VPN ipsec Probleme nach Änderung der ip-Adressen
Verfasst: Do 05.11.2009, 05:54
Hallo zusammen,
2 Probleme, die vielleicht die gleiche Ursache haben.
Szenario:
Eine neue Securepoint 10 Appliance wird installiert.
Danach eine 2007er Config importiert, aber die Adressen von externem
und internem Interface und Default Route geändert.
Die Filterregeln entsprechend nachgezogen.
Zusätzlich (da fälschlicherweise angenommen, damit das Problem gelöst zu haben)
alle ipsec-Verbindungen gelöscht und neu eingerichtet.
Nun das 1. Problem:
Nach jedem Reboot erscheint folgende Fehlermeldung im Log:
IPSEC Server no default route - cannot cope with vpn2.local %defaultroute!!!
...
...
IPSEC Server # default route not known: vpn2.local left=%defaultroute
Der Versuch eine VPN-Verbindung aufzubauen resultiert dann in:
IPSEC Server packet from XXX.XXX.XXX.XXX:55008: initial Main Mode message received on XXX.XXX.XXX.XXX:500 but no connection has been authorized with vpn2.local
Jetzt tue ich so, als würde ich die Default Route ändern ;-) , drücke auf
Interface updaten und starte ipsec von Hand neu.
Danach kann der Tunnel aufgebaut werden, ich kann das interne Interface
der Appliance anpingen und über diese Adresse auch über den Tunnel die
Webadmin-Oberfläche erreichen.
Soweit so gut bzw. schlecht. Es wäre gut, wenn die Appliance nach jedem
Reboot gleich wieder funktionieren würde.
Nun aber zum 2. Problem:
Also, der Tunnel steht nun. (siehe oben)
Ausser der internen ip-Adresse der Appliance ist aber kein einziger Rechner
im internen Netz erreichbar!
Der ipsec-Client hat natürlich mit any alle Rechte für das interne Netz!
Per tcpdump sehe ich, dass die Pakete am externen Interface im Tunnel ankommen, aber am internen Interface nicht auftauchen.
Im Log findet sich kein gedropptes Paket.
Es ist, wie wenn ich einen Rechner als Router mit irgendeiner Linux Distribution aufgesetzt habe und er routet nicht, weil ich vergessen habe ip forward einzuschalten.
Ich wäre für Hilfe dankbar!
MfG
Anselm
PS:
Wenn mir einer verrät, wie ich meine komplette Zertifikatverwaltung (Certs + CAs etc.) auf einfache Weise auf eine neue Appliance übertragen kann, so dass sie
auch weiterhin funktioniert, wäre ich soweit, eine Appliance komplett neu aufzusetzen. Die Config und Regeln neu anzulegen würden mich wohl nur
einen Bruchteil der Zeit kosten, die ich jetzt schon verbraten habe.
Na ja. Oder auch nicht.
2 Probleme, die vielleicht die gleiche Ursache haben.
Szenario:
Eine neue Securepoint 10 Appliance wird installiert.
Danach eine 2007er Config importiert, aber die Adressen von externem
und internem Interface und Default Route geändert.
Die Filterregeln entsprechend nachgezogen.
Zusätzlich (da fälschlicherweise angenommen, damit das Problem gelöst zu haben)
alle ipsec-Verbindungen gelöscht und neu eingerichtet.
Nun das 1. Problem:
Nach jedem Reboot erscheint folgende Fehlermeldung im Log:
IPSEC Server no default route - cannot cope with vpn2.local %defaultroute!!!
...
...
IPSEC Server # default route not known: vpn2.local left=%defaultroute
Der Versuch eine VPN-Verbindung aufzubauen resultiert dann in:
IPSEC Server packet from XXX.XXX.XXX.XXX:55008: initial Main Mode message received on XXX.XXX.XXX.XXX:500 but no connection has been authorized with vpn2.local
Jetzt tue ich so, als würde ich die Default Route ändern ;-) , drücke auf
Interface updaten und starte ipsec von Hand neu.
Danach kann der Tunnel aufgebaut werden, ich kann das interne Interface
der Appliance anpingen und über diese Adresse auch über den Tunnel die
Webadmin-Oberfläche erreichen.
Soweit so gut bzw. schlecht. Es wäre gut, wenn die Appliance nach jedem
Reboot gleich wieder funktionieren würde.
Nun aber zum 2. Problem:
Also, der Tunnel steht nun. (siehe oben)
Ausser der internen ip-Adresse der Appliance ist aber kein einziger Rechner
im internen Netz erreichbar!
Der ipsec-Client hat natürlich mit any alle Rechte für das interne Netz!
Per tcpdump sehe ich, dass die Pakete am externen Interface im Tunnel ankommen, aber am internen Interface nicht auftauchen.
Im Log findet sich kein gedropptes Paket.
Es ist, wie wenn ich einen Rechner als Router mit irgendeiner Linux Distribution aufgesetzt habe und er routet nicht, weil ich vergessen habe ip forward einzuschalten.
Ich wäre für Hilfe dankbar!
MfG
Anselm
PS:
Wenn mir einer verrät, wie ich meine komplette Zertifikatverwaltung (Certs + CAs etc.) auf einfache Weise auf eine neue Appliance übertragen kann, so dass sie
auch weiterhin funktioniert, wäre ich soweit, eine Appliance komplett neu aufzusetzen. Die Config und Regeln neu anzulegen würden mich wohl nur
einen Bruchteil der Zeit kosten, die ich jetzt schon verbraten habe.
Na ja. Oder auch nicht.