Hallo Zusammen,
bin gerade am IPSEC austesten.
habe eine IPSEC verbindung mit zwei securepoint firewall aufgebaut, beide mit festen ip adressen. (nach anleitung)
unter ipsec verbindung zeigt mir die weboberfläche eine bestehende verbindung an.
leider kann ich die andere seite von keiner firewall ansprechen.
mit dem befehl tcpdump -i eth0 -nnp proto 1 bekomme ich kein replay angezeigt.
hier die angaben zu meiner config:
standort1
ip: 10.10.10.1 / 24 (firewall ip intern)
standort2
ip: 10.1.0.0 /16 (firewall ip intern)
unter hide-nat:
standort1
quelle = internal network
schnitstelle = eth0 (feste ip)
ziel = standort2
exclude
standort2
quelle = internal network
schnitstelle = eth0 (feste ip)
ziel = standort1
exclude
unter portfilter
standort1
internetn -> external interface -> ipsec
ipsec -> internal network -> any
internal network -> ipsec -> any
standort2
internetn -> external interface -> ipsec
ipsec -> internal network -> any
internal network -> ipsec -> any
ipsec verbindungen
standort1
phase 1
lokales gateway = eth0
route over = leer
local gateway id = eth0
remote host = ip adresse standort 2
remote host id = ip adresse standort 2
initiere verbindung = an
phase 2
lokales netz = 10.10.10.0
lokales maske = 24
remote netz = 10.1.0.0
remote maske = 16
standort2
phase1
lokales gateway = eth0
route over = leer
local gateway id = eth0
remote host = ip adresse standort 1
remote host id = ip adresse standort 1
initiere verbindung = aus
phase 2
lokales netz = 10.1.0.0
lokales maske = 16
remote netz = 10.10.10.0
remote maske = 24
netzwerkobjekte
standort1
VPN-Netz
ip-adresse = 10.1.0.0 / 16
zone = ipsec
nat = aus
standort2
VPN-Netz
ip-adresse = 10.10.10.0 / 24
zone = ipsec
nat = aus
über tipps und mögliche fehler oder sogar einer lösung würde ich mich freuen!!!!
DANKE
IPSEC Site to Site
Moderator: Securepoint
Wenn der Tunnel zwischen beiden Standorten etabliert ist, liegt das Problem
a) an fehlerhaften Firewall-Regeln und/oder Zonen
- dann sehen Sie im Log, dass Pakete verworfen werden
b) an einem fehlerhaften HideNAT
- dann sehen Sie mit tcpdump auf dem externen Interface der sendenden Seite ICMP-Echo-Requests mit einer öffentlichen IP als Quelle
c) daran, dass das Zielsystem nicht antwortet
- finden Sie auch mit tcpdump heraus (empfangende Seite, internes Interface)
d) dass der sendende Client nicht über die Firewall kommuniziert
- Routen auf dem Client prüfen
a) an fehlerhaften Firewall-Regeln und/oder Zonen
- dann sehen Sie im Log, dass Pakete verworfen werden
b) an einem fehlerhaften HideNAT
- dann sehen Sie mit tcpdump auf dem externen Interface der sendenden Seite ICMP-Echo-Requests mit einer öffentlichen IP als Quelle
c) daran, dass das Zielsystem nicht antwortet
- finden Sie auch mit tcpdump heraus (empfangende Seite, internes Interface)
d) dass der sendende Client nicht über die Firewall kommuniziert
- Routen auf dem Client prüfen