Hallo,
Ich habe ein Problem mit der Einrichtung einer IPsec Lan2Lan VPN-Verbindung.
Standort A:
Draytek 2910
Dynamische IP + Dyndns
Standort B:
Securepoint Black Dwarf
Feste IP
L2L soll vom Draytek aufgebaut werden, funktioniert auch wenn auf der Black Dwarf bei Phase1 - Allgemein beim Punkt "Remote Host/ Gateway ID" die IP des Draytek eingetragen ist. Die ändert sich natürlich nach jeder Neueinwahl. Was muss ich dort eintragen, damit die Verbindung auch von wechelnden IPs aufgebeut werden kann?
Hier ein Auszug aus den Logs:
responding to Main Mode
NAT-Traversal: Result using RFC 3947: no NAT detected
ignoring informational payload, type IPSEC_INITIAL_CONTACT
Peer ID is ID_IPV4_ADDR: '79.196.35.1'
no suitable connection for peer '79.196.35.1'
sending encrypted notification INVALID_ID_INFORMATION to 79.196.35.1:500
ignoring informational payload, type IPSEC_INITIAL_CONTACT
IPsec zwischen Draytek Router und SecurePoint
Moderator: Securepoint
-
- Beiträge: 8
- Registriert: Mo 27.12.2010, 15:33
Hallo,
mit DrayTek hab ich noch nicht gearbeitet, aber bei (fast) allen VPN-Gateways kann ich die Local-ID auf einen FQDN setzen (Standard ist meistens IP), und somit auch eine dyndns-Adresse (z.B. xyz.dyndns.org) eintragen.
Auf der Securepoint-Seite steht dann in "entfernte Host/Gateway" "xyz.dyndns.org", und in "entfernet Host/Gateway-ID" "@xyz.dyndns.org" (das @ ist wichtig) und der Haken für DynDns Name ist gesetzt.
Grüße!
mit DrayTek hab ich noch nicht gearbeitet, aber bei (fast) allen VPN-Gateways kann ich die Local-ID auf einen FQDN setzen (Standard ist meistens IP), und somit auch eine dyndns-Adresse (z.B. xyz.dyndns.org) eintragen.
Auf der Securepoint-Seite steht dann in "entfernte Host/Gateway" "xyz.dyndns.org", und in "entfernet Host/Gateway-ID" "@xyz.dyndns.org" (das @ ist wichtig) und der Haken für DynDns Name ist gesetzt.
Grüße!
Zuletzt geändert von merlin am Mo 27.12.2010, 16:51, insgesamt 1-mal geändert.
-
- Beiträge: 8
- Registriert: Mo 27.12.2010, 15:33
Laut Draytek soll das nur im Agressive Mode, und der wird von Securepoint ja nicht unterstützt.
Aber muss ich denn eine eindeutige ID dort angeben?
Aber muss ich denn eine eindeutige ID dort angeben?
Hallo,
man muss nicht zwingend eine explizite Remote ID angeben. Die Verbindung kommt auch zustande, wenn man als RemoteHost "any" und als Remote ID "0.0.0.0" angibt.
ABER ACHTUNG: werden danach weitere ipsec-VPNs angelegt dann müssen alle den gleichen PSK wie diese haben.
man muss nicht zwingend eine explizite Remote ID angeben. Die Verbindung kommt auch zustande, wenn man als RemoteHost "any" und als Remote ID "0.0.0.0" angibt.
ABER ACHTUNG: werden danach weitere ipsec-VPNs angelegt dann müssen alle den gleichen PSK wie diese haben.
Such dir einen Beruf den du liebst und du musst nie wieder arbeiten! (chinesische Weisheit)
-
- Beiträge: 8
- Registriert: Mo 27.12.2010, 15:33
Hallo,
ja so wird die Verbindung aufgebaut.
Bestünde dieses Problem auch bei der Verwendung von Zertifikaten? Müssten dann alle Gegenstellen das selbe Zertifikat verwenden?
ja so wird die Verbindung aufgebaut.
Bestünde dieses Problem auch bei der Verwendung von Zertifikaten? Müssten dann alle Gegenstellen das selbe Zertifikat verwenden?