Hallo,
ich habe folgendes Szenario.
Netscreen A -- Lancom 3550 -- Internet -- Netscreen B
In dieser Konstellation hat der Lancom ein reine Interneteinwahl-Funktion und mit dem VPN nicht direkt etwas zu tun. Das Problem besteht darin dass der Tunnel zwischen den beiden Netscreens nicht aufgebaut werden kann. Der Tunnelaufbau scheitert bereits an der Phase 1 und im Log von Netscreen B steht "no proposal choosen". Wenn die Netscreen A die Internet-Einwahl selbst vornimmt (PPPoE) funktioniert der Tunnel sofort. Tunnelparameter scheiden also aus. Habe auf beiden Netscreens NAT-T aktiviert/deaktiviert, auf dem Lancom VPN aktiviert/deaktiviert, Firewall aktiviert/deaktiviert, blocke keine Ports usw.
.
Hat hier jemand eine Idee woran das liegen könnte?
Vielen Dank
sinu
VPN-Problem zwischen zwei NetScreens und Lancom 3550
Moderator: Lancom-Systems Moderatoren
Hi sinu
wenn du IPSec durch einen NAT-Router machst, dann mußt du entweder den Aggressive-Mode oder Zertifikate Verwenden.
Im Main-Mode mit Preshared Key werden die IKE-Proposals (und somit auch der zu verwendende Key) anhand der IP-Adresse des VPN-Gateways ausgewählt - und diese sich bei einem NAT ändert funktioniert das ganze nicht.
Beim Aggressive-Mode werden die Proposals aus der übermittelten Identität ausgewählt, so daß die IP-Adresse egal ist. Nur hat der Aggressive-Mode zusammen mit preshared Keys ein massives Sicherheitsprolem (er ist "offline" angreifbar), weshalb man diese Kombination tunlichst nicht verwenden sollte - nein auch ein zusätzliches XAUTH erhöht die Sicherheit nicht
Daher ist das hier zu bevorzugende Verfahren: Main-Mode mit Zertifikaten...
Gruß
Backslash
wenn du IPSec durch einen NAT-Router machst, dann mußt du entweder den Aggressive-Mode oder Zertifikate Verwenden.
Im Main-Mode mit Preshared Key werden die IKE-Proposals (und somit auch der zu verwendende Key) anhand der IP-Adresse des VPN-Gateways ausgewählt - und diese sich bei einem NAT ändert funktioniert das ganze nicht.
Beim Aggressive-Mode werden die Proposals aus der übermittelten Identität ausgewählt, so daß die IP-Adresse egal ist. Nur hat der Aggressive-Mode zusammen mit preshared Keys ein massives Sicherheitsprolem (er ist "offline" angreifbar), weshalb man diese Kombination tunlichst nicht verwenden sollte - nein auch ein zusätzliches XAUTH erhöht die Sicherheit nicht
Daher ist das hier zu bevorzugende Verfahren: Main-Mode mit Zertifikaten...
Gruß
Backslash
Hi sinu
du nutzt den 3550 aber nicht als UMTS-Router oder? In diesem Fall kann es nämlich passieren, daß der Provider extra kassieren will, wenn er IPSec zuläßt...
Gruß
Backslash
du nutzt den 3550 aber nicht als UMTS-Router oder? In diesem Fall kann es nämlich passieren, daß der Provider extra kassieren will, wenn er IPSec zuläßt...
Die "no proposal chosen" Meldung sagt ja schonmal, daß das erste Paket angekommen ist, denn sie wird auf das erste Paket hin erzeugt. Da im aggressive-Mode das erste Paket im Klartext übermittelt wird kannst du es ja ganz einfach mal auf beiden Seiten mitschneiden.Ich vermute irgendwie, dass die ausgehenden VPN-Pakete durch den Lancom nicht sauber oder nicht alle bei der Gegenstelle ankommen.
Gruß
Backslash
Hi sinu,
einen Hub - wichtig: KEIN Switch - zwischen Netscreen A und 3550 hängen und zusätzlich noch einen Laptop auf dem ein Wireshark (download über http://www.wireshark.org/) läuft
Auf der anderen Seite zwischen ADSL-Modem und Netscreen B ebenfalls einen Hub hängen, an dem auch ein Laptop mit Wireshark hängt...
Beim Sniffen darauf achten, daß Wireshark im "promiscous Mode" captured...
Gruß
Backslash
einen Hub - wichtig: KEIN Switch - zwischen Netscreen A und 3550 hängen und zusätzlich noch einen Laptop auf dem ein Wireshark (download über http://www.wireshark.org/) läuft
Auf der anderen Seite zwischen ADSL-Modem und Netscreen B ebenfalls einen Hub hängen, an dem auch ein Laptop mit Wireshark hängt...
Beim Sniffen darauf achten, daß Wireshark im "promiscous Mode" captured...
Gruß
Backslash
hmm wenn ich ausschließen kann das offline jemand an die Leitung kommt ist diese Variante doch ebenso sicher wie mit zertifikaten oder ? Zweite Frage ist die PSK Länge wichtig für einen erfolgreichen Einbruch ? Verwende einen 64 stelligen PSK incl. Groß- und Kleinbuchstaben sowie Sonderzeichen oder kann ich mir das alles sparen da eh unwichtig ?
Hi,
ja wenn der VPN-Server wirklich nicht im Internet erreichbar ist kann man den PSK mnicht im Aggressive Mode via Brute-Force herausbekommen. Ist der Server always-On, so reicht ein Paket aus, um einen solchen Angriff auch Offline gegen den PSK "fahren" zu koennen.
Daher gilt auch bei PSK die allg. Regeln von Passwoerten, moeglichst lang und alphanumerisch zu sein.
ja wenn der VPN-Server wirklich nicht im Internet erreichbar ist kann man den PSK mnicht im Aggressive Mode via Brute-Force herausbekommen. Ist der Server always-On, so reicht ein Paket aus, um einen solchen Angriff auch Offline gegen den PSK "fahren" zu koennen.
Daher gilt auch bei PSK die allg. Regeln von Passwoerten, moeglichst lang und alphanumerisch zu sein.
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a