VPN Traffic nur einseitig

Moderator: Securepoint

Gesperrt
LP81
Beiträge: 18
Registriert: Mi 14.05.2008, 12:08

VPN Traffic nur einseitig

Beitrag von LP81 »

Hallo Gemeinde,

habe ein komisches Problem:
Securepoint mit stat. IP
FritzBox mit dyn. IP
VPN Tunnel zwischen beiden Gateways steht

Ich kann den Traffic von der Securepoint zum Fritz Box Netzwerk im Log sehen, aber ich sehe keinen Traffic vom Fritz Netzwerk zum Netzwerk der Securepoint. Auf den Clients in dem Fritz Netzwerk ist die Fritz Box als Default Gateway eingetragen. Trotzdem wird nichts vom Fritz Netz zum Securepoint Netz übertragen. Hat einer eine Idee? Als Vorlage für die konfig der FritzBox habe ich die Config aus'm Forum verwendet.

Need help!

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Es fehlt in der Config die Einstellung für das Remote-Netz (lies: das Netz hinter Securepoint), wodurch der Traffic wohl nicht in den Tunnel geroutet wird.
Bitte passen Sie die folgende Datei an und probieren es dann noch einmal:

Code: Alles auswählen

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "Securepoint VPN"; //Name der verbindung
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 87.139.55.127; //die IP der Securepoint
                remote_virtualip = 0.0.0.0;
                localid {
                        fqdn = "ihraccount.dyndns.org"; //DynDNS-Name der FritzBox (nur wenn DynDNS)
			//ipaddr = 0.0.0.0; //IP der Fritzbox (nur wenn feste IP)
                }
                remoteid {
			//fqdn = "support.de.securepoint.de"; //DynDNS der Securepoint (nur wenn DynDNS)
                        ipaddr = 87.139.55.127; //IP der Securepoint (nur wenn feste IP)
                }
                mode = phase1_mode_idp;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "insecure"; //ihr Passwort
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.178.0; //Netzadresse des Netzes hinter FritzBox
                                mask = 255.255.255.0; //Netzmaske
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.5.0; //Netzadresse des netzes hinter der Securepoint
                                mask = 255.255.255.0; //Netzmaske
                        }
                }
                phase2ss = "esp-all-all/ah-all/comp-all/pfs";
                accesslist = "permit ip any 192.168.5.0 255.255.255.0"; //noch einmal IP/Netzmaske des Netzes hinter der Securepoint
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF
Zuletzt geändert von Erik am Fr 05.06.2009, 21:27, insgesamt 1-mal geändert.

LP81
Beiträge: 18
Registriert: Mi 14.05.2008, 12:08

Beitrag von LP81 »

Hallo Erik,

das ist nicht wirklich mein Problem. Habe nun folgendes Festgestellt:
Der Tunnel steht zu allen Standorten, es geht auch Verkehr durch den Tunnel. Aber nur UDP und ICMP Packete. Gestern Abend hatte ich, wie von Geisterhand, TCP Traffic drauf. Habe den Moment der Stunde genutzt und Daten kopiert. Dann hat das Glück nach einer Stunde ein Ende gehabt. Um halb eins in der Nacht von Samstag auf Sonntag standen die Tunnel noch immer, aber kein TCP Packet kam mehr durch. Heute morgen (um 9) nach einem Neustart der kompletten Anlage, also auch FritzBoxen, war es bis stand jetzt nicht möglich Daten von einer Aussenstelle in das Netz der Securepoint zu bekommen, andersrum auch nicht. Alles was ich an Verkehr im Tunnel habe ich UDP.
Ein Roadwarrior kann sich ohne Probleme einwählen und arbeiten. Ich bin so langsam mit meinem Latein am Ende. Werde morgen den Support von AVM auf die nerven gehen, muss meine Aussenstellen jetzt über das Internet, also nicht VPN, auf den Terminalserver lassen. Das will ich aus Sicherheitsgründen natürlich nicht so lassen.

Grüße

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Hallo,
schauen Sie mal bitte auf der Securepoint, ob dort die Dead Peer Detection ausgeschaltet ist. Die FritzBoxen vertragen sich nicht so wirklich damit.

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Ergänzung:

die Zeile "phase2ss" muss folgendermaßen geändert werden:

Code: Alles auswählen

phase2ss = "esp-3des-sha/ah-no/comp-no/no-pfs"

Benutzeravatar
KuehleisIT
Beiträge: 86
Registriert: Mi 21.03.2007, 22:47
Wohnort: Weißenburg i. Bay.
Kontaktdaten:

Beitrag von KuehleisIT »

kurze Zwischenfrage (da ich eine ähnliche Konstellation habe):
Ich habe das PFS an, auf Securepoint (feste IP) und den FritzBoxen (dyn. IP) - und bislang keine offensichtlichen Probleme. Ist es besser/stabiler wenn ich PFS ausschalte?
Zuletzt geändert von KuehleisIT am Mi 07.10.2009, 20:24, insgesamt 1-mal geändert.
Mit freundlichen Grüßen aus altmühlfranken

Christian Kühleis | IT-Systemberatung
URL: https://www.kuehleis.de

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Guten Abend,
die PFS hat keinen Einfluss auf die Stabilität der Verbindung, da sie nur das Schlüsselerstellungsverfahren beschreibt. Siehe hier
Der wichtige Teil in meinem obigen Post ist eher "comp-no" und "ah-no" ;)
Zuletzt geändert von Erik am Mi 07.10.2009, 23:29, insgesamt 1-mal geändert.

Gesperrt