IPsec zwischen Draytek Router und SecurePoint

Moderator: Securepoint

Gesperrt
JAHoeppner
Beiträge: 8
Registriert: Mo 27.12.2010, 15:33

IPsec zwischen Draytek Router und SecurePoint

Beitrag von JAHoeppner »

Hallo,
Ich habe ein Problem mit der Einrichtung einer IPsec Lan2Lan VPN-Verbindung.

Standort A:
Draytek 2910
Dynamische IP + Dyndns

Standort B:
Securepoint Black Dwarf
Feste IP

L2L soll vom Draytek aufgebaut werden, funktioniert auch wenn auf der Black Dwarf bei Phase1 - Allgemein beim Punkt "Remote Host/ Gateway ID" die IP des Draytek eingetragen ist. Die ändert sich natürlich nach jeder Neueinwahl. Was muss ich dort eintragen, damit die Verbindung auch von wechelnden IPs aufgebeut werden kann?

Hier ein Auszug aus den Logs:

responding to Main Mode
NAT-Traversal: Result using RFC 3947: no NAT detected
ignoring informational payload, type IPSEC_INITIAL_CONTACT
Peer ID is ID_IPV4_ADDR: '79.196.35.1'
no suitable connection for peer '79.196.35.1'
sending encrypted notification INVALID_ID_INFORMATION to 79.196.35.1:500
ignoring informational payload, type IPSEC_INITIAL_CONTACT

merlin
Beiträge: 263
Registriert: So 01.07.2007, 12:34
Wohnort: Erlangen

Beitrag von merlin »

Hallo,

mit DrayTek hab ich noch nicht gearbeitet, aber bei (fast) allen VPN-Gateways kann ich die Local-ID auf einen FQDN setzen (Standard ist meistens IP), und somit auch eine dyndns-Adresse (z.B. xyz.dyndns.org) eintragen.
Auf der Securepoint-Seite steht dann in "entfernte Host/Gateway" "xyz.dyndns.org", und in "entfernet Host/Gateway-ID" "@xyz.dyndns.org" (das @ ist wichtig) und der Haken für DynDns Name ist gesetzt.

Grüße!
Zuletzt geändert von merlin am Mo 27.12.2010, 16:51, insgesamt 1-mal geändert.

JAHoeppner
Beiträge: 8
Registriert: Mo 27.12.2010, 15:33

Beitrag von JAHoeppner »

Laut Draytek soll das nur im Agressive Mode, und der wird von Securepoint ja nicht unterstützt. :'(

Aber muss ich denn eine eindeutige ID dort angeben?

Andreas
Securepoint
Beiträge: 127
Registriert: Di 18.03.2008, 15:56
Wohnort: Wrestedt
Kontaktdaten:

Beitrag von Andreas »

Hallo,

man muss nicht zwingend eine explizite Remote ID angeben. Die Verbindung kommt auch zustande, wenn man als RemoteHost "any" und als Remote ID "0.0.0.0" angibt.

ABER ACHTUNG: werden danach weitere ipsec-VPNs angelegt dann müssen alle den gleichen PSK wie diese haben.
Such dir einen Beruf den du liebst und du musst nie wieder arbeiten! (chinesische Weisheit)

JAHoeppner
Beiträge: 8
Registriert: Mo 27.12.2010, 15:33

Beitrag von JAHoeppner »

Hallo,
ja so wird die Verbindung aufgebaut.

Bestünde dieses Problem auch bei der Verwendung von Zertifikaten? Müssten dann alle Gegenstellen das selbe Zertifikat verwenden?

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Nein, bei der Verwendung von Zertifikaten können Sie wie gewohnt ein Zertifikat pro Gegenstelle verwenden.

Gesperrt