Securepoint Support Forum

Securepoint Security Solutions Support Forum
https://support.securepoint.de/

IPSec Verbindungsaufbau klappt nicht :(

https://support.securepoint.de/viewtopic.php?t=1812

Seite 1 von 1

IPSec Verbindungsaufbau klappt nicht :(

Verfasst: Fr 20.07.2012, 14:02
von randyh
Hi,


kann mir evtl. jemand einen Tipp geben zu meiner Konfiguration?!

LAN IP - Firewall - 192.168.100.100
LAN Bereich - 192.168.100.0
Lokale Ziel Adresse (darauf muss zugegriffen werden): 192.168.100.10
Öffentliche IP 217.6.123.123
Partner IP 159.123.123.123
Remote / Partner Netz - 172.22.22.0


Ich habe es mit dem Site-Site Howto erstellt
Optionen:

Phase1
Lokales Gateway - Standardroute
Route over: -
Local Gateway ID: 217.6.123.123
Remote Host/Gateway: 159.123.123.123
DynDNS Name: -
Remote Host/Gateway ID: 159.123.123.123
Authentifizierung: Preshared Key
Lokaler Schlüssel: 123test123
Initiiere Verbindung: +
Kein Re-Keying: -

IKE V2
Verschlüsselung: 3DES
Authentifizierung: sha1
Strict: -
DH Gruppe: 1024
IKE Life: 1 Stunde
Schlüsselversuche: 3 mal

PFS: +
Key Life: 8 Stunden
Firewall Regeln automatisch erstellen: +

Native IPSec
Lokales Netz: 192.168.100.10
Maske: 32
Remote Netz: 172.22.22.0
Remote Maske: 26


Der Fehler:

Code: Alles auswählen

<84>Jul 20 13:58:37 ipsec_starter[22754]: can't reload config file due to errors -- keeping old one
<84>Jul 20 13:58:37 ipsec_starter[22754]: ### 1 parsing error (0 fatal) ###
<84>Jul 20 13:58:37 ipsec_starter[22754]:   bad argument value in conn 'firewall.firma.int__GT__iit_5'
<84>Jul 20 13:58:37 ipsec_starter[22754]: # bad subnet: rightsubnet=/32 [illegal (non-DNS-name) character in name]
<84>Jul 20 13:57:25 pluto[22755]: packet from 159.123.123.123:500: ignoring informational payload, type INVALID_MAJOR_VERSION
Hat evtl. jemand einen Tipp für mich? Oder habe ich irgendwo den Wurm drin?!

besten dank für jeden Tipp! :D

viele Grüße

IPSec Verbindungsaufbau klappt nicht :(

Verfasst: Fr 20.07.2012, 14:50
von Erik
Zum einen haben Sie in der Verbindung mit den Namen "iit" einen ungültigen Eintrag in Phase 2 (Subnetze) und zum anderen haben Sie einen IKEv2-Tunnel konfiguriert, während die Gegenstelle gerne IKEv1 verwenden möchte.

IPSec Verbindungsaufbau klappt nicht :(

Verfasst: Sa 21.07.2012, 10:17
von randyh
super danke für die Info - es hat wirklich die Gegenstelle einfach überlesen, dass IKEv2 Verwendet werden soll...

Die Verbindung steht jetzt! schon mal vielen dank!

Aber ein Problem gibt es noch. Sobald die Verbindung steht - erfolgt kein Maileingang mehr. Das verwirrt mich jetzt schon :)

Im Livelog finde ich jetzt kein Probleme mit einer FW Regel oder so.

192.168.250.2 -> IP Kreis VPN Einwahl für meine aktive PPTP Verbindung

Logs:

Code: Alles auswählen

<84>Jul 21 10:01:24 ipsec_starter[27168]: ipsec starter stopped
<84>Jul 21 10:01:24 ipsec_starter[27168]: charon stopped after 200 ms
<30>Jul 21 10:01:24 charon: 00[DMN] signal of type SIGINT received. Shutting down
<84>Jul 21 10:01:24 ipsec_starter[27168]: pluto stopped after 20 ms
<86>Jul 21 10:01:24 pluto[27169]: received netlink error: Address family not supported by protocol (97)
<84>Jul 21 10:01:24 pluto[27169]: shutting down interface ppp0/ppp0 192.168.250.2
<84>Jul 21 10:01:24 pluto[27169]: shutting down interface ppp0/ppp0 192.168.250.2
<84>Jul 21 10:01:24 pluto[27169]: shutting down interface eth1/eth1 192.168.100.100
<84>Jul 21 10:01:24 pluto[27169]: shutting down interface eth1/eth1 192.168.100.100
<84>Jul 21 10:01:24 pluto[27169]: shutting down interface eth0/eth0 217.123.123.123
<84>Jul 21 10:01:24 pluto[27169]: shutting down interface eth0/eth0 217.123.123.123
<84>Jul 21 10:01:24 pluto[27169]: shutting down interface lo/lo 127.0.0.1
<84>Jul 21 10:01:24 pluto[27169]: shutting down interface lo/lo 127.0.0.1
<84>Jul 21 10:01:24 pluto[27169]: "server.firma.int__GT__Infor-IKEv1_8" #1: deleting state (STATE_MAIN_I4)
<133>Jul 21 10:01:24 vpn: - 159.123.123.123 172.22.22.0/26 == 159.123.123.123 -- 217.123.123.123 == 192.168.100.10/32
<84>Jul 21 10:01:24 pluto[27169]: "server.firma.int__GT__Infor-IKEv1_8" #2: deleting state (STATE_QUICK_I2)
<84>Jul 21 10:01:24 pluto[27169]: "server.firma.int__GT__Infor-IKEv1_8": deleting connection
<84>Jul 21 10:01:24 pluto[27169]: forgetting secrets
<84>Jul 21 10:01:24 pluto[27169]: shutting down

Code: Alles auswählen

<22>Jul 21 10:02:27 sm-mta[29935]: q6L82Pgj029902: to=<Vorname.Nachname@Firma.de>, delay=00:00:00, xdelay=00:00:00, mailer=esmtp, pri=133667, relay=[IP-Exchange] [IP-Exchange], dsn=2.0.0, stat=Sent (<FDA6E507-5D88-48B4-9CD6-9220AA1DB44E@privat.de> Queued mail for delivery)
<22>Jul 21 10:02:27 sm-mta[29935]: STARTTLS=client, relay=[IP-Exchange], version=TLSv1/SSLv3, verify=FAIL, cipher=RC4-MD5, bits=128/128
<22>Jul 21 10:02:27 sm-mta[29902]: q6L82Pgj029902: from=<randyh@privat.de>, size=13667, class=0, nrcpts=1, msgid=<FDA6E507-5D88-48B4-9CD6-9220AA1DB44E@privat.de>, proto=ESMTP, daemon=IPv4, relay=mx94.provider.net [194.88.123.231]
<4>

IPSec Verbindungsaufbau klappt nicht :(

Verfasst: Sa 21.07.2012, 14:06
von Erik
Das Log bzgl der Mail sagt aus "Ich habe eine Mail von mx94.provider.net bekommen und habe sie erfolgreich (2.0.0) an [IP-Exchange] zugestellt". Wenn dann besteht also ein Problem beim Abruf der Mail vom Exchange, aber die Zustellung selber ist (aus Sicht der Firewall) in Ordnung.

Von PPTP steht im ersten Log-Abschnitt auch nichts. Da geht es nur um IPSec: Irgendwas führt dazu, dass der IPSec-Dienst sich beendet.
Ist eine VPN-Verbindung fälschlicherweise an ppp0 gebunden?
In welchem Subnetz ist der SSL-VPN-Dienst konfiguriert? Auch 192.168.250.0/24? Wenn ja sollten Sie das ändern.

IPSec Verbindungsaufbau klappt nicht :(

Verfasst: So 22.07.2012, 11:03
von randyh
hm - ich checke gleich nochmals das log. nicht, dass ich ein falsches Stück kopiert habe :)

SSL-VPN ist nicht konfiguriert. Bisher läuft (problemlos) pptp für die Roadworrior - und jetzt muss eine ipsec verbindung hinzugefügt werden.
Aktuell ist es dann leider so -> mailempfang funktioniert -> starte ich den ipsec dienst wird die verbindung erfolgreich aufgebaut, aber der mailempfang ist tot :(

Beende ich den Dienst laufen alle Emails sofort wieder rein.

192.168.250.0/24 ist der IP Kreis, den ich für die Roadworrior von pptp konfiguriert habe.

IPSec Verbindungsaufbau klappt nicht :(

Verfasst: So 22.07.2012, 16:29
von Erik
Wie definieren Sie denn "der Mailempfang ist tot"? Gibt es Fehlermeldungen im Log (und diesmal wirklich FEHLERmeldungen - Das oben ist ne Allesokmeldung)? Kommt auf Ihrem Server nichts mehr an?

Dass 192.168.250.0/24 ihr PPTP-Netz ist, konnte ich aus dem Log oben auch erkennen. Die Frage ist, ob tun0 auch in diesem Subnetz ist. Standardmäßig ist es das nämlich.

Stellen Sie doch am besten mal das komplette Log irgendwo zur Verfügung (Pastebin/EMail [support@securepoint.de]). Idealerweise mit einem Start des IPSec-Dienstes, dem kompletten Verbindungsaufbau einer PPTP-Verbindung und deren Trennung bzw Beendigung des IPSec-Dienstes.
Alle Zeiten sind UTC+02:00
Seite 1 von 1

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de