securepoint 10 l2tp-ipsec vpn

[kidlark]

Hallo Forum,

ich habe mir zu meiner eigenen Anschauung und um für ein anstehendes Projekt mein Securepoint Knowhow aufzufrischen in einer virtuellen maschine eine securepoint 10 instanz angelegt.

um zu testzwecken eine vpn verbindung anzulegen, habe ich mir das how-to_vpn_l2tp_roadwarrior_windows7client.pdf herunter geladen und arbeite das durch.

Ich komme bis zu folgendem Punkt:

Seite 16 Firewallregel Internet External Interface Dienst VPN Accept.
Ich lege diese und die zweite Regel an:
Regel L2TP_Netz Internal Network -- any

Klicke ich dann auf den Punkt Regelupdat erhalte ich eine Fehlermeldung:

Bei der Datenübertragung ist ein Fehler aufgetreten --Error in rule 5 (Nr. der Regel Internet External interface).

Diese Fehlermeldung ist etwas frustrierend. Ich habe das jetzt schon zwei dreimal durch konfiguriert und komme immer bis zu diesem Punkt.

Kleine Anmerkung am Rande, falls jemand von Securepoint das so liest:

Die Übereinstimmung der Screenshots aus dem Howto, mit den wirklichen Fenstern und Menüs des Securepoint Sec. Manager 10 Build 104 sind eher zufällig.

Gruesse und Danke,

Georg

[Erik]

Guten Tag,
die Screenshots in der PDF-Datei sind aus dem Webinterface. Deshalb sehen die nur "eher zufällig" gleich aus.

Zum Problem:
Meine Vermutung geht in Richtung fehlerhaftes Netzwerkobjekt oder Dienst (Firewall -> Dienste). Schauen Sie dort nach falschen IP-Addressen, Subnetzmasken oder Portangaben.

[kidlark]

Hallo Forum,
Hallo Eric,

ich habe mittlerweile ff. getan:

Anlage zweier Gruppen:
Grp-ext_Iface:
Mitglied
1 Host:
externes_Iface
IP 172.16.252.1 Maske Host, Zone firewall external

Grp-VPN-Netz
Mitglied
VPN-Netz, IP 192.168.175.0/24 Zone vpn-ipsec



Ich habe drei Regeln definert:
Von Nach Dienst Accept
Internet Grp-ext_Iface vpn ja
Internet Grp-ext_Iface ipsec ja
GRP-VPN-Netz Internal-Network any ja



Loging für beide VPN-Regeln auf Long, andere auf short

Starte ich auf meinem Laptop die Einwahl (Windows XP, Netzwerkverbindungen VPN Einwahl) so wird die eingehende Verbindung von der Firewall gedropt



(default) IN=eth0 OUT=MAC= ....... SRC 172.16.252.19 DST=172.16.252.1 LEN=131 TOS=0x00 TTL=128 ID=21474 PROTO=UDP SPT=1701 DPT=1701 LEN=111

Ich komme einfach nicht drau woran es hängt.

Ein VPN-Konfiguration bei den IPSec oder L2TO-Parametern schliesse ich noch aus, mein Laptop versucht ja die Verbindung aufzubauen, aber die FW drop den Traffic.

Grosse Rätsel,

Georg

[A. Rietz]

Nabend Georg,

so wie es aussieht versucht dein Win XP sich per PPTP einzuwählen.
Steht die VPN Config am Client auf Automatisch so versucht XP direkt per PPTP die Einwahl durchzuführen.

Nachdem am Client auf L2TP umgestellt wurde mit dem Entsprechenden PSK sollte die Einwahl besser funktionieren. Ansonsten nochmal Log Auszüge.

Grüße
A. Rietz

[Erik]

Pakete, die man im Log schon als DROP sehen kann sind zumindest keine unlösbaren Rätsel mehr.
Sind auf eth0 die Zonen external, firewall-external, vpn-ipsec und vpn-ppp gebunden?
Ist in der Gruppe VPN auch wirklich der Dienst "l2tp" enthalten (tcp/Port 1701)?

@ A. Rietz: wie kommen Sie auf PPTP?

[kidlark]

Hallo Erik,

Danke für den Tip mit dem Dienst! Der L2tp-Eintrag fehlt in der vordefinierten VPN- oder IPSec Dienst-Gruppe.
Ich habe das nun hinzugefügt und kann mich jetzt Verbinden.

Danke! Irgendwas scheint mit dem Routing noch nicht zu stimmen, es gehen zwar Packete vom Client übers VPN, aber es kommen keine zurück. Aber das sehe ich mir morgen an. Nochmal danke!

Gruesse Georg

Ev.wäre der Tip ja was fürs HowTo,

[Petasch]

Warum noch keine Kommunikation funktioniert liegt so wie es aussieht an den angelegten Objekt "VPN-Netz". Dort steht die Zone auf vpn-ipsec... probieren Sie doch mal als Zone vpn-ppp einzustellen, dann sollte das auch klappen ;o))

Grüße Martin