This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SFOS 18.5.1 IPSec (remote access) stellt keine Verbindung her

Hallo zusammen,

leider habe ich jetzt nicht nur das SIP Problem, sondern ich schaffe es auch nicht eine VPN-Verbindung herzustellen.

Ich bin bei der Einrichtung nach folgender Anleitung vorgegangen: https://docs.sophos.com/nsg/sophos-firewall/18.0/Help/en-us/webhelp/onlinehelp/nsg/sfos/learningContent/VPNIPsecSophosConnectClient.html

In der XG habe ich also 2 Einstellungen vorgenommen.

IPSec

 :

FirewallRegel

Im Userportal habe ich dann das Profil auf meinem iPhone installiert und versucht zu starten.

Aber mit angeschaltetem WLAN (gleiches Netz wie XG) bekomme ich folgende Meldung: Der VPN-Server antwortet nicht.

Aus dem Internet erhalte ich folgende Meldung: Kommunikation mit dem VPN-Server fehlgeschlagen

Danach habe ich Sophos Connect unter Windows 10 installiert und die aus " IPSec (remote access)" exportierte Verbindung "Export connection" via schneckenVPN.tgb importiert.

Beim Verbindungsaufbau (gleiches Netz wie XG) erhalte ich dann folgende Meldung.

In den Logs finde ich irgendwie auch nichts brauchbare, aber ich bin Anfänger und suche ggf. noch falsch :-(

Hat jemand eine Idee, was ich falsch mache?

Vorab vielen Dank für die Hilfe.

Grüße
Marc



Added TAGs
[edited by: Erick Jan at 7:44 AM (GMT -7) on 29 May 2023]
Parents
  • Guck dir mal im verbindungsfile (das, welches unter Win10 importiert wird) ganz unten das Verbindungsziel an ... und korrigiere es ggf.

    Irgendwo geht das im GUI einzustellen, komme aber in der Schnelle nicht drauf.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Hallo Dirk,

    ich habe die Verbindung in Sophos Connect gelöscht und mit der aktuellen IP neu importiert.

    Leider funktioniert es noch immer nicht.

    HIer mal das Log:

    2021-09-11 02:32:20PM 00[DMN] Starting IKE service charon-svc (strongSwan 5.8.0, Windows Client 6.2.9200 (SP 0.0)
    2021-09-11 02:32:20PM 00[LIB] TAP-Windows driver version 1.0 available.
    2021-09-11 02:32:22PM 00[LIB] opened TUN device: {03E6B0D1-E3F7-440C-B570-A30C2746A133}
    2021-09-11 02:32:22PM 00[LIB] loaded plugins: charon-svc nonce x509 pubkey pkcs1 pkcs7 pkcs8 pkcs12 pem openssl kernel-libipsec kernel-iph socket-win vici eap-identity eap-gtc eap-mschapv2 xauth-generic windows-dns
    2021-09-11 02:32:22PM 00[JOB] spawning 16 worker threads
    2021-09-11 02:32:24PM 17[KNL] interface 9 'Microsoft Wi-Fi Direct Virtual Adapter' appeared
    2021-09-11 02:32:24PM 18[KNL] interface 8 'Dell GigabitEthernet' changed state from Down to Up
    2021-09-11 02:32:24PM 18[KNL] interface 21 'Intel(R) Wireless-AC 9560 160MHz' changed state from Down to Up
    2021-09-11 02:32:55PM 18[KNL] interface 21 'Intel(R) Wireless-AC 9560 160MHz' changed state from Up to Down
    2021-09-11 02:34:09PM 18[KNL] interface 19 'Microsoft Wi-Fi Direct Virtual Adapter #2' appeared
    2021-09-11 02:34:37PM 08[CFG] loaded IKE shared key with id 'schneckenVPN-psk-id' for: '%any'
    2021-09-11 02:34:38PM 11[CFG] loaded EAP shared key with id 'schneckenVPN-user-id' for: 'marc'
    2021-09-11 02:34:39PM 07[LIB] TAP-Windows driver version 1.0 available.
    2021-09-11 02:34:40PM 19[KNL] interface 2 'Sophos TAP Adapter' changed state from Down to Up
    2021-09-11 02:34:42PM 07[CFG] added vici connection: schneckenVPN
    2021-09-11 02:34:42PM 08[CFG] vici initiate CHILD_SA 'schneckenVPN-tunnel-1'
    2021-09-11 02:34:42PM 06[IKE] <schneckenVPN|1> initiating Main Mode IKE_SA schneckenVPN[1] to 89.245.10.17
    2021-09-11 02:34:42PM 06[ENC] <schneckenVPN|1> generating ID_PROT request 0 [ SA V V V V V ]
    2021-09-11 02:34:42PM 06[NET] <schneckenVPN|1> sending packet: from 172.16.3.100[51793] to 89.245.10.17[500] (180 bytes)
    2021-09-11 02:34:45PM 11[IKE] <schneckenVPN|1> sending retransmit 1 of request message ID 0, seq 1
    2021-09-11 02:34:45PM 11[NET] <schneckenVPN|1> sending packet: from 172.16.3.100[51793] to 89.245.10.17[500] (180 bytes)
    2021-09-11 02:34:51PM 07[IKE] <schneckenVPN|1> sending retransmit 2 of request message ID 0, seq 1
    2021-09-11 02:34:51PM 07[NET] <schneckenVPN|1> sending packet: from 172.16.3.100[51793] to 89.245.10.17[500] (180 bytes)
    2021-09-11 02:35:03PM 14[IKE] <schneckenVPN|1> giving up after 2 retransmits
    2021-09-11 02:35:03PM 14[IKE] <schneckenVPN|1> establishing IKE_SA failed, peer not responding
    2021-09-11 02:35:03PM 10[CFG] vici terminate IKE_SA 'schneckenVPN'
    2021-09-11 02:35:03PM 09[ESP] unsupported IP version
    2021-09-11 02:35:03PM 19[KNL] interface 2 'Sophos TAP Adapter' changed state from Up to Down
    2021-09-11 02:35:04PM 08[CFG] unloaded shared key with id 'schneckenVPN-psk-id'
    2021-09-11 02:35:05PM 14[CFG] unloaded shared key with id 'schneckenVPN-user-id'
    2021-09-11 02:35:36PM 10[CFG] loaded IKE shared key with id 'schneckenVPN-psk-id' for: '%any'
    2021-09-11 02:35:36PM 11[CFG] loaded EAP shared key with id 'schneckenVPN-user-id' for: 'marc'
    2021-09-11 02:35:38PM 13[LIB] TAP-Windows driver version 1.0 available.
    2021-09-11 02:35:38PM 19[KNL] interface 2 'Sophos TAP Adapter' changed state from Down to Up
    2021-09-11 02:35:40PM 13[CFG] added vici connection: schneckenVPN
    2021-09-11 02:35:40PM 09[CFG] vici initiate CHILD_SA 'schneckenVPN-tunnel-1'
    

    Kannst du da den Grund sehen?

    Viele Grüße

    Marc

  • die IP "89.245.10.17" hat die Firewall, oder ist noch eine FritzBox.

    In letzterem fall: hat die eine Portweiterleitung auf die XG?


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • "89.245.10.17" Ist die XG. Die FRITZ!Box ist als iP Client konfiguriert und ist hinter der XG

  • Hast du ein extra Netz für deine VPN Clients angelegt?
    Kannst du mal die .scx Datei nutzen?

  • ast du ein extra Netz für deine VPN Clients angelegt?

    Nee, die VPN Benutzer dürfen gerne in das normale LAN. Mein LAN Bereich ist 172.16.0.1 -172.16.7.254

    DHCP lasse ich im 172.16.7.* landen, VPN sollen im 172.16.6.* landen und der Rest im übrigen Netz.

    Kannst du mal die .scx Datei nutzen

    Heute morgen hatte ich die .scx mit der aktuellen IP angepasst und diese importiert. Hat aber auch nix gebracht.

    Vermutlich müsste ja auch meine Domain vpn.meinePublicDomain.de funktionieren oder?

  • Wenn die ext.IP unter vpn.meinePublicDomain.de aufgelöst wird, sollte das auch funktionieren.

    Sonst kommt die "IKE-port nicht erreichbar" Meldung.

    Versuche auch mal einen Adressbereich außerhalb deiner lokalen Subnetze. (10.11.12.0/24 z.B.).

    ... aber

    2021-09-11 02:34:42PM 06[NET] <schneckenVPN|1> sending packet: from 172.16.3.100[51793] to 89.245.10.17[500] (180 bytes)
    2021-09-11 02:34:45PM 11[IKE] <schneckenVPN|1> sending retransmit 1 of request message ID 0, seq 1
    2021-09-11 02:34:45PM 11[NET] <schneckenVPN|1> sending packet: from 172.16.3.100[51793] to 89.245.10.17[500] (180 bytes)
    2021-09-11 02:34:51PM 07[IKE] <schneckenVPN|1> sending retransmit 2 of request message ID 0, seq 1
    2021-09-11 02:34:51PM 07[NET] <schneckenVPN|1> sending packet: from 172.16.3.100[51793] to 89.245.10.17[500] (180 bytes)
    2021-09-11 02:35:03PM 14[IKE] <schneckenVPN|1> giving up after 2 retransmits

    sieht danach aus, als würde nix bei der XG ankommen, oder diese die Pakete nicht annehmen.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • und dann noch ...

    In deinem ersten Screenshot hast du ein Interface mit einer anderen IP als 89.245.10.17 ausgewählt...

    da passt u.U. etwas nicht.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Ich habe nun mal den anderen Adressbereich eingetragen und die Connection exportiert und in "Sophos Connect" importiert.

    Was würde ich denn im Fall des anderen IP-Bereichs beim DNS-Server eintragen?

    Leider hat aber auch dies nicht zum Erfolg geführt.

    Hier mal das aktuelle Log:

    2021-09-12 10:06:25AM 00[DMN] Starting IKE service charon-svc (strongSwan 5.8.0, Windows Client 6.2.9200 (SP 0.0)
    2021-09-12 10:06:25AM 00[LIB] TAP-Windows driver version 1.0 available.
    2021-09-12 10:06:27AM 00[LIB] opened TUN device: {03E6B0D1-E3F7-440C-B570-A30C2746A133}
    2021-09-12 10:06:27AM 00[LIB] loaded plugins: charon-svc nonce x509 pubkey pkcs1 pkcs7 pkcs8 pkcs12 pem openssl kernel-libipsec kernel-iph socket-win vici eap-identity eap-gtc eap-mschapv2 xauth-generic windows-dns
    2021-09-12 10:06:27AM 00[JOB] spawning 16 worker threads
    2021-09-12 10:06:34AM 17[KNL] 169.254.23.229 disappeared from interface 21 'Intel(R) Wireless-AC 9560 160MHz'
    2021-09-12 10:08:09AM 17[KNL] interface 19 'Microsoft Wi-Fi Direct Virtual Adapter #2' appeared
    2021-09-12 10:09:46AM 07[CFG] loaded IKE shared key with id 'schneckenVPN-psk-id' for: '%any'
    2021-09-12 10:09:46AM 12[CFG] loaded EAP shared key with id 'schneckenVPN-user-id' for: 'marc'
    2021-09-12 10:09:48AM 03[LIB] TAP-Windows driver version 1.0 available.
    2021-09-12 10:09:48AM 18[KNL] interface 2 'Sophos TAP Adapter' changed state from Down to Up
    2021-09-12 10:09:50AM 03[CFG] added vici connection: schneckenVPN
    2021-09-12 10:09:51AM 03[CFG] vici initiate CHILD_SA 'schneckenVPN-tunnel-1'
    2021-09-12 10:09:51AM 08[IKE] <schneckenVPN|1> initiating Main Mode IKE_SA schneckenVPN[1] to 83.135.141.111
    2021-09-12 10:09:51AM 08[ENC] <schneckenVPN|1> generating ID_PROT request 0 [ SA V V V V V ]
    2021-09-12 10:09:51AM 08[NET] <schneckenVPN|1> sending packet: from 172.16.3.103[53473] to 83.135.141.111[500] (180 bytes)
    2021-09-12 10:09:54AM 12[IKE] <schneckenVPN|1> sending retransmit 1 of request message ID 0, seq 1
    2021-09-12 10:09:54AM 12[NET] <schneckenVPN|1> sending packet: from 172.16.3.103[53473] to 83.135.141.111[500] (180 bytes)
    2021-09-12 10:10:00AM 11[IKE] <schneckenVPN|1> sending retransmit 2 of request message ID 0, seq 1
    2021-09-12 10:10:00AM 11[NET] <schneckenVPN|1> sending packet: from 172.16.3.103[53473] to 83.135.141.111[500] (180 bytes)
    2021-09-12 10:10:12AM 08[IKE] <schneckenVPN|1> giving up after 2 retransmits
    2021-09-12 10:10:12AM 08[IKE] <schneckenVPN|1> establishing IKE_SA failed, peer not responding
    2021-09-12 10:10:12AM 14[ESP] unsupported IP version
    2021-09-12 10:10:12AM 12[CFG] vici terminate IKE_SA 'schneckenVPN'
    2021-09-12 10:10:12AM 20[KNL] interface 2 'Sophos TAP Adapter' changed state from Up to Down
    2021-09-12 10:10:13AM 08[CFG] unloaded shared key with id 'schneckenVPN-psk-id'
    2021-09-12 10:10:13AM 07[CFG] unloaded shared key with id 'schneckenVPN-user-id'
    2021-09-12 10:10:44AM 04[CFG] loaded IKE shared key with id 'schneckenVPN-psk-id' for: '%any'
    2021-09-12 10:10:44AM 12[CFG] loaded EAP shared key with id 'schneckenVPN-user-id' for: 'marc'
    2021-09-12 10:10:46AM 11[LIB] TAP-Windows driver version 1.0 available.
    2021-09-12 10:10:46AM 20[KNL] interface 2 'Sophos TAP Adapter' changed state from Down to Up
    2021-09-12 10:10:48AM 11[CFG] added vici connection: schneckenVPN
    2021-09-12 10:10:48AM 14[CFG] vici initiate CHILD_SA 'schneckenVPN-tunnel-1'
    2021-09-12 10:10:48AM 16[IKE] <schneckenVPN|2> initiating Main Mode IKE_SA schneckenVPN[2] to 83.135.141.111
    2021-09-12 10:10:48AM 16[ENC] <schneckenVPN|2> generating ID_PROT request 0 [ SA V V V V V ]
    2021-09-12 10:10:48AM 16[NET] <schneckenVPN|2> sending packet: from 172.16.3.103[53473] to 83.135.141.111[500] (180 bytes)
    2021-09-12 10:10:51AM 08[IKE] <schneckenVPN|2> sending retransmit 1 of request message ID 0, seq 1
    2021-09-12 10:10:51AM 08[NET] <schneckenVPN|2> sending packet: from 172.16.3.103[53473] to 83.135.141.111[500] (180 bytes)
    2021-09-12 10:10:57AM 11[IKE] <schneckenVPN|2> sending retransmit 2 of request message ID 0, seq 1
    2021-09-12 10:10:57AM 11[NET] <schneckenVPN|2> sending packet: from 172.16.3.103[53473] to 83.135.141.111[500] (180 bytes)
    2021-09-12 10:11:09AM 16[IKE] <schneckenVPN|2> giving up after 2 retransmits
    2021-09-12 10:11:09AM 16[IKE] <schneckenVPN|2> establishing IKE_SA failed, peer not responding
    2021-09-12 10:11:09AM 11[CFG] vici terminate IKE_SA 'schneckenVPN'
    2021-09-12 10:11:09AM 07[ESP] unsupported IP version
    2021-09-12 10:11:09AM 18[KNL] interface 2 'Sophos TAP Adapter' changed state from Up to Down
    2021-09-12 10:11:11AM 03[CFG] unloaded shared key with id 'schneckenVPN-psk-id'
    2021-09-12 10:11:11AM 11[CFG] unloaded shared key with id 'schneckenVPN-user-id'
    2021-09-12 10:11:42AM 08[CFG] loaded IKE shared key with id 'schneckenVPN-psk-id' for: '%any'
    2021-09-12 10:11:42AM 15[CFG] loaded EAP shared key with id 'schneckenVPN-user-id' for: 'marc'
    2021-09-12 10:11:44AM 14[LIB] TAP-Windows driver version 1.0 available.
    2021-09-12 10:11:44AM 18[KNL] interface 2 'Sophos TAP Adapter' changed state from Down to Up
    2021-09-12 10:11:46AM 14[CFG] added vici connection: schneckenVPN
    2021-09-12 10:11:46AM 08[CFG] vici initiate CHILD_SA 'schneckenVPN-tunnel-1'
    2021-09-12 10:11:46AM 12[IKE] <schneckenVPN|3> initiating Main Mode IKE_SA schneckenVPN[3] to 83.135.141.111
    2021-09-12 10:11:46AM 12[ENC] <schneckenVPN|3> generating ID_PROT request 0 [ SA V V V V V ]
    2021-09-12 10:11:46AM 12[NET] <schneckenVPN|3> sending packet: from 172.16.3.103[53473] to 83.135.141.111[500] (180 bytes)
    2021-09-12 10:11:49AM 03[IKE] <schneckenVPN|3> sending retransmit 1 of request message ID 0, seq 1
    2021-09-12 10:11:49AM 03[NET] <schneckenVPN|3> sending packet: from 172.16.3.103[53473] to 83.135.141.111[500] (180 bytes)
    2021-09-12 10:11:55AM 12[IKE] <schneckenVPN|3> sending retransmit 2 of request message ID 0, seq 1
    2021-09-12 10:11:55AM 12[NET] <schneckenVPN|3> sending packet: from 172.16.3.103[53473] to 83.135.141.111[500] (180 bytes)
    2021-09-12 10:12:07AM 03[IKE] <schneckenVPN|3> giving up after 2 retransmits
    2021-09-12 10:12:07AM 03[IKE] <schneckenVPN|3> establishing IKE_SA failed, peer not responding
    2021-09-12 10:12:07AM 11[ESP] unsupported IP version
    2021-09-12 10:12:07AM 15[CFG] vici terminate IKE_SA 'schneckenVPN'
    2021-09-12 10:12:07AM 18[KNL] interface 2 'Sophos TAP Adapter' changed state from Up to Down
    2021-09-12 10:12:08AM 04[CFG] unloaded shared key with id 'schneckenVPN-psk-id'
    2021-09-12 10:12:09AM 11[CFG] unloaded shared key with id 'schneckenVPN-user-id'
    2021-09-12 10:12:40AM 03[CFG] loaded IKE shared key with id 'schneckenVPN-psk-id' for: '%any'
    2021-09-12 10:12:40AM 07[CFG] loaded EAP shared key with id 'schneckenVPN-user-id' for: 'marc'
    2021-09-12 10:12:42AM 08[LIB] TAP-Windows driver version 1.0 available.
    2021-09-12 10:12:42AM 20[KNL] interface 2 'Sophos TAP Adapter' changed state from Down to Up
    2021-09-12 10:12:44AM 08[CFG] added vici connection: schneckenVPN
    2021-09-12 10:12:44AM 12[CFG] vici initiate CHILD_SA 'schneckenVPN-tunnel-1'
    2021-09-12 10:12:44AM 08[IKE] <schneckenVPN|4> initiating Main Mode IKE_SA schneckenVPN[4] to 83.135.141.111
    2021-09-12 10:12:44AM 08[ENC] <schneckenVPN|4> generating ID_PROT request 0 [ SA V V V V V ]
    2021-09-12 10:12:44AM 08[NET] <schneckenVPN|4> sending packet: from 172.16.3.103[53473] to 83.135.141.111[500] (180 bytes)
    2021-09-12 10:12:47AM 15[IKE] <schneckenVPN|4> sending retransmit 1 of request message ID 0, seq 1
    2021-09-12 10:12:47AM 15[NET] <schneckenVPN|4> sending packet: from 172.16.3.103[53473] to 83.135.141.111[500] (180 bytes)
    2021-09-12 10:12:53AM 16[IKE] <schneckenVPN|4> sending retransmit 2 of request message ID 0, seq 1
    2021-09-12 10:12:53AM 16[NET] <schneckenVPN|4> sending packet: from 172.16.3.103[53473] to 83.135.141.111[500] (180 bytes)
    2021-09-12 10:13:05AM 04[IKE] <schneckenVPN|4> giving up after 2 retransmits
    2021-09-12 10:13:05AM 04[IKE] <schneckenVPN|4> establishing IKE_SA failed, peer not responding
    2021-09-12 10:13:05AM 11[ESP] unsupported IP version
    2021-09-12 10:13:05AM 14[CFG] vici terminate IKE_SA 'schneckenVPN'
    2021-09-12 10:13:05AM 18[KNL] interface 2 'Sophos TAP Adapter' changed state from Up to Down
    2021-09-12 10:13:07AM 16[CFG] unloaded shared key with id 'schneckenVPN-psk-id'
    2021-09-12 10:13:07AM 14[CFG] unloaded shared key with id 'schneckenVPN-user-id'
    2021-09-12 10:13:38AM 14[CFG] loaded IKE shared key with id 'schneckenVPN-psk-id' for: '%any'
    2021-09-12 10:13:38AM 04[CFG] loaded EAP shared key with id 'schneckenVPN-user-id' for: 'marc'
    2021-09-12 10:13:40AM 03[LIB] TAP-Windows driver version 1.0 available.
    2021-09-12 10:13:40AM 18[KNL] interface 2 'Sophos TAP Adapter' changed state from Down to Up
    2021-09-12 10:13:42AM 03[CFG] added vici connection: schneckenVPN
    2021-09-12 10:13:42AM 16[CFG] vici initiate CHILD_SA 'schneckenVPN-tunnel-1'
    2021-09-12 10:13:42AM 12[IKE] <schneckenVPN|5> initiating Main Mode IKE_SA schneckenVPN[5] to 83.135.141.111
    2021-09-12 10:13:42AM 12[ENC] <schneckenVPN|5> generating ID_PROT request 0 [ SA V V V V V ]
    2021-09-12 10:13:42AM 12[NET] <schneckenVPN|5> sending packet: from 172.16.3.103[53473] to 83.135.141.111[500] (180 bytes)
    2021-09-12 10:13:45AM 15[IKE] <schneckenVPN|5> sending retransmit 1 of request message ID 0, seq 1
    2021-09-12 10:13:45AM 15[NET] <schneckenVPN|5> sending packet: from 172.16.3.103[53473] to 83.135.141.111[500] (180 bytes)
    2021-09-12 10:13:51AM 12[IKE] <schneckenVPN|5> sending retransmit 2 of request message ID 0, seq 1
    2021-09-12 10:13:51AM 12[NET] <schneckenVPN|5> sending packet: from 172.16.3.103[53473] to 83.135.141.111[500] (180 bytes)
    2021-09-12 10:14:03AM 15[IKE] <schneckenVPN|5> giving up after 2 retransmits
    2021-09-12 10:14:03AM 15[IKE] <schneckenVPN|5> establishing IKE_SA failed, peer not responding
    2021-09-12 10:14:04AM 14[CFG] vici terminate IKE_SA 'schneckenVPN'
    2021-09-12 10:14:04AM 11[ESP] unsupported IP version
    2021-09-12 10:14:04AM 20[KNL] interface 2 'Sophos TAP Adapter' changed state from Up to Down
    2021-09-12 10:14:05AM 12[CFG] unloaded shared key with id 'schneckenVPN-psk-id'
    2021-09-12 10:14:05AM 11[CFG] unloaded shared key with id 'schneckenVPN-user-id'
    2021-09-12 10:14:36AM 14[CFG] loaded IKE shared key with id 'schneckenVPN-psk-id' for: '%any'
    2021-09-12 10:14:36AM 15[CFG] loaded EAP shared key with id 'schneckenVPN-user-id' for: 'marc'
    2021-09-12 10:14:38AM 16[LIB] TAP-Windows driver version 1.0 available.
    2021-09-12 10:14:38AM 25[KNL] interface 2 'Sophos TAP Adapter' changed state from Down to Up
    2021-09-12 10:14:40AM 16[CFG] added vici connection: schneckenVPN
    2021-09-12 10:14:40AM 16[CFG] vici initiate CHILD_SA 'schneckenVPN-tunnel-1'
    2021-09-12 10:14:40AM 14[IKE] <schneckenVPN|6> initiating Main Mode IKE_SA schneckenVPN[6] to 83.135.141.111
    2021-09-12 10:14:40AM 14[ENC] <schneckenVPN|6> generating ID_PROT request 0 [ SA V V V V V ]
    2021-09-12 10:14:40AM 14[NET] <schneckenVPN|6> sending packet: from 172.16.3.103[53473] to 83.135.141.111[500] (180 bytes)
    2021-09-12 10:14:43AM 03[IKE] <schneckenVPN|6> sending retransmit 1 of request message ID 0, seq 1
    2021-09-12 10:14:43AM 03[NET] <schneckenVPN|6> sending packet: from 172.16.3.103[53473] to 83.135.141.111[500] (180 bytes)
    2021-09-12 10:14:49AM 07[IKE] <schneckenVPN|6> sending retransmit 2 of request message ID 0, seq 1
    2021-09-12 10:14:49AM 07[NET] <schneckenVPN|6> sending packet: from 172.16.3.103[53473] to 83.135.141.111[500] (180 bytes)
    2021-09-12 10:15:01AM 03[IKE] <schneckenVPN|6> giving up after 2 retransmits
    2021-09-12 10:15:01AM 03[IKE] <schneckenVPN|6> establishing IKE_SA failed, peer not responding
    2021-09-12 10:15:01AM 15[CFG] vici terminate IKE_SA 'schneckenVPN'
    2021-09-12 10:15:01AM 11[ESP] unsupported IP version
    2021-09-12 10:15:01AM 25[KNL] interface 2 'Sophos TAP Adapter' changed state from Up to Down
    2021-09-12 10:15:02AM 07[CFG] unloaded shared key with id 'schneckenVPN-psk-id'
    2021-09-12 10:15:03AM 11[CFG] unloaded shared key with id 'schneckenVPN-user-id'
    2021-09-12 10:15:33AM 11[CFG] loaded IKE shared key with id 'schneckenVPN-psk-id' for: '%any'
    2021-09-12 10:15:33AM 08[CFG] loaded EAP shared key with id 'schneckenVPN-user-id' for: 'marc'
    2021-09-12 10:15:35AM 03[LIB] TAP-Windows driver version 1.0 available.
    2021-09-12 10:15:35AM 25[KNL] interface 2 'Sophos TAP Adapter' changed state from Down to Up
    2021-09-12 10:15:37AM 03[CFG] added vici connection: schneckenVPN
    2021-09-12 10:15:38AM 12[CFG] vici initiate CHILD_SA 'schneckenVPN-tunnel-1'
    2021-09-12 10:15:38AM 11[IKE] <schneckenVPN|7> initiating Main Mode IKE_SA schneckenVPN[7] to 83.135.141.111
    2021-09-12 10:15:38AM 11[ENC] <schneckenVPN|7> generating ID_PROT request 0 [ SA V V V V V ]
    2021-09-12 10:15:38AM 11[NET] <schneckenVPN|7> sending packet: from 172.16.3.103[53473] to 83.135.141.111[500] (180 bytes)
    2021-09-12 10:15:41AM 08[IKE] <schneckenVPN|7> sending retransmit 1 of request message ID 0, seq 1
    2021-09-12 10:15:41AM 08[NET] <schneckenVPN|7> sending packet: from 172.16.3.103[53473] to 83.135.141.111[500] (180 bytes)
    2021-09-12 10:15:47AM 11[IKE] <schneckenVPN|7> sending retransmit 2 of request message ID 0, seq 1
    2021-09-12 10:15:47AM 11[NET] <schneckenVPN|7> sending packet: from 172.16.3.103[53473] to 83.135.141.111[500] (180 bytes)
    2021-09-12 10:15:59AM 08[IKE] <schneckenVPN|7> giving up after 2 retransmits
    2021-09-12 10:15:59AM 08[IKE] <schneckenVPN|7> establishing IKE_SA failed, peer not responding
    2021-09-12 10:15:59AM 14[CFG] vici terminate IKE_SA 'schneckenVPN'
    2021-09-12 10:15:59AM 15[ESP] unsupported IP version
    2021-09-12 10:15:59AM 25[KNL] interface 2 'Sophos TAP Adapter' changed state from Up to Down
    2021-09-12 10:16:00AM 03[CFG] unloaded shared key with id 'schneckenVPN-psk-id'
    2021-09-12 10:16:00AM 16[CFG] unloaded shared key with id 'schneckenVPN-user-id'
    2021-09-12 10:23:27AM 14[CFG] loaded IKE shared key with id 'schneckenVPN-psk-id' for: '%any'
    2021-09-12 10:23:27AM 07[CFG] loaded EAP shared key with id 'schneckenVPN-user-id' for: 'marc'
    2021-09-12 10:23:29AM 04[LIB] TAP-Windows driver version 1.0 available.
    2021-09-12 10:23:29AM 28[KNL] interface 2 'Sophos TAP Adapter' changed state from Down to Up
    2021-09-12 10:23:31AM 04[CFG] added vici connection: schneckenVPN
    2021-09-12 10:23:31AM 04[CFG] vici initiate CHILD_SA 'schneckenVPN-tunnel-1'
    2021-09-12 10:23:31AM 15[IKE] <schneckenVPN|8> initiating Main Mode IKE_SA schneckenVPN[8] to 83.135.141.111
    2021-09-12 10:23:31AM 15[ENC] <schneckenVPN|8> generating ID_PROT request 0 [ SA V V V V V ]
    2021-09-12 10:23:31AM 15[NET] <schneckenVPN|8> sending packet: from 172.16.3.103[53473] to 83.135.141.111[500] (180 bytes)
    2021-09-12 10:23:34AM 12[IKE] <schneckenVPN|8> sending retransmit 1 of request message ID 0, seq 1
    2021-09-12 10:23:34AM 12[NET] <schneckenVPN|8> sending packet: from 172.16.3.103[53473] to 83.135.141.111[500] (180 bytes)
    2021-09-12 10:23:40AM 15[IKE] <schneckenVPN|8> sending retransmit 2 of request message ID 0, seq 1
    2021-09-12 10:23:40AM 15[NET] <schneckenVPN|8> sending packet: from 172.16.3.103[53473] to 83.135.141.111[500] (180 bytes)
    2021-09-12 10:23:52AM 11[IKE] <schneckenVPN|8> giving up after 2 retransmits
    2021-09-12 10:23:52AM 11[IKE] <schneckenVPN|8> establishing IKE_SA failed, peer not responding
    2021-09-12 10:23:52AM 12[CFG] vici terminate IKE_SA 'schneckenVPN'
    2021-09-12 10:23:52AM 16[ESP] unsupported IP version
    2021-09-12 10:23:52AM 29[KNL] interface 2 'Sophos TAP Adapter' changed state from Up to Down
    2021-09-12 10:23:53AM 15[CFG] unloaded shared key with id 'schneckenVPN-psk-id'
    2021-09-12 10:23:54AM 16[CFG] unloaded shared key with id 'schneckenVPN-user-id'
    2021-09-12 10:24:30AM 11[CFG] loaded IKE shared key with id 'schneckenVPN-psk-id' for: '%any'
    2021-09-12 10:24:30AM 04[CFG] loaded EAP shared key with id 'schneckenVPN-user-id' for: 'marc'
    2021-09-12 10:24:32AM 07[LIB] TAP-Windows driver version 1.0 available.
    2021-09-12 10:24:32AM 28[KNL] interface 2 'Sophos TAP Adapter' changed state from Down to Up
    2021-09-12 10:24:34AM 07[CFG] added vici connection: schneckenVPN
    2021-09-12 10:24:34AM 03[CFG] vici initiate CHILD_SA 'schneckenVPN-tunnel-1'
    2021-09-12 10:24:34AM 11[IKE] <schneckenVPN|9> initiating Main Mode IKE_SA schneckenVPN[9] to 83.135.141.111
    2021-09-12 10:24:34AM 11[ENC] <schneckenVPN|9> generating ID_PROT request 0 [ SA V V V V V ]
    2021-09-12 10:24:34AM 11[NET] <schneckenVPN|9> sending packet: from 172.16.3.103[53473] to 83.135.141.111[500] (180 bytes)
    2021-09-12 10:24:37AM 14[IKE] <schneckenVPN|9> sending retransmit 1 of request message ID 0, seq 1
    2021-09-12 10:24:37AM 14[NET] <schneckenVPN|9> sending packet: from 172.16.3.103[53473] to 83.135.141.111[500] (180 bytes)
    2021-09-12 10:24:43AM 07[IKE] <schneckenVPN|9> sending retransmit 2 of request message ID 0, seq 1
    2021-09-12 10:24:43AM 07[NET] <schneckenVPN|9> sending packet: from 172.16.3.103[53473] to 83.135.141.111[500] (180 bytes)
    2021-09-12 10:24:55AM 14[IKE] <schneckenVPN|9> giving up after 2 retransmits
    2021-09-12 10:24:55AM 14[IKE] <schneckenVPN|9> establishing IKE_SA failed, peer not responding
    2021-09-12 10:24:55AM 16[ESP] unsupported IP version
    2021-09-12 10:24:55AM 07[CFG] vici terminate IKE_SA 'schneckenVPN'
    2021-09-12 10:24:56AM 28[KNL] interface 2 'Sophos TAP Adapter' changed state from Up to Down
    2021-09-12 10:24:57AM 11[CFG] unloaded shared key with id 'schneckenVPN-psk-id'
    2021-09-12 10:24:57AM 04[CFG] unloaded shared key with id 'schneckenVPN-user-id'
    2021-09-12 10:25:28AM 14[CFG] loaded IKE shared key with id 'schneckenVPN-psk-id' for: '%any'
    2021-09-12 10:25:28AM 15[CFG] loaded EAP shared key with id 'schneckenVPN-user-id' for: 'marc'
    2021-09-12 10:25:30AM 16[LIB] TAP-Windows driver version 1.0 available.
    2021-09-12 10:25:30AM 29[KNL] interface 2 'Sophos TAP Adapter' changed state from Down to Up
    2021-09-12 10:25:32AM 16[CFG] added vici connection: schneckenVPN
    2021-09-12 10:25:32AM 08[CFG] vici initiate CHILD_SA 'schneckenVPN-tunnel-1'
    2021-09-12 10:25:32AM 07[IKE] <schneckenVPN|10> initiating Main Mode IKE_SA schneckenVPN[10] to 83.135.141.111
    2021-09-12 10:25:32AM 07[ENC] <schneckenVPN|10> generating ID_PROT request 0 [ SA V V V V V ]
    2021-09-12 10:25:32AM 07[NET] <schneckenVPN|10> sending packet: from 172.16.3.103[53473] to 83.135.141.111[500] (180 bytes)
    2021-09-12 10:25:35AM 12[IKE] <schneckenVPN|10> sending retransmit 1 of request message ID 0, seq 1
    2021-09-12 10:25:35AM 12[NET] <schneckenVPN|10> sending packet: from 172.16.3.103[53473] to 83.135.141.111[500] (180 bytes)
    2021-09-12 10:25:41AM 07[IKE] <schneckenVPN|10> sending retransmit 2 of request message ID 0, seq 1
    2021-09-12 10:25:41AM 07[NET] <schneckenVPN|10> sending packet: from 172.16.3.103[53473] to 83.135.141.111[500] (180 bytes)
    2021-09-12 10:25:53AM 16[IKE] <schneckenVPN|10> giving up after 2 retransmits
    2021-09-12 10:25:53AM 16[IKE] <schneckenVPN|10> establishing IKE_SA failed, peer not responding
    2021-09-12 10:25:53AM 07[CFG] vici terminate IKE_SA 'schneckenVPN'
    2021-09-12 10:25:53AM 04[ESP] unsupported IP version
    2021-09-12 10:25:53AM 28[KNL] interface 2 'Sophos TAP Adapter' changed state from Up to Down
    2021-09-12 10:25:54AM 08[CFG] unloaded shared key with id 'schneckenVPN-psk-id'
    2021-09-12 10:25:55AM 15[CFG] unloaded shared key with id 'schneckenVPN-user-id'
    2021-09-12 10:26:25AM 15[CFG] loaded IKE shared key with id 'schneckenVPN-psk-id' for: '%any'
    2021-09-12 10:26:26AM 11[CFG] loaded EAP shared key with id 'schneckenVPN-user-id' for: 'marc'
    2021-09-12 10:26:27AM 14[LIB] TAP-Windows driver version 1.0 available.
    2021-09-12 10:26:27AM 29[KNL] interface 2 'Sophos TAP Adapter' changed state from Down to Up
    2021-09-12 10:26:29AM 14[CFG] added vici connection: schneckenVPN
    2021-09-12 10:26:29AM 07[CFG] vici initiate CHILD_SA 'schneckenVPN-tunnel-1'
    2021-09-12 10:26:29AM 15[IKE] <schneckenVPN|11> initiating Main Mode IKE_SA schneckenVPN[11] to 83.135.141.111
    2021-09-12 10:26:29AM 15[ENC] <schneckenVPN|11> generating ID_PROT request 0 [ SA V V V V V ]
    2021-09-12 10:26:29AM 15[NET] <schneckenVPN|11> sending packet: from 172.16.3.103[53473] to 83.135.141.111[500] (180 bytes)
    2021-09-12 10:26:32AM 12[IKE] <schneckenVPN|11> sending retransmit 1 of request message ID 0, seq 1
    2021-09-12 10:26:32AM 12[NET] <schneckenVPN|11> sending packet: from 172.16.3.103[53473] to 83.135.141.111[500] (180 bytes)
    2021-09-12 10:26:38AM 11[IKE] <schneckenVPN|11> sending retransmit 2 of request message ID 0, seq 1
    2021-09-12 10:26:38AM 11[NET] <schneckenVPN|11> sending packet: from 172.16.3.103[53473] to 83.135.141.111[500] (180 bytes)
    2021-09-12 10:26:50AM 12[IKE] <schneckenVPN|11> giving up after 2 retransmits
    2021-09-12 10:26:50AM 12[IKE] <schneckenVPN|11> establishing IKE_SA failed, peer not responding
    2021-09-12 10:26:51AM 16[CFG] vici terminate IKE_SA 'schneckenVPN'
    2021-09-12 10:26:51AM 03[ESP] unsupported IP version
    2021-09-12 10:26:51AM 29[KNL] interface 2 'Sophos TAP Adapter' changed state from Up to Down
    2021-09-12 10:26:52AM 08[CFG] unloaded shared key with id 'schneckenVPN-psk-id'
    2021-09-12 10:26:52AM 03[CFG] unloaded shared key with id 'schneckenVPN-user-id'
    2021-09-12 10:27:23AM 15[CFG] loaded IKE shared key with id 'schneckenVPN-psk-id' for: '%any'
    2021-09-12 10:27:23AM 14[CFG] loaded EAP shared key with id 'schneckenVPN-user-id' for: 'marc'
    2021-09-12 10:27:25AM 04[LIB] TAP-Windows driver version 1.0 available.
    2021-09-12 10:27:25AM 29[KNL] interface 2 'Sophos TAP Adapter' changed state from Down to Up
    2021-09-12 10:27:27AM 04[CFG] added vici connection: schneckenVPN
    2021-09-12 10:27:28AM 04[CFG] vici initiate CHILD_SA 'schneckenVPN-tunnel-1'
    2021-09-12 10:27:28AM 16[IKE] <schneckenVPN|12> initiating Main Mode IKE_SA schneckenVPN[12] to 83.135.141.111
    2021-09-12 10:27:28AM 16[ENC] <schneckenVPN|12> generating ID_PROT request 0 [ SA V V V V V ]
    2021-09-12 10:27:28AM 16[NET] <schneckenVPN|12> sending packet: from 172.16.3.103[53473] to 83.135.141.111[500] (180 bytes)
    2021-09-12 10:27:31AM 08[IKE] <schneckenVPN|12> sending retransmit 1 of request message ID 0, seq 1
    2021-09-12 10:27:31AM 08[NET] <schneckenVPN|12> sending packet: from 172.16.3.103[53473] to 83.135.141.111[500] (180 bytes)
    2021-09-12 10:27:37AM 14[IKE] <schneckenVPN|12> sending retransmit 2 of request message ID 0, seq 1
    2021-09-12 10:27:37AM 14[NET] <schneckenVPN|12> sending packet: from 172.16.3.103[53473] to 83.135.141.111[500] (180 bytes)
    2021-09-12 10:27:49AM 11[IKE] <schneckenVPN|12> giving up after 2 retransmits
    2021-09-12 10:27:49AM 11[IKE] <schneckenVPN|12> establishing IKE_SA failed, peer not responding
    2021-09-12 10:27:49AM 12[CFG] vici terminate IKE_SA 'schneckenVPN'
    2021-09-12 10:27:49AM 03[ESP] unsupported IP version
    2021-09-12 10:27:49AM 29[KNL] interface 2 'Sophos TAP Adapter' changed state from Up to Down
    2021-09-12 10:27:50AM 04[CFG] unloaded shared key with id 'schneckenVPN-psk-id'
    2021-09-12 10:27:50AM 03[CFG] unloaded shared key with id 'schneckenVPN-user-id'
    2021-09-12 10:28:44AM 12[CFG] loaded IKE shared key with id 'schneckenVPN-psk-id' for: '%any'
    2021-09-12 10:28:44AM 15[CFG] loaded EAP shared key with id 'schneckenVPN-user-id' for: 'marc'
    2021-09-12 10:28:46AM 07[LIB] TAP-Windows driver version 1.0 available.
    2021-09-12 10:28:46AM 29[KNL] interface 2 'Sophos TAP Adapter' changed state from Down to Up
    2021-09-12 10:28:48AM 07[CFG] added vici connection: schneckenVPN
    2021-09-12 10:28:48AM 07[CFG] vici initiate CHILD_SA 'schneckenVPN-tunnel-1'
    2021-09-12 10:28:48AM 12[IKE] <schneckenVPN|13> initiating Main Mode IKE_SA schneckenVPN[13] to 83.135.141.111
    2021-09-12 10:28:48AM 12[ENC] <schneckenVPN|13> generating ID_PROT request 0 [ SA V V V V V ]
    2021-09-12 10:28:48AM 12[NET] <schneckenVPN|13> sending packet: from 172.16.3.103[53473] to 83.135.141.111[500] (180 bytes)
    2021-09-12 10:28:51AM 16[IKE] <schneckenVPN|13> sending retransmit 1 of request message ID 0, seq 1
    2021-09-12 10:28:51AM 16[NET] <schneckenVPN|13> sending packet: from 172.16.3.103[53473] to 83.135.141.111[500] (180 bytes)
    2021-09-12 10:28:57AM 11[IKE] <schneckenVPN|13> sending retransmit 2 of request message ID 0, seq 1
    2021-09-12 10:28:57AM 11[NET] <schneckenVPN|13> sending packet: from 172.16.3.103[53473] to 83.135.141.111[500] (180 bytes)
    2021-09-12 10:29:09AM 14[IKE] <schneckenVPN|13> giving up after 2 retransmits
    2021-09-12 10:29:09AM 14[IKE] <schneckenVPN|13> establishing IKE_SA failed, peer not responding
    2021-09-12 10:29:09AM 03[ESP] unsupported IP version
    2021-09-12 10:29:09AM 04[CFG] vici terminate IKE_SA 'schneckenVPN'
    2021-09-12 10:29:09AM 29[KNL] interface 2 'Sophos TAP Adapter' changed state from Up to Down
    2021-09-12 10:29:10AM 15[CFG] unloaded shared key with id 'schneckenVPN-psk-id'
    2021-09-12 10:29:11AM 03[CFG] unloaded shared key with id 'schneckenVPN-user-id'
    
    

    Und hier mal mein *.scx welches ich importiert habe:

    {
       "managed" : false,
       "auto_connect" : {
          "required" : false,
          "enabled" : false
       },
       "domain_suffix" : " ",
       "dpd_delay" : "60 ",
       "history" : {
          "connect_time" : 0,
          "connect_result" : 0
       },
       "favicon" : "",
       "display_name" : "schneckenVPN",
       "run_logon_script" : false,
       "child" : {
          "remote_ts" : [
             "0.0.0.0/0"
          ],
          "rekey_time" : 3060,
          "proposals" : [
             "aes256-sha2_256-modp2048"
          ]
       },
       "remote_auth" : {
          "otp" : false,
          "psk" : {
             "secret" : "xxxxxxxxxxxxx",
             "id" : "0.0.0.0"
          }
       },
       "start_action" : "none",
       "rekey_time" : 15300,
       "vip" : "0.0.0.0",
       "local_auth" : {
          "otp" : false,
          "psk" : {
             "id" : "0.0.0.0"
          },
          "xauth" : {
             "can_save" : true
          }
       },
       "gateway" : "vpn.meinePublicDomain.de",
       "version" : 1,
       "proposals" : [
          "aes256-sha2_256-modp2048"
       ],
       "name" : "schneckenVPN",
       "type" : "xg"
    }
    

    Ein Ping auf die Gateway-Adresse ist von meinem Laptop aus auch möglich.

    HIer noch mein Benutzerprofil:

    Bin echt inzwischen ratlos.

    Wie kann ich das denn im Log Viewer am besten debuggen?

    Viele Grüße
    Marc

  • was ist 83.135.141.111 denn für eine IP?

    Im letzten Log war es 89.245.10.17 und schon die stimmte nicht mit dem Interface vom ersten Screenshot.(xxx.xxx.45.125) überein


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 83.135.141.111

    Das ist die aktuelle IP von der XG

    Da ich ein Heimanwender bin, wird nachts eine DSL-Zwangstrennung durchgeführt und dann habe ich wieder eine neue IP

Reply Children
  • ok, da komme ich nicht weiter.

    Wenn externe IP + Konfiguraion + Logfile die gleiche IP verwenden/zeigen .... sollte doch alles passen.

    Evtl. kommt der IPSec Listener nicht mit veränderlichen IP's am Interface oder dem PPPoE selbst klar...?

    Ich stelle die FritzBoxen lieber vor die Firewall und leite die nötigen Ports via PortForwarding weiter, dann habe gleich noch eine 2. Firewall-Stufe. Das funktioniertebisher n allen fällen.

    Ist natürlich blöd, wenn man das Gerät als NAS / Drucker-Box verwenden will und das lieber hinter der FW hat.  

    Du könntest die SSL-VPN/OpenVPN Variante probieren.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Dann müsst es ja bei der ersten einrichtung funktioniert haben. Wenn er seine Wan IP angibt sollte es funktionieren oder DDNS aber der Löst ja auch mit zur WAN IP auf.Ich habe Mal die Wan IP (keine PPPoE) meiner XG geändert, mein VPN geht immer nochThumbsup

  • Habe gestern noch SSL-VPN getestet und das funktioniert ohne Probleme.

    Auch ein Zugriff auf meinen Webserver funktioniert von außen ohne Probleme.

    Normalerweise würde ich jetzt sagen, dass der Zugriff über SSL in Ordnung ist, aber ich verwende seit Jahren IPSec mit einem onDemand VPN-Aufbau. Da möchte ich eigentlich nicht drauf verzichten oder gar meiner Frau erklären wollen ;-)

    Ich habe noch im Log folgenden Fehler gefunden: 16[ESP] unsupported IP version

  • Hallo, wir haben mit dem Sophos Connect Client auch unsere Problemchen gehabt und zudem kann man dort keine Routen pushen. Jedes Mal die Datei anpassen, wenn sich im Netz etwas geändert hat war dann doch zu nervig.

    Wir haben deshalb auch wieder SSL-VPN im Einsatz wie bei der ehemaligen UTM und dort funktioniert alles ohne Probleme. Bitte beachte, dass hier ggf. MTU-Anpassungen in der Client Config erforderlich sind, solltest du Verbindungsaussetzer haben.

    Da du einen DSL-Anschluss hast, ist MTU 1492 - in die OVPN-Datei habe ich deshalb "tun-mtu 1480" und
    mssfix 1440 eingetragen.

    Einbinden ist relativ easy per OpenVPN, das schafft sogar deine Frau. :-)

    Bitte nutze UDP und nicht TCP - das bremst unnötig.

    Was für ein Internet-Gateway ist denn im Einsatz? Hat sich hier etwas geändert?

    Gruß

  • Als DSL-Modem verwende ich ein Zyxel VDSL2. Hab mich auch schon gefragt, ob das irgendwie doch blockert obwohl es nur im Bridge-Modus läuft.

    Funktioniert onDemand mit OpenVPN auf einem iPhone?

  • Schwer zu sagen, kann aber gut möglich sein. Für IPSec ist das ESP-Protokoll nötig, ggf. wird das gefiltert.

    Ich verstehe nur nicht, was du mit onDemand meinst?

  • Mit OnDemand meine ich, dass beim Zugriff auf eine Domain des internen Netzwerks automatisch ein VPN-Tunnel aufgebaut wird
  • Coole funktion fürs iPhone - kannte ich so noch nicht. Scheinbar soll es aber klappen, muss ich ebenfalls mal testen.

    www.heiko-zimmermann.com/.../24

  • Vorab vielen Dank an alle, welche mich hier unterstützt haben und speziell , welcher vorgestern Abend zusammen mit mir die Probleme gesucht hat.

    In der Firewallregel habe ich noch einen eigenen Netzbereich eingegeben, welcher nicht mit dem LAN kollidiert. Dies hatte ich ja schon bereits in VPN-Bereich gemacht, aber so ist es wahrscheinlich sauberer.

    Hauptproblem wahr scheinbar, dass IPSec aus dem eigenen Netzwerk in meiner Konfiguration nicht funktioniert. Ein Aufbau aus einem anderen Netzwerk funktioniert. SSL-VPN hingegen hat auch aus dem eigenen Netzwerk funktioniert.


    Nachdem Windows über IPSec funktionierte, habe ich dann noch IPSec über iOS hinbekommen und musste hier feststellen, dass Sophos meiner Meinung nach einen Bug hat. iOS erwartet den das SharedSecret base64 codiert, aber Sopohs hat da irgendwas ganz anderes.
    Nachdem ich das SharedSecret als base64 codiert hatte, funktionierte IPSec sofort. Danach habe ich noch onDemand konfiguriert. Auch das funktioniert sehr gut.

    Insgesamt funktioniert IPSec nun sehr gut und ohne Probleme.

    Hier ein paar Screenshots, um meine konfiguriert darzustellen:

    Wichtig ist auch das aktivieren von DNS in der VPN-Zone, damit DNS-Abfragen funktionieren:

    Das müssten alle Konfigurationen in der XG sein.
    Hier jetzt noch die iOS Konfiguration:

    <plist version="1.0">
    <dict>
            <key>PayloadContent</key>
            <array>
                    <dict>
                            <key>IPSec</key>
                            <dict>
                                    <key>AuthenticationMethod</key>
                                    <string>SharedSecret</string>
                                    <key>RemoteAddress</key>
                                    <string>xg.myhome.de</string>
                                    <key>SharedSecret</key>
                                    <data>***SharedSecret als BASE64***</data>
                                    <key>XAuthEnabled</key>
                                    <integer>1</integer>
    																<!-- VPN-On-Demand Codeblock -->
    																<key>OnDemandEnabled</key>
    																<integer>1</integer>
    																<key>OnDemandRules</key>
    																<array>
    																<!-- VPN beim Zugriff auf Heimnetz-Adressen aufbauen -->
    																	<dict>
    																		<key>Action</key>
    																		<string>EvaluateConnection</string>
    																		<key>ActionParameters</key>
    																		<array>
    																			<dict>
    																				<key>Domains</key>
    																				<array>
    																					<string>HOST1</string>
    																					<string>HOST2</string>
    																					<string>....</string>
    												                  <string>fritz.box</string>
    												                  <string>*.fritz.box</string>
    												                  <string>*.myhome.intern</string>
    																				</array>
    																				<key>RequiredDNSServers</key>
    																				<string>172.16.0.1</string>
    																				<key>DomainAction</key>
    																				<string>ConnectIfNeeded</string>
    																			</dict>
    																		</array>
    																	</dict>
    																	<dict>
    																		<key>DNSServerAddressMatch</key>
    																			<array>
    																				<string>172.16.0.1</string>
    																				<string>172.16.0.*</string>
    																				<string>172.16.1.*</string>
    																				<string>172.16.2.*</string>
    																				<string>172.16.3.*</string>
    																				<string>172.16.4.*</string>
    																				<string>172.16.5.*</string>
    																				<string>172.16.6.*</string>
    																				<string>172.16.7.*</string>
    																			</array>
    																		<key>Action</key>
    																		<string>Connect</string>
    																	</dict>
    																	<dict>
    																		<!-- VPN bei ausgewählten WLAN-Netzen deaktivieren -->
    																		<key>InterfaceTypeMatch</key>
    																		<string>WiFi</string>
    																		<key>SSIDMatch</key>
    																		<array>
    																			<string>*** SSID 1 ****</string>
    																			<string>*** SSID 2 ****</string>
    																		</array>
    																		<key>Action</key>
    																		<string>Disconnect</string>
    																	</dict>
    																	<dict>
    																		<!-- VPN bei aktiver WLAN-Verbindung aktivieren -->
    																		<!-- "Connect", "Disconnect", or "Ignore" if device is connected to any other WiFi network -->
    																		<key>InterfaceTypeMatch</key>
    																		<string>WiFi</string>
    																		<key>Action</key>
    																		<string>Connect</string>
    																	</dict>
    																	<dict>
    												             <!-- VPN im Mobilfunknetz nicht aktivieren - falls eine Verbindung auch beim Mobilfunk gewünscht ist, dann muss hier die Action auf "Connect" geändert werden -->
    												             <!-- "Connect", "Disconnect", or "Ignore" if device is connected to a Cellular network -->
    												 						<key>InterfaceTypeMatch</key>
    																		<string>Cellular</string>
    																		<key>Action</key>
    																		<string>Connect</string>
    																	</dict>
    																	<dict>
    																		<!-- VPN Default state -->
    																		<key>Action</key>
    																		<string>Ignore</string>
    																	</dict>
    																</array>
    																<!-- VPN-On-Demand Codeblock ENDE-->
                            </dict>
                            <key>IPv4</key>
                            <dict>
                                    <key>OverridePrimary</key>
                                    <integer>0</integer>
                            </dict>
                            <key>PayloadDescription</key>
                            <string>Configures VPN settings, including authentication.</string>
                            <key>PayloadDisplayName</key>
                            <string>Sophos IPSEC settings</string>
                            <key>PayloadIdentifier</key>
                            <string>com.sophos.iphone.profile.vpn1</string>
                            <key>PayloadOrganization</key>
                            <string>Sophos</string>
                            <key>PayloadType</key>
                            <string>com.apple.vpn.managed</string>
                            <key>PayloadUUID</key>
                            <string>***PayloadUUID von Sophos***</string>
                            <key>PayloadVersion</key>
                            <integer>1</integer>
                            <key>Proxies</key>
                            <dict/>
                            <key>UserDefinedName</key>
                            <string>*** name vom IPSec Tunnel in Sophos***</string>
                            <key>VPNType</key>
                            <string>IPSec</string>
                    </dict>
            </array>
            <key>PayloadDescription</key>
            <string>Sophos profile for iPhone.</string>
            <key>PayloadDisplayName</key>
            <string>Sophos profile</string>
            <key>PayloadIdentifier</key>
            <string>com.sophos.iphone.profile</string>
            <key>PayloadOrganization</key>
            <string>Sophos</string>
            <key>PayloadRemovalDisallowed</key>
            <false/>
            <key>PayloadType</key>
            <string>Configuration</string>
            <key>PayloadUUID</key>
            <string>***PayloadUUID von Sophos***</string>
            <key>PayloadVersion</key>
            <integer>1</integer>
    </dict>
    </plist>
    

    Vielleicht hilft dies anderen mit ähnlichen Problemen und  bei einem onDemand Test mit iPhone und Co

    Viele Grüße
    Marc

  • Cool. Vielen Dank für die Rückmeldung!