Hallo zusammen,
seit einigen Tage habe ich ein VPN zwischen zwei R2's laufen. Beide vollkommen identisch was den Patchlevel etc betrifft (aktuell halt).
Die eine Seite ist als CA eingerichtet und hat auch ein Cert fuer die Gegenseite bereitgestellt. Selbige Daten (Public-Cert und Cert fuer den Client) habe ich auf die 2. SP transferiert.
Wenn ich in der VPN-Konfig auf "Aktualisieren" gehe, wird der Tunnel auch sauber aufgebaut. Aber nach einem DSL-reconnect ist dann Ende. Die beiden versuchen zwar miteinander zu reden, aber der Aufbau wird mit "no acceptable response" auf der CA-Seite beendet.
Erst wenn ich wieder manuell eingreife (VPN-Aktualisieren) gehts wieder.
Den "Tweak" mit den Keying-Tries von 1 auf 0 habe ich schon durch. Ich sehe auch das die beiden Systeme nicht nur einen Versuch starten und dann einschlafen.
Die Namensaufloesung der dyndns-Eintraege stimmt auf beiden Seiten.
Also ich habe im Moment keine Ahnung was das noch sein koennte.......
Gruss
M.Goeres
IPSEC von R2 zu R2 mit DynDNS und Certs
Moderator: Securepoint
IPSEC von R2 zu R2 mit DynDNS und Certs
Die Welt wird nicht bedroht von den Menschen, die böse sind, sondern von denen, die das Böse zulassen
- Albert Einstein -
- Albert Einstein -
hallo,
auf beiden seiten als remote id jeweils den der_asn.1_dn als id
eintragen.
auf beiden seiten als remote id jeweils den der_asn.1_dn als id
eintragen.
best regards
oliver hausmann
--
Securepoint GmbH
oliver hausmann
--
Securepoint GmbH
Hallo Herr Hausmann,
da steige ich nicht ganz durch.
Das "Subject" ist doch der_asn.1_dn ID-Eintrag oder?
Ich kann den Tunnel auch sauber initiieren, ohne CERT-Fehler oder aehnliches aber nur wenn ich auf beiden Seiten das VPN aktualisiere.
Gruss
M.Goeres
da steige ich nicht ganz durch.
Das "Subject" ist doch der_asn.1_dn ID-Eintrag oder?
Ich kann den Tunnel auch sauber initiieren, ohne CERT-Fehler oder aehnliches aber nur wenn ich auf beiden Seiten das VPN aktualisiere.
Gruss
M.Goeres
Die Welt wird nicht bedroht von den Menschen, die böse sind, sondern von denen, die das Böse zulassen
- Albert Einstein -
- Albert Einstein -
hallo,
ja, das ist richtig, funktioniert aber beim erneuten verbindungsaufbau nicht.
als remote id muessen sie den string der gegenstelle eintragen.
ja, das ist richtig, funktioniert aber beim erneuten verbindungsaufbau nicht.
als remote id muessen sie den string der gegenstelle eintragen.
best regards
oliver hausmann
--
Securepoint GmbH
oliver hausmann
--
Securepoint GmbH
sry.....ich seh' anscheinend den Wald vor lauter Baeumen nicht :shock: :
Etwas detaillierter, was konfiguriert wurde:
Also SP1 = CA
Hier wurde das Server-Cert erstellt und das Client-Cert erstellt.
Von dieser SP wurde das Client-Cert und und die CA exportiert und auf die SP2 portiert.
Nun der Tunnel:
- An den Algorithmen habe ich nicht "gefummelt"...ist alles Standard.
Im Tunnel wird "Cert" und "Subject" zur IKE definiert.
- Die Subnetze auf Class-C fuer die jeweiligen Seiten.
Nun die Certs auf den jeweiligen Seiten:
SP1 (CA-Seite):
Lokales Zertifikat: Server-Cert
Entfernter Host: namedesgw.dyndns.org
Entfernte Gateway-ID: Subject des Client-Certs (was auf der anderen Seite importiert wurde)
SP2 (Client-Seite):
Lokales Zertifikat: Client-Zertifikat
Entfernter Host: nocheingw.dyndns.org
Entfernte Gateway-ID: Subject des Server-Certs
Das also kann nicht funktionieren, oder "nur einmal", oder wie muss ich das verstehen?
Klingt vielleicht vermessen, aber ein How-To hierfuer waere toll.
Ich schreibe und teste das auch gerne, nur muss ich das irgendwie mal an den Start kriegen, denn anscheinend hilft der "geistige Zusammenbau" der bestehenden How-To's (L2TP + Certs etc.) nicht, es auf andere Einsatzzwecke zu portieren.
Gruss
M.Goeres
Etwas detaillierter, was konfiguriert wurde:
Also SP1 = CA
Hier wurde das Server-Cert erstellt und das Client-Cert erstellt.
Von dieser SP wurde das Client-Cert und und die CA exportiert und auf die SP2 portiert.
Nun der Tunnel:
- An den Algorithmen habe ich nicht "gefummelt"...ist alles Standard.
Im Tunnel wird "Cert" und "Subject" zur IKE definiert.
- Die Subnetze auf Class-C fuer die jeweiligen Seiten.
Nun die Certs auf den jeweiligen Seiten:
SP1 (CA-Seite):
Lokales Zertifikat: Server-Cert
Entfernter Host: namedesgw.dyndns.org
Entfernte Gateway-ID: Subject des Client-Certs (was auf der anderen Seite importiert wurde)
SP2 (Client-Seite):
Lokales Zertifikat: Client-Zertifikat
Entfernter Host: nocheingw.dyndns.org
Entfernte Gateway-ID: Subject des Server-Certs
Das also kann nicht funktionieren, oder "nur einmal", oder wie muss ich das verstehen?
Klingt vielleicht vermessen, aber ein How-To hierfuer waere toll.
Ich schreibe und teste das auch gerne, nur muss ich das irgendwie mal an den Start kriegen, denn anscheinend hilft der "geistige Zusammenbau" der bestehenden How-To's (L2TP + Certs etc.) nicht, es auf andere Einsatzzwecke zu portieren.
Gruss
M.Goeres
Die Welt wird nicht bedroht von den Menschen, die böse sind, sondern von denen, die das Böse zulassen
- Albert Einstein -
- Albert Einstein -
gibts hier schon ne lösung?
wir haben exakt das gleiche Problem. Die Einrichtung wurde ebenso wie im letzten post von Herrn Goeres beschrieben durchgeführt.
gruß
Achim
wir haben exakt das gleiche Problem. Die Einrichtung wurde ebenso wie im letzten post von Herrn Goeres beschrieben durchgeführt.
gruß
Achim
leider besteht das Problem noch immer.
Mit freundlichen Grüßen
Dallas
Mit freundlichen Grüßen
Dallas
Some people want it to happen, some wish it would happen, others make it happen.