IPSec mit Dyndns

Moderator: Securepoint

Gesperrt
dirk
Beiträge: 52
Registriert: Fr 07.03.2008, 15:20

IPSec mit Dyndns

Beitrag von dirk »

Hallo,

ich habe ziemliche Probleme mit ipsec zwischen 2 Securepoints. Ich bekomme im Log immer die Meldung INVALID_ID_INFORMATION.

Eigenschaften der IPSec-Verbindung:

Auth: Secret

Firewall 1:

Entfernter Host/Gateway: firewall2.dyndns.org
Haken bei DynDns Name gesetzt
Entfernter Host/Gateway-ID: @firewall2.dyndns.org
Haken bei Dead peer Detection gesetzt

Firewall 2:

Entfernter Host/Gateway: %firewall1.dyndns.org
Entfernter Host/Gateway-ID: @firewall1.dyndns.org

Subnetze:

192.168.106.0/24
192.168.0.0/24

Auszug aus Log:

added connection description "firewall1.dom1.local__GT__firewall2.dom2.local_8"
firewall1.dom1.local__GT__firewall2.dom2.local_8 #1: initiating Main Mode
firewall1.dom1.local__GT__firewall2.dom2.local_8 #1: ignoring Vendor ID payload [strongSwan 2.8.8]
firewall1.dom1.local__GT__firewall2.dom2.local_8 #1: received Vendor ID payload [XAUTH]
firewall1.dom1.local__GT__firewall2.dom2.local_8 #1: received Vendor ID payload [Dead Peer Detection]
firewall1.dom1.local__GT__firewall2.dom2.local_8 #1: received Vendor ID payload [RFC 3947]
firewall1.dom1.local__GT__firewall2.dom2.local_8 #1: enabling possible NAT-traversal with method 3
firewall1.dom1.local__GT__firewall2.dom2.local_8 #1: NAT-Traversal: Result using RFC 3947: no NAT detected
firewall1.dom1.local__GT__firewall2.dom2.local_8 #1: ignoring informational payload, type INVALID_ID_INFORMATION
firewall1.dom1.local__GT__firewall2.dom2.local_8 #1: discarding duplicate packet already STATE_MAIN_I3
firewall1.dom1.local__GT__firewall2.dom2.local_8 #1: ignoring informational payload, type INVALID_ID_INFORMATION
firewall1.dom1.local__GT__firewall2.dom2.local_8 #1: discarding duplicate packet already STATE_MAIN_I3
firewall1.dom1.local__GT__firewall2.dom2.local_8 #1: ignoring informational payload, type INVALID_ID_INFORMATION
packet from 89.246.213.30:500: ignoring Vendor ID payload [strongSwan 2.8.8]
packet from 89.246.213.30:500: received Vendor ID payload [XAUTH]
packet from 89.246.213.30:500: received Vendor ID payload [Dead Peer Detection]
packet from 89.246.213.30:500: received Vendor ID payload [RFC 3947]
packet from 89.246.213.30:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
packet from 89.246.213.30:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
packet from 89.246.213.30:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
packet from 89.246.213.30:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
firewall1.dom1.local__GT__firewall2.dom2.local_8 #2: responding to Main Mode
firewall1.dom1.local__GT__firewall2.dom2.local_8 #2: NAT-Traversal: Result using RFC 3947: no NAT detected
firewall1.dom1.local__GT__firewall2.dom2.local_8 #2: Peer ID is ID_IPV4_ADDR: '89.246.213.30'
firewall1.dom1.local__GT__firewall2.dom2.local_8 #2: no suitable connection for peer '89.246.213.30'
firewall1.dom1.local__GT__firewall2.dom2.local_8 #2: sending encrypted notification INVALID_ID_INFORMATION to 89.246.213.30:500
firewall1.dom1.local__GT__firewall2.dom2.local_8 #2: Peer ID is ID_IPV4_ADDR: '89.246.213.30'

Auf beiden Firewalls werden die DynDns-Namen in die akuelle IP aufgelöst.

Wäre schön wenn ich eine Tipp bekomme um das Problem zu beheben.

MfG Dirk

achim
Beiträge: 255
Registriert: Fr 09.03.2007, 11:42
Wohnort: Flensburg
Kontaktdaten:

Beitrag von achim »

ist schon ein bisschen her, aber ich hatte folgendes erfolgreich getestet:

(http://www.securepoint.de/support/topic.php?id=201)

SP1:

dyndns: sp1.dyndns.org
LAN(-IP): 192.168.1.1/24

VPN-Einstellungen SP1:
Lokale ID: @sp1.dyndns.org
PSK: 12345
Remote Host: any
Remote ID: 0.0.0.0
autom. starten: no

SP2:

dyndns: sp2.dyndns.org
LAN(-IP): 192.168.2.1/24

VPN-Einstellungen SP2:
Lokale ID: ppp0
PSK: 12345
Remote Host: sp1.dyndns.org
Remote ID: @sp1.dyndns.org
autom. starten: yes

den rest auf default lassen und das Subnet konfigurieren.

Die Haken bei Dyndns hatte ich nicht gemacht, aber ich glaube, die gab es in dem Release auch noch nicht.
LAN und PSK natürlich anpassen ;-)

vielleichts hilfts...

Achim
Zuletzt geändert von achim am Do 16.04.2009, 14:27, insgesamt 1-mal geändert.

dirk
Beiträge: 52
Registriert: Fr 07.03.2008, 15:20

Beitrag von dirk »

Hallo,

Problem beseitigt.

ich hatte einen Buchstabendreher in der lokalen Identidät.

MfG Dirk

Gesperrt