Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 6 subscribers
  • Views 24082 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Zwei IPSec-VPN-Tunnel zwischen zwei Sophos UTM9

Moritz Steinkamp

Hallo Community,

ich habe ein Problem beim Erstellen von 2 separaten VPN-Tunneln zwischen zwei Sophos UTM 9. Tunnel A besteht bereits und funktioniert ohne Probleme.

Beim Verbinden von Tunnel B gibt es zuerst keine Probleme und der Tunnel funktioniert. Aber nach einer gewissen Zeit bricht einer der beiden Tunnel zusammen.

 

Hier die zwei Tunnel:

Tunnel A (besteht bereits)

Site A:

GW: XXX.XXX.XXX.74

Internes Netz: 192.168.10.0/24

Site B:

GW:  XXX.XXX.XXX.85

Internes Netz: 192.168.20.0/24

 

Tunnel B (soll hinzukommen)

Site A:

GW:  XXX.XXX.XXX.74

Internes Netz: 10.10.1.0/24

Site B:

GW:  XXX.XXX.XXX.85

Internes Netz: 192.168.20.0/24

 

 

Beim Durchschauen der Logfiles sind mir folgende Meldungen aufgefallen:

 

"Tunnel A" #96465: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0xf62d710c (perhaps this is a duplicated packet)

"Tunnel A" #96465: sending encrypted notification INVALID_MESSAGE_ID to XXX.XXX.XXX.85:500

 

Könnt ihr mir weiterhelfen, wieso es zu diesem Problem kommt?

Was genau sagt die Fehlermeldung aus(habe dazu leider nichts richtiges gefunden)?

Gibt es eventuell Limitierungen (nur eine IPsec-verbindung zwischen 2 GW)?

 

Gruß und Danke

Moritz



This thread was automatically locked due to age.
Parents
  • 0

    Hallo Moritz,

    ich habe das jetzt so verstanden das Du zwei selbstständige IPSec Tunnel einrichten willst? Wäre für Deinen Anwendungsfall nicht   EIN IPSec Tunnel mit zwei verschiedenen Remote Netzen nicht ausreichend?

    Also:

    Gateway A mit 192.168.10.0/24.  und   10.10.1.0/24

    Gateway B mit dem 192.168.20.0/24.  

    Aber um ehrlich zu sein kann ich die Frage nach einer Limitierung in der Anzahl der möglichen IPSec Tunnel zwischen den selben VPN Gtaeway nicht beantworten weil sich mir diese Frage durch das Hinzufügen von Remote Netzen noch nicht gestellt hat.

    Ich hoffe ich konnte ein wenig helfen...

    Gruß Ster

                                         

    "mal eben"    gibt es nicht

  • 0 in reply to Ster Linga

    Hallo Ster,

     

    danke für deine Antwort. So wäre es natürlich am einfachsten, aber das Problem ist das bei Tunnel A auf Site B schon einige Interne Netze hinterlegt sind. 

    Also sieht die Verbindung von Tunnel A aktuell so aus:

     

    unnel A (besteht bereits)

    Site A:

    GW: XXX.XXX.XXX.74

    Internes Netz: 192.168.10.0/24

    Site B:

    GW:  XXX.XXX.XXX.85

    Internes Netz: 192.168.20.0/24, XXX.XXX.XXX.0/24, XXX.XXX.XXX.0/24, XXX.XXX.XXX.0/24

     

    Ich wollte mein Problem nur vereinfacht darstellen und habe deshalb die weiteren Remote-Netze weggelassen.

     

    Wenn ich jetzt bei Site A das Netz: 10.10.1.0/24 hinterlege, wird für jedes Remote-Netz eine Verbindung aufgebaut.

    Das ist allerdings nicht wünschenswert und ich wollte dieses Problem umgehen, indem ich einen neue IPSec Verbindung nur für dieses eine Verbindung (Tunnel B) erstelle. 

     

    Gibt es eventuell eine Möglichkeit dieses Problem zu umgehen?

     

    Gruß und Danke

    Moritz

Reply
  • 0 in reply to Ster Linga

    Hallo Ster,

     

    danke für deine Antwort. So wäre es natürlich am einfachsten, aber das Problem ist das bei Tunnel A auf Site B schon einige Interne Netze hinterlegt sind. 

    Also sieht die Verbindung von Tunnel A aktuell so aus:

     

    unnel A (besteht bereits)

    Site A:

    GW: XXX.XXX.XXX.74

    Internes Netz: 192.168.10.0/24

    Site B:

    GW:  XXX.XXX.XXX.85

    Internes Netz: 192.168.20.0/24, XXX.XXX.XXX.0/24, XXX.XXX.XXX.0/24, XXX.XXX.XXX.0/24

     

    Ich wollte mein Problem nur vereinfacht darstellen und habe deshalb die weiteren Remote-Netze weggelassen.

     

    Wenn ich jetzt bei Site A das Netz: 10.10.1.0/24 hinterlege, wird für jedes Remote-Netz eine Verbindung aufgebaut.

    Das ist allerdings nicht wünschenswert und ich wollte dieses Problem umgehen, indem ich einen neue IPSec Verbindung nur für dieses eine Verbindung (Tunnel B) erstelle. 

     

    Gibt es eventuell eine Möglichkeit dieses Problem zu umgehen?

     

    Gruß und Danke

    Moritz

Children
  • 0 in reply to Moritz Steinkamp

    Hallo Moritz,

     

    verstehe jetzt was Dich stört. Im ungünstigen Fall werden Dir acht IPSec SA's (oder so) in der Verbindung angezeigt was ja auch nicht tragisch wäre.

     

    Der Zugriff lässt sich ja durch Firewall-Regeln begrenzen.

    Ich nehme an das Du beide Seiten konfigurierst dann hast Du das doch noch besser in der Hand.

     

    Gruß Ster

     

                                         

    "mal eben"    gibt es nicht

Unfiltered HTML