Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Astaro 8.201 => m0n0wall Site-to-site VPN

Hallo zusammen,

da es immer schwieriger wird, zumindest bei uns in Deutschland, einen ISP zu finden der in Verbindung mit einer DSL Kennung ein Netz über den T-DSL Anschluß der Telekom durchroutet, bin ich gezwungen recht zeitnah einen "Site-to-site VPN" VPN zu einer "m0n0wall" auf der Gegenseite einzurichten.

Doch das gelingt mir einfach nicht :-(( 

Habt ihr Erfahrung mit der Einrichtung einer solchen Verbindung? Welche Parameter müssen für den erfolgreichen VPN Aufbau eingerichtet werden? 

Last but not least, sollen über den Tunnel ein kleines /27 er Netz geroutet werden. Das heißt, die IP Adressen sollen an einem ASL Interface zur Verfügung stehen. 

Bin für jeden hilfreichen Tip dankbar! 

vG Michael


This thread was automatically locked due to age.
  • Hallo,

    keiner hier, der eine Astaro mit einer m0n0wall per VPN angekoppelt hat?

    vG Michael
  • Was gelingt denn nicht?

    Kommt gar keine Verbindung zustande oder hast du danach kein Zugriff?

    Was sagt das Astaro Log? Oder evtl. auch das Log der anderen Firewall?

    Ein bisschen mehr Infos wären gut [;)]

    Viele Grüße

    Peter
  • Hallo Peter,

    er versucht eine Verbindung aufzubauen. Auf meiner Seite befindet sich die Astaro auf der Gegenseite eine m0n0wall meines ISP's (Testaufbau).

    Die Astaro hängt an einem Router (LANCOM 1611). Internet usw. funktioniert, auch der VPN Dialin von meinem Notebook (ist natürlich eine andere Config, Remote VPN ...). Will damit sagen, dass über den LANCOM Router eigentlich VPN geroutet werden müsste.

    Im Astaro Log:
    2011:09:07-10:07:13 fw pluto[7383]: | emitting 4 raw bytes of client network into ISAKMP Identification Payload (IPsec DOI)
    2011:09:07-10:07:13 fw pluto[7383]: | client network c0 a8 3c 00
    2011:09:07-10:07:13 fw pluto[7383]: | emitting 4 raw bytes of client mask into ISAKMP Identification Payload (IPsec DOI)
    2011:09:07-10:07:13 fw pluto[7383]: | client mask ff ff ff 00
    2011:09:07-10:07:13 fw pluto[7383]: | emitting length of ISAKMP Identification Payload (IPsec DOI): 16
    2011:09:07-10:07:13 fw pluto[7383]: | ***emit ISAKMP Identification Payload (IPsec DOI):
    2011:09:07-10:07:13 fw pluto[7383]: | next payload type: ISAKMP_NEXT_NONE
    2011:09:07-10:07:13 fw pluto[7383]: | ID type: ID_IPV4_ADDR_SUBNET
    2011:09:07-10:07:13 fw pluto[7383]: | Protocol ID: 0
    2011:09:07-10:07:13 fw pluto[7383]: | port: 0
    2011:09:07-10:07:13 fw pluto[7383]: | emitting 4 raw bytes of client network into ISAKMP Identification Payload (IPsec DOI)
    2011:09:07-10:07:13 fw pluto[7383]: | client network c0 a8 3c 00
    2011:09:07-10:07:13 fw pluto[7383]: | emitting 4 raw bytes of client mask into ISAKMP Identification Payload (IPsec DOI)
    2011:09:07-10:07:13 fw pluto[7383]: | client mask ff ff ff 00
    2011:09:07-10:07:13 fw pluto[7383]: | emitting length of ISAKMP Identification Payload (IPsec DOI): 16
    2011:09:07-10:07:13 fw pluto[7383]: | emitting length of ISAKMP Message: 148
    2011:09:07-10:07:13 fw pluto[7383]: | inserting event EVENT_RETRANSMIT, timeout in 10 seconds for #54
    2011:09:07-10:07:13 fw pluto[7383]: | next event EVENT_RETRANSMIT in 10 seconds for #54 

    Im m0n0wall Log:
    Sep 7 10:10:04  racoon: ERROR: failed to pre-process packet.
    Sep 7 10:10:04  racoon: ERROR: failed to get sainfo.
    Sep 7 10:10:04  racoon: ERROR: failed to get sainfo.
    Sep 7 10:10:04  racoon: INFO: respond new phase 2 negotiation: ***.***.***.***[500]yyy.yyy.yyy.yyy[500]
    Sep 7 10:09:44  racoon: ERROR: failed to pre-process packet.
    Sep 7 10:09:44  racoon: ERROR: failed to get sainfo.
    Sep 7 10:09:44  racoon: ERROR: failed to get sainfo.
    Sep 7 10:09:44  racoon: INFO: respond new phase 2 negotiation: ***.***.***.***[500]yyy.yyy.yyy.yyy[500]


    Ergänzung:
    Bei Auswahl IP Addresse als VPN-ID:

    Sep 7 10:47:23  racoon: ERROR: failed to pre-process packet.
    Sep 7 10:47:23  racoon: ERROR: failed to get sainfo.
    Sep 7 10:47:23  racoon: ERROR: failed to get sainfo.
    Sep 7 10:47:23  racoon: INFO: respond new phase 2 negotiation: ***.***.***.***[500]yyy.yyy.yyy.yyy[500]


    ====

    Was mir nicht so ganz klar ist:
    Unter Site-to-Site-VPN/Remote Gateways kann ich einen VPN-ID Type angeben. Ich
    denke, dass dieser Typ mit der Gegenseite passen muss. Doch was gebe ich hier an. Die Gegenseite hat eine fest IP, ich habe hier eine Dynamische IP (DSL am LANCOM Router, klar).

    vG Michael
  • Hallo zusammen,

    es funktioniert mittlerweile. Eigentlich logisch, doch man muss natürlich beachten, dass die IP Netze entsprechend harmonieren ... Nach dieser Änderung wird der Tunnel fehlerfrei aufgebaut.

    vG Michael