Seite 1 von 1
Site to site V11 zu v10
Verfasst: So 17.02.2013, 15:30
von glohr
Hallo,
ich habe bisher immer Roadwarrior VPN Verbindungen hergestellt.
Nun muss ich bei einem Kunden die Werkstatt mit dem Büro verbinden.
Im Büro hat er eine V10 Piranha
In der Werkstatt bekommt er jetzt eine RC100 V11.
Muss ich da jetzt was besonderes beachten. Ich würde das wenn möglich per Secret Key machen.
Site to site V11 zu v10
Verfasst: Mo 18.02.2013, 11:16
von Kenneth
Hallo,
ich gehe mal davon aus dass, es sich um IPSec Site to Site handelt.
Auf beiden Maschinen lassen den IPSec Assistenten durchlaufen lassen und gegebfalls nochmal die Verbindung nach editieren, falls es noch Probleme gibt.
Gruß Kenneth
Site to site V11 zu v10
Verfasst: Mo 18.02.2013, 14:28
von glohr
Ich habe den Assistenten laufen lassen und wenn ich von der V10 aus initiere kommt bei mir im LOG an:
looking for peer configs matching
no matching peer config found
Site to site V11 zu v10
Verfasst: Mo 18.02.2013, 14:55
von Kenneth
Stehen in der Phase 2 Subnetze?
Schon einmal versuche den IPSec Dienst neuzustarten?
Site to site V11 zu v10
Verfasst: Mo 18.02.2013, 17:39
von glohr
In Phase 2 stehen bei Firewall 1: Internes Netz 10.10.1.0/24 Remote Netzwerk 192.168.0.0/24
bei Firewall 2 Internes Netz: 192.168.0.0/24 Remote Netz: 10.10.1.0/24
IPSEC Dienst wurde neu gestartet
Site to site V11 zu v10
Verfasst: Mo 18.02.2013, 18:04
von glohr
hier hab ich noch ne Meldung
packet from 84.57.139.225:500: initial Main Mode message received on 46.237.192.99:500 but no connection has been authorized with policy=PSK
Gruß heiko
Site to site V11 zu v10
Verfasst: Mo 18.02.2013, 18:56
von Kenneth
Dann stimmt da was noch nicht in der Phase 1 überein
Site to site V11 zu v10
Verfasst: Mo 18.02.2013, 19:18
von glohr
Ich hab jetzt die Verbindungen nochmal komplett neu angelegt.
an der V10 wird jetzt Status 1/1 angezeigt und der Punkt ist grün.
Auf meiner V11 aber ist der Punkt grau.
Wenn ich versuche einen Server im Kundennetz anzupingen komm ich nicht hin.
Muss ich jeweils noch Netzwerobjekte anlegen?
Site to site V11 zu v10
Verfasst: Mo 18.02.2013, 19:58
von glohr
Ich muss noch hinzufügen:
Von der Netzwerkseite der SP V10 zu meinem Netzwerk kann ich z.B. meinen Server pingen:
Da wird ja auch die Verbindung grün gezeigt.
Von meinem Netzwerk SP V11 kann ich aber des entfernte Netzwerk nicht pingen?
Site to site V11 zu v10
Verfasst: Mi 20.02.2013, 11:21
von Kenneth
Hallo,
haben Sie ein Netzwerkobjekt mit dem IP Kreis der v10 auf der v11 erstellt und damit eine Regel:
Internal Network => IPSec_Netz_v10 = any
NAT Modus:
Hidenat Exclude und da das Objekt "External Interface"
erstellt?
Site to site V11 zu v10
Verfasst: Mi 20.02.2013, 13:49
von glohr
Hallo,
ja, habe ich in der Zwischenzeit gemacht und es funktioniert jetzt auch.
Was mir noch Probleme bereitet ist die DNS Auflösung ins Kundennetz.
Das teste ich aber wenn ich die Kunden Firewall ausliefere.
Noch eine wichtige Frage.
Muss ich beim Kunden in der Werkstatt ein anderes Netzwerk zb. 192.168.1.0 nehmen oder kann ich auch dasselbe 192.168.0.0 Netzwerk nehmen.
Gruß heiko
Site to site V11 zu v10
Verfasst: Mi 20.02.2013, 16:33
von Kenneth
Hallo,
auf beiden Seiten müssen verschiedene Subnetze sein, sonst es Probleme mit dem IPSec Dienst
Site to site V11 zu v10
Verfasst: Mi 20.02.2013, 16:58
von glohr
ok,
hab ich mir gedacht.
danke!!!
gruß Heiko