der Fritzbox eingetragen.
# iptables-save |grep
-A AUTO_INPUT -s /32 -d /32 -i eth3 -p esp -m esp --espspi 256:4294967295 -j CONFIRMED
-A AUTO_INPUT -s /32 -d /32 -i eth3 -p ip -m policy --dir in --pol ipsec --mode transport -j CONFIRMED
-A AUTO_INPUT -s /32 -d /32 -i eth3 -p udp -m udp --sport 1:65535 --dport 500 -j CONFIRMED
-A AUTO_OUTPUT -s /32 -d /32 -o eth3 -p esp -m esp --espspi 256:4294967295 -j CONFIRMED
-A AUTO_OUTPUT -s /32 -d /32 -o eth3 -p udp -m udp --sport 500 --dport 1:65535 -j CONFIRMED
Der Tunnel wird von der ASG initialisiert und hat folgende Einstellungen:
Richtlinien:
Compression off, not using strict policy.
IKE Settings: 3DES / SHA1 / Group 2: MODP 1024 Lifetime: 7800 seconds
IPSec Settings: 3DES / SHA1 / Group 2: MODP 1024 Lifetime: 3600 seconds
Entferntes Gateway:
VPN ID is IP Address [169.254.1.100], authenticated via Preshared key.
Jetzt wird es interessant, aktiviert man unter Site-to-Site-VPN=>IPSec=>Verbindungen
das "Striktes Routing" in der entsprechenden VPN-Verbindung und speichert diese ab,
funktioniert es ebenfalls nicht. Deaktiviert man aber das "Striktes Routing" wieder, werden
die Pakete korrekt weitergeleitet und alles funktioniert bis es wieder zum IP-Wechsel
kommt.
Das Problem scheint wohl an der ASG zu liegen.
Hat jemand einen Tip, wie ich das Problem lösen könnte?
Gruß
Andreas
This thread was automatically locked due to age.
