hirnibus
Goto Top

Bin hilflos VPN mit SGS 320

Hallo zusammen...

ich versuche schon seit sehr langem VPN mit meiner Symantec Gateway 320 zu betreiben..leider erfolglos. Ich habe nun schon in 6 Foren die gleiche Frage gestellt, doch nie hat jemand geantwortet face-sad. Da mir hier auch niemand geholfen hat, wollte ich Fragen ob ihr irgendjemand ein Forum kennt welches sich speziell mit Symantec Hardware befasst!?

danke und gruss

hirnibus

Content-ID: 19122

Url: https://administrator.de/forum/bin-hilflos-vpn-mit-sgs-320-19122.html

Ausgedruckt am: 23.12.2024 um 00:12 Uhr

danger
danger 06.11.2005 um 16:35:32 Uhr
Goto Top
Hallo hirnibus
Hast du die dazugehörige cd von symantec? Da wird genau beschrieben wie du einzelne verbindungen herstellst. Was für eine Verbindung möchtest du herstellen? Zu einem anderem gateway oder zu einem client? Benutzt du windows als betriebsystem ist der vpn-client von symantec recht einfach zu konfigurieren. Obwohl es auch mit einfachen bordmitteln von xp auch
möglich ist. Auf anfrage sende ich dir gerne die entsprechende hilfedatei im pdf-format zu. Eine komplette installationsbeschreibung würde hier den rahmen sprengen. Bei einzelnen fragen bin ich dir gern behilflich.
gruss d.
hirnibus
hirnibus 07.11.2005 um 12:31:22 Uhr
Goto Top
ja ich habe die Dokumentation auch auf CD und bereits gründlich durchstudiert. Dennoch beisse ich auf Granit face-smile. Ich hab schon ein Dokument zusammengestellt mit Printscreens von Client + SGS 320 werde ich Heute noch posten. Als Client verwende ich die VPN Client software 8.0 von Symantec Betriebsystem ist XP Proffessional. Kann dir die genauen Einstellungen auch zukommen lassen.

mfg

hirnibus
hirnibus
hirnibus 09.11.2005 um 10:43:48 Uhr
Goto Top
wie gesagt...hat mir jemand ein Forum zu empfehlen?
danger
danger 09.11.2005 um 19:23:15 Uhr
Goto Top
Sorry für die späte...bin was im stress. Hab auch eine VPN zu einem Client Version 8 von Symantec und läuft problemlos. Kannst mir Screens schicken, kann aber erst zum Wochende mal reinschauen. Hilfreich währe auch das Protokoll von Client und Getaway.
Bis denne
hirnibus
hirnibus 12.11.2005 um 00:49:30 Uhr
Goto Top
also habe dir nun ein Word-Dokument mit Screenshots vom Client und SGS gemacht.

http://rapidshare.de/files/7505140/VPN.doc.html
hirnibus
hirnibus 16.11.2005 um 16:03:21 Uhr
Goto Top
hat mir niemand bitte bitte nur einen Gedankenstoss. Will diese Geschichte endlich zum laufen bringen.
seppimmerfit
seppimmerfit 19.11.2005 um 10:44:27 Uhr
Goto Top
Hallo hirnibus

kannst Du mir einmal das Log File in Deinem VPN Client senden?
Damit lässt sich schon einmal eine Aussage machen face-smile

Gruss vom Sepp
hirnibus
hirnibus 23.11.2005 um 21:26:34 Uhr
Goto Top
sry war im Urlaub. Werde Morgen das Logfile posten.

mfg

hirnibus
hirnibus
hirnibus 24.11.2005 um 19:27:13 Uhr
Goto Top
so hier nun das Logfile des clients:

24.11.2005 19:08:24 kernel 232 HINWEIS: Senden von ICMP nicht erreichbar, IP-Code=Unreachable (port), Quell-IP=221.6.163.50, Ziel-IP=212.254.76.127, IP-Code=UDP, Quellport=44320, Zielport=1026, Adapter=212.254.76.127
24.11.2005 19:08:32 kernel 232 HINWEIS: Senden von ICMP nicht erreichbar, IP-Code=Unreachable (port), Quell-IP=136.19.164.241, Ziel-IP=212.254.76.127, IP-Code=UDP, Quellport=64912, Zielport=1026, Adapter=212.254.76.127
24.11.2005 19:08:53 kernel 239 HINWEIS: Senden von TCP-Reset nicht erlaubt, Quell-IP=86.112.214.123, Ziel-IP=212.254.76.127, IP-Code=TCP, Flag=SYN, Quellport=3491, Zielport=6346, Adapter=212.254.76.127
24.11.2005 19:08:53 kernel 239 HINWEIS: Senden von TCP-Reset nicht erlaubt, Quell-IP=193.138.232.60, Ziel-IP=212.254.76.127, IP-Code=TCP, Flag=SYN, Quellport=51109, Zielport=1080, Adapter=212.254.76.127
24.11.2005 19:08:57 emapi Verbindung zu Sicherheits-Gateway 213.103.134.118 wird hergestellt
24.11.2005 19:08:57 isakmpd 301 WARNUNG: Suchen des Sicherheits-Gateways, bei dem IKE aktiviert ist, fehlgeschlagen, Programmname=isakmpd, Vorgang=Verbinden, Ressource=LSg_213.103.134.118, Status=Fehlschlag, Status=Verbinden
24.11.2005 19:08:57 isakmpd 301 WARNUNG: Suchen des Sicherheits-Gateways, bei dem IKE aktiviert ist, fehlgeschlagen, Programmname=isakmpd, Vorgang=Verbinden, Ressource=RSg_213.103.134.118, Status=Fehlschlag, Status=Verbinden
24.11.2005 19:08:57 Symantec Client VPN 610 KRITISCH: Die Kommunikation mit dem ISAKMP-Daemon ist fehlgeschlagen., Programmname=emapi
24.11.2005 19:08:57 emapi Abrufen der Konfiguration für Gateway 213.103.134.118
24.11.2005 19:08:58 isakmpd 120 INFORMATION: ISAKMP-Tunnel werden neu konfiguriert, Programmname=isakmpd, Vorgang=Überwachung, Status=Der Vorgang wurde erfolgreich beendet. , Status=Wird ausgeführt
24.11.2005 19:08:58 isakmpd 120 INFORMATION: Fehler bei der Verarbeitung von Daten, die vom Peer empfangen wurden, Programmname=isakmpd, Vorgang=Verbinden, Ressource=213.103.134.118, Status=Der Vorgang wurde erfolgreich beendet. , Status=Verbinden, String-Wert=(-3382)
24.11.2005 19:08:58 isakmpd 120 INFORMATION: Fehler bei der Vereinbarung der ISAKMP-Sicherheitszuordnung mit Peer, Programmname=isakmpd, Vorgang=Verbinden, Ressource=213.103.134.118, Status=Der Vorgang wurde erfolgreich beendet. , Status=Verbinden, Status=IKMP_ERROR, String-Wert=(-3382)
24.11.2005 19:08:58 isakmpd 120 INFORMATION: Herunterladen der Tunnel von Peer fehlgeschlagen, Programmname=isakmpd, Vorgang=Verbinden, Ressource=Initiator 213.103.134.118, Status=Der Vorgang wurde erfolgreich beendet. , Status=Verbinden
24.11.2005 19:08:58 Symantec Client VPN 610 KRITISCH: Die Kommunikation mit dem ISAKMP-Daemon ist fehlgeschlagen., Programmname=emapi
24.11.2005 19:08:59 kernel 239 HINWEIS: Senden von TCP-Reset nicht erlaubt, Quell-IP=24.118.104.41, Host=c-24-118-104-41.hsd1.mn.comcast.net, Ziel-IP=212.254.76.127, IP-Code=TCP, Flag=SYN, Quellport=1284, Zielport=6346, Adapter=212.254.76.127
24.11.2005 19:08:59 kernel 232 HINWEIS: Senden von ICMP nicht erreichbar, IP-Code=Unreachable (port), Quell-IP=61.152.158.108, Ziel-IP=212.254.76.127, IP-Code=UDP, Quellport=51272, Zielport=1029, Adapter=212.254.76.127


Logfile der SGS 320:

11/24/2005 18:07:16.42 Wan Client - Terminating connection
11/24/2005 18:07:16.42 Wan Client - Terminating connection
11/24/2005 18:07:16.42 Wan Client - Sending ISAKMP OAK INFO (Notification IKE SA)
11/24/2005 18:07:16.42 Wan Client - state transition function for STATE_AGGR_R0 failed: INVALID_ID_INFORMATION
11/24/2005 18:07:16.42 Wan Client - STATE_AGGR_R1: INVALID_ID_INFORMATION
11/24/2005 18:07:16.42 Wan Client - ERR: no suitable connection for peer '@'
11/24/2005 18:07:16.42 Wan Client - Responding to Aggressive Mode from Remote Peer 212.254.76.127
11/24/2005 17:47:15.92 WlanLan Client - Terminating connection
11/24/2005 17:47:15.92 Wan Client - Terminating connection
11/24/2005 17:46:57.52 Wan Client - Terminating connection
11/24/2005 17:43:40.97 Allowed - authenticated access to management console from 10.10.10.1 to SGS_320 : 213.103.134.118
11/24/2005 17:40:42.27 Packet dropped because TCP flag combination 0x1c is invalid
11/24/2005 17:39:09.32 Packet dropped because TCP flag combination 0x1c is invalid
11/24/2005 01:09:25.34 No LiveUpdate available
11/24/2005 01:09:24.74 Automatic LiveUpdate check at 11/25/2005 01:00:30.51
hirnibus
hirnibus 28.11.2005 um 16:15:59 Uhr
Goto Top
und irgenwelche Ideen?
seppimmerfit
seppimmerfit 05.12.2005 um 13:49:02 Uhr
Goto Top
Hallo Hirnibus

War leider auch kurz abwesend, werde das Log auf mich einwirken lassen und Dich am Abend über eine allfällige Lösung informieren.

Gruess

Sepp
seppimmerfit
seppimmerfit 05.12.2005 um 22:01:27 Uhr
Goto Top
Hallo Hirnibus

Nun präsentiere ich Dir die Lösung Deines Problemes:

Arbeiten an der Firewall:

1.zu VPN -> Advanced wechseln
2.bei "Local Gateway Phase 1 ID Type: Ip Adress eintragen
3.Local Gateway Phase 1 ID: leer lassen (blank)

Arbeiten am VPN Client:

1. unter Gateway -> IP Adresse entsprechende IP eingeben
2. setzen von Häckchen bei VPN Richtlinien herunterladen
4. Geheimer Schlüssel und Client Phase 1 ID eingeben
5. wechseln zum Reiter "Erweitert" das Feld Gateway Phase 1 unbedingt leer lassen
anschliessend OK klicken und zur Policy des VPN Clients wechseln

Jier sollten die Standarteinstellungen genügen strong und very strong allfällig weitere Richtlinien resp. selbsterstellte löschen.

Somit sollte Dein VPN Problem behoben sein.

Grüsse vom Sepp
hirnibus
hirnibus 06.12.2005 um 16:09:57 Uhr
Goto Top
leider verhält sich alles immer noch gleicht mit deinen Einstellungen. Selbe Fehlermeldung etc. sieh Log's. face-sad
seppimmerfit
seppimmerfit 11.12.2005 um 13:27:46 Uhr
Goto Top
Ist der DSl Router im Bridge Mode gesetzt?
Bin immer noch fest der Überzeugung dieses Problem in den Griff zu bekommen. . .

Gruss Sepp
hirnibus
hirnibus 15.12.2005 um 22:30:16 Uhr
Goto Top
habe das Problem nun mit einem SBS 2003 gelöst. Es hat einfach zu lange nicht geklappt. Hatte sicher 3 Monate an dem Ding gessesen nix ging. Nun funktionierts mit dem SBS 2003
F500D
F500D 15.01.2006 um 11:34:06 Uhr
Goto Top
Bis dahin bin ich auch gekommen. Beschäftige mich schon eine ganze Weile mir dem SGS 320, aber jetzt hänge ich fest.

Drauf bin ich auf dem SGS 320, aber ich bekomme folgenden Eintrag im Log:

01/15/2006 10:02:40.13 WlanLan Client - Verbindung wird beendet
01/15/2006 10:02:00.13 WlanLan Client - !!!: max. Anzahl von erneuten Übertragungen 2 erreicht STATE_AGGR_R1
01/15/2006 10:02:00.13 WlanLan Client - !!!: Verarbeitung des Ereignisses EVENT_RETRANSMIT für 192.168.0.110 "WlanLan Client"
01/15/2006 10:01:44.13 WlanLan Client - !!!: max. Anzahl von erneuten Übertragungen 2 erreicht STATE_AGGR_R1
01/15/2006 10:01:44.13 WlanLan Client - !!!: Verarbeitung des Ereignisses EVENT_RETRANSMIT für 192.168.0.110 "WlanLan Client"
01/15/2006 10:01:40.13 WlanLan Client - !!!: Verarbeitung des Ereignisses EVENT_RETRANSMIT für 192.168.0.110 "WlanLan Client"
01/15/2006 10:01:30.13 WlanLan Client - STATE_AGGR_R1: from STATE_AGGR_R0; gesendet wurde AR1, erwartet wird AI2
01/15/2006 10:01:29.78 WlanLan Client - Als Antwort auf den aggressiven Modus von Remote-Peer 192.168.0.110


Habe schon an verschiedenen Stellen rumgeschraubt, aber ohne Auswirkungen. Das meiste ist ja sowieso voreingestellt.

Hat dazu jemand eine Idee?

Danke Jörg
hirnibus
hirnibus 15.01.2006 um 13:38:03 Uhr
Goto Top
aber dein Log bezieht sich doch nur auf den Wlan-Client!?
F500D
F500D 15.01.2006 um 19:48:04 Uhr
Goto Top
Die Verbindung kommt von Internet. Wireless lauft nichts. Ich weiß nicht wie der SGS was Logt?!
Jetzt bin ich völlig verunsichert!
hirnibus
hirnibus 15.01.2006 um 20:49:54 Uhr
Goto Top
nuja...ich bin wie du siehst der Ersteller dieses Threads...ich bin auch nicht viel weiter gekommen face-sad
F500D
F500D 31.01.2006 um 13:25:37 Uhr
Goto Top
Bei mir funktioniert die VPN-Verbindung jetzt tadellos.

Habe entsprechend den Symantec-Internetseite, siehe auch Beitrag "sepp immerfit", den Router/VPN-Client Parametriert -> bisher aber ohne Erfolg. Probleme siehe weiter oben.

Jetzt habe ich nur den Shared secret-String ohne Sonderzeichen "*" "." "-" eingegeben -> seit dem klappt der Zugriff tadellos

Auf beiden Seiten keine feste IP /-> läuft mit dyndns und einem DSL-Router vor dem VPN-Client
spooner
spooner 21.02.2006 um 16:30:05 Uhr
Goto Top
Danger, könntest du mir bitte ne Anleitung senden wie ich einen VPN Tunnel zur SGS mit dem Win XP VPN Client aufbaue. Bei mir verursacht der Symantec Client nur Probleme. Wäre echt super wenn du da ne Lösung hättest,.
F500D
F500D 21.02.2006 um 20:53:52 Uhr
Goto Top
Soweit ich weiß, muss auf der Clientseite immer ein Symantec-VPN-Client sein.
jcvmaster
jcvmaster 06.06.2006 um 01:57:18 Uhr
Goto Top
Hallo zusammen,
ich habe derzeit ein Problem mit der SGS320 (die neue Version, bei der das geht...). Es soll eine Client-to-Gateway Verbindung hergestellt werden. Allerdings nutzen die Clients auch den Cisco-VPN-Client, dann lässt sicher der Symantec Client nicht installieren.
Jetzt habe ich gehört, dass evtl. auch eine Verbindung mit dem Windows-XP-internen Client hergestellt werden kann ?!?!

@ danger: hast du da genauere Infos ?! Danke...

Weiss da jemand etwas drüber?

Vielen Dank im Vorraus und schöne Grüße,
Jan
hirnibus
hirnibus 06.06.2006 um 19:37:38 Uhr
Goto Top
Bei der SGS 320 ist ein Client von Symantec vorausgesetzt. Habe schön in die Röhre geguckt als ich noch zusätzlich für die VPN Clients zahlen musste..schlussendlich kam alles teurer als eine SGS 360R...
jcvmaster
jcvmaster 07.06.2006 um 00:01:41 Uhr
Goto Top
Ich habe ja sogar die 320 mit 10 VPN-Clients gekauft...
Leider kann ich die nicht installieren, da ja bereits Cisco installiert.
Wenn ich erst Symantec und dann Cisco installiere, funktioniert der Cisco-Client (wie vorher auch), der Symantec Client stürzt aber mit ner Fehlermeldung ab.
Wenn also jamend was zu Möglichkeiten mit dem MS-Client weiss, dann BIIITTTTEEE antwortet face-smile.

Danke,
Jan
hirnibus
hirnibus 07.06.2006 um 17:17:11 Uhr
Goto Top
Mit dem Windows Client wird es sicherlich nicht funktioniere. Die SGS setzt einen Symantec VPN Client voraus!
F500D
F500D 07.06.2006 um 18:20:29 Uhr
Goto Top
Bei mir läuft der cisco- und symantec-client.
Ich glaube, dass ich erst den cisco-client deinstalliert, dann den symantec- und anschließend den cisco-client wieder installiert habe.
Dardenne
Dardenne 24.01.2007 um 10:53:41 Uhr
Goto Top
Hallo,

ich habe quasi das gleiche Problem und zwar möchte ich auch mit Symantec Client VPN eine Verbindung zur SGS 320 herstellen, jedoch gelingt mir das nur im LAN auf die interne IP Adresse der SGS 320. Wenn ich von extern zugreifen möchte kommen folgende Fehlermeldungen.

1/24/2007 10:50:50 AM emapi Connecting security gateway .....
1/24/2007 10:50:50 AM emapi Retrieving configuration for gateway .....
1/24/2007 10:51:32 AM Symantec Client VPN 610 CRITICAL: Communications with the ISAKMP daemon failed., Program Name=emapi
1/24/2007 10:51:32 AM emapi Error enabling tunnel. The server rejected the ISAKMP security association. Make sure the phase1 IDs, shared key, and IKE policy are correct. Please see logfile for details.
1/24/2007 10:51:32 AM emapi Error connecting tunnel to ...... The server rejected the ISAKMP security association. Make sure the phase1 IDs, shared key, and IKE policy are correct. Terminating connect operation.

Kann mir jemand helfen?
F500D
F500D 28.01.2007 um 19:39:03 Uhr
Goto Top
Wenn Du die Anleitung von Sepp immerfit, siehe weiter oben, nimmst und als Zugangsdaten (Pos. 4) Den Benutzer und das zugehörige Passwort verwendest, dann sollte es klappen.
Die Routereinstellungen kannst Du hier http://www.symantec.com/region/de/techsupp/enterprise/products/sym_gate ... finden.