Roadwarrior mit PSK

Schnick · Beitrag von **Schnick** » Fr 29.10.2010, 11:25

Nachdem die Securepoint und Win7 L2TP wohl nicht zu schaffen scheint, werde ich das Projekt umstellen und auf IPSEC Roadwarrior setzen.

Leider sind die HowTos hier alle für die 2007er Version der Securepoint.
Gibt es ein HowTo, dass das Vorgehen Roadwarrior mit PSK an eine Securepoint 10
beschreibt?

Hat solch ein (einfaches) Szenario schon jemand am laufen und kann mich unterstützen?

Gruesse
Kai Weible

Schnick · Beitrag von **Schnick** » Sa 30.10.2010, 16:01

So, nun habe ich das mit Win7 IPSEC und dem NCP Client eingrichtet. Der Verbindungsaufbau geht mit der Phase 1 wunderbar.

In Phase 2 habe ich wieder das problem der Connection:

IPSEC Server pluto[14365]: "firewall.webdata.de__GT__Test_16"[12] 79.236.75.51:4500 #6: cannot respond to IPsec SA request because no connection is known for 192.168.75.0/24===217.91.15.235:4500...79.236.75.51:4500[xyz@test.de]===192.168.75.1/32

Weiss jemand Rat?

Beitrag von **Erik** » Sa 30.10.2010, 16:10

Da übermittelt ihr Client als P1-ID "xyz@test.de". Stellen Sie dort einmal "ASN-1-DER" ein. Unter Umständen kopieren Sie dann noch die DN des Zertifikats hin ( der Teil mit: "/C=Deutschland..../CN=Zertifikatsname")

Schnick · Beitrag von **Schnick** » Mo 01.11.2010, 18:50

Ich nutze bei dem test die xyz@test.de als FQUsername. Da ich einen PSK verwende, habe ich kein Zertifikat.

Ich wollte die Verbindung zuerst mit PSK einrichten und dann ggf. auf Zertifikate umstellen.

Oder ist es besser, gleich mit Zertifikaten zu arbeiten?

Die Phase 1 wird auch aufgebaut. So wie ich das verstehe stimmen die IP-Netze nicht, wobei ich da nicht ganz schlau werde,...

carsten · Beitrag von **carsten** » Di 02.11.2010, 12:01

192.168.75.0/24===217.91.15.235:4500...79.236.75.51:4500[xyz@test.de]===192.168.75.1/32

Ich vermute im Client haben Sie als Roadwarrior-IP die 192.168.75.1 angegeben und als Zielnetz die 192.168.75.0/24.

Client und Ziel dürfen bei IPsec NIE im gleichen Subnetz liegen!

Schnick · Beitrag von **Schnick** » Mi 03.11.2010, 08:52

Hallo,

ich habe hier mal die Netze aufgelistet, denke so ist es einfacher:

Roadwarrior (DynIPAdresse DSL / Lokal 192.168.10.2)

Roadwarrior IP vom VPN zugewiesen: 192.168.75.1

VPN Netz auf der Firewall: 192.168.75.0/24

Internes Netz: 192.168.175.0/24

Verstehe ich das nun richtig, dass die IP-Adresse die ich im NCP-Client als Roadwarrior IP angeben, nicht aus dem 75er Netz sein darf?

JanP · Beitrag von **JanP** » Mi 03.11.2010, 13:04

Client und Ziel dürfen bei IPsec NIE im gleichen Subnetz liegen!

richtig

Schnick · Beitrag von **Schnick** » Mi 03.11.2010, 13:32

OK, dann teste ich das mal. Dann ist das aber in den HowTo's falsch beschrieben, denn da wird immer ein Netz angelegt und die Roadwarrior IP wird aus diesem Netz genommen.

Ich werde dann von weiteren Erfolgen / Misserfolgen berichten.

Beitrag von **Erik** » Mi 03.11.2010, 14:38

Ich glaube das Problem ist einfach, dass Sie da einen Tippfehler haben:
im NCP-Client haben Sie als Remote-Netz "192.168.75.0/24" eingetragen. Ich vermute mal, da soll "192.168.175.0/24" hin

Schnick · Beitrag von **Schnick** » Do 04.11.2010, 19:12

Leider liegt es nicht an einem Tippfehler.

Im NCP Client habe ich als Remote Netz "192.168.75.0/24" eingetragen. Stimmt

Das ist das VPN Netz, auf der Firewall. Das lokale Netz hinter der Firewall ist das
192.168.175.0

Wenn ich das korrekt verstehe, dann passt das so. So ist es auch in den diversen HowTos beschrieben. Leider kein Erfolg. ;-)

Vielleicht gibt es noch andere Ansätze? Die Phase 1 passt ja. Da kann doch nicht mehr so viel falsch sein.

Beitrag von **Erik** » Do 04.11.2010, 22:10

Schnick hat geschrieben: [...]
Im NCP Client habe ich als Remote Netz "192.168.75.0/24" eingetragen. Stimmt
[...]

das ist falsch. Da muss "192.168.175.0/24" hin. Das Howto, in dem das falsch beschrieben ist, finde ich gerade nicht. Haben sie evtl einen Link?