[gelöst] Firmwareupdate auf 10.40 VPN Einwahl Regeln

[drkbentheim]

Guten Tag,

ich habe einen Standort wo ich über einen Lancom Router eine VPN Verbindung zur unserer Firewall (Ewetel) herstelle.

Nach Update der Version 10.12 auf 10.40 wird der Tunnel zwar aufgebaut aber man kann nichts machen (Ping, etc).

DIe Ewetel sagt mir das der Lancom eine falsche IP schickt. 192.168.0.255/32.

Die Regelerzeigung steht auf automatisch und erstellt folgende Regeln:

Code: Alles auswählen

root@FestverbindungSZBB:/
> show vpn

VPN SPD and IKE configuration:

  # of rules = 3

  Rule #1          ikev1        192.168.0.255/32 ANY ANY <-> 192.168.102.0/24 ANY ANY
    Name:                       MPLS
    Unique Id:                  IPSEC-1-MPLS-PR0-L0-R0
    Flags:                      aggressive-mode
    Local  Gateway:             IPV4_ADDR(any:0, 91.249.XXX.XXX)
    Remote Gateway:             IPV4_ADDR(any:0, 213.168.XXX.XXX)

  Rule #2          ikev1        192.168.0.0/24 ANY ANY <-> 192.168.102.0/24 ANY ANY
    Name:                       MPLS
    Unique Id:                  IPSEC-0-MPLS-PR0-L0-R0
    Flags:                      aggressive-mode
    Local  Gateway:             IPV4_ADDR(any:0, 91.249.XXX.XXX)
    Remote Gateway:             IPV4_ADDR(any:0, 213.168.XXX.XXX)

  Rule #3          ikev1        192.168.102.0/24 ANY ANY <-> 192.168.102.0/24 ANY ANY
    Name:                       MPLS
    Unique Id:                  IPSEC-1-MPLS-PR0-L1-R0
    Flags:                      aggressive-mode
    Local  Gateway:             IPV4_ADDR(any:0, 91.249.XXX.XXX)
    Remote Gateway:             IPV4_ADDR(any:0, 213.168.XXX.XXX)

Warum wird die Regel 1 erstellt? Die Regel 2 würde ja reichen.

Und wie kann man das ändern?

Vielen Dank

[hyperjojo]

hallo,

das wird man dir sagen können, wenn du deine IP-Netzwerke-Tabelle und die IP-Routing-Tabelle postest...

Aus diesen beiden erfolgt die automatische Regelerzeugung.

Gruß hyperjojo

[backslash]

Hi drkbentheim

und zusätzlich auch die Firewall-Regeln - zumindet die, bei denen das Häckchen bei "Diese Regel wird zur Erzeugung von VPN-Netzbeziehungen (SAs) verwendet" gesetzt ist.

Gruß
Backslash

[PappaBaer]

Moin,
@backslash
diese wird es wohl nicht geben, da der TO die Regeln ja automatisch erstellen lässt.
Grüße,
Torsten

[backslash]

Hi PappaBaer

auch bei automatischer Regelerzeugung kann man weitere Regeln über die Firewall hinzufügen...

Gruß
Backslash

[drkbentheim]

Hi hier bitte und schonmal danke:

Code: Alles auswählen

cd /Setup/IP-Router/IP-Routing-Table 
del *
#    IP-Address       IP-Netmask       Rtg-tag  Admin-Distance  Peer-or-IP             Distance  Masquerade  Active   Comment                                                         
#    ===========================================================----------------------------------------------------------------------------------------------------------------------
add  192.168.102.0    255.255.255.0    0        0              {Peer-or-IP}  "MPLS"                {Distance}  0        {Masquerade}  No         {Active}  Yes     {Comment}  ""
add  255.255.255.255  0.0.0.0          0        0              {Peer-or-IP}  "INTERNET"            {Distance}  0        {Masquerade}  on         {Active}  Yes     {Comment}  "Diese Rout

Code: Alles auswählen

cd /Setup/TCP-IP/Network-list 
del *
#    Network-name      IP-Address       IP-Netmask       VLAN-ID  Interface           Src-check      Type      Rtg-tag  Comment                                                         
#    ==================-----------------------------------------------------------------------------------------------------------------------------------------------------------------
add  "INTRANET"       {IP-Address}  192.168.0.1     {IP-Netmask}  255.255.255.0   {VLAN-ID}  0       {Interface}  LAN-1              {Src-check}  loose         {Type}  Intranet {Rtg-tag}  0       {Comment}  "local intranet"
add  "DMZ"            {IP-Address}  0.0.0.0         {IP-Netmask}  255.255.255.0   {VLAN-ID}  0       {Interface}  LAN-1              {Src-check}  loose         {Type}  DMZ      {Rtg-tag}  0       {Comment}  "demilitarized zone"

Firewall Regeln sind keine da

[drkbentheim]

Hi habe mal versucht Manuell eine Regel zu erstellen.

Dann macht er komischerweise 5 Regeln.

Code: Alles auswählen

VPN SPD and IKE configuration:

  # of rules = 5

  Rule #1          ikev1        192.168.0.0/32 ANY ANY <-> 192.168.102.0/24 ANY ANY
    Name:                       MPLS
    Unique Id:                  IPSEC-1-MPLS-PR0-L1-R0
    Flags:                      aggressive-mode
    Local  Gateway:             IPV4_ADDR(any:0, 91.249.XXX.XXX)
    Remote Gateway:             IPV4_ADDR(any:0, 213.168.XXX.XXX)

  Rule #2          ikev1        192.168.0.255/32 ANY ANY <-> 192.168.102.0/24 ANY ANY
    Name:                       MPLS
    Unique Id:                  IPSEC-1-MPLS-PR0-L2-R0
    Flags:                      aggressive-mode
    Local  Gateway:             IPV4_ADDR(any:0, 91.249.XXX.XXX)
    Remote Gateway:             IPV4_ADDR(any:0, 213.168.XXX.XXX)

  Rule #3          ikev1        192.168.0.0/24 ANY ANY <-> 192.168.102.0/24 ANY ANY
    Name:                       MPLS
    Unique Id:                  IPSEC-0-MPLS-PR0-L0-R0
    Flags:                      aggressive-mode
    Local  Gateway:             IPV4_ADDR(any:0, 91.249.XXX.XXX)
    Remote Gateway:             IPV4_ADDR(any:0, 213.168.XXX.XXX)

  Rule #4          ikev1        192.168.0.0/24 ANY ANY <-> 192.168.102.0/24 ANY ANY
    Name:                       MPLS
    Unique Id:                  IPSEC-1-MPLS-PR0-L0-R0
    Flags:                      aggressive-mode
    Local  Gateway:             IPV4_ADDR(any:0, 91.249.XXX.XXX)
    Remote Gateway:             IPV4_ADDR(any:0, 213.168.XXX.XXX)

  Rule #5          ikev1        192.168.102.0/24 ANY ANY <-> 192.168.102.0/24 ANY ANY
    Name:                       MPLS
    Unique Id:                  IPSEC-1-MPLS-PR0-L3-R0
    Flags:                      aggressive-mode
    Local  Gateway:             IPV4_ADDR(any:0, 91.249.XXX.XXX)
    Remote Gateway:             IPV4_ADDR(any:0, 213.168.XXX.XXX)

Wenn es auf automatisch steht dann 3.

Irgendwie werden irgendwo Regeln erstellt. Aber wo?

[Jirka]

Hallo,

was gibt denn ein
ls -r /Setup/VPN/Networks
aus und wird in den VPN-Verbindungen auf einen dieser Einträge hier Bezug genommen?

Viele Grüße,
Jirka

[drkbentheim]

Hi Automatische Regelerzeugung

Code: Alles auswählen

> ls -r /Setup/VPN/Networks

IPv4-Rule-Lists  TABLE:   8+ x [Name,Rules]
IPv4-Rules       TABLE:   8+ x [Name,Local-Networks,Remote-Networks]
IPv6-Rule-Lists  TABLE:   8+ x [Name,Rules]
IPv6-Rules       TABLE:   8+ x [Name,Local-Networks,Remote-Networks]

[rek] IPv4-Rules:

Name                             Local-Networks                                                                                                                   Remote-Networks             
=================================----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
RAS-WITH-CONFIG-PAYLOAD          0.0.0.0/0                                                                                                                        0.0.0.0/32                  
RAS-WITH-NETWORK-SELECTION       0.0.0.0/0                                                                                                                        0.0.0.0/0                   
EWETEL                           192.168.0.0/24                                                                                                                   MPLS                        

[rek] IPv4-Rule-Lists:

Name                             Rules
=================================-------------------------------------------------------------------------------------------------------------------------------

[rek] IPv6-Rules:

Name                             Local-Networks                                                                                                                   Remote-Networks             
=================================----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
RAS-WITH-CONFIG-PAYLOAD          ::/0                                                                                                                             ::/128                      
RAS-WITH-NETWORK-SELECTION       ::/0                                                                                                                             ::/0                        

[rek] IPv6-Rule-Lists:

Name                             Rules
=================================-------------------------------------------------------------------------------------------------------------------------------

Manuelle Regelerzeugung

Code: Alles auswählen

> ls -r /Setup/VPN/Networks

IPv4-Rule-Lists  TABLE:   8+ x [Name,Rules]
IPv4-Rules       TABLE:   8+ x [Name,Local-Networks,Remote-Networks]
IPv6-Rule-Lists  TABLE:   8+ x [Name,Rules]
IPv6-Rules       TABLE:   8+ x [Name,Local-Networks,Remote-Networks]

[rek] IPv4-Rules:

Name                             Local-Networks                                                                                                                   Remote-Networks             
=================================----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
RAS-WITH-CONFIG-PAYLOAD          0.0.0.0/0                                                                                                                        0.0.0.0/32                  
RAS-WITH-NETWORK-SELECTION       0.0.0.0/0                                                                                                                        0.0.0.0/0                   
EWETEL                           192.168.0.0/24                                                                                                                   MPLS                        

[rek] IPv4-Rule-Lists:

Name                             Rules
=================================-------------------------------------------------------------------------------------------------------------------------------

[rek] IPv6-Rules:

Name                             Local-Networks                                                                                                                   Remote-Networks             
=================================----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
RAS-WITH-CONFIG-PAYLOAD          ::/0                                                                                                                             ::/128                      
RAS-WITH-NETWORK-SELECTION       ::/0                                                                                                                             ::/0                        

[rek] IPv6-Rule-Lists:

Name                             Rules
=================================-------------------------------------------------------------------------------------------------------------------------------

[Jirka]

Hallo,

hast Du denn bei der automatischen Regelerzeugung in der VPN-Verbindung (also am besten 'cd /Setup/VPN/VPN-Peers/MPLS' und dann ein 'ls') unter IPv4-Rules "EWETEL" drin stehen? (Bei automatischer Regelerzeugung sollte das raus.) (Hatte ich eins weiter oben übrigens schon gefragt.)

Viele Grüße,
Jirka

[drkbentheim]

Hi,

habe ich üpberlesen. Sorry.

Hier die automatische Regelerzeug:

Code: Alles auswählen

root@FestverbindungSZBB:/Setup/VPN/VPN-Peers/MPLS
> ls

Peer               INFO:    MPLS
SH-Time            VALUE:   9999
Extranet-Address   VALUE:   0.0.0.0
Remote-Gw          VALUE:   213.168.XXX.XXX
Rtg-tag            VALUE:   0
Layer              VALUE:   EWE-MPLS
dynamic            VALUE:   No
IKE-Exchange       VALUE:   Aggressive-Mode
Rule-creation      VALUE:   auto
DPD-Inact-Timeout  VALUE:   60
IKE-CFG            VALUE:   Off
XAUTH              VALUE:   Off
SSL-Encaps.        VALUE:   No
OCSP-Check         VALUE:   No
IPv4-Rules         VALUE:
IPv6-Rules         VALUE:
IPv6               VALUE:   DEFAULT

Und hier die Ausgabe wenn die Regelerzeugung auf Manuell steht:

Code: Alles auswählen

root@FestverbindungSZBB:/Setup/VPN/VPN-Peers/MPLS
> ls

Peer               INFO:    MPLS
SH-Time            VALUE:   9999
Extranet-Address   VALUE:   0.0.0.0
Remote-Gw          VALUE:   213.168.XXX.XXX
Rtg-tag            VALUE:   0
Layer              VALUE:   EWE-MPLS
dynamic            VALUE:   No
IKE-Exchange       VALUE:   Aggressive-Mode
Rule-creation      VALUE:   manually
DPD-Inact-Timeout  VALUE:   60
IKE-CFG            VALUE:   Off
XAUTH              VALUE:   Off
SSL-Encaps.        VALUE:   No
OCSP-Check         VALUE:   No
IPv4-Rules         VALUE:   EWETEL
IPv6-Rules         VALUE:
IPv6               VALUE:   DEFAULT

Viele Grüße

DRKBentheim

[Jirka]

Hallo,

ok. Aber irgendwas stimmt hier nicht. Es mag sein, dass es an der 10.40 liegt, dazu kann ich nichts sagen. Aber ich glaube es ehrlich gesagt nicht. Welche 10.40 hast Du denn installiert?
Ich habe den Thread noch mal durchgelesen. Auf die Nachfrage von Backslash wurde nicht wirklich eingegangen. Daher würde ich gerne noch ein
ls /Setup/IP-Router/Firewall/Rules
haben und zwar manuell gefiltert um alle Einträge in der Tabelle, wo der Parameter VPN-Rule auf Yes steht.

Sorry, jetzt habe ich gesehen, dass da oben steht Firewall-Regeln sind keine vorhanden. Bestätigt sich das mit meinem ls-Befehl?

Viele Grüße,
Jirka

[drkbentheim]

Hi das liegt an der Firewall.

Da steht ein VPN Eintrag drin:

Wenn ich den Eintrag lösche ist die Regel mit .255 weg funktionieren tut es aber trotzdem noch nicht.

Code: Alles auswählen

root@FestverbindungSZBB:/
> ls /Setup/IP-Router/Firewall/Rules

Name                              Prot.       Source                                    Destination                               Action                                    Linked      Prio   Firewal                              l-Rule  VPN-Rule   Stateful  Src-Tag    Rtg-tag  Comment
==================================--------------------------------------------------------------------------------------------------------------------------------------------------------------------                              -----------------------------------------------------------------------------------------------------------------
RWUEL2RKNOH                       ANY         LOCALNET RKNOH                            LOCALNET RKNOH                            ACCEPT                                    No          0      No                                           Yes        Yes       0          0
WINS                              TCP UDP     NETBIOS ANYHOST                           ANYHOST                                   INTERNET-FILTER                           No          0      Yes                                          No         Yes       0          0        block NetBIOS/WINS name resolution via DNS
CONTENT-FILTER                    TCP         LOCALNET                                  WEB ANYHOST                               CONTENT-FILTER-BASIC                      No          9999   No                                           No         Yes       0          0        pass web traffic to Content-Filter

root@FestverbindungSZBB:/

Wie muss der Eintarg korrekt aussehen?

Viele Grüße

[Jirka]

Wenn ich den Eintrag lösche ist die Regel mit .255 weg funktionieren tut es aber trotzdem noch nicht.

Dann müsste man weiter schauen, wo es noch klemmt.

Wie muss der Eintarg korrekt aussehen?

Das kann ich Dir nicht wirklich sagen, weil ich nicht weiß, was da noch so läuft. Offensichtlich wurde die Regel mal erstellt, damit die RW Uelsen aufs Rote Kreuz in Nordhorn zugreifen konnte oder umgekehrt (über Bad Bentheim). Ob das heute noch von Bedeutung ist, keine Ahnung. Quelle und Ziel sind identisch und damit ist es irgendwie sinnfrei. Insofern würde ich die komplette Regel löschen.
Den Eintrag Content-Filter kanst Du ebenfalls löschen, das ist nur Werbung.

Gibt es denn in IKEv2 zufälligerweise noch einen gleichnamigen Eintrag, weil mal jemand anfangs die VPN über IKEv2 aufbauen wollte?
(ls /Setup/VPN/IKEv2/Peers)

Viele Grüße,
Jirka

[backslash]

Hi drkbentheim,

Code: Alles auswählen

Name                              Prot.       Source                                    Destination                               Action                                    Linked      Prio   Firewal                              l-Rule  VPN-Rule   Stateful  Src-Tag    Rtg-tag  Comment
==================================--------------------------------------------------------------------------------------------------------------------------------------------------------------------                              -----------------------------------------------------------------------------------------------------------------
RWUEL2RKNOH                       ANY         LOCALNET RKNOH                            LOCALNET RKNOH                            ACCEPT                                    No          0      No                                           Yes        Yes       0          0

das Problem ist in jedem Fall, daß sowohl in Source als auch Destination "LOCALNET" und "RKNOH" stehen. und dann müßte man noch wissen, was sich hinter "RKNOPH" verbirgt (da seht dann vermiulich irgendwie die Broadcast-Adresse drin)

wenn du die Regel löschst, dann sollte eigentlich nur noch eine VPN-Policy übrig bleiben, nämlich die hier (lokales Netz an MPLS):

Code: Alles auswählen

  Rule #1          ikev1        192.168.0.0/24 ANY ANY <-> 192.168.102.0/24 ANY ANY
    Name:                       MPLS
    Unique Id:                  IPSEC-0-MPLS-PR0-L0-R0
    Flags:                      aggressive-mode
    Local  Gateway:             IPV4_ADDR(any:0, 91.249.XXX.XXX)
    Remote Gateway:             IPV4_ADDR(any:0, 213.168.XXX.XXX)

Gruß
Backslash