Site to site V11 zu v10

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
glohr
Beiträge: 98
Registriert: Mi 03.03.2010, 18:34

Site to site V11 zu v10

Beitrag von glohr »

Hallo,

ich habe bisher immer Roadwarrior VPN Verbindungen hergestellt.

Nun muss ich bei einem Kunden die Werkstatt mit dem Büro verbinden.

Im Büro hat er eine V10 Piranha
In der Werkstatt bekommt er jetzt eine RC100 V11.

Muss ich da jetzt was besonderes beachten. Ich würde das wenn möglich per Secret Key machen.

Kenneth
Beiträge: 348
Registriert: Mi 19.10.2011, 15:21
Wohnort: Lüneburg

Beitrag von Kenneth »

Hallo,

ich gehe mal davon aus dass, es sich um IPSec Site to Site handelt.
Auf beiden Maschinen lassen den IPSec Assistenten durchlaufen lassen und gegebfalls nochmal die Verbindung nach editieren, falls es noch Probleme gibt.

Gruß Kenneth

glohr
Beiträge: 98
Registriert: Mi 03.03.2010, 18:34

Beitrag von glohr »

Ich habe den Assistenten laufen lassen und wenn ich von der V10 aus initiere kommt bei mir im LOG an:
looking for peer configs matching
no matching peer config found

Kenneth
Beiträge: 348
Registriert: Mi 19.10.2011, 15:21
Wohnort: Lüneburg

Beitrag von Kenneth »

Stehen in der Phase 2 Subnetze?
Schon einmal versuche den IPSec Dienst neuzustarten?

glohr
Beiträge: 98
Registriert: Mi 03.03.2010, 18:34

Beitrag von glohr »

In Phase 2 stehen bei Firewall 1: Internes Netz 10.10.1.0/24 Remote Netzwerk 192.168.0.0/24
bei Firewall 2 Internes Netz: 192.168.0.0/24 Remote Netz: 10.10.1.0/24

IPSEC Dienst wurde neu gestartet

glohr
Beiträge: 98
Registriert: Mi 03.03.2010, 18:34

Beitrag von glohr »

hier hab ich noch ne Meldung

packet from 84.57.139.225:500: initial Main Mode message received on 46.237.192.99:500 but no connection has been authorized with policy=PSK
Gruß heiko

Kenneth
Beiträge: 348
Registriert: Mi 19.10.2011, 15:21
Wohnort: Lüneburg

Beitrag von Kenneth »

Dann stimmt da was noch nicht in der Phase 1 überein

glohr
Beiträge: 98
Registriert: Mi 03.03.2010, 18:34

Beitrag von glohr »

Ich hab jetzt die Verbindungen nochmal komplett neu angelegt.
an der V10 wird jetzt Status 1/1 angezeigt und der Punkt ist grün.
Auf meiner V11 aber ist der Punkt grau.

Wenn ich versuche einen Server im Kundennetz anzupingen komm ich nicht hin.

Muss ich jeweils noch Netzwerobjekte anlegen?

glohr
Beiträge: 98
Registriert: Mi 03.03.2010, 18:34

Beitrag von glohr »

Ich muss noch hinzufügen:

Von der Netzwerkseite der SP V10 zu meinem Netzwerk kann ich z.B. meinen Server pingen:
Da wird ja auch die Verbindung grün gezeigt.

Von meinem Netzwerk SP V11 kann ich aber des entfernte Netzwerk nicht pingen?

Kenneth
Beiträge: 348
Registriert: Mi 19.10.2011, 15:21
Wohnort: Lüneburg

Beitrag von Kenneth »

Hallo,

haben Sie ein Netzwerkobjekt mit dem IP Kreis der v10 auf der v11 erstellt und damit eine Regel:
Internal Network => IPSec_Netz_v10 = any

NAT Modus:

Hidenat Exclude und da das Objekt "External Interface"

erstellt?

glohr
Beiträge: 98
Registriert: Mi 03.03.2010, 18:34

Beitrag von glohr »

Hallo,

ja, habe ich in der Zwischenzeit gemacht und es funktioniert jetzt auch.
Was mir noch Probleme bereitet ist die DNS Auflösung ins Kundennetz.

Das teste ich aber wenn ich die Kunden Firewall ausliefere.

Noch eine wichtige Frage.

Muss ich beim Kunden in der Werkstatt ein anderes Netzwerk zb. 192.168.1.0 nehmen oder kann ich auch dasselbe 192.168.0.0 Netzwerk nehmen.

Gruß heiko

Kenneth
Beiträge: 348
Registriert: Mi 19.10.2011, 15:21
Wohnort: Lüneburg

Beitrag von Kenneth »

Hallo,


auf beiden Seiten müssen verschiedene Subnetze sein, sonst es Probleme mit dem IPSec Dienst

glohr
Beiträge: 98
Registriert: Mi 03.03.2010, 18:34

Beitrag von glohr »

ok,

hab ich mir gedacht.

danke!!!

gruß Heiko

Antworten