Nachdem die Securepoint und Win7 L2TP wohl nicht zu schaffen scheint, werde ich das Projekt umstellen und auf IPSEC Roadwarrior setzen.
Leider sind die HowTos hier alle für die 2007er Version der Securepoint.
Gibt es ein HowTo, dass das Vorgehen Roadwarrior mit PSK an eine Securepoint 10
beschreibt?
Hat solch ein (einfaches) Szenario schon jemand am laufen und kann mich unterstützen?
Gruesse
Kai Weible
Roadwarrior mit PSK
Moderator: Securepoint
So, nun habe ich das mit Win7 IPSEC und dem NCP Client eingrichtet. Der Verbindungsaufbau geht mit der Phase 1 wunderbar.
In Phase 2 habe ich wieder das problem der Connection:
IPSEC Server pluto[14365]: "firewall.webdata.de__GT__Test_16"[12] 79.236.75.51:4500 #6: cannot respond to IPsec SA request because no connection is known for 192.168.75.0/24===217.91.15.235:4500...79.236.75.51:4500[xyz@test.de]===192.168.75.1/32
Weiss jemand Rat?
In Phase 2 habe ich wieder das problem der Connection:
IPSEC Server pluto[14365]: "firewall.webdata.de__GT__Test_16"[12] 79.236.75.51:4500 #6: cannot respond to IPsec SA request because no connection is known for 192.168.75.0/24===217.91.15.235:4500...79.236.75.51:4500[xyz@test.de]===192.168.75.1/32
Weiss jemand Rat?
Da übermittelt ihr Client als P1-ID "xyz@test.de". Stellen Sie dort einmal "ASN-1-DER" ein. Unter Umständen kopieren Sie dann noch die DN des Zertifikats hin ( der Teil mit: "/C=Deutschland..../CN=Zertifikatsname")
Ich nutze bei dem test die xyz@test.de als FQUsername. Da ich einen PSK verwende, habe ich kein Zertifikat.
Ich wollte die Verbindung zuerst mit PSK einrichten und dann ggf. auf Zertifikate umstellen.
Oder ist es besser, gleich mit Zertifikaten zu arbeiten?
Die Phase 1 wird auch aufgebaut. So wie ich das verstehe stimmen die IP-Netze nicht, wobei ich da nicht ganz schlau werde,...
Ich wollte die Verbindung zuerst mit PSK einrichten und dann ggf. auf Zertifikate umstellen.
Oder ist es besser, gleich mit Zertifikaten zu arbeiten?
Die Phase 1 wird auch aufgebaut. So wie ich das verstehe stimmen die IP-Netze nicht, wobei ich da nicht ganz schlau werde,...
Ich vermute im Client haben Sie als Roadwarrior-IP die 192.168.75.1 angegeben und als Zielnetz die 192.168.75.0/24.192.168.75.0/24===217.91.15.235:4500...79.236.75.51:4500[xyz@test.de]===192.168.75.1/32
Client und Ziel dürfen bei IPsec NIE im gleichen Subnetz liegen!
There are 10 types of people in the world... those who understand binary and those who don\'t.
Hallo,
ich habe hier mal die Netze aufgelistet, denke so ist es einfacher:
Roadwarrior (DynIPAdresse DSL / Lokal 192.168.10.2)
Roadwarrior IP vom VPN zugewiesen: 192.168.75.1
VPN Netz auf der Firewall: 192.168.75.0/24
Internes Netz: 192.168.175.0/24
Verstehe ich das nun richtig, dass die IP-Adresse die ich im NCP-Client als Roadwarrior IP angeben, nicht aus dem 75er Netz sein darf?
ich habe hier mal die Netze aufgelistet, denke so ist es einfacher:
Roadwarrior (DynIPAdresse DSL / Lokal 192.168.10.2)
Roadwarrior IP vom VPN zugewiesen: 192.168.75.1
VPN Netz auf der Firewall: 192.168.75.0/24
Internes Netz: 192.168.175.0/24
Verstehe ich das nun richtig, dass die IP-Adresse die ich im NCP-Client als Roadwarrior IP angeben, nicht aus dem 75er Netz sein darf?
Leider liegt es nicht an einem Tippfehler.
Im NCP Client habe ich als Remote Netz "192.168.75.0/24" eingetragen. Stimmt
Das ist das VPN Netz, auf der Firewall. Das lokale Netz hinter der Firewall ist das
192.168.175.0
Wenn ich das korrekt verstehe, dann passt das so. So ist es auch in den diversen HowTos beschrieben. Leider kein Erfolg. ;-)
Vielleicht gibt es noch andere Ansätze? Die Phase 1 passt ja. Da kann doch nicht mehr so viel falsch sein.
Im NCP Client habe ich als Remote Netz "192.168.75.0/24" eingetragen. Stimmt
Das ist das VPN Netz, auf der Firewall. Das lokale Netz hinter der Firewall ist das
192.168.175.0
Wenn ich das korrekt verstehe, dann passt das so. So ist es auch in den diversen HowTos beschrieben. Leider kein Erfolg. ;-)
Vielleicht gibt es noch andere Ansätze? Die Phase 1 passt ja. Da kann doch nicht mehr so viel falsch sein.
das ist falsch. Da muss "192.168.175.0/24" hin. Das Howto, in dem das falsch beschrieben ist, finde ich gerade nicht. Haben sie evtl einen Link?Schnick hat geschrieben: [...]
Im NCP Client habe ich als Remote Netz "192.168.75.0/24" eingetragen. Stimmt
[...]