IPSec Verbindungsaufbau klappt nicht :(

Moderator: Securepoint

Gesperrt
randyh
Beiträge: 17
Registriert: Do 06.10.2011, 08:36

IPSec Verbindungsaufbau klappt nicht :(

Beitrag von randyh »

Hi,


kann mir evtl. jemand einen Tipp geben zu meiner Konfiguration?!

LAN IP - Firewall - 192.168.100.100
LAN Bereich - 192.168.100.0
Lokale Ziel Adresse (darauf muss zugegriffen werden): 192.168.100.10
Öffentliche IP 217.6.123.123
Partner IP 159.123.123.123
Remote / Partner Netz - 172.22.22.0


Ich habe es mit dem Site-Site Howto erstellt
Optionen:

Phase1
Lokales Gateway - Standardroute
Route over: -
Local Gateway ID: 217.6.123.123
Remote Host/Gateway: 159.123.123.123
DynDNS Name: -
Remote Host/Gateway ID: 159.123.123.123
Authentifizierung: Preshared Key
Lokaler Schlüssel: 123test123
Initiiere Verbindung: +
Kein Re-Keying: -

IKE V2
Verschlüsselung: 3DES
Authentifizierung: sha1
Strict: -
DH Gruppe: 1024
IKE Life: 1 Stunde
Schlüsselversuche: 3 mal

PFS: +
Key Life: 8 Stunden
Firewall Regeln automatisch erstellen: +

Native IPSec
Lokales Netz: 192.168.100.10
Maske: 32
Remote Netz: 172.22.22.0
Remote Maske: 26


Der Fehler:

Code: Alles auswählen

<84>Jul 20 13:58:37 ipsec_starter[22754]: can't reload config file due to errors -- keeping old one
<84>Jul 20 13:58:37 ipsec_starter[22754]: ### 1 parsing error (0 fatal) ###
<84>Jul 20 13:58:37 ipsec_starter[22754]:   bad argument value in conn 'firewall.firma.int__GT__iit_5'
<84>Jul 20 13:58:37 ipsec_starter[22754]: # bad subnet: rightsubnet=/32 [illegal (non-DNS-name) character in name]
<84>Jul 20 13:57:25 pluto[22755]: packet from 159.123.123.123:500: ignoring informational payload, type INVALID_MAJOR_VERSION
Hat evtl. jemand einen Tipp für mich? Oder habe ich irgendwo den Wurm drin?!

besten dank für jeden Tipp! :D

viele Grüße

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Zum einen haben Sie in der Verbindung mit den Namen "iit" einen ungültigen Eintrag in Phase 2 (Subnetze) und zum anderen haben Sie einen IKEv2-Tunnel konfiguriert, während die Gegenstelle gerne IKEv1 verwenden möchte.
Zuletzt geändert von Erik am Fr 20.07.2012, 14:50, insgesamt 1-mal geändert.

randyh
Beiträge: 17
Registriert: Do 06.10.2011, 08:36

Beitrag von randyh »

super danke für die Info - es hat wirklich die Gegenstelle einfach überlesen, dass IKEv2 Verwendet werden soll...

Die Verbindung steht jetzt! schon mal vielen dank!

Aber ein Problem gibt es noch. Sobald die Verbindung steht - erfolgt kein Maileingang mehr. Das verwirrt mich jetzt schon :)

Im Livelog finde ich jetzt kein Probleme mit einer FW Regel oder so.

192.168.250.2 -> IP Kreis VPN Einwahl für meine aktive PPTP Verbindung

Logs:

Code: Alles auswählen

<84>Jul 21 10:01:24 ipsec_starter[27168]: ipsec starter stopped
<84>Jul 21 10:01:24 ipsec_starter[27168]: charon stopped after 200 ms
<30>Jul 21 10:01:24 charon: 00[DMN] signal of type SIGINT received. Shutting down
<84>Jul 21 10:01:24 ipsec_starter[27168]: pluto stopped after 20 ms
<86>Jul 21 10:01:24 pluto[27169]: received netlink error: Address family not supported by protocol (97)
<84>Jul 21 10:01:24 pluto[27169]: shutting down interface ppp0/ppp0 192.168.250.2
<84>Jul 21 10:01:24 pluto[27169]: shutting down interface ppp0/ppp0 192.168.250.2
<84>Jul 21 10:01:24 pluto[27169]: shutting down interface eth1/eth1 192.168.100.100
<84>Jul 21 10:01:24 pluto[27169]: shutting down interface eth1/eth1 192.168.100.100
<84>Jul 21 10:01:24 pluto[27169]: shutting down interface eth0/eth0 217.123.123.123
<84>Jul 21 10:01:24 pluto[27169]: shutting down interface eth0/eth0 217.123.123.123
<84>Jul 21 10:01:24 pluto[27169]: shutting down interface lo/lo 127.0.0.1
<84>Jul 21 10:01:24 pluto[27169]: shutting down interface lo/lo 127.0.0.1
<84>Jul 21 10:01:24 pluto[27169]: "server.firma.int__GT__Infor-IKEv1_8" #1: deleting state (STATE_MAIN_I4)
<133>Jul 21 10:01:24 vpn: - 159.123.123.123 172.22.22.0/26 == 159.123.123.123 -- 217.123.123.123 == 192.168.100.10/32
<84>Jul 21 10:01:24 pluto[27169]: "server.firma.int__GT__Infor-IKEv1_8" #2: deleting state (STATE_QUICK_I2)
<84>Jul 21 10:01:24 pluto[27169]: "server.firma.int__GT__Infor-IKEv1_8": deleting connection
<84>Jul 21 10:01:24 pluto[27169]: forgetting secrets
<84>Jul 21 10:01:24 pluto[27169]: shutting down

Code: Alles auswählen

<22>Jul 21 10:02:27 sm-mta[29935]: q6L82Pgj029902: to=<Vorname.Nachname@Firma.de>, delay=00:00:00, xdelay=00:00:00, mailer=esmtp, pri=133667, relay=[IP-Exchange] [IP-Exchange], dsn=2.0.0, stat=Sent (<FDA6E507-5D88-48B4-9CD6-9220AA1DB44E@privat.de> Queued mail for delivery)
<22>Jul 21 10:02:27 sm-mta[29935]: STARTTLS=client, relay=[IP-Exchange], version=TLSv1/SSLv3, verify=FAIL, cipher=RC4-MD5, bits=128/128
<22>Jul 21 10:02:27 sm-mta[29902]: q6L82Pgj029902: from=<randyh@privat.de>, size=13667, class=0, nrcpts=1, msgid=<FDA6E507-5D88-48B4-9CD6-9220AA1DB44E@privat.de>, proto=ESMTP, daemon=IPv4, relay=mx94.provider.net [194.88.123.231]
<4>

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Das Log bzgl der Mail sagt aus "Ich habe eine Mail von mx94.provider.net bekommen und habe sie erfolgreich (2.0.0) an [IP-Exchange] zugestellt". Wenn dann besteht also ein Problem beim Abruf der Mail vom Exchange, aber die Zustellung selber ist (aus Sicht der Firewall) in Ordnung.

Von PPTP steht im ersten Log-Abschnitt auch nichts. Da geht es nur um IPSec: Irgendwas führt dazu, dass der IPSec-Dienst sich beendet.
Ist eine VPN-Verbindung fälschlicherweise an ppp0 gebunden?
In welchem Subnetz ist der SSL-VPN-Dienst konfiguriert? Auch 192.168.250.0/24? Wenn ja sollten Sie das ändern.

randyh
Beiträge: 17
Registriert: Do 06.10.2011, 08:36

Beitrag von randyh »

hm - ich checke gleich nochmals das log. nicht, dass ich ein falsches Stück kopiert habe :)

SSL-VPN ist nicht konfiguriert. Bisher läuft (problemlos) pptp für die Roadworrior - und jetzt muss eine ipsec verbindung hinzugefügt werden.
Aktuell ist es dann leider so -> mailempfang funktioniert -> starte ich den ipsec dienst wird die verbindung erfolgreich aufgebaut, aber der mailempfang ist tot :(

Beende ich den Dienst laufen alle Emails sofort wieder rein.

192.168.250.0/24 ist der IP Kreis, den ich für die Roadworrior von pptp konfiguriert habe.

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Wie definieren Sie denn "der Mailempfang ist tot"? Gibt es Fehlermeldungen im Log (und diesmal wirklich FEHLERmeldungen - Das oben ist ne Allesokmeldung)? Kommt auf Ihrem Server nichts mehr an?

Dass 192.168.250.0/24 ihr PPTP-Netz ist, konnte ich aus dem Log oben auch erkennen. Die Frage ist, ob tun0 auch in diesem Subnetz ist. Standardmäßig ist es das nämlich.

Stellen Sie doch am besten mal das komplette Log irgendwo zur Verfügung (Pastebin/EMail [support@securepoint.de]). Idealerweise mit einem Start des IPSec-Dienstes, dem kompletten Verbindungsaufbau einer PPTP-Verbindung und deren Trennung bzw Beendigung des IPSec-Dienstes.
Zuletzt geändert von Erik am So 22.07.2012, 16:31, insgesamt 1-mal geändert.

Gesperrt