IPSec Site-to-Site: nur einseitige Verbindung möglich.

Moderator: Securepoint

Gesperrt
rkkh-ffm
Beiträge: 27
Registriert: Mi 21.01.2009, 09:19
Wohnort: Frankfurt am Main

IPSec Site-to-Site: nur einseitige Verbindung möglich.

Beitrag von rkkh-ffm »

Hallo, wertes Support Team!

Ich habe da (mal wieder) ein Problem mit dem IPSec.

Folgende Situation:


Unsere IPSec Config hat NAT-Traversal eingeschaltet und läuft auf 2 unserer öffentlicen IPs

Wir haben eine Supporter, der mittel IPSec/IKE1/PSK über die Securepoint Ver.10.3.2 an unser Hausnetz angebunden ist.
* Er hat eine öffentliche IP als Gateway 195.x.y.1 sowie ein öffentliches Netz als verbundenes Netz auf der Gegenseite 195.x.y.16/29.
* Unsere IP sei die 218.x.y.130 (eine sekundäre IP), das interne Netz die 10.a.b.0/24.
* Desweiteren gibt's ein Paar Filterregeln, die den Zugriff nur auf einen kleineren Bereich unserers Netzes zulässt.
* Automatische FW-Regeln sind hier deaktiviert.
* Die Hardware des Supports ist unbekannt, wahrscheinlich Cis*o o.ä...
Diese Verbindung funktioniert einwandfrei.

Jetzt benötigen wir aber noch eine weiteren IPSec-Verbindung zu einem Kommunikationspartner.

Ich habe also nicht faul, gemäß der Anleitung eine Teststellung gemacht:
IPSec-Tunnel, wieder PSK/IKE1, diesmal mit automatischen , aber damit geht der Spaß erst los:

Die Gegenstelle hat, wie das auch sein soll, den gewünschten Zugriff auf unser Netz.
Die umgekehrte Fall, von unserem Netz an die Gegenstelle geht nicht!

Das Interessante dabei ist aber jetzt: die Pakete (Traceroute ist mein Freund) beschreiben folgenden Weg:

Code: Alles auswählen

PC -> Hausinterner Router -> FW -> GW unseres Providers-> private Adresse (192.168.x.1, in keinem der drei bekannten Netz!)
Dort bleibt die Verbindung hängen:

Code: Alles auswählen

EK@LinuxPC~$ ping 10.A.B.123
From 192.168.x.1 icmp_seq=1 Destination Host Unreachable
From 192.168.x.1 icmp_seq=2 Destination Host Unreachable
From 192.168.x.1 icmp_seq=3 Destination Host Unreachable
Deaktivieren der automatiscehn FW-Regeln und setzen dedizierter REgeln hilft auch nichts, auch nicht, wenn ich sie an oberste Stelle im Regel-Stack lege.

Das Partnernetz ist nicht im Hausnetz bekannt, es gibt keine expliziten Routen dorthin.

Für mich scheit es so, als würden von innen initiierte Pakete nicht durch den Tunnel sondern über das Defaultgateway der Securepoint gehen. Die vom Partnernetz aus versandten Pakete werden jedoch korrekt verarbeitet und auch korrekt zurückgeroutet!

Ich zerbreche mit schon fast eine Woche den Kopf, weiß aber definitiv nicht mehr weiter...

Habt Ihr eine Idee???

--
E. Kelm
Understanding is a three edged sword.
Nach oben
Benutzeravatar
Erik
Securepoint
Beiträge: 1481
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Da fehlt die HideNAT Ausnahme:

Internes Netz -> externes Interface -> IPSec-Netz -> Exclude

Dass das in die Gegenrichtung funktioniert ist normal (Stichwort: Connection-Tracking)
Nach oben
rkkh-ffm
Beiträge: 27
Registriert: Mi 21.01.2009, 09:19
Wohnort: Frankfurt am Main

Beitrag von rkkh-ffm »

Super, passt! Ich glaube, ich werde langsam Betriebsblind :-)

Besten Dank!

--
E. Kelm
Understanding is a three edged sword.
Nach oben
Gesperrt

Zurück zu „Security Solutions v10“