Hallo Gemeinde,
habe ein komisches Problem:
Securepoint mit stat. IP
FritzBox mit dyn. IP
VPN Tunnel zwischen beiden Gateways steht
Ich kann den Traffic von der Securepoint zum Fritz Box Netzwerk im Log sehen, aber ich sehe keinen Traffic vom Fritz Netzwerk zum Netzwerk der Securepoint. Auf den Clients in dem Fritz Netzwerk ist die Fritz Box als Default Gateway eingetragen. Trotzdem wird nichts vom Fritz Netz zum Securepoint Netz übertragen. Hat einer eine Idee? Als Vorlage für die konfig der FritzBox habe ich die Config aus'm Forum verwendet.
Need help!
VPN Traffic nur einseitig
Moderator: Securepoint
Es fehlt in der Config die Einstellung für das Remote-Netz (lies: das Netz hinter Securepoint), wodurch der Traffic wohl nicht in den Tunnel geroutet wird.
Bitte passen Sie die folgende Datei an und probieren es dann noch einmal:
Bitte passen Sie die folgende Datei an und probieren es dann noch einmal:
Code: Alles auswählen
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "Securepoint VPN"; //Name der verbindung
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 87.139.55.127; //die IP der Securepoint
remote_virtualip = 0.0.0.0;
localid {
fqdn = "ihraccount.dyndns.org"; //DynDNS-Name der FritzBox (nur wenn DynDNS)
//ipaddr = 0.0.0.0; //IP der Fritzbox (nur wenn feste IP)
}
remoteid {
//fqdn = "support.de.securepoint.de"; //DynDNS der Securepoint (nur wenn DynDNS)
ipaddr = 87.139.55.127; //IP der Securepoint (nur wenn feste IP)
}
mode = phase1_mode_idp;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "insecure"; //ihr Passwort
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.178.0; //Netzadresse des Netzes hinter FritzBox
mask = 255.255.255.0; //Netzmaske
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.5.0; //Netzadresse des netzes hinter der Securepoint
mask = 255.255.255.0; //Netzmaske
}
}
phase2ss = "esp-all-all/ah-all/comp-all/pfs";
accesslist = "permit ip any 192.168.5.0 255.255.255.0"; //noch einmal IP/Netzmaske des Netzes hinter der Securepoint
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF
Zuletzt geändert von Erik am Fr 05.06.2009, 21:27, insgesamt 1-mal geändert.
Hallo Erik,
das ist nicht wirklich mein Problem. Habe nun folgendes Festgestellt:
Der Tunnel steht zu allen Standorten, es geht auch Verkehr durch den Tunnel. Aber nur UDP und ICMP Packete. Gestern Abend hatte ich, wie von Geisterhand, TCP Traffic drauf. Habe den Moment der Stunde genutzt und Daten kopiert. Dann hat das Glück nach einer Stunde ein Ende gehabt. Um halb eins in der Nacht von Samstag auf Sonntag standen die Tunnel noch immer, aber kein TCP Packet kam mehr durch. Heute morgen (um 9) nach einem Neustart der kompletten Anlage, also auch FritzBoxen, war es bis stand jetzt nicht möglich Daten von einer Aussenstelle in das Netz der Securepoint zu bekommen, andersrum auch nicht. Alles was ich an Verkehr im Tunnel habe ich UDP.
Ein Roadwarrior kann sich ohne Probleme einwählen und arbeiten. Ich bin so langsam mit meinem Latein am Ende. Werde morgen den Support von AVM auf die nerven gehen, muss meine Aussenstellen jetzt über das Internet, also nicht VPN, auf den Terminalserver lassen. Das will ich aus Sicherheitsgründen natürlich nicht so lassen.
Grüße
das ist nicht wirklich mein Problem. Habe nun folgendes Festgestellt:
Der Tunnel steht zu allen Standorten, es geht auch Verkehr durch den Tunnel. Aber nur UDP und ICMP Packete. Gestern Abend hatte ich, wie von Geisterhand, TCP Traffic drauf. Habe den Moment der Stunde genutzt und Daten kopiert. Dann hat das Glück nach einer Stunde ein Ende gehabt. Um halb eins in der Nacht von Samstag auf Sonntag standen die Tunnel noch immer, aber kein TCP Packet kam mehr durch. Heute morgen (um 9) nach einem Neustart der kompletten Anlage, also auch FritzBoxen, war es bis stand jetzt nicht möglich Daten von einer Aussenstelle in das Netz der Securepoint zu bekommen, andersrum auch nicht. Alles was ich an Verkehr im Tunnel habe ich UDP.
Ein Roadwarrior kann sich ohne Probleme einwählen und arbeiten. Ich bin so langsam mit meinem Latein am Ende. Werde morgen den Support von AVM auf die nerven gehen, muss meine Aussenstellen jetzt über das Internet, also nicht VPN, auf den Terminalserver lassen. Das will ich aus Sicherheitsgründen natürlich nicht so lassen.
Grüße
Ergänzung:
die Zeile "phase2ss" muss folgendermaßen geändert werden:
die Zeile "phase2ss" muss folgendermaßen geändert werden:
Code: Alles auswählen
phase2ss = "esp-3des-sha/ah-no/comp-no/no-pfs"
- KuehleisIT
- Beiträge: 86
- Registriert: Mi 21.03.2007, 22:47
- Wohnort: Weißenburg i. Bay.
- Kontaktdaten:
kurze Zwischenfrage (da ich eine ähnliche Konstellation habe):
Ich habe das PFS an, auf Securepoint (feste IP) und den FritzBoxen (dyn. IP) - und bislang keine offensichtlichen Probleme. Ist es besser/stabiler wenn ich PFS ausschalte?
Ich habe das PFS an, auf Securepoint (feste IP) und den FritzBoxen (dyn. IP) - und bislang keine offensichtlichen Probleme. Ist es besser/stabiler wenn ich PFS ausschalte?
Zuletzt geändert von KuehleisIT am Mi 07.10.2009, 20:24, insgesamt 1-mal geändert.
Mit freundlichen Grüßen aus altmühlfranken
Christian Kühleis | IT-Systemberatung
URL: https://www.kuehleis.de
Christian Kühleis | IT-Systemberatung
URL: https://www.kuehleis.de