Nochmals ein kleines Problem:
Szenario:
1823-1 - VPN 1722 - VPN 1823-2
Die VPNs zwischen den beiden 1823 und dem 1722 laufen problemlos, hier wird auch alles korrekt geroutet
Nur wie muss ich die Routen bzw. FW Rules eintragen um von einem 1823 Intranet ins andere 1823 Intranet zu kommen (über den 1722)???
[Solved] VPN-VPN Kopplung
Moderator: Lancom-Systems Moderatoren
[Solved] VPN-VPN Kopplung
Zuletzt geändert von tom_tav am 04 Feb 2009, 18:40, insgesamt 2-mal geändert.
Hi tom_tav
Hierzu mußt du zunächst in den beiden 1823 eine Route eintragen, die das jeweils entfernte Netz auf den VPN-Tunnel legt.
Danach brauchst du im 1722 noch zwei zusätzliche Firewallregeln, die einerseits den Trafrfic zwischen den beiden Netzen zulassen und andererseits zur VPN-Regelerzeugung genutzt werden:
Gruß
Backslash
Hierzu mußt du zunächst in den beiden 1823 eine Route eintragen, die das jeweils entfernte Netz auf den VPN-Tunnel legt.
Danach brauchst du im 1722 noch zwei zusätzliche Firewallregeln, die einerseits den Trafrfic zwischen den beiden Netzen zulassen und andererseits zur VPN-Regelerzeugung genutzt werden:
Code: Alles auswählen
[x] Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen
Aktion: Übertragen
Quelle: Intranet des 1823-1
Ziel: Intranet des 1823-2
Díenste: alle Dienste
[x] Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen
Aktion: Übertragen
Quelle: Intranet des 1823-2
Ziel: Intranet des 1823-1
Díenste: alle DiensteBackslash
Das wars, beinahe.
Interessanterweise meint der eine 1823 noch immer das er ein 192.168.2.0 ist und nicht 192.168.2.1. Ein Ping von dem weg zeigt diese Absenderadresse in der Firewall des 1722.
In die umgekehrte Richtung gehts problemlos.
Ist da irgendein Bug der 7.6er bekannt bezgl. falscher Absenderadressen? Ich hab mir schon die Augen eckig geschaut und die Finger wund gegrep'ed, finde aber nix falsches.
Wie gesagt der zweite 1823 ist bis auf die IP Adressen genauso konfiguriert.
Interessanterweise meint der eine 1823 noch immer das er ein 192.168.2.0 ist und nicht 192.168.2.1. Ein Ping von dem weg zeigt diese Absenderadresse in der Firewall des 1722.
In die umgekehrte Richtung gehts problemlos.
Ist da irgendein Bug der 7.6er bekannt bezgl. falscher Absenderadressen? Ich hab mir schon die Augen eckig geschaut und die Finger wund gegrep'ed, finde aber nix falsches.
Wie gesagt der zweite 1823 ist bis auf die IP Adressen genauso konfiguriert.
Ok folgendes Problem habe ich noch:
Prinzipiell funktioniert so wie du beschrieben hast die VPN-VPN Kopplung, allerdings bekommt eine Seite beim Verbindungsaufbau immer die VPN-VPN (1823-1823) Regel falsch rum. D.h. Destination und Target ist vertauscht.
Dann meldet der zentrale 1722 auch "Keine Regel für IPs" found bzw. no Proposal.
Wenn ich aber auf dem 1823 (bei dem die Regeln falsch rum eingetragen werden) ein Ping auf den anderen 1823 starte normalisiert sich alles und es funktioniert.
Die Frage ist nur ... wo ist der Hund begraben???
--- Trace vom 1823 auf dem die Regel falsch angelegt wird ---
Anm:
GW-XX ist der zentrale 1722 (VPN Server)
192.168.2.0 ist der 1823 mit der falschen Regelerzeugung (stat VPN, Aggr. Mode)
192.168.1.128 ist der andere 1823 (dyn VPN, UDP Signalisierung)
[VPN-Status] 2009/02/03 19:06:50,650
VPN: Error: IPSEC-R-No-rule-matched-IDs (0x3201) for GW-XX (##.###.###.###)
[VPN-Status] 2009/02/03 19:06:58,100
IKE info: Phase-2 failed for peer GW-XX: no rule matches the phase-2 ids 192.168.1.128/255.255.255.128 <-> 192.168.2.0/255.255.255.128
IKE log: 190658.000000 Default message_negotiate_sa: no compatible proposal found
IKE log: 190658.000000 Default dropped message from ##.###.###.### port 500 due to notification type NO_PROPOSAL_CHOSEN
IKE info: dropped message from peer GW-XX ##.###.###.### port 500 due to notification type NO_PROPOSAL_CHOSEN
[VPN-Status] 2009/02/03 19:06:58,110
VPN: Error: IPSEC-R-No-rule-matched-IDs (0x3201) for GW-XX (##.###.###.###)
[VPN-Status] 2009/02/03 19:06:58,120
IKE info: NOTIFY received of type PAYLOAD_MALFORMED for peer GW-XX
ping 192.168.1.129
[VPN-Status] 2009/02/03 19:07:20,520
IKE info: Phase-2 SA Rekeying Timeout (Soft-Event) for peer GW-XX set to 1600 seconds (Initiator)
[VPN-Status] 2009/02/03 19:07:20,520
IKE info: Phase-2 SA Timeout (Hard-Event) for peer GW-XX set to 2000 seconds (Initiator)
[VPN-Status] 2009/02/03 19:07:20,520
IKE info: Phase-2 [inititiator] done with 2 SAS for peer GW-XX rule ipsec-0-GW-XX-pr0-l0-r0
IKE info: rule:' ipsec 192.168.2.0/255.255.255.128 <-> 192.168.1.128/255.255.255.224 '
IKE info: SA ESP [0x79c51cc9] alg AES keylength 256 +hmac HMAC_SHA outgoing
IKE info: SA ESP [0x674417d0] alg AES keylength 256 +hmac HMAC_SHA incoming
IKE info: life soft( 1600 sec/160000 kb) hard (2000 sec/200000 kb)
IKE info: tunnel between src: [lokale ext ip] dst: ##.###.###.###
56 Byte Packet from 192.168.1.129 seq.no=1 time=114.219 ms
56 Byte Packet from 192.168.1.129 seq.no=2 time=104.423 ms
56 Byte Packet from 192.168.1.129 seq.no=3 time=113.279 ms
Prinzipiell funktioniert so wie du beschrieben hast die VPN-VPN Kopplung, allerdings bekommt eine Seite beim Verbindungsaufbau immer die VPN-VPN (1823-1823) Regel falsch rum. D.h. Destination und Target ist vertauscht.
Dann meldet der zentrale 1722 auch "Keine Regel für IPs" found bzw. no Proposal.
Wenn ich aber auf dem 1823 (bei dem die Regeln falsch rum eingetragen werden) ein Ping auf den anderen 1823 starte normalisiert sich alles und es funktioniert.
Die Frage ist nur ... wo ist der Hund begraben???
--- Trace vom 1823 auf dem die Regel falsch angelegt wird ---
Anm:
GW-XX ist der zentrale 1722 (VPN Server)
192.168.2.0 ist der 1823 mit der falschen Regelerzeugung (stat VPN, Aggr. Mode)
192.168.1.128 ist der andere 1823 (dyn VPN, UDP Signalisierung)
[VPN-Status] 2009/02/03 19:06:50,650
VPN: Error: IPSEC-R-No-rule-matched-IDs (0x3201) for GW-XX (##.###.###.###)
[VPN-Status] 2009/02/03 19:06:58,100
IKE info: Phase-2 failed for peer GW-XX: no rule matches the phase-2 ids 192.168.1.128/255.255.255.128 <-> 192.168.2.0/255.255.255.128
IKE log: 190658.000000 Default message_negotiate_sa: no compatible proposal found
IKE log: 190658.000000 Default dropped message from ##.###.###.### port 500 due to notification type NO_PROPOSAL_CHOSEN
IKE info: dropped message from peer GW-XX ##.###.###.### port 500 due to notification type NO_PROPOSAL_CHOSEN
[VPN-Status] 2009/02/03 19:06:58,110
VPN: Error: IPSEC-R-No-rule-matched-IDs (0x3201) for GW-XX (##.###.###.###)
[VPN-Status] 2009/02/03 19:06:58,120
IKE info: NOTIFY received of type PAYLOAD_MALFORMED for peer GW-XX
ping 192.168.1.129
[VPN-Status] 2009/02/03 19:07:20,520
IKE info: Phase-2 SA Rekeying Timeout (Soft-Event) for peer GW-XX set to 1600 seconds (Initiator)
[VPN-Status] 2009/02/03 19:07:20,520
IKE info: Phase-2 SA Timeout (Hard-Event) for peer GW-XX set to 2000 seconds (Initiator)
[VPN-Status] 2009/02/03 19:07:20,520
IKE info: Phase-2 [inititiator] done with 2 SAS for peer GW-XX rule ipsec-0-GW-XX-pr0-l0-r0
IKE info: rule:' ipsec 192.168.2.0/255.255.255.128 <-> 192.168.1.128/255.255.255.224 '
IKE info: SA ESP [0x79c51cc9] alg AES keylength 256 +hmac HMAC_SHA outgoing
IKE info: SA ESP [0x674417d0] alg AES keylength 256 +hmac HMAC_SHA incoming
IKE info: life soft( 1600 sec/160000 kb) hard (2000 sec/200000 kb)
IKE info: tunnel between src: [lokale ext ip] dst: ##.###.###.###
56 Byte Packet from 192.168.1.129 seq.no=1 time=114.219 ms
56 Byte Packet from 192.168.1.129 seq.no=2 time=104.423 ms
56 Byte Packet from 192.168.1.129 seq.no=3 time=113.279 ms
Hi,
guckst Du
>[VPN-Status] 2009/02/03 19:06:58,100
IKE info: Phase-2 failed for peer GW-XX: no rule matches the phase-2 ids 192.168.1.128/255.255.255.128 <-> 192.168.2.0/255.255.255.128
>IKE info: rule:' ipsec 192.168.2.0/255.255.255.128 <-> 192.168.1.128/255.255.255.224 '
Die Netzwerkmasken stimmen nicht überein. Bei den VPN Regeln wird genau geprüft ob auch die Masken stimmen, überprüfe noch mal ob die VPN Regeln die Du erzeugst auch wirklich mit den "richtigen" Masken auf beiden Seiten konfiguriert sind.
Gruß
Tiwi
guckst Du
>[VPN-Status] 2009/02/03 19:06:58,100
IKE info: Phase-2 failed for peer GW-XX: no rule matches the phase-2 ids 192.168.1.128/255.255.255.128 <-> 192.168.2.0/255.255.255.128
>IKE info: rule:' ipsec 192.168.2.0/255.255.255.128 <-> 192.168.1.128/255.255.255.224 '
Die Netzwerkmasken stimmen nicht überein. Bei den VPN Regeln wird genau geprüft ob auch die Masken stimmen, überprüfe noch mal ob die VPN Regeln die Du erzeugst auch wirklich mit den "richtigen" Masken auf beiden Seiten konfiguriert sind.
Gruß
Tiwi