Hallo zusammen,
2 Probleme, die vielleicht die gleiche Ursache haben.
Szenario:
Eine neue Securepoint 10 Appliance wird installiert.
Danach eine 2007er Config importiert, aber die Adressen von externem
und internem Interface und Default Route geändert.
Die Filterregeln entsprechend nachgezogen.
Zusätzlich (da fälschlicherweise angenommen, damit das Problem gelöst zu haben)
alle ipsec-Verbindungen gelöscht und neu eingerichtet.
Nun das 1. Problem:
Nach jedem Reboot erscheint folgende Fehlermeldung im Log:
IPSEC Server no default route - cannot cope with vpn2.local %defaultroute!!!
...
...
IPSEC Server # default route not known: vpn2.local left=%defaultroute
Der Versuch eine VPN-Verbindung aufzubauen resultiert dann in:
IPSEC Server packet from XXX.XXX.XXX.XXX:55008: initial Main Mode message received on XXX.XXX.XXX.XXX:500 but no connection has been authorized with vpn2.local
Jetzt tue ich so, als würde ich die Default Route ändern ;-) , drücke auf
Interface updaten und starte ipsec von Hand neu.
Danach kann der Tunnel aufgebaut werden, ich kann das interne Interface
der Appliance anpingen und über diese Adresse auch über den Tunnel die
Webadmin-Oberfläche erreichen.
Soweit so gut bzw. schlecht. Es wäre gut, wenn die Appliance nach jedem
Reboot gleich wieder funktionieren würde.
Nun aber zum 2. Problem:
Also, der Tunnel steht nun. (siehe oben)
Ausser der internen ip-Adresse der Appliance ist aber kein einziger Rechner
im internen Netz erreichbar!
Der ipsec-Client hat natürlich mit any alle Rechte für das interne Netz!
Per tcpdump sehe ich, dass die Pakete am externen Interface im Tunnel ankommen, aber am internen Interface nicht auftauchen.
Im Log findet sich kein gedropptes Paket.
Es ist, wie wenn ich einen Rechner als Router mit irgendeiner Linux Distribution aufgesetzt habe und er routet nicht, weil ich vergessen habe ip forward einzuschalten.
Ich wäre für Hilfe dankbar!
MfG
Anselm
PS:
Wenn mir einer verrät, wie ich meine komplette Zertifikatverwaltung (Certs + CAs etc.) auf einfache Weise auf eine neue Appliance übertragen kann, so dass sie
auch weiterhin funktioniert, wäre ich soweit, eine Appliance komplett neu aufzusetzen. Die Config und Regeln neu anzulegen würden mich wohl nur
einen Bruchteil der Zeit kosten, die ich jetzt schon verbraten habe.
Na ja. Oder auch nicht.
VPN ipsec Probleme nach Änderung der ip-Adressen
Moderator: Securepoint
Guten Abend,
das erste Problem ist wahrscheinlich darauf hinauszuführen, dass die Interfaces beim Starten zu lange brauchen. Dadurch wird die Default-Route nicht gesetzt und die IPSec-Konfiguration (die ja diese Route benötigt) ist für den Moment fehlerhaft. Läuft die Software auf einer Appliance oder verwenden Sie eigene Hardware?
Zum zweiten Problem:
Sind Sie sicher, dass Sie den Traffic vom IPSec-Netz ins interne Netz erlaubt haben und nicht nur auf das interne Interface (Zonen der Netzwerkobjekte kontrollieren)? Sollte der Fehler nicht bei einer fehlerhaften Zone liegen, müssten Sie sich einmal teflonisch bei uns melden - dann schauen wir uns das mal live an.
das erste Problem ist wahrscheinlich darauf hinauszuführen, dass die Interfaces beim Starten zu lange brauchen. Dadurch wird die Default-Route nicht gesetzt und die IPSec-Konfiguration (die ja diese Route benötigt) ist für den Moment fehlerhaft. Läuft die Software auf einer Appliance oder verwenden Sie eigene Hardware?
Zum zweiten Problem:
Sind Sie sicher, dass Sie den Traffic vom IPSec-Netz ins interne Netz erlaubt haben und nicht nur auf das interne Interface (Zonen der Netzwerkobjekte kontrollieren)? Sollte der Fehler nicht bei einer fehlerhaften Zone liegen, müssten Sie sich einmal teflonisch bei uns melden - dann schauen wir uns das mal live an.
Hallo,
das zweite Problem hat sich gelöst. Warum, weiß ich aber nicht wirklich.
In meiner Verzweiflung habe ich die alte 2007nx Konfiguration
nochmal in die nun nicht mehr jungfräuliche Appliance importiert.
Habe nochmal die ip-Adressen geändert und die Regeln nachgezogen.
Jetzt klappt es.
Der einzige Unterschied, der mir aufgefallen ist, ist, daß ich den neuen Namen
der neuen Appliance inzwischen in meinen DNS-Server aufgenommen hatte.
Ich mußte den Namen der Appliance nicht ändern und in der ipsec-Verbindungsübersicht
stand im Gegensatz zum ersten Versuch links nun vpn2.local (neu), statt vpn.local (alt).
Ich kann allerdings nicht sagen, ob das die Lösung war.
Das mir auch wichtige 1. Problem (keine default-Route beim ipsec-Start nach dem Boot)
ist noch nicht gelöst.
Ich bin aber gebeten worden, wegen anderer Fragen meine Konfiguration an Securepoint zu schicken. Also kommt die Lösung hoffentlich noch oder
mein Denkfehler wird gefunden.
Zur Frage der Appliance:
Ich verwende eigene Hardware:
Foxconn R10-S3 Atom 330/i945GC Barebone Dualcore 1.6 GHz
1 GByte RAM
SATA Festplatte
Realtek RTL8100C LAN Onboard + Intel PRO/1000 GTL LowProfile als 2. LAN
Kein 3. LAN (DMZ) !
Gruß
Anselm
das zweite Problem hat sich gelöst. Warum, weiß ich aber nicht wirklich.
In meiner Verzweiflung habe ich die alte 2007nx Konfiguration
nochmal in die nun nicht mehr jungfräuliche Appliance importiert.
Habe nochmal die ip-Adressen geändert und die Regeln nachgezogen.
Jetzt klappt es.
Der einzige Unterschied, der mir aufgefallen ist, ist, daß ich den neuen Namen
der neuen Appliance inzwischen in meinen DNS-Server aufgenommen hatte.
Ich mußte den Namen der Appliance nicht ändern und in der ipsec-Verbindungsübersicht
stand im Gegensatz zum ersten Versuch links nun vpn2.local (neu), statt vpn.local (alt).
Ich kann allerdings nicht sagen, ob das die Lösung war.
Das mir auch wichtige 1. Problem (keine default-Route beim ipsec-Start nach dem Boot)
ist noch nicht gelöst.
Ich bin aber gebeten worden, wegen anderer Fragen meine Konfiguration an Securepoint zu schicken. Also kommt die Lösung hoffentlich noch oder
mein Denkfehler wird gefunden.
Zur Frage der Appliance:
Ich verwende eigene Hardware:
Foxconn R10-S3 Atom 330/i945GC Barebone Dualcore 1.6 GHz
1 GByte RAM
SATA Festplatte
Realtek RTL8100C LAN Onboard + Intel PRO/1000 GTL LowProfile als 2. LAN
Kein 3. LAN (DMZ) !
Gruß
Anselm