IPSec VPN Site-to-Site mehr Netzwerke

kidoro · Beitrag von **kidoro** » Di 22.04.2025, 16:01

Hallo zusammen,

IPSec VPN Site-to-Site ist eingestellt. Braucht man aber mehr Netzwerke von Hauptverwaltung erreichen.
in Phase 2 sind Netzwerke eingetragen

Trotzdem bei Verbindung gehen nur erste zwei Netzwerk-Verbindungen.

Code: Alles auswählen

03[IKE] <#deleted#|3> CHILD_SA #deleted#_9{1} established with SPIs cf63f237_i 4fa785da_o and TS 192.168.114.0/24===192.168.15.0/24
08[IKE] <#deleted#|3> CHILD_SA #deleted#_6{2} established with SPIs ca4bec92_i 4fa785db_o and TS 192.168.14.0/24===192.168.15.0/24

Zwei unterere zeigt "Down"

Code: Alles auswählen

ipsec_cmd: execution of swanctl returned: initiate failed: establishing CHILD_SA '#deleted#_6' failed

Kann man bei Securepoint nicht mehr als 2 Netzwerke mit IPSec verbinden?

Mit "Subnetzkombinationen gruppieren:" geht auch nur 2 Netzwerke.

Mit freundlichen Grüßen,
kidoro

Beitrag von **jansc** » Di 22.04.2025, 17:31

Die Anzahl der Verbindungen in Phase zwei sollte hier keinen Einfluss haben.

Hier sollten Sie einmal die Gegenstelle prüfen, ob die IPs auch dort korrekt hinterlegt sind.

Auch ein Blick ins Log (Loglevel: Ausführlich) könnte einen Hinweis geben

kidoro · Beitrag von **kidoro** » Mi 23.04.2025, 10:00

Hallo

Code: Alles auswählen

23.04.2025 09:51:13
IPSec
07[CFG] <fw-mensa-central|1> proposing traffic selectors for us:
23.04.2025 09:51:13
IPSec
07[CFG] <fw-mensa-central|1> 192.168.14.0/24
23.04.2025 09:51:13
IPSec
07[CFG] <fw-mensa-central|1> proposing traffic selectors for other:
23.04.2025 09:51:13
IPSec
07[CFG] <fw-mensa-central|1> 192.168.15.0/24
23.04.2025 09:51:13
IPSec
07[CFG] <fw-mensa-central|1> candidate "fw-mensa-central_6" with prio 7+7
23.04.2025 09:51:13
IPSec
07[CFG] <fw-mensa-central|1> proposing traffic selectors for us:
23.04.2025 09:51:13
IPSec
07[CFG] <fw-mensa-central|1> 192.168.14.0/24
23.04.2025 09:51:13
IPSec
07[CFG] <fw-mensa-central|1> proposing traffic selectors for other:
23.04.2025 09:51:13
IPSec
07[CFG] <fw-mensa-central|1> 192.168.6.0/24
23.04.2025 09:51:13
IPSec
07[CFG] <fw-mensa-central|1> proposing traffic selectors for us:
23.04.2025 09:51:13
IPSec
07[CFG] <fw-mensa-central|1> 192.168.14.0/24
23.04.2025 09:51:13
IPSec
07[CFG] <fw-mensa-central|1> proposing traffic selectors for other:
23.04.2025 09:51:13
IPSec
07[CFG] <fw-mensa-central|1> 192.168.11.0/24
23.04.2025 09:51:13
IPSec
07[CFG] <fw-mensa-central|1> proposing traffic selectors for us:
23.04.2025 09:51:13
IPSec
07[CFG] <fw-mensa-central|1> 192.168.114.0/24
23.04.2025 09:51:13
IPSec
07[CFG] <fw-mensa-central|1> found matching child config "fw-mensa-central_6" with prio 14

Beitrag von **Mario** » Di 29.04.2025, 10:41

"Subnetzkombinationen gruppieren:" nur verwenden, wenn die Gegenstelle das auch beherrscht.
Und auf beiden Seiten die SAs entsprechend gespiegelt konfigurieren. Nicht solche Späße wie:

Securepoint UTM:

SA1: 192.168.175.0/24 <> 192.168.100.0/24
SA2: 192.168.175.0/24 <> 192.168.101.0/24

<>

X-Hersteller UTM: 0.0.0.0/0 <> 192.168.175.0/24