Hallo allerseits,
ich hoffe durch diesen Post keine Redundanz zu verursachen, zumindest habe ich keinen entsprechenden Post gefunden.
Es geht um folgendes: Ich habe eine UTM im Einsatz und möchte ein entferntes Gebäude, das einen EdgeRouter hat (akzeptiert nur PPTP und IPsec Site-to-Site), per VPN anbinden. Jedes dieser Gebäude hat fünf Netzwerke, die von den Zugriffsrechten eine 1:1 Kopie sind. Zur Zeit konfiguriere ich den EdgeRouter im "Hauptgebäude", mein derzeitiger logischer Netzwerkaufbau sieht also wie folgt aus (0.254 ist der Router vom ISP, 0.0/24 ist daher bereits LAN also findet bei diesem Testaufbau der VPN-Tunnel sozusagen nur "über einen Switch" statt...):
Ich möchte alle fünf Netzwerke/VLANs des einen Standorts aus dem anderen Gebäude erreichen, wobei einander entsprechende Netzwerke uneingeschränkt aufeinander zugreifen können:
11.0 auf 21.0; 12.0 auf 22.0; ...
Meine Konfiguration sieht so aus, dass ich in der UTM unter IPsec-RemoteGateway folgendes eingetragen habe:
GW-Type: Initiate
Gateway: 0.2
Remote Networks:
21.0
22.0
23.0
24.0
25.0
Unter Connections ist das erstellte RemoteGateway eingetragen und das UTM-"extern"-Interface mit IP 0.1, außerdem:
Local Networks:
11.0
12.0
13.0
14.0
15.0
In der UTM-Firewall ist die jeweils von beispielsweise 11.0 any zu 21.0 und in die andere Richtung eingetragen, ebenso für die anderen einander entsprechenden Netzwerke. In der EdgeRouter-Firewall noch "von any mit any zu any" - alles frei.
Im EdgeRouter habe ich entsprechend den Peer (0.1) eingetragen und die local IP (0.2). Zuerst testweise als local network 21.0 und remote network 11.0.
Die Verbindung wurde aufgebaut und im Tunnel Status in der UTM wird angezeigt:
1 of 25 IPsec SAs established // Alle 25 möglichen Kombinationen der 10 Netzwerke über das VPN
SA: 11.0/24=0.1 
0.2=21.0/24
Alle anderen SAs ausgeixt (Würd ich mir dadurch erklären, dass im EdgeRouter nur das 11.0 mit 21.0 eingetragen sind).
Nachdem ich im EdgeRouter weitere Netzwerkkombinationen hinzugefügt habe, bleiben diese aber selbst nach Router-Neustarts oder halbstündigem Warten in der UTM ausgeixt (Error: No connection) - Das ist das Problem...
Nebenbei angemerkt, ich habe die automatic firewall rules und strict router nicht aktiviert. Es wird ein PreSharedKey verwendet und AES265 Da der EdgeRouter wie gesagt nur IPsec als sinnvolles VPN-Protokoll unterstützt, kann ich kein SSL nutzen. Mit IPsec hatte ich bis dato noch keine nennenswerten Berührungspunkte...
Außerdem taucht im Log öfters folgende Zeile auf, deren Meldung ich nicht zuordnen kann:
pluto[2715]: packet from 0.2:500: ignoring informational payload, type NO_PROPOSAL_CHOSEN
Hat jemand eine Ahnung, was ich vergessen haben könnte oder wo ich etwas falsch konfiguriert habe?
Ich hoffe, dass keine wichtigen Informationen fehlen und freue mich auf eure Ratschläge.
Besten Dank
soberz
[edit: auch mit automatic firewall rule keine Problemlösung]
[edit: Urpsrünglich bestand das Problem, dass sich meine Notebooks über den initiierten IPsec-Tunnel nicht anpingen konnten. Hatte dann mal andere Geräte wie ESPs, NAS, Server, usw im Netz hinter der UTM angepingt und das ging. Die Lösung des Problems war, dass in der Windows-Firewall die ICMP-Echos im privaten Netzwerk standardmäßig auf "von lokalem Subnet" gestellt sind. Umgestellt auf beliebig, so können die sich wieder gegenseitig anpingen. Aber wieso konnte ich den Server (Win) anpingen? Unter WinServer ist diese Einstellung standardmäßig auf beliebige Subnets eingestellt... Windows my olf friend...]
This thread was automatically locked due to age.