Securepoint Support Forum

Hallo zusammen,
seit einigen Tage habe ich ein VPN zwischen zwei R2's laufen. Beide vollkommen identisch was den Patchlevel etc betrifft (aktuell halt).

Die eine Seite ist als CA eingerichtet und hat auch ein Cert fuer die Gegenseite bereitgestellt. Selbige Daten (Public-Cert und Cert fuer den Client) habe ich auf die 2. SP transferiert.

Wenn ich in der VPN-Konfig auf "Aktualisieren" gehe, wird der Tunnel auch sauber aufgebaut. Aber nach einem DSL-reconnect ist dann Ende. Die beiden versuchen zwar miteinander zu reden, aber der Aufbau wird mit "no acceptable response" auf der CA-Seite beendet.
Erst wenn ich wieder manuell eingreife (VPN-Aktualisieren) gehts wieder.

Den "Tweak" mit den Keying-Tries von 1 auf 0 habe ich schon durch. Ich sehe auch das die beiden Systeme nicht nur einen Versuch starten und dann einschlafen.

Die Namensaufloesung der dyndns-Eintraege stimmt auf beiden Seiten.
Also ich habe im Moment keine Ahnung was das noch sein koennte.......

Gruss

M.Goeres

hallo,

auf beiden seiten als remote id jeweils den der_asn.1_dn als id
eintragen.

Hallo Herr Hausmann,
da steige ich nicht ganz durch.
Das "Subject" ist doch der_asn.1_dn ID-Eintrag oder?
Ich kann den Tunnel auch sauber initiieren, ohne CERT-Fehler oder aehnliches aber nur wenn ich auf beiden Seiten das VPN aktualisiere.

Gruss

M.Goeres

hallo,

ja, das ist richtig, funktioniert aber beim erneuten verbindungsaufbau nicht.
als remote id muessen sie den string der gegenstelle eintragen.

sry.....ich seh' anscheinend den Wald vor lauter Baeumen nicht :shock: :

Etwas detaillierter, was konfiguriert wurde:

Also SP1 = CA
Hier wurde das Server-Cert erstellt und das Client-Cert erstellt.
Von dieser SP wurde das Client-Cert und und die CA exportiert und auf die SP2 portiert.

Nun der Tunnel:

- An den Algorithmen habe ich nicht "gefummelt"...ist alles Standard.
Im Tunnel wird "Cert" und "Subject" zur IKE definiert.
- Die Subnetze auf Class-C fuer die jeweiligen Seiten.

Nun die Certs auf den jeweiligen Seiten:
SP1 (CA-Seite):
Lokales Zertifikat: Server-Cert
Entfernter Host: namedesgw.dyndns.org
Entfernte Gateway-ID: Subject des Client-Certs (was auf der anderen Seite importiert wurde)

SP2 (Client-Seite):
Lokales Zertifikat: Client-Zertifikat
Entfernter Host: nocheingw.dyndns.org
Entfernte Gateway-ID: Subject des Server-Certs

Das also kann nicht funktionieren, oder "nur einmal", oder wie muss ich das verstehen?
Klingt vielleicht vermessen, aber ein How-To hierfuer waere toll.
Ich schreibe und teste das auch gerne, nur muss ich das irgendwie mal an den Start kriegen, denn anscheinend hilft der "geistige Zusammenbau" der bestehenden How-To's (L2TP + Certs etc.) nicht, es auf andere Einsatzzwecke zu portieren.

Gruss

M.Goeres

gibts hier schon ne lösung?

wir haben exakt das gleiche Problem. Die Einrichtung wurde ebenso wie im letzten post von Herrn Goeres beschrieben durchgeführt.

gruß
Achim

leider besteht das Problem noch immer.

Mit freundlichen Grüßen
Dallas