Einrichtung VPN

[Martint]

Hallo Experten

kleine Frage - ich versuche derzeit für einen Kunden eine VPN-Verbindung einzurichten - Intranator-Intranator - der Kunde hat ein VPN Connect auf der Gegenseite. Dyndns-Accounts sind eingerichtet, Schlüssel angelegt und jeweils auf dem anderen Intrantor importiert.

Beim Auswahl des Public Key Verfahrens meckert allerdings der Intranator:

"Alle Gegenstellen mit dynamischer IP Adresse (DNS, Road Warriors) brauchen das gleiche Authentifizierungsverfahren"

Was muss ich mir darunter vorstellen? Was fehlt?

Grüße
Martin

[bjoerns]

Da stimmt wohl was mit dem Zertifikat der Gegenstelle nicht. Leider ist mir die Meldung nicht ganz geläufig.

Gruß Björn

[Thomas Jarosch]

Beim Auswahl des Public Key Verfahrens meckert allerdings der Intranator:

"Alle Gegenstellen mit dynamischer IP Adresse (DNS, Road Warriors) brauchen das gleiche Authentifizierungsverfahren"

Ich vermute Sie haben noch weitere VPN-Verbindungen eingerichtet. Eine davon verwendet als Authentifizierungsverfahren vermutlich preshared Key, X.509 und preshared Key lassen sich leider nicht gleichzeitig betreiben.

Herzliche Grüsse,
Thomas Jarosch

[Martint]

Hallo nochmals und danke für die Antwort,

zum Test habe ich die Verbindung auf unserem Intranator eingerichtet. Dort sind noch 3 weitere eingerichtet zu anderen Kunden, alle Lokales Netz <-> Netz mit PSK.

Derzeit sieht es im Log so aus:

Jun 11 17:44:22 intranator pluto[1633]: "C4": deleting connection

Jun 11 17:44:22 intranator pluto[1633]: added connection description "C4"

Jun 11 17:44:22 intranator pluto[1633]: "C4_ANY": terminating SAs using this connection

Jun 11 17:44:22 intranator pluto[1633]: "C4" #1: initiating Main Mode
Jun 11 17:45:20 intranator kernel: DENY IN=eth0 OUT= MAC=00:e0:18:0f:ce:89:00:04:0e:b8:6b:85:08:00 SRC=77.153.119.25 DST=198.168.1.200 LEN=401 TOS=0x00 PREC=0x00 TTL=55 ID=58393 PROTO=UDP SPT=31175 DPT=1026 LEN=381

Jun 11 17:45:26 intranator kernel: DENY IN=eth0 OUT= MAC=00:e0:18:0f:ce:89:00:04:0e:b8:6b:85:08:00 SRC=221.209.110.8 DST=198.168.1.200 LEN=485 TOS=0x00 PREC=0x00 TTL=51 ID=0 DF PROTO=UDP SPT=60719 DPT=1026 LEN=465

Jun 11 17:45:26 intranator kernel: DENY IN=eth0 OUT= MAC=00:e0:18:0f:ce:89:00:04:0e:b8:6b:85:08:00 SRC=221.209.110.8 DST=198.168.1.200 LEN=485 TOS=0x00 PREC=0x00 TTL=51 ID=0 DF PROTO=UDP SPT=60719 DPT=1027 LEN=465

Jun 11 17:45:33 intranator pluto[1633]: "C4" #1: max number of retransmissions (2) reached STATE_MAIN_I1. No acceptable response to our first IKE message

Jun 11 17:45:33 intranator vpnscripts[14675]: opening C4 failed, retrying
Jun 11 17:45:33 intranator pluto[1633]: "C4": deleting connection
Jun 11 17:45:33 intranator pluto[1633]: added connection description "C4"
Jun 11 17:45:33 intranator pluto[1633]: "C4_ANY": terminating SAs using this connection

Jun 11 17:45:33 intranator pluto[1633]: "C4" #2: initiating Main Mode
Jun 11 17:46:11 intranator kernel: REJECT local IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:04:0e:b8:6b:85:08:00 SRC=198.168.1.254 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0xC0 TTL=1 ID=15878 DF PROTO=2

Jun 11 17:46:43 intranator pluto[1633]: "C4" #2: max number of retransmissions (2) reached STATE_MAIN_I1. No acceptable response to our first IKE message

Jun 11 17:46:43 intranator vpnscripts[13880]: opening C4 failed, retrying
Jun 11 17:46:45 intranator pluto[1633]: "C4": deleting connection
Jun 11 17:46:45 intranator pluto[1633]: added connection description "C4"
Jun 11 17:46:45 intranator pluto[1633]: "C4_ANY": terminating SAs using this connection

Jun 11 17:46:46 intranator pluto[1633]: "C4" #3: initiating Main Mode
Jun 11 17:47:16 intranator kernel: DENY IN=eth0 OUT= MAC=00:e0:18:0f:ce:89:00:04:0e:b8:6b:85:08:00 SRC=195.251.5.142 DST=198.168.1.200 LEN=48 TOS=0x00 PREC=0x00 TTL=113 ID=52375 DF PROTO=TCP SPT=4168 DPT=445 WINDOW=65535 RES=0x00 SYN URGP=0

Jun 11 17:47:18 intranator kernel: DENY IN=eth0 OUT= MAC=00:e0:18:0f:ce:89:00:04:0e:b8:6b:85:08:00 SRC=195.251.5.142 DST=198.168.1.200 LEN=48 TOS=0x00 PREC=0x00 TTL=113 ID=52599 DF PROTO=TCP SPT=4168 DPT=445 WINDOW=65535 RES=0x00 SYN URGP=0

Jun 11 17:47:56 intranator pluto[1633]: "C4" #3: max number of retransmissions (2) reached STATE_MAIN_I1. No acceptable response to our first IKE message

Jun 11 17:47:56 intranator vpnscripts[6135]: opening C4 failed, giving up

Alle Verbindungen sind nach dem selben Schema aufgebaut, die anderen laufen auch komischerweise. In dem Fall steht der andere Intranator sogar in der DMZ, was bei den anderen Kunden nichtmal der Fall ist, denn hier haben wir nur den Port durch den Router geschleust. Dyndns ist erreichbar, daran liegt es nicht. Auch der Router tut seinen Dienst an anderer Stelle, daher scheidet das Gerät als Fehlerquelle ebenso aus.

Was bleibt nocht?

[bjoerns]

Ist auf dem Ziel-Intranator unter Netzwerk -> Provider -> Profile -> Firewall denn Provider mit HTTPS,VPN eingestellt?

Sieht so aus als ob die Gegenstelle überhaupt nicht antworten würde.

[Martint]

Hallo nochmal und erstmal danke für den Tipp.

Es war in der Tat so, dass im VPN Connect der Basisprovider ohne HTTPS drin stand. Begreife gar nicht, dass ich daran nicht gedacht habe. Der Wald mit den vielen Bäumen - Zumindest mein PSK - VPN läuft nun und das mit den Zertifikaten bekomme ich dann auch noch hin.

Danke für den Tipp!

[bjoerns]

Gern geschehen, dafür sind wir ja da ;-) .
Und noch viel Erfolg dann mit den Zertifikaten.

MFG Bjoern