L2TP/IPSec: Cannot respont to IPsec SA request because no connection is know

Moderator: Securepoint

Gesperrt
blade28213
Beiträge: 5
Registriert: Fr 04.01.2013, 09:34

L2TP/IPSec: Cannot respont to IPsec SA request because no connection is know

Beitrag von blade28213 »

Guten Tag,

leider komme ich seit Stunden nicht über die Fehlermeldung "Cannot respont to IPsec SA request because no connection is known" hinaus, auch wenn diese in versch. Foren bereits zig mal behandelt wurde.

Wir haben folgende Situation: Die Securepoint Black Dwarf wurde nachträglich (d.h. hinter einen Router [Sonicwall]) in unser Firmennetz eingebaut und soll einzig und allein die Aufgabe übernehmen Roadwarrior mit dem Firmen- LAN zu verbinden.

- Ich habe nur den eth1 Anschluss der Securepoint verbunden und dieser die IP 192.168.0.200/24 gegeben, sie ist auch problemlos ansprechbar.
- Auf unseren Router habe ich dafür gesorgt, dass alle Ports die für L2TP/IPsec benötigt werden, an die 192.168.0.200 weitergeleitet werden (auch das konnte ich als funktionierend testen)
- Auf der Securepoint Black Dwarf habe ich die Zonen/ Netzwerkobjekte/ Portfilter so umgestellt, dass es in dem Sinne keine Aufteilung mehr nach internal/ external gibt, soweit ich das im LiveLog verfolgen kann, macht auch das keine Probleme

Der Aufbau nochmal:
Roadwarrior (öffentliche IP: X.X.X.X, interne IP: 192.168.2.61) Internet Sonicwall (öffentliche IP: Y.Y.Y.Y, interne IP: 192.186.0.10) Securepoint Black Dwarf (interne IP: 192.168.0.200)



Ich habe gemäß den Anleitungen im Securepoint Wiki die Zertifikate erstellt, IPsec und L2TP eingerichtet und den Roadwarrior eingerichtet, keine Probleme dabei.
Wenn ich jetzt jedoch auf dem Roadwarrior die Verbindung herstelle, bekomme ich nur folgende Fehlermeldung:
Fehler 789: Der L2TP- Verbindungsversuch ist fehlgeschlagen, da ein Verarbeitungsfehler während der ersten Sicherheitsaushandlung auf dem Remotcomputer aufgetreten ist.
Der Livelog der Securepoint gibt folgendes aus:
Jan 5 15:29:44 pluto[2296]: "blackdwarf.musterfirma.de__GT__L2TP_Server_2_0"[5] x.x.x.x:4500: deleting connection "blackdwarf.musterfirma.de__GT__L2TP_Server_2_0" instance with peer x.x.x.x {isakmp=#0/ipsec=#0}
Jan 5 15:29:44 pluto[2296]: "blackdwarf.musterfirma.de__GT__L2TP_Server_2_0"[5] x.x.x.x:4500 #3: received Delete SA payload: deleting ISAKMP State #3
Jan 5 15:29:34 kernel: DROP(default) IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:11:e5:01:70:e1:08:00 SRC=192.168.0.22 DST=192.168.0.255 LEN=43 TOS=0x00 PREC=0x00 TTL=64 ID=11223 PROTO=UDP SPT=30203 DPT=30202 LEN=23
Jan 5 15:29:30 pluto[2296]: "blackdwarf.musterfirma.de__GT__L2TP_Server_2_0"[5] x.x.x.x:4500 #3: sending encrypted notification INVALID_MESSAGE_ID to x.x.x.x:4500
Jan 5 15:29:30 pluto[2296]: "blackdwarf.musterfirma.de__GT__L2TP_Server_2_0"[5] x.x.x.x:4500 #3: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x01000000 (perhaps this is a duplicated packet)
Jan 5 15:29:14 pluto[2296]: "blackdwarf.musterfirma.de__GT__L2TP_Server_2_0"[5] x.x.x.x:4500 #3: sending encrypted notification INVALID_MESSAGE_ID to x.x.x.x:4500
Jan 5 15:29:14 pluto[2296]: "blackdwarf.musterfirma.de__GT__L2TP_Server_2_0"[5] x.x.x.x:4500 #3: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x01000000 (perhaps this is a duplicated packet)
Jan 5 15:29:14 kernel: DROP(default) IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:11:e5:01:70:e1:08:00 SRC=192.168.0.22 DST=255.255.255.255 LEN=201 TOS=0x10 PREC=0x00 TTL=16 ID=0 PROTO=UDP SPT=7303 DPT=7303 LEN=181
Jan 5 15:28:58 pluto[2296]: "blackdwarf.musterfirma.de__GT__L2TP_Server_2_0"[5] x.x.x.x:4500 #3: sending encrypted notification INVALID_MESSAGE_ID to x.x.x.x:4500
Jan 5 15:28:58 pluto[2296]: "blackdwarf.musterfirma.de__GT__L2TP_Server_2_0"[5] x.x.x.x:4500 #3: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x01000000 (perhaps this is a duplicated packet)
Jan 5 15:28:55 kernel: DROP(default) IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:11:e5:01:70:e1:08:00 SRC=192.168.0.22 DST=255.255.255.255 LEN=201 TOS=0x10 PREC=0x00 TTL=16 ID=0 PROTO=UDP SPT=7303 DPT=7303 LEN=181
Jan 5 15:28:50 pluto[2296]: "blackdwarf.musterfirma.de__GT__L2TP_Server_2_0"[5] x.x.x.x:4500 #3: sending encrypted notification INVALID_MESSAGE_ID to x.x.x.x:4500
Jan 5 15:28:50 pluto[2296]: "blackdwarf.musterfirma.de__GT__L2TP_Server_2_0"[5] x.x.x.x:4500 #3: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x01000000 (perhaps this is a duplicated packet)
Jan 5 15:28:46 pluto[2296]: "blackdwarf.musterfirma.de__GT__L2TP_Server_2_0"[5] x.x.x.x:4500 #3: sending encrypted notification INVALID_MESSAGE_ID to x.x.x.x:4500
Jan 5 15:28:46 pluto[2296]: "blackdwarf.musterfirma.de__GT__L2TP_Server_2_0"[5] x.x.x.x:4500 #3: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x01000000 (perhaps this is a duplicated packet)
Jan 5 15:28:44 pluto[2296]: "blackdwarf.musterfirma.de__GT__L2TP_Server_2_0"[5] x.x.x.x:4500 #3: sending encrypted notification INVALID_MESSAGE_ID to x.x.x.x:4500
Jan 5 15:28:44 pluto[2296]: "blackdwarf.musterfirma.de__GT__L2TP_Server_2_0"[5] x.x.x.x:4500 #3: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x01000000 (perhaps this is a duplicated packet)
Jan 5 15:28:43 pluto[2296]: "blackdwarf.musterfirma.de__GT__L2TP_Server_2_0"[5] x.x.x.x:4500 #3: sending encrypted notification INVALID_ID_INFORMATION to x.x.x.x:4500
Jan 5 15:28:43 pluto[2296]: "blackdwarf.musterfirma.de__GT__L2TP_Server_2_0"[5] x.x.x.x:4500 #3: cannot respond to IPsec SA request because no connection is known for y.y.y.y/32===192.168.0.200:4500[C=DE, ST=NRW, L=Ibbenbueren, O=Musterfirma GmbH & Co.KG, OU=Service, CN=L2TP_Server, E=Support@musterfirma.de]:17/1701...x.x.x.x:4500[C=DE, ST=NRW, L=Ibbenbueren, O=Musterfirma GmbH & Co.KG, OU=Service, CN=L2TP_NicoPCHome, E=Support@musterfirma.de]:17/%any==={192.168.2.61/32}
Jan 5 15:28:42 pluto[2296]: "blackdwarf.musterfirma.de__GT__L2TP_Server_2_0"[5] x.x.x.x:4500 #3: sent MR3, ISAKMP SA established
Jan 5 15:28:42 pluto[2296]: | NAT-T: new mapping x.x.x.x:500/4500)
Jan 5 15:28:42 pluto[2296]: "blackdwarf.musterfirma.de__GT__L2TP_Server_2_0"[5] x.x.x.x #3: we have a cert and are sending it upon request
Jan 5 15:28:42 pluto[2296]: "blackdwarf.musterfirma.de__GT__L2TP_Server_2_0"[5] x.x.x.x #3: deleting connection "blackdwarf.musterfirma.de__GT__L2TP_Server_2_0" instance with peer x.x.x.x {isakmp=#0/ipsec=#0}
Jan 5 15:28:42 pluto[2296]: "blackdwarf.musterfirma.de__GT__L2TP_Server_2_0"[4] x.x.x.x #3: Peer ID is ID_DER_ASN1_DN: 'C=DE, ST=NRW, L=Ibbenbueren, O=Musterfirma GmbH & Co.KG, OU=Service, CN=L2TP_NicoPCHome, E=Support@musterfirma.de'
Jan 5 15:28:42 pluto[2296]: "blackdwarf.musterfirma.de__GT__L2TP_Server_2_0"[4] x.x.x.x #3: discarding duplicate packet; already STATE_MAIN_R2
Jan 5 15:28:39 pluto[2296]: "blackdwarf.musterfirma.de__GT__L2TP_Server_2_0"[4] x.x.x.x #3: NAT-Traversal: Result using RFC 3947: both are NATed
Jan 5 15:28:39 pluto[2296]: "blackdwarf.musterfirma.de__GT__L2TP_Server_2_0"[4] x.x.x.x #3: ECP_256 is not supported. Attribute OAKLEY_GROUP_DESCRIPTION
Jan 5 15:28:39 pluto[2296]: "blackdwarf.musterfirma.de__GT__L2TP_Server_2_0"[4] x.x.x.x #3: ECP_384 is not supported. Attribute OAKLEY_GROUP_DESCRIPTION
Jan 5 15:28:39 pluto[2296]: "blackdwarf.musterfirma.de__GT__L2TP_Server_2_0"[4] x.x.x.x #3: responding to Main Mode from unknown peer x.x.x.x
Jan 5 15:28:39 pluto[2296]: packet from x.x.x.x:500: ignoring Vendor ID payload [IKE CGA version 1]
Jan 5 15:28:39 pluto[2296]: packet from x.x.x.x:500: ignoring Vendor ID payload [Vid-Initial-Contact]
Jan 5 15:28:39 pluto[2296]: packet from x.x.x.x:500: ignoring Vendor ID payload [MS-Negotiation Discovery Capable]
Jan 5 15:28:39 pluto[2296]: packet from x.x.x.x:500: ignoring Vendor ID payload [FRAGMENTATION]
Jan 5 15:28:39 pluto[2296]: packet from x.x.x.x:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
Jan 5 15:28:39 pluto[2296]: packet from x.x.x.x:500: received Vendor ID payload [RFC 3947]
Jan 5 15:28:39 pluto[2296]: packet from x.x.x.x:500: received Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000008]
Jan 5 15:28:35 pluto[2296]: "blackdwarf.musterfirma.de__GT__L2TP_Server_2_0"[3] x.x.x.x:4500: deleting connection "blackdwarf.musterfirma.de__GT__L2TP_Server_2_0" instance with peer x.x.x.x {isakmp=#0/ipsec=#0}
Jan 5 15:28:35 pluto[2296]: "blackdwarf.musterfirma.de__GT__L2TP_Server_2_0"[3] x.x.x.x:4500 #2: received Delete SA payload: deleting ISAKMP State #2
Jan 5 15:28:34 kernel: DROP(default) IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:11:e5:01:70:e1:08:00 SRC=192.168.0.22 DST=192.168.0.255 LEN=43 TOS=0x00 PREC=0x00 TTL=64 ID=11195 PROTO=UDP SPT=30203 DPT=30202 LEN=23
Jan 5 15:28:21 pluto[2296]: "blackdwarf.musterfirma.de__GT__L2TP_Server_2_0"[3] x.x.x.x:4500 #2: sending encrypted notification INVALID_MESSAGE_ID to x.x.x.x:4500
Jan 5 15:28:21 pluto[2296]: "blackdwarf.musterfirma.de__GT__L2TP_Server_2_0"[3] x.x.x.x:4500 #2: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x01000000 (perhaps this is a duplicated packet)
Jan 5 15:28:14 kernel: DROP(default) IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:11:e5:01:70:e1:08:00 SRC=192.168.0.22 DST=255.255.255.255 LEN=201 TOS=0x10 PREC=0x00 TTL=16 ID=0 PROTO=UDP SPT=7303 DPT=7303 LEN=181
Jan 5 15:28:13 pluto[2296]: "blackdwarf.musterfirma.de__GT__L2TP_Server_2_0"[3] x.x.x.x:4500 #2: sending encrypted notification INVALID_MESSAGE_ID to x.x.x.x:4500
Jan 5 15:28:13 pluto[2296]: "blackdwarf.musterfirma.de__GT__L2TP_Server_2_0"[3] x.x.x.x:4500 #2: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x01000000 (perhaps this is a duplicated packet)
Jan 5 15:28:09 pluto[2296]: "blackdwarf.musterfirma.de__GT__L2TP_Server_2_0"[3] x.x.x.x:4500 #2: sending encrypted notification INVALID_MESSAGE_ID to x.x.x.x:4500
Jan 5 15:28:09 pluto[2296]: "blackdwarf.musterfirma.de__GT__L2TP_Server_2_0"[3] x.x.x.x:4500 #2: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x01000000 (perhaps this is a duplicated packet)
Jan 5 15:28:07 pluto[2296]: "blackdwarf.musterfirma.de__GT__L2TP_Server_2_0"[3] x.x.x.x:4500 #2: sending encrypted notification INVALID_MESSAGE_ID to x.x.x.x:4500
Jan 5 15:28:07 pluto[2296]: "blackdwarf.musterfirma.de__GT__L2TP_Server_2_0"[3] x.x.x.x:4500 #2: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x01000000 (perhaps this is a duplicated packet)
Jan 5 15:28:05 pluto[2296]: "blackdwarf.musterfirma.de__GT__L2TP_Server_2_0"[3] x.x.x.x:4500 #2: sending encrypted notification INVALID_ID_INFORMATION to x.x.x.x:4500
Jan 5 15:28:05 pluto[2296]: "blackdwarf.musterfirma.de__GT__L2TP_Server_2_0"[3] x.x.x.x:4500 #2: cannot respond to IPsec SA request because no connection is known for y.y.y.y/32===192.168.0.200:4500[C=DE, ST=NRW, L=Ibbenbueren, O=Musterfirma GmbH & Co.KG, OU=Service, CN=L2TP_Server, E=Support@musterfirma.de]:17/1701...x.x.x.x:4500[C=DE, ST=NRW, L=Ibbenbueren, O=Musterfirma GmbH & Co.KG, OU=Service, CN=L2TP_NicoPCHome, E=Support@musterfirma.de]:17/%any==={192.168.2.61/32}
Jan 5 15:28:05 pluto[2296]: "blackdwarf.musterfirma.de__GT__L2TP_Server_2_0"[3] x.x.x.x:4500 #2: sent MR3, ISAKMP SA established
Jan 5 15:28:05 pluto[2296]: | NAT-T: new mapping x.x.x.x:500/4500)
Jan 5 15:28:05 pluto[2296]: "blackdwarf.musterfirma.de__GT__L2TP_Server_2_0"[3] x.x.x.x #2: we have a cert and are sending it upon request
Jan 5 15:28:05 pluto[2296]: "blackdwarf.musterfirma.de__GT__L2TP_Server_2_0"[3] x.x.x.x #2: deleting connection "blackdwarf.musterfirma.de__GT__L2TP_Server_2_0" instance with peer x.x.x.x {isakmp=#0/ipsec=#0}
Jan 5 15:28:05 pluto[2296]: "blackdwarf.musterfirma.de__GT__L2TP_Server_2_0"[2] x.x.x.x #2: Peer ID is ID_DER_ASN1_DN: 'C=DE, ST=NRW, L=Ibbenbueren, O=Musterfirma GmbH & Co.KG, OU=Service, CN=L2TP_NicoPCHome, E=Support@musterfirma.de'
Jan 5 15:28:05 pluto[2296]: "blackdwarf.musterfirma.de__GT__L2TP_Server_2_0"[2] x.x.x.x #2: discarding duplicate packet; already STATE_MAIN_R2
Jan 5 15:28:02 pluto[2296]: "blackdwarf.musterfirma.de__GT__L2TP_Server_2_0"[2] x.x.x.x #2: NAT-Traversal: Result using RFC 3947: both are NATed
Jan 5 15:28:02 pluto[2296]: "blackdwarf.musterfirma.de__GT__L2TP_Server_2_0"[2] x.x.x.x #2: ECP_256 is not supported. Attribute OAKLEY_GROUP_DESCRIPTION
Jan 5 15:28:02 pluto[2296]: "blackdwarf.musterfirma.de__GT__L2TP_Server_2_0"[2] x.x.x.x #2: ECP_384 is not supported. Attribute OAKLEY_GROUP_DESCRIPTION
Jan 5 15:28:02 pluto[2296]: "blackdwarf.musterfirma.de__GT__L2TP_Server_2_0"[2] x.x.x.x #2: responding to Main Mode from unknown peer x.x.x.x
Jan 5 15:28:02 pluto[2296]: packet from x.x.x.x:500: ignoring Vendor ID payload [IKE CGA version 1]
Jan 5 15:28:02 pluto[2296]: packet from x.x.x.x:500: ignoring Vendor ID payload [Vid-Initial-Contact]
Jan 5 15:28:02 pluto[2296]: packet from x.x.x.x:500: ignoring Vendor ID payload [MS-Negotiation Discovery Capable]
Jan 5 15:28:02 pluto[2296]: packet from x.x.x.x:500: ignoring Vendor ID payload [FRAGMENTATION]
Jan 5 15:28:02 pluto[2296]: packet from x.x.x.x:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
Jan 5 15:28:02 pluto[2296]: packet from x.x.x.x:500: received Vendor ID payload [RFC 3947]
Jan 5 15:28:02 pluto[2296]: packet from x.x.x.x:500: received Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000008]
Jan 5 15:27:54 kernel: DROP(default) IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:11:e5:01:70:e1:08:00 SRC=192.168.0.22 DST=255.255.255.255 LEN=201 TOS=0x10 PREC=0x00 TTL=16 ID=0 PROTO=UDP SPT=7303 DPT=7303 LEN=181
Jan 5 15:27:34 kernel: DROP(default) IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:11:e5:01:70:e1:08:00 SRC=192.168.0.22 DST=192.168.0.255 LEN=43 TOS=0x00 PREC=0x00 TTL=64 ID=11166 PROTO=UDP SPT=30203 DPT=30202 LEN=23
Jan 5 15:27:14 kernel: DROP(default) IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:11:e5:01:70:e1:08:00 SRC=192.168.0.22 DST=255.255.255.255 LEN=201 TOS=0x10 PREC=0x00 TTL=16 ID=0 PROTO=UDP SPT=7303 DPT=7303 LEN=181
Jan 5 15:26:54 kernel: DROP(default) IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:11:e5:01:70:e1:08:00 SRC=192.168.0.22 DST=255.255.255.255 LEN=201 TOS=0x10 PREC=0x00 TTL=16 ID=0 PROTO=UDP SPT=7303 DPT=7303 LEN=181
Jan 5 15:26:34 kernel: DROP(default) IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:11:e5:01:70:e1:08:00 SRC=192.168.0.22 DST=192.168.0.255 LEN=43 TOS=0x00 PREC=0x00 TTL=64 ID=11137 PROTO=UDP SPT=30203 DPT=30202 LEN=23
Jan 5 15:26:14 kernel: DROP(default) IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:11:e5:01:70:e1:08:00 SRC=192.168.0.22 DST=255.255.255.255 LEN=201 TOS=0x10 PREC=0x00 TTL=16 ID=0 PROTO=UDP SPT=7303 DPT=7303 LEN=181
Jan 5 15:25:54 kernel: DROP(default) IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:11:e5:01:70:e1:08:00 SRC=192.168.0.22 DST=255.255.255.255 LEN=201 TOS=0x10 PREC=0x00 TTL=16 ID=0 PROTO=UDP SPT=7303 DPT=7303 LEN=181
Jan 5 15:25:47 pluto[2296]: "blackdwarf.musterfirma.de__GT__L2TP_Server_2_0"[1] x.x.x.x: deleting connection "blackdwarf.musterfirma.de__GT__L2TP_Server_2_0" instance with peer x.x.x.x {isakmp=#0/ipsec=#0}
Jan 5 15:25:47 pluto[2296]: "blackdwarf.musterfirma.de__GT__L2TP_Server_2_0"[1] x.x.x.x #1: max number of retransmissions (2) reached STATE_MAIN_R2
Jan 5 15:25:40 kernel: DROP(default) IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:11:e5:01:70:e1:08:00 SRC=192.168.0.22 DST=192.168.0.255 LEN=43 TOS=0x00 PREC=0x00 TTL=64 ID=11112 PROTO=UDP SPT=30203 DPT=30202 LEN=23
Jan 5 15:25:39 kernel: DROP(default) IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:11:e5:01:70:e1:08:00 SRC=192.168.0.22 DST=255.255.255.255 LEN=201 TOS=0x10 PREC=0x00 TTL=16 ID=0 PROTO=UDP SPT=7303 DPT=7303 LEN=181
Jan 5 15:25:37 kernel: DROP(default) IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:11:e5:01:70:e1:08:00 SRC=192.168.0.22 DST=192.168.0.255 LEN=43 TOS=0x00 PREC=0x00 TTL=64 ID=11110 PROTO=UDP SPT=30203 DPT=30202 LEN=23
Jan 5 15:25:34 kernel: DROP(default) IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:11:e5:01:70:e1:08:00 SRC=192.168.0.22 DST=255.255.255.255 LEN=201 TOS=0x10 PREC=0x00 TTL=16 ID=0 PROTO=UDP SPT=7303 DPT=7303 LEN=181
Jan 5 15:25:34 kernel: DROP(default) IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:11:e5:01:70:e1:08:00 SRC=192.168.0.22 DST=192.168.0.255 LEN=43 TOS=0x00 PREC=0x00 TTL=64 ID=11109 PROTO=UDP SPT=30203 DPT=30202 LEN=23
Jan 5 15:25:31 server: idle: 95.85
Jan 5 15:25:31 server: traffic: tunl0: rx bytes: 0 tx bytes 0 collisions: 0 errors: 0
Jan 5 15:25:31 server: traffic: teql0: rx bytes: 0 tx bytes 0 collisions: 0 errors: 0
Jan 5 15:25:31 server: traffic: eth2: rx bytes: 0 tx bytes 0 collisions: 0 errors: 0
Jan 5 15:25:31 server: traffic: eth1: rx bytes: 228606 tx bytes 126351 collisions: 0 errors: 0
Jan 5 15:25:31 server: traffic: eth0: rx bytes: 0 tx bytes 0 collisions: 0 errors: 0
Jan 5 15:25:31 kernel: DROP(default) IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:11:e5:01:70:e1:08:00 SRC=192.168.0.22 DST=192.168.0.255 LEN=43 TOS=0x00 PREC=0x00 TTL=64 ID=11107 PROTO=UDP SPT=30203 DPT=30202 LEN=23
Jan 5 15:25:31 server: traffic: lo: rx bytes: 229 tx bytes 229 collisions: 0 errors: 0
Jan 5 15:25:20 ntpd[2265]: synchronized to 213.128.147.61, stratum 2
Jan 5 15:25:13 kernel: DROP(default) IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:11:e5:01:70:e1:08:00 SRC=192.168.0.22 DST=192.168.0.255 LEN=43 TOS=0x00 PREC=0x00 TTL=64 ID=11099 PROTO=UDP SPT=30203 DPT=30202 LEN=23
Jan 5 15:24:52 kernel: DROP(default) IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:11:e5:01:70:e1:08:00 SRC=192.168.0.22 DST=192.168.0.255 LEN=43 TOS=0x00 PREC=0x00 TTL=64 ID=11089 PROTO=UDP SPT=30203 DPT=30202 LEN=23
Jan 5 15:24:40 pluto[2296]: "blackdwarf.musterfirma.de__GT__L2TP_Server_2_0"[1] x.x.x.x #1: sending encrypted notification INVALID_KEY_INFORMATION to x.x.x.x:500
Jan 5 15:24:40 pluto[2296]: "blackdwarf.musterfirma.de__GT__L2TP_Server_2_0"[1] x.x.x.x #1: no public key known for 'C=DE, ST=NRW, L=Ibbenbueren, O=Musterfirma GmbH & Co.KG, OU=Service, CN=L2TP_NicoPCPrivat, E=support@musterfirma.de'
Jan 5 15:24:40 pluto[2296]: "blackdwarf.musterfirma.de__GT__L2TP_Server_2_0"[1] x.x.x.x #1: X.509 certificate rejected
Jan 5 15:24:40 pluto[2296]: "blackdwarf.musterfirma.de__GT__L2TP_Server_2_0"[1] x.x.x.x #1: issuer cacert not found
Jan 5 15:24:40 pluto[2296]: "blackdwarf.musterfirma.de__GT__L2TP_Server_2_0"[1] x.x.x.x #1: Peer ID is ID_DER_ASN1_DN: 'C=DE, ST=NRW, L=Ibbenbueren, O=Musterfirma GmbH & Co.KG, OU=Service, CN=L2TP_NicoPCPrivat, E=support@musterfirma.de'
Jan 5 15:24:38 pluto[2296]: "blackdwarf.musterfirma.de__GT__L2TP_Server_2_0"[1] x.x.x.x #1: sending encrypted notification INVALID_KEY_INFORMATION to x.x.x.x:500
Jan 5 15:24:38 pluto[2296]: "blackdwarf.musterfirma.de__GT__L2TP_Server_2_0"[1] x.x.x.x #1: no public key known for 'C=DE, ST=NRW, L=Ibbenbueren, O=Musterfirma GmbH & Co.KG, OU=Service, CN=L2TP_NicoPCPrivat, E=support@musterfirma.de'
Jan 5 15:24:38 pluto[2296]: "blackdwarf.musterfirma.de__GT__L2TP_Server_2_0"[1] x.x.x.x #1: X.509 certificate rejected

Und genau nun weiß ich nicht mehr weiter. Ich bin eigentlich der Meinung, dass die Phase 1 doch abgeschlossen ist ("sent MR3, ISAKMP SA established"), aber dann kommt die Meldung "cannot respond to IPsec SA request because no connection is known for ....".
Ich habe in den IPsec Verbindungen die Optionen schon hoch und runter gegangen, alle Werte versucht, alles ohne Erfolg. Im Internet bin ich immer wieder auf die openSwan Einstellungen "leftsubnet" und "rightsubnet" etc. gestoßen, die ich m.W.n. aber bei der Securepoint garnicht einstellen kann?

Wenn ihr irgendeine Idee für mich habt, wäre ich sehr dankbar, ich vermute derzeit, dass ich in den Einstellungen für Phase 1 irgendwie berücksichtigen muss, dass die Securepoint hinter unserem Internetrouter hängt und ich entweder die öffentliche IP (y.y.y.y) oder die interne IP des Routers (192.168.0.10) angeben muss.

Bild
Bild



Danke im Voraus und freundliche Grüße,
Nico

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

L2TP-Verbindungen können nicht über 2-fach geNATtete Verbindungen aufgebaut werden. Sollten Sie nicht die Möglichkeit haben, die Firewall mit einer öffentlichen IP zu betreiben, empfehle ich Ihnen die Verwendung von SSL-VPN

blade28213
Beiträge: 5
Registriert: Fr 04.01.2013, 09:34

Beitrag von blade28213 »

Hallo Erik,

danke für deine Antwort.
Im ersten Post habe ich vergessen zu erwähnen, dass das ganze schonmal funktioniert hat (L2TP/IPsec mit Zertifikaten), so komisch sich das anhört (und leider weiß ich nicht mehr, was ich zu dem Zeitpunkt anders konfiguriert hatte).

Fällt dir evtl. noch eine Möglichkeit (Sichtwort L2TP Passtrough o.ä.?) ein, das ganze zu realisieren ohne die Securepoint direkt an das WAN zu hängen?



Grüße,
Nico

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Ja: OpenVPN verwenden. Man hat nur Scherereien mit Setups, bei denen der L2TP-Server hinter einem NAT-Device steht. Spätestens, wenn der Windows-Client die Verbindung nicht korrekt trennt und DER GESCHÄFTSFÜHRER (!!!11einself) dann den Tunnel nicht mehr aufbauen kann, würden Sie sowieso anrufen...

blade28213
Beiträge: 5
Registriert: Fr 04.01.2013, 09:34

Beitrag von blade28213 »

Hallo,

die Securepoint direkt an das WAN zu hängen ging aus diversen Gründen nicht.
Ich habe mich nun daran gemacht, das SSL VPN einzurichten, stoße aber immer wieder auf folgendes Problem:
- Auf dem eth1 Port läuft nach wie vor das 192.168.0.0/24 Netz
- Wenn ich nun unter | VPN | SSL VPN | die IP auf eine aus dem 192.168.0.0/24 Netz Stelle, ist die Securepoint nicht mehr ansprechbar (nicht mal mehr PING).

Wie ich vermute liegt das daran, dass das SSL VPN die tun0 Schnittstelle verwendet und die Securepoint nicht damit klar kommt das auf 2 Interfaces das selbe Netz verwendet wird.

Hast du eine Idee was ich noch versuchen könnte?

Grüße

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Sie dürfen bei OpenVPN nicht das gleiche Netz wie intern verwenden. Belassen Sie das SSLVPN-Netz am besten auf 192.168.250.1/24.

blade28213
Beiträge: 5
Registriert: Fr 04.01.2013, 09:34

Beitrag von blade28213 »

Hallo Erik,

schade, ich dachte da gäbe es einen Trick ;).
Nun gut, ich habe nun für die openVPN Clients das 192.168.250.0/24 Netz benutzt, Routen, Regeln etc. auf unserer Sonicwall/ Router und auf der Securepoint eingerichtet.
Ich kann mich nun problemlos mit dem Securepoint SSL Client verbinden, auch die Radius Auth. funktioniert wunderbar, vielen Dank soweit!!

Eine Frage/"Problem" hätte ich noch: Wir haben in der Firma eine 10MBit Sync. LWL Leitung, der Client bei mir zuhause z.B. erreicht beim kopieren großer Dateien aber nur (c.a.) 100KByte/s anstatt der möglichen 1250.
Ich habe bereits mit der MTU "rumprobiert" mit Werten zwischen 1400, 1500 bis zu 6000 bei dem tun0 Interface (eth1 blieb auf 1500 wie im Rest des Netzwerks).
Hast du spontan noch eine Idee die mir weiterhelfen könnte?

Grüße

blade28213
Beiträge: 5
Registriert: Fr 04.01.2013, 09:34

Beitrag von blade28213 »

Und noch eine kleine Nachfrage: Ich habe mir Zertifikate für mein Handy und meinen PC ausgestellt, beide verbinden sich auch problemlos, bekommen aber beide die IP 192.168.250.6!
Wie kann ich das umstellen, da ich mich ja über RADIUS authentifiziere und ich beim SSL VPN nirgends eine Eingabemöglichkeit für einen Adresspool sehe?

Grüße

Grüße

Gesperrt