Hallo,
weis mir da keinen Rat mehr. Ich habe hier zu Test 2 securepoint 2007nx laufen. Beide sind über einen Router an Internet angeschlossen, bzw über einen kleine Switch der wiederum um Router geht.
Ein FW hat das Netz 192.168.16.0/24 und zum Router 192.168.15.2 (Router hat für intern das 192.168.15.0/24 Netz. Die zweite FW hat das Netz 192.168.16.0/25 und zu Router 192.168.15.2. Der Router selbst hat die 192.168.15.1.
Nun möchte für Tests beide FW über VPN-ipsec verbinden. Ich habe dies auch alles nach Handbuch druchgeführt, Netzwekobjekte angelegt, Portfilter nach Vorgabe. Nun steht in den pdf File das wenn beide Seiten securepoint FW wären, man die rote Mauer auswählen könnte. Gesagt, getan. als neue FW die extern Adresse der zweiten FW, in diesen Fall 192.168.15.3 mit admin und passwort. Es dauert eine Weile, dann bekomme ich die Meldung Verbindung konnte nicht aufgebaut werden.
Und nun das Kuriose, meine ganzen Interface sind und auch andere Einstellungen nicht mehr zu sehen sind, der Securepoint Manager verliert die Verbindung, es geht sogar zu weit, das ich die FW neu starten muß.
Auf beiden FW sind die Regel gleich,
Nun habe ich auch noch die Meldung das die IP 192.168.15.3 schon bestehen würde und der Vorgang abgebrochen wird.
Für gute Ratschläge wäre ich sehr Dankbar.
Klaus
VPN IPSEC gate to gate Verbindung
Moderator: Securepoint
Hallo, Klaus,
ich glaube, da fehlt ein wenig grundwissen... (nicht böse gemeint)
zuerst:
warum hast du jeweils einen router (dsl-router?) vor den securepoints stehen? sind diese notwendig?
Wenn dies dsl-router sind, können diese abgebaut werden. die securepoint macht die pppoe-einwahl für dich.
so wie ich es verstanden habe ist dies deine architektur:
lan1 (192.168.16.0/24) -> 192.168.16.? securepoint1 192.168.15.2(?) -> Transfernetz1 (192.168.15.0/24) -> 192.168.15.1(?) router1 öffentl. ip
-> Internet
-> öffentl. ip router2 192.168.15.1(?) -> Transfernetz2 (192.168.15.0/24) -> 192.168.15.3(?) securepoint2 192.168.16.? -> lan2
richtig? (fragezeichen bitte ergänzen)
1. du kannst die 2. firewall 192.168.15.3 nicht erreichen
-> die ip-adressen 192.168.15.0/24 // 192.168.16.0 /24 sind im internet nicht zu erreichen, da es sich hier um private ip's handelt.
-> der router vor der firewall würde die management-verbindung abfangen (ok, schlecht erklärt, aber bei den unmengen an fehlenden/m ...)
-> ...
2. du musst für lan1/lan2 und transfernetz1/transfernetz2 unterschiedliche netze konfigurieren
3. du müsstest diverse ports von den routern zu den firewalls weiterleiten...
4. ...
5. ...
Also banal gesagt kannst du nur zwischen öffentlichen ip adressen (bzw. dyndns) ein vpn aufbauen und diese befinden sich zur zeit auf deinen routern.
daher ist dass erste, was du tun musst, zu überlegen, ob du diese router überhaupt brauchst (ich denke nicht, oder verwendet dein provider pppoa? oder sind es "ethernet"-router).
wenn du die router abgebaut hast und die internetverbindung über die securepoints läuft oder du mehr informationen (u.a. notwendigkeit der router) bekannt gibts, lässt sich dein problem im forum evtl. lösen.
achim
ich glaube, da fehlt ein wenig grundwissen... (nicht böse gemeint)
zuerst:
warum hast du jeweils einen router (dsl-router?) vor den securepoints stehen? sind diese notwendig?
Wenn dies dsl-router sind, können diese abgebaut werden. die securepoint macht die pppoe-einwahl für dich.
so wie ich es verstanden habe ist dies deine architektur:
lan1 (192.168.16.0/24) -> 192.168.16.? securepoint1 192.168.15.2(?) -> Transfernetz1 (192.168.15.0/24) -> 192.168.15.1(?) router1 öffentl. ip
-> Internet
-> öffentl. ip router2 192.168.15.1(?) -> Transfernetz2 (192.168.15.0/24) -> 192.168.15.3(?) securepoint2 192.168.16.? -> lan2
richtig? (fragezeichen bitte ergänzen)
1. du kannst die 2. firewall 192.168.15.3 nicht erreichen
-> die ip-adressen 192.168.15.0/24 // 192.168.16.0 /24 sind im internet nicht zu erreichen, da es sich hier um private ip's handelt.
-> der router vor der firewall würde die management-verbindung abfangen (ok, schlecht erklärt, aber bei den unmengen an fehlenden/m ...)
-> ...
2. du musst für lan1/lan2 und transfernetz1/transfernetz2 unterschiedliche netze konfigurieren
3. du müsstest diverse ports von den routern zu den firewalls weiterleiten...
4. ...
5. ...
Also banal gesagt kannst du nur zwischen öffentlichen ip adressen (bzw. dyndns) ein vpn aufbauen und diese befinden sich zur zeit auf deinen routern.
daher ist dass erste, was du tun musst, zu überlegen, ob du diese router überhaupt brauchst (ich denke nicht, oder verwendet dein provider pppoa? oder sind es "ethernet"-router).
wenn du die router abgebaut hast und die internetverbindung über die securepoints läuft oder du mehr informationen (u.a. notwendigkeit der router) bekannt gibts, lässt sich dein problem im forum evtl. lösen.
achim
Hallo Achim,
erst einmal Danke für deine Antwort.
Vieleicht habe ich mich da etwas verwirrent ausgedrückt.
Erst einmal meine Gegebenheiten.
Ich habe mir hier eine Testnetz aufgebaut, das an einem Router angeschlossen ist, der über eine feste IP ins Intenet geht.
An diesem Router habe ich nun einen Switch angeschlossen. An diesem Switch wiederrum habe ich nun beide FW angeschlossen um zu sehen das die Verbindung zu Internet funktioniert. (funktioniert)
Der Router hat zum Switch das 192.168.15.0/24 Netz und die Adresse 192.168.15.1. Den FW´s habe ich nun einmal die 15.2 und 15.3 gegeben aber in beiden unterschiedliche Netze angelegt 192.168.16.0/24 (15.2) und die 17.0/24 (15.3).
Die Adresse zur internen Schnittstelle ist in beiden Netzen immer die 1, also 16.1 und 17.1. Als default Route ist in beiden die 192.168.15.1 eingetragen und die Route zum anderen Netz über die Adresse der andern FW, so z.B. "Router 192.168.15.3 Ziel 192.168.17.0/24". Ich habe nun die ipsec Netzwerkobjekte und auch die Portfilter erstellt ganz nach Handuch, nur eben mit meinen Daten, Grp-extern immer 15.2 bzw. 15.3 als Host, als int Grp- Inter-Netz das jeweilige Netz und dieses Netz dann auch als ipsec Netz angegeben.
Nun habe ich ein VPN-Gateway hinzugefügt mit der jeweilige externen Adresse der andern FW, beides auf in das Feld gezogen und verbunden. Nun die Eingaben vorgenommen. Bei Allgemein die Authentisierung SECRET gesetzt, alles andere so gelassen und im firewall.local nur einen Schlüssel eingetragen. Als entfernter Host/Gateway die Adressse, die des gegenübers, nicht verändert und die beiden Subnetze eingetragen.
Was ich nun Testen möchte, bekomme ich so eine Verbindung zwischen den beiben FW zu Stande und wo und wie kann ich sehen, z.B. im log, das die Verbindung aufgebaut, bzw. wieder geschlossen ist.
Ziel der ganzen Übung ist, wenn ich die FW an verschiedene Standorten aufstelle. wie ich gleich sehe das die Verbingung steht.
Danke
Klaus
erst einmal Danke für deine Antwort.
Vieleicht habe ich mich da etwas verwirrent ausgedrückt.
Erst einmal meine Gegebenheiten.
Ich habe mir hier eine Testnetz aufgebaut, das an einem Router angeschlossen ist, der über eine feste IP ins Intenet geht.
An diesem Router habe ich nun einen Switch angeschlossen. An diesem Switch wiederrum habe ich nun beide FW angeschlossen um zu sehen das die Verbindung zu Internet funktioniert. (funktioniert)
Der Router hat zum Switch das 192.168.15.0/24 Netz und die Adresse 192.168.15.1. Den FW´s habe ich nun einmal die 15.2 und 15.3 gegeben aber in beiden unterschiedliche Netze angelegt 192.168.16.0/24 (15.2) und die 17.0/24 (15.3).
Die Adresse zur internen Schnittstelle ist in beiden Netzen immer die 1, also 16.1 und 17.1. Als default Route ist in beiden die 192.168.15.1 eingetragen und die Route zum anderen Netz über die Adresse der andern FW, so z.B. "Router 192.168.15.3 Ziel 192.168.17.0/24". Ich habe nun die ipsec Netzwerkobjekte und auch die Portfilter erstellt ganz nach Handuch, nur eben mit meinen Daten, Grp-extern immer 15.2 bzw. 15.3 als Host, als int Grp- Inter-Netz das jeweilige Netz und dieses Netz dann auch als ipsec Netz angegeben.
Nun habe ich ein VPN-Gateway hinzugefügt mit der jeweilige externen Adresse der andern FW, beides auf in das Feld gezogen und verbunden. Nun die Eingaben vorgenommen. Bei Allgemein die Authentisierung SECRET gesetzt, alles andere so gelassen und im firewall.local nur einen Schlüssel eingetragen. Als entfernter Host/Gateway die Adressse, die des gegenübers, nicht verändert und die beiden Subnetze eingetragen.
Was ich nun Testen möchte, bekomme ich so eine Verbindung zwischen den beiben FW zu Stande und wo und wie kann ich sehen, z.B. im log, das die Verbindung aufgebaut, bzw. wieder geschlossen ist.
Ziel der ganzen Übung ist, wenn ich die FW an verschiedene Standorten aufstelle. wie ich gleich sehe das die Verbingung steht.
Danke
Klaus
zuerst zum log:
- das life-log einer der beiden firewalls öffnen (automatischen scrollen / fortsetzen aktivieren)
- im security-manager vpn öffnen
- beide firewalls ins bild ziehen (ist ja schon geschehen)
- auf aktualisieren klicken
es sollten jetzt jede menge blaue log-einträge erscheinen.
am ende solltest du irgendwann einen eintrag mit "success" oder failed finden.
falls es probleme gibt, kannst du die letzten logs mal posten.
in der zwischenzeit denke ich noch einmal darüber nach, ob dein testszenario wirklich zum "success" führen kann.
achim
- das life-log einer der beiden firewalls öffnen (automatischen scrollen / fortsetzen aktivieren)
- im security-manager vpn öffnen
- beide firewalls ins bild ziehen (ist ja schon geschehen)
- auf aktualisieren klicken
es sollten jetzt jede menge blaue log-einträge erscheinen.
am ende solltest du irgendwann einen eintrag mit "success" oder failed finden.
falls es probleme gibt, kannst du die letzten logs mal posten.
in der zwischenzeit denke ich noch einmal darüber nach, ob dein testszenario wirklich zum "success" führen kann.
achim
Zuletzt geändert von achim am Mo 12.11.2007, 12:40, insgesamt 1-mal geändert.
Hallo Achim,
hier der log nach dem Aktuallisieren.
Nov 12 11:44:56 192.168.16.1 IPSEC Server forgetting secrets
Nov 12 11:44:56 192.168.16.1 IPSEC Server "firewall.foo.local__GT__kd_4": deleting connection
Nov 12 11:44:56 192.168.16.1 IPSEC Server shutting down interface eth0/eth0 192.168.15.2
Nov 12 11:44:56 192.168.16.1 IPSEC Server shutting down interface eth1/eth1 192.168.16.1
Nov 12 11:44:56 192.168.16.1 IPSEC Server shutting down interface lo/lo 127.0.0.1
Nov 12 11:44:56 192.168.16.1 IPSEC Server ipsec starter stopped
Nov 12 11:44:59 192.168.16.1 IPSEC Server Starting strongSwan IPsec 2.8.3 [starter]...
Nov 12 11:44:59 192.168.16.1 IPSEC Server Starting Pluto (strongSwan Version 2.8.3 VENDORID KEYRR)
Nov 12 11:44:59 192.168.16.1 IPSEC Server including NAT-Traversal patch (Version 0.6c) [disabled]
Nov 12 11:44:59 192.168.16.1 IPSEC Server ike_alg: Activating OAKLEY_AES_CBC encryption: Ok
Nov 12 11:44:59 192.168.16.1 IPSEC Server ike_alg: Activating OAKLEY_BLOWFISH_CBC encryption: Ok
Nov 12 11:44:59 192.168.16.1 IPSEC Server ike_alg: Activating OAKLEY_SERPENT_CBC encryption: Ok
Nov 12 11:44:59 192.168.16.1 IPSEC Server ike_alg: Activating OAKLEY_SHA2_256 hash: Ok
Nov 12 11:44:59 192.168.16.1 IPSEC Server ike_alg: Activating OAKLEY_SHA2_384 hash: Ok
Nov 12 11:44:59 192.168.16.1 IPSEC Server ike_alg: Activating OAKLEY_SHA2_512 hash: Ok
Nov 12 11:44:59 192.168.16.1 IPSEC Server ike_alg: Activating OAKLEY_TWOFISH_CBC encryption: Ok
Nov 12 11:44:59 192.168.16.1 IPSEC Server ike_alg: Activating OAKLEY_TWOFISH_CBC_SSH encryption: Ok
Nov 12 11:44:59 192.168.16.1 IPSEC Server Testing registered IKE encryption algorithms:
Nov 12 11:44:59 192.168.16.1 IPSEC Server OAKLEY_BLOWFISH_CBC self-test not available
Nov 12 11:44:59 192.168.16.1 IPSEC Server OAKLEY_3DES_CBC self-test not available
Nov 12 11:44:59 192.168.16.1 IPSEC Server OAKLEY_AES_CBC self-test not available
Nov 12 11:44:59 192.168.16.1 IPSEC Server OAKLEY_SERPENT_CBC self-test not available
Nov 12 11:44:59 192.168.16.1 IPSEC Server OAKLEY_TWOFISH_CBC self-test not available
Nov 12 11:44:59 192.168.16.1 IPSEC Server OAKLEY_TWOFISH_CBC_SSH self-test not available
Nov 12 11:44:59 192.168.16.1 IPSEC Server Testing registered IKE hash algorithms:
Nov 12 11:44:59 192.168.16.1 IPSEC Server OAKLEY_MD5 hash self-test passed
Nov 12 11:44:59 192.168.16.1 IPSEC Server OAKLEY_MD5 hmac self-test passed
Nov 12 11:44:59 192.168.16.1 IPSEC Server OAKLEY_SHA hash self-test passed
Nov 12 11:44:59 192.168.16.1 IPSEC Server OAKLEY_SHA hmac self-test passed
Nov 12 11:44:59 192.168.16.1 IPSEC Server OAKLEY_SHA2_256 hash self-test passed
Nov 12 11:44:59 192.168.16.1 IPSEC Server OAKLEY_SHA2_256 hmac self-test passed
Nov 12 11:44:59 192.168.16.1 IPSEC Server OAKLEY_SHA2_384 hash self-test passed
Nov 12 11:44:59 192.168.16.1 IPSEC Server OAKLEY_SHA2_384 hmac self-test passed
Nov 12 11:44:59 192.168.16.1 IPSEC Server OAKLEY_SHA2_512 hash self-test passed
Nov 12 11:44:59 192.168.16.1 IPSEC Server OAKLEY_SHA2_512 hmac self-test passed
Nov 12 11:44:59 192.168.16.1 IPSEC Server All crypto self-tests passed
Nov 12 11:44:59 192.168.16.1 IPSEC Server Using Linux 2.6 IPsec interface code
Nov 12 11:44:59 192.168.16.1 IPSEC Server Changing to directory '/etc/ipsec.d/cacerts'
Nov 12 11:44:59 192.168.16.1 IPSEC Server Changing to directory '/etc/ipsec.d/aacerts'
Nov 12 11:44:59 192.168.16.1 IPSEC Server Changing to directory '/etc/ipsec.d/ocspcerts'
Nov 12 11:44:59 192.168.16.1 IPSEC Server Changing to directory '/etc/ipsec.d/crls'
Nov 12 11:44:59 192.168.16.1 IPSEC Server Changing to directory '/etc/ipsec.d/acerts'
Nov 12 11:44:59 192.168.16.1 IPSEC Server listening for IKE messages
Nov 12 11:44:59 192.168.16.1 IPSEC Server adding interface lo/lo 127.0.0.1:500
Nov 12 11:44:59 192.168.16.1 IPSEC Server adding interface eth1/eth1 192.168.16.1:500
Nov 12 11:44:59 192.168.16.1 IPSEC Server adding interface eth0/eth0 192.168.15.2:500
Nov 12 11:44:59 192.168.16.1 IPSEC Server loading secrets from "/etc/ipsec.secrets"
Nov 12 11:44:59 192.168.16.1 IPSEC Server added connection description "firewall.foo.local__GT__kd_4"
Das Gate gegenüber hat die Bezeichnung "kd".
Ist dies die Bestättigung das mein Tunnel steht. Ich erwartete eigentlich so etaws wie connection establish oder successfull
Klaus
hier der log nach dem Aktuallisieren.
Nov 12 11:44:56 192.168.16.1 IPSEC Server forgetting secrets
Nov 12 11:44:56 192.168.16.1 IPSEC Server "firewall.foo.local__GT__kd_4": deleting connection
Nov 12 11:44:56 192.168.16.1 IPSEC Server shutting down interface eth0/eth0 192.168.15.2
Nov 12 11:44:56 192.168.16.1 IPSEC Server shutting down interface eth1/eth1 192.168.16.1
Nov 12 11:44:56 192.168.16.1 IPSEC Server shutting down interface lo/lo 127.0.0.1
Nov 12 11:44:56 192.168.16.1 IPSEC Server ipsec starter stopped
Nov 12 11:44:59 192.168.16.1 IPSEC Server Starting strongSwan IPsec 2.8.3 [starter]...
Nov 12 11:44:59 192.168.16.1 IPSEC Server Starting Pluto (strongSwan Version 2.8.3 VENDORID KEYRR)
Nov 12 11:44:59 192.168.16.1 IPSEC Server including NAT-Traversal patch (Version 0.6c) [disabled]
Nov 12 11:44:59 192.168.16.1 IPSEC Server ike_alg: Activating OAKLEY_AES_CBC encryption: Ok
Nov 12 11:44:59 192.168.16.1 IPSEC Server ike_alg: Activating OAKLEY_BLOWFISH_CBC encryption: Ok
Nov 12 11:44:59 192.168.16.1 IPSEC Server ike_alg: Activating OAKLEY_SERPENT_CBC encryption: Ok
Nov 12 11:44:59 192.168.16.1 IPSEC Server ike_alg: Activating OAKLEY_SHA2_256 hash: Ok
Nov 12 11:44:59 192.168.16.1 IPSEC Server ike_alg: Activating OAKLEY_SHA2_384 hash: Ok
Nov 12 11:44:59 192.168.16.1 IPSEC Server ike_alg: Activating OAKLEY_SHA2_512 hash: Ok
Nov 12 11:44:59 192.168.16.1 IPSEC Server ike_alg: Activating OAKLEY_TWOFISH_CBC encryption: Ok
Nov 12 11:44:59 192.168.16.1 IPSEC Server ike_alg: Activating OAKLEY_TWOFISH_CBC_SSH encryption: Ok
Nov 12 11:44:59 192.168.16.1 IPSEC Server Testing registered IKE encryption algorithms:
Nov 12 11:44:59 192.168.16.1 IPSEC Server OAKLEY_BLOWFISH_CBC self-test not available
Nov 12 11:44:59 192.168.16.1 IPSEC Server OAKLEY_3DES_CBC self-test not available
Nov 12 11:44:59 192.168.16.1 IPSEC Server OAKLEY_AES_CBC self-test not available
Nov 12 11:44:59 192.168.16.1 IPSEC Server OAKLEY_SERPENT_CBC self-test not available
Nov 12 11:44:59 192.168.16.1 IPSEC Server OAKLEY_TWOFISH_CBC self-test not available
Nov 12 11:44:59 192.168.16.1 IPSEC Server OAKLEY_TWOFISH_CBC_SSH self-test not available
Nov 12 11:44:59 192.168.16.1 IPSEC Server Testing registered IKE hash algorithms:
Nov 12 11:44:59 192.168.16.1 IPSEC Server OAKLEY_MD5 hash self-test passed
Nov 12 11:44:59 192.168.16.1 IPSEC Server OAKLEY_MD5 hmac self-test passed
Nov 12 11:44:59 192.168.16.1 IPSEC Server OAKLEY_SHA hash self-test passed
Nov 12 11:44:59 192.168.16.1 IPSEC Server OAKLEY_SHA hmac self-test passed
Nov 12 11:44:59 192.168.16.1 IPSEC Server OAKLEY_SHA2_256 hash self-test passed
Nov 12 11:44:59 192.168.16.1 IPSEC Server OAKLEY_SHA2_256 hmac self-test passed
Nov 12 11:44:59 192.168.16.1 IPSEC Server OAKLEY_SHA2_384 hash self-test passed
Nov 12 11:44:59 192.168.16.1 IPSEC Server OAKLEY_SHA2_384 hmac self-test passed
Nov 12 11:44:59 192.168.16.1 IPSEC Server OAKLEY_SHA2_512 hash self-test passed
Nov 12 11:44:59 192.168.16.1 IPSEC Server OAKLEY_SHA2_512 hmac self-test passed
Nov 12 11:44:59 192.168.16.1 IPSEC Server All crypto self-tests passed
Nov 12 11:44:59 192.168.16.1 IPSEC Server Using Linux 2.6 IPsec interface code
Nov 12 11:44:59 192.168.16.1 IPSEC Server Changing to directory '/etc/ipsec.d/cacerts'
Nov 12 11:44:59 192.168.16.1 IPSEC Server Changing to directory '/etc/ipsec.d/aacerts'
Nov 12 11:44:59 192.168.16.1 IPSEC Server Changing to directory '/etc/ipsec.d/ocspcerts'
Nov 12 11:44:59 192.168.16.1 IPSEC Server Changing to directory '/etc/ipsec.d/crls'
Nov 12 11:44:59 192.168.16.1 IPSEC Server Changing to directory '/etc/ipsec.d/acerts'
Nov 12 11:44:59 192.168.16.1 IPSEC Server listening for IKE messages
Nov 12 11:44:59 192.168.16.1 IPSEC Server adding interface lo/lo 127.0.0.1:500
Nov 12 11:44:59 192.168.16.1 IPSEC Server adding interface eth1/eth1 192.168.16.1:500
Nov 12 11:44:59 192.168.16.1 IPSEC Server adding interface eth0/eth0 192.168.15.2:500
Nov 12 11:44:59 192.168.16.1 IPSEC Server loading secrets from "/etc/ipsec.secrets"
Nov 12 11:44:59 192.168.16.1 IPSEC Server added connection description "firewall.foo.local__GT__kd_4"
Das Gate gegenüber hat die Bezeichnung "kd".
Ist dies die Bestättigung das mein Tunnel steht. Ich erwartete eigentlich so etaws wie connection establish oder successfull
Klaus
der logauszug zeigt, dass bisher lediglich der ipsec-deamon gestartet bzw. die interfaces für ipsec initialisiert wurden.
ist der Tunnel auf "automatisch starten" eingestellt?
ist der Tunnel auf "automatisch starten" eingestellt?
Zuletzt geändert von achim am Mi 14.11.2007, 17:05, insgesamt 1-mal geändert.
Ja der Tunnel ist auf automatik eingestellt. Ich hatte da auch bei weiteren Test die als letzte Zeile im Log so was wie "Main Mode". Kann es leider nicht mehr genau wiedergeben, bin zu Zeit noch an einer andern Sache die mich sehr in Anspruch nimmt.
Vieleicht sagt Dir das ja etwas.
Danke Klaus
Vieleicht sagt Dir das ja etwas.
Danke Klaus