IPSec funktioniert, aber...

Moderator: Securepoint

Gesperrt
Norbert
Beiträge: 30
Registriert: Mo 28.11.2011, 12:11
Wohnort: Fürstenfeldbruck
Kontaktdaten:

IPSec funktioniert, aber...

Beitrag von Norbert »

Hallo zusammen,

ich habe jetzt endlich eine IPSec verbindung vom Windows 7 Client zur UTM V10 hin bekommen. Ich hatte es vorher immer mit einem Windows 8 Client versucht, es hatte nie funktioniert.

Wie gesagt, der Tunnel steht, aber ich bekomme keine Verbindung zum dahinter stehenden Server.

Von der Konfig her sieht es wie folgt aus:

IP UTM Netz Intern: 192.168.200.0
IP IPSec Client: 192.168.199.1

Übertragen wird der DNS mit der IP 192.168.200.10, der ist in der UTM eingetragen, ich kann ihn aber nicht über einen Ping nicht erreichen.

Die Route ist auf der UTM eingetragen, der Client sieht mit verbundener IPSec so aus:

IPv4-Routentabelle
===========================================================================
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 - 0.0.0.0 - 192.168.201.254 - 192.168.201.108 - 25
24.134.220.109 - 255.255.255.255 - 192.168.201.254 - 192.168.201.108 - 26
127.0.0.0 - 255.0.0.0 - Auf Verbindung - 127.0.0.1 - 306
127.0.0.1 - 255.255.255.255 - Auf Verbindung - 127.0.0.1 - 306
127.255.255.255 - 255.255.255.255 - Auf Verbindung - 127.0.0.1 - 306
192.168.199.0 - 255.255.255.0 - Auf Verbindung - 192.168.199.1 26
192.168.199.1 - 255.255.255.255 - Auf Verbindung - 192.168.199.1 - 281
192.168.199.255 - 255.255.255.255 - Auf Verbindung - 192.168.199.1 - 281
192.168.201.0 - 255.255.255.0 - Auf Verbindung - 192.168.201.108 - 281
192.168.201.108 - 255.255.255.255 - Auf Verbindung - 192.168.201.108 - 281
192.168.201.255 - 255.255.255.255 - Auf Verbindung - 192.168.201.108 - 281
224.0.0.0 - 240.0.0.0 - Auf Verbindung - 127.0.0.1 - 306
224.0.0.0 - 240.0.0.0 - Auf Verbindung - 192.168.201.108 - 281
224.0.0.0 - 240.0.0.0 - Auf Verbindung - 192.168.199.1 - 281
255.255.255.255 - 255.255.255.255 - Auf Verbindung - 127.0.0.1 - 306
255.255.255.255 - 255.255.255.255 - Auf Verbindung - 192.168.201.108 - 281
255.255.255.255 - 255.255.255.255 - Auf Verbindung - 192.168.199.1 - 281
===========================================================================
Ständige Routen:
Keine

Die 192.168.201.108 ist die lokale IP des WLan-Adapters über den ich ins Internet gehe.

Kann mir jemand sagen was da los ist? :roll:

dirkg
Securepoint
Beiträge: 26
Registriert: Mo 18.06.2012, 10:12

Beitrag von dirkg »

Hallo Norbert,

nach meiner Ansicht fehlt die Route zum 192.168.200.0 Netzwerk.
Ist bei Windows 7 der haken bei "Standardgateway für das Remotenetzwerk verwenden" gesetzt?
(Netzwerkadapter -> Eigenschaften -> Tab Netzwerk -> Eigenschaften von TCP/IPv4 -> Erweitert)
Dann sollte er die entsprechende Route eigentlich automatisch setzen.

Ansonsten die Route mal manuell hinzufügen (route add 192.168.200.0 255.255.255.0 192.168.199.1)

Norbert
Beiträge: 30
Registriert: Mo 28.11.2011, 12:11
Wohnort: Fürstenfeldbruck
Kontaktdaten:

Beitrag von Norbert »

hm, danke schon mal, der Haken war tatsächlich nicht gesetzt. Es funktioniert aber leider immer noch nicht.

Habe auch mal einen 2. Windows 7 Rechner genommen, genau das Gleiche. Der Tunnel wird aufgebaut, aber eine Vebindung durch den Tunnel zum Server kommt nicht zu Stande.

Auch die Route manuell setzen hat nicht geholfen.... :roll:
Zuletzt geändert von Norbert am Fr 14.12.2012, 16:32, insgesamt 1-mal geändert.

dirkg
Securepoint
Beiträge: 26
Registriert: Mo 18.06.2012, 10:12

Beitrag von dirkg »

OK, für weitergehende Analysen machen Sie bitte ein Ticket im Support auf.

Norbert
Beiträge: 30
Registriert: Mo 28.11.2011, 12:11
Wohnort: Fürstenfeldbruck
Kontaktdaten:

Beitrag von Norbert »

Bevor ich jetzt hier vollkommen verzweifel....

Ich habe die Konfiguration jetzt auf 5 verschiedenen UTM getestet, als Clients habe ich 4 verschiedene Rechner, wobei einer ein Windows 8 ist. Mit dem kommt der IPSec-Tunnel erst gar nicht zu Stande, mit den Win7 schon. Aber ich kann immer noch nicht die Server, die dahinter stehen per Ping erreichen. Auch andere Netztwerkkomonenten, wie z.B. Drucker oder Switche sind nicht erreichbar, ich schließe also eine Windows Firewall aus. Nur bei einem funktioniert es, und zwar von allen 3 Rechnern aus.

Pakete kommen bei der UTM an, sie werden wohl auch vom Server beantwortet, kommen aber nicht mehr beim Client an. Die Frage ist warum?

Ein nslookup durch den Tunnel liefert folgendes ergebnis:

C:\\Windows\\system32>nslookup
DNS request timed out.
timeout was 2 seconds.
Standardserver: UnKnown
Address: 192.168.200.10

Wobei der DNS auf der UTM korrekt eingetragen ist.

Was mir aufgefallen ist, wenn ich mich mit der UTM verbinde wo der Zugriff passt, ist nach aufbau des Tunnes beim IPSec-Server funkstille, keine Einträge im LiveLog. Wenn ich mich mit einer der anderen (die nicht funktionieren) verbinde, habe ich jede Menge einträge im LiveLog:

08[KNL] NAT mappings of ESP CHILD_SA with SPI c1b504af and reqip {19} changed, queuing update job

Ich gehe mal davon aus das mein Problem wohl hier liegt, aber warum und was kann ich dagegen tun?

Durch den Tunnel ins Internet komme ich auf keiner der Maschinen, auch nicht auf der einen die sonst funktioniert. Hier bekomme ich die Meldung:

firewall drop (default) IN=ppp0 OUT=MAC=SRC=192.168.106.199.1 DST=192.168.106.254 LEN=78 TOS=0x00 TTL=128 ID=23 PROTO=UDP SPT=137 DPT=137 LEN=58 MARK=0x1

usw....

Hilfe....

Gesperrt