VPN bintec Router > Intranator

[achberger]

Wir möchten einen Kunden per VPN anbinden. Auf der Gegenseite kommt ein bintec-VPN-Router zum Einsatz.

Wir arbeiten mit Zertifikaten, der Tunnel kann auch von beiden Seiten aus aufgebaut werden. Allerdings bekommen wir nicht immer was durch den Tunnel durch:

1. Intranator baut die Verbindung auf: Ping ist OK in beide Richtungen
2. Gegenstelle (bintec) baut die Verbindung auf: Kein Durchsatz.

Jetzt stellt sich die Frage, ob das Routing Problem auf Seiten des Intranators oder des bintc-Routers liegt. Gibt es da Erfahrungswerte bzw. Tipps zur Fehlersuche?

Das Message-Log habe ich jetzt nicht gepostet, da der Tunnel ja steht. Von den Pings ist im Log keine Spur (d.h., es ist kein Firewall-Problem)

Vielen Dank

[achberger]

Hier doch noch Auszüge aus den Logfiles, einmal ist Intranator der Initiator (ping funzt), einmal die Gegenstelle (ping funzt nicht)

Jul 8 11:29:26 intranator pluto[3740]: "C17" #6658: initiating Main Mode
Jul 8 11:29:26 intranator pluto[3740]: "C17" #6658: ignoring Vendor ID payload [0048e2270bea8395ed778d343cc2a076]
Jul 8 11:29:26 intranator pluto[3740]: "C17" #6658: ignoring Vendor ID payload [810fa565f8ab14369105d706fbd57279]
Jul 8 11:29:26 intranator pluto[3740]: "C17" #6658: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
Jul 8 11:29:26 intranator pluto[3740]: "C17" #6658: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
Jul 8 11:29:26 intranator pluto[3740]: "C17" #6658: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
Jul 8 11:29:26 intranator pluto[3740]: "C17" #6658: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
Jul 8 11:29:26 intranator pluto[3740]: "C17" #6658: received Vendor ID payload [Dead Peer Detection]
Jul 8 11:29:26 intranator pluto[3740]: "C17" #6658: enabling possible NAT-traversal with method RFC 3947
Jul 8 11:29:26 intranator pluto[3740]: "C17" #6658: NAT-Traversal: Result using draft-ietf-ipsec-nat-t-ike-02/03: no NAT detected
Jul 8 11:29:26 intranator pluto[3740]: "C17" #6658: we have a cert and are sending it upon request
Jul 8 11:29:27 intranator pluto[3740]: "C17" #6658: Peer ID is ID_DER_ASN1_DN: 'C=DE, ST=Germany, L=City, O=Gegenstelle GmbH, OU=IT-Service, CN= Gegenstelle.com, E=it-service@ Gegenstelle.com'
Jul 8 11:29:27 intranator pluto[3740]: "C17" #6658: ISAKMP SA established
Jul 8 11:29:27 intranator pluto[3740]: "C17" #6659: initiating Quick Mode RSASIG+ENCRYPT+TUNNEL+PFS+UP {using isakmp#6658}
Jul 8 11:29:27 intranator vpnupdown: connected C17 (peer 1.1.1.1 (IP VPN bintec) on eth5 via 2.2.2.2 (Unsere Router-IP))
Jul 8 11:29:27 intranator pluto[3740]: "C17" #6659: up-client output:
Jul 8 11:29:27 intranator pluto[3740]: "C17" #6659: up-client output: Done.
Jul 8 11:29:27 intranator pluto[3740]: "C17" #6659: sent QI2, IPsec SA established {ESP=>0x56801031 <0xd707f290}
Jul 8 11:30:04 intranator pluto[3740]: "C17": terminating SAs using this connection
Jul 8 11:30:04 intranator pluto[3740]: "C17" #6659: deleting state (STATE_QUICK_I2)
Jul 8 11:30:04 intranator vpnupdown: disconnected C17 (peer 1.1.1.1 (IP VPN bintec) on eth5 via 2.2.2.2 (Unsere Router-IP))
Jul 8 11:30:04 intranator pluto[3740]: "C17" #6659: down-client output:
Jul 8 11:30:05 intranator pluto[3740]: "C17" #6659: down-client output: Done.
Jul 8 11:30:05 intranator pluto[3740]: "C17" #6658: deleting state (STATE_MAIN_I4)



Jul 8 13:25:55 intranator pluto[3740]: "C17" #6663: responding to Main Mode
Jul 8 13:25:55 intranator pluto[3740]: "C17" #6663: NAT-Traversal: Result using draft-ietf-ipsec-nat-t-ike-02/03: no NAT detected
Jul 8 13:25:55 intranator pluto[3740]: "C17" #6663: ignoring informational payload, type IPSEC_INITIAL_CONTACT
Jul 8 13:25:55 intranator pluto[3740]: "C17" #6663: Peer ID is ID_DER_ASN1_DN: 'C=DE, ST=Germany, L=City, O=Gegenstelle GmbH, OU=IT-Service, CN= Gegenstelle.com, E=it-service@ Gegenstelle.com'
Jul 8 13:25:55 intranator pluto[3740]: "C17" #6663: we have a cert and are sending it upon request
Jul 8 13:25:55 intranator pluto[3740]: "C17" #6663: sent MR3, ISAKMP SA established
Jul 8 13:25:55 intranator pluto[3740]: "C17" #6664: IPCA (IPcomp SA) contains GROUP_DESCRIPTION. Ignoring inapproprate attribute.
Jul 8 13:25:55 intranator pluto[3740]: "C17" #6664: responding to Quick Mode
Jul 8 13:25:55 intranator vpnupdown: connected C17 (peer 1.1.1.1 (IP VPN bintec) on eth5 via 2.2.2.2 (Unsere Router-IP))
Jul 8 13:25:56 intranator pluto[3740]: "C17" #6664: up-client output:
Jul 8 13:25:56 intranator pluto[3740]: "C17" #6664: up-client output: Done.
Jul 8 13:25:56 intranator pluto[3740]: "C17" #6664: IPsec SA established {ESP=>0x6f84713d <0x68120a48 IPCOMP=>0x0ae80002 <0x00004a6f}
Jul 8 13:38:09 intranator pluto[3740]: "C17" #6663: received Delete SA(0x6f84713d) payload: deleting IPSEC State #6664
Jul 8 13:38:09 intranator vpnupdown: disconnected C17 (peer 1.1.1.1 (IP VPN bintec) on eth5 via 2.2.2.2 (Unsere Router-IP))
Jul 8 13:38:09 intranator pluto[3740]: "C17" #6664: down-client output:
Jul 8 13:38:09 intranator pluto[3740]: "C17" #6664: down-client output: Done.
Jul 8 13:38:09 intranator pluto[3740]: "C17" #6663: received Delete SA payload: deleting ISAKMP State #6663

Jul 8 13:40:42 intranator pluto[3740]: "C17" #6665: responding to Main Mode
Jul 8 13:40:42 intranator pluto[3740]: "C17" #6665: NAT-Traversal: Result using draft-ietf-ipsec-nat-t-ike-02/03: no NAT detected
Jul 8 13:40:42 intranator pluto[3740]: "C17" #6665: ignoring informational payload, type IPSEC_INITIAL_CONTACT
Jul 8 13:40:42 intranator pluto[3740]: "C17" #6665: Peer ID is ID_DER_ASN1_DN: 'C=DE, ST=Germany, L=City, O=Gegenstelle GmbH, OU=IT-Service, CN= Gegenstelle.com, E=it-service@ Gegenstelle.com'
Jul 8 13:40:43 intranator pluto[3740]: "C17" #6665: we have a cert and are sending it upon request
Jul 8 13:40:43 intranator pluto[3740]: "C17" #6665: sent MR3, ISAKMP SA established
Jul 8 13:40:43 intranator pluto[3740]: "C17" #6666: IPCA (IPcomp SA) contains GROUP_DESCRIPTION. Ignoring inapproprate attribute.
Jul 8 13:40:43 intranator pluto[3740]: "C17" #6666: responding to Quick Mode
Jul 8 13:40:43 intranator vpnupdown: connected C17 (peer 1.1.1.1 (IP VPN bintec) on eth5 via 2.2.2.2 (Unsere Router-IP))
Jul 8 13:40:43 intranator pluto[3740]: "C17" #6666: up-client output:
Jul 8 13:40:43 intranator pluto[3740]: "C17" #6666: up-client output: Done.
Jul 8 13:40:43 intranator pluto[3740]: "C17" #6666: IPsec SA established {ESP=>0x0dfe9b6b <0xedb51029 IPCOMP=>0x93cf0002 <0x000035b3}

[bjoerns]

Hallo,

sieht soweit eigentlich beides ganz gut aus.
Interessant wäre noch ein Vergleich der Routingtabellen für beide Fälle.

Haben Sie auch die Möglichkeit an die Logdateien der Gegenstelle zu kommen?

MFG Bjoern

[achberger]

Hallo,

die Gegenstelle hatte in Phase 2 "IP-Kompression" aktiviert. Diese Einstellung kam nur dann zum Tragen, wenn die Gegenstelle versucht hat, die Verbindung aufzubauen.

Danke für die Hilfe
Grüße