12
Digitalisierungsbox Premium und ipsec IKEv2 Routing
Hallo zusammen,
ich habe leider ein VPN Problem mit der Digitalisierungsbox und hoffe ihr könnt mir helfen.
Ich habe ein ipsec VPN über ikev2 aufgesetzt, das VPN baut sich auch sauber auf, aber die Digitalisierungsbox lässt keinen Traffic hindurch. Auf der Gegenseite kann ich einen Ping starten und sehe den Traffic im VPN. Ich sehe auch in der Digitalisierungsbox in der ipsec Statistik die eingehenden Pakete - der Zielhost hinter der Digitalisierungsbox wird allerdings nicht erreicht (tcpdump auf dem Zielhost, keine eingehenden Pakete).
Andersherum erreicht ein Host hinter der Digitalisierungsbox mit einem Ping auch das Remote-Netz nicht. Der Traffic-Counter in der Digitalisierungsbox für ausgehende Pakete erhöht sich auch nicht und auf der Gegenseite habe ich gar keinen eingehenden Traffic.
Es scheint für mich als wäre das Routing des Netzwerks auf die Schnittstelle nicht in Ordnung, verstehe aber auch nicht wirklich wie die Digitalisierungsbox das korrekt erwartet.
Netzwerk der Digitalisierungsbox: 192.168.100.0/24
Remote Netzwerk: 172.18.0.0/16
Remote VPN Software: Strongswan 5.7
VPN Setup: IKEv2, PSK
Status der Verbindung auf Digibox Seite:
Status der Verbindung auf Strongswan-Seite:
Automatisch installierte Routen:
Im VPN-Setup der Digitalisierungsbox gibt es diesen Punkt "Lokale IP-Adresse" der mich etwas irritiert. Normalerweise erwarte ich eigentlich, dass ich in einem ipsec Setup Subnets für die lokale Seite und Subnets für die Remote Seite angeben kann, das scheint hier nicht der Fall zu sein, das Feld Lokale IP-Adresse nimmt keine Angabe wie 192.168.100.0/24 - Standard war hier die 0.0.0.0 - aber auch die lokale IP der Digitalisierungsbox zu nutzen hat keine Änderung gebracht.
Ich denke irgendwas grundlegendes am Setup in der Digitalisierungsbox verstehe ich hier nicht - vielleicht kann mir jemand helfen?
Wenn Euch noch etwas an Infos fehlt, liefere ich es gerne nach
Danke!
ich habe leider ein VPN Problem mit der Digitalisierungsbox und hoffe ihr könnt mir helfen.
Ich habe ein ipsec VPN über ikev2 aufgesetzt, das VPN baut sich auch sauber auf, aber die Digitalisierungsbox lässt keinen Traffic hindurch. Auf der Gegenseite kann ich einen Ping starten und sehe den Traffic im VPN. Ich sehe auch in der Digitalisierungsbox in der ipsec Statistik die eingehenden Pakete - der Zielhost hinter der Digitalisierungsbox wird allerdings nicht erreicht (tcpdump auf dem Zielhost, keine eingehenden Pakete).
Andersherum erreicht ein Host hinter der Digitalisierungsbox mit einem Ping auch das Remote-Netz nicht. Der Traffic-Counter in der Digitalisierungsbox für ausgehende Pakete erhöht sich auch nicht und auf der Gegenseite habe ich gar keinen eingehenden Traffic.
Es scheint für mich als wäre das Routing des Netzwerks auf die Schnittstelle nicht in Ordnung, verstehe aber auch nicht wirklich wie die Digitalisierungsbox das korrekt erwartet.
Netzwerk der Digitalisierungsbox: 192.168.100.0/24
Remote Netzwerk: 172.18.0.0/16
Remote VPN Software: Strongswan 5.7
VPN Setup: IKEv2, PSK
Status der Verbindung auf Digibox Seite:
Status der Verbindung auf Strongswan-Seite:
ipsec statusall xxx-office
Status of IKE charon daemon (strongSwan 5.7.2, Linux 4.19.0-17-amd64, x86_64):
uptime: 70 minutes, since Aug 28 14:39:36 2021
malloc: sbrk 2945024, mmap 0, used 1287840, free 1657184
worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 18
loaded plugins: charon test-vectors ldap pkcs11 tpm aes rc2 sha2 sha1 md5 mgf1 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl gcrypt af-alg fips-prf gmp curve25519 agent chapoly xcbc cmac hmac ctr ccm gcm curl attr kernel-netlink resolve socket-default connmark farp stroke vici updown eap-identity eap-aka eap-md5 eap-gtc eap-mschapv2 eap-radius eap-tls eap-ttls eap-tnc xauth-generic xauth-eap xauth-pam tnc-tnccs dhcp lookip error-notify certexpire led addrblock unity counters
Listening IP addresses:
xxx
Connections:
xxx-office: xxx...%any6,0.0.0.0/0,::/0 IKEv2
xxx-office: local: [xxx] uses pre-shared key authentication
xxx-office: remote: uses pre-shared key authentication
xxx-office: child: 172.18.0.0/16 === 192.168.100.0/24 TUNNEL
Security Associations (2 up, 0 connecting):
xxx-office[10]: ESTABLISHED 11 minutes ago, xxx[ID1]...xxx[ID2]
xxx-office[10]: IKEv2 SPIs: bb82601532924eee_i b01ea32c07cb2ced_r*, pre-shared key reauthentication in 23 hours
xxx-office[10]: IKE proposal: AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
xxx-office{9}: INSTALLED, TUNNEL, reqid 8, ESP SPIs: cd61b543_i 20dad766_o
xxx-office{9}: AES_CBC_256/HMAC_SHA2_256_128, 0 bytes_i, 84 bytes_o (1 pkt, 587s ago), rekeying in 32 minutes
xxx-office{9}: 172.18.0.0/16 === 192.168.100.0/24Automatisch installierte Routen:
Im VPN-Setup der Digitalisierungsbox gibt es diesen Punkt "Lokale IP-Adresse" der mich etwas irritiert. Normalerweise erwarte ich eigentlich, dass ich in einem ipsec Setup Subnets für die lokale Seite und Subnets für die Remote Seite angeben kann, das scheint hier nicht der Fall zu sein, das Feld Lokale IP-Adresse nimmt keine Angabe wie 192.168.100.0/24 - Standard war hier die 0.0.0.0 - aber auch die lokale IP der Digitalisierungsbox zu nutzen hat keine Änderung gebracht.
Ich denke irgendwas grundlegendes am Setup in der Digitalisierungsbox verstehe ich hier nicht - vielleicht kann mir jemand helfen?
Wenn Euch noch etwas an Infos fehlt, liefere ich es gerne nach
Danke!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1205288600
Url: https://administrator.de/contentid/1205288600
Ausgedruckt am: 04.11.2024 um 17:11 Uhr
12 Kommentare
Neuester Kommentar
Moin,
hast du auf beiden Seiten auch die Firewall entsprechend geprüft?
Der Tunnel ist die eine Sache, wenn die Firewall in der Digibox aber sagt "nee, iss nich", dann bleibst du halt am Türsteher hängen
Gruß
em-pie
hast du auf beiden Seiten auch die Firewall entsprechend geprüft?
Der Tunnel ist die eine Sache, wenn die Firewall in der Digibox aber sagt "nee, iss nich", dann bleibst du halt am Türsteher hängen
Gruß
em-pie
Hi,
hatte ich auch überlegt und die IPv4 Firewall mal testweise komplett abgeschaltet ohne anderes Ergebnis.
Der Punkt "vertrauenswürdige Schnittstelle" im VPN Setup fügt allerdings die Schnittstelle auch zur Firewall hinzu. Sicherheitshalber habe ich trotzdem noch den IP Bereich freigegeben. Daher vermute ich derzeit, dass es die Firewall eher nicht ist. Trotz allem - ich habe Schwierigkeiten das Firewall Log auf der Digibox zu finden, Home -> Monitoring -> Internes Protokoll hat jedenfalls keine spannenden Einträge.
Auf der Gegenseite (Strongswan-Seite) habe ich ein vernünftiges Firewall log und da kommt ja im Tunnel schon gar kein Traffic an aus der Digibox der überhaupt mal bis zur Firewall auf Strongswan-Seite kommen könnte.
Hi Catscrash,
der Routing-Eintrag mit der Lokalen IP 0.0.0.0 ist bei meinen Bintec auch so, sollte also passen.
Ist das die Eingabe-Maske bei der IPSec-Verbindung?
wenn ja, gehört hier bei Lokaler-IP die IP der DigiBox rein.
Grüße
n4426
der Routing-Eintrag mit der Lokalen IP 0.0.0.0 ist bei meinen Bintec auch so, sollte also passen.
Ist das die Eingabe-Maske bei der IPSec-Verbindung?
wenn ja, gehört hier bei Lokaler-IP die IP der DigiBox rein.
Grüße
n4426
http://faq.bintec-elmeg.com/index.php?title=bintec_Router-Serien_und_be ...
Aber das nutzt wohl noch ein älteres GUI...
Das mit der lokalen IP ist in der Tat unlogisch. Normal versteht man darunter ja die Phase 2 Konfig und dort sollte lokales und remotes Netz stehen wie du schon richtig gesagt hast. Es könnte die Netzadresse gemeint sein "192.168.100.0" aber das ist nur geraten.
Interessant wäre von der Strongswan Seite nochmal ein ip route Output bei aktivem Tunnel um zu sehen ob die Phase 2 injiziert wurde in die Routing Tabelle.
Aber das nutzt wohl noch ein älteres GUI...
Das mit der lokalen IP ist in der Tat unlogisch. Normal versteht man darunter ja die Phase 2 Konfig und dort sollte lokales und remotes Netz stehen wie du schon richtig gesagt hast. Es könnte die Netzadresse gemeint sein "192.168.100.0" aber das ist nur geraten.
ich habe Schwierigkeiten das Firewall Log auf der Digibox zu finden
Laut o.a. Bintec HowTo geht das mit SSH oder Telnet Zugang.Interessant wäre von der Strongswan Seite nochmal ein ip route Output bei aktivem Tunnel um zu sehen ob die Phase 2 injiziert wurde in die Routing Tabelle.
Zitat von @n4426:
Hi Catscrash,
der Routing-Eintrag mit der Lokalen IP 0.0.0.0 ist bei meinen Bintec auch so, sollte also passen.
Ist das die Eingabe-Maske bei der IPSec-Verbindung?
wenn ja, gehört hier bei Lokaler-IP die IP der DigiBox rein.
Grüße
n4426
Hi Catscrash,
der Routing-Eintrag mit der Lokalen IP 0.0.0.0 ist bei meinen Bintec auch so, sollte also passen.
Ist das die Eingabe-Maske bei der IPSec-Verbindung?
wenn ja, gehört hier bei Lokaler-IP die IP der DigiBox rein.
Grüße
n4426
Hi,
ja, das ist die Eingabe-Maske der IPsec-Verbindung. Wenn ich hier die lokale Digibox IP (192.168.100.1) eintrage, erscheint diese allerdings auch in der automatisch erstellten Route:
Helfen tut diese Änderung allerdings nicht. Ich kann weiterhin nicht mal direkt von der Digibox über die Diagnosetools eine IP auf der Gegenseite pingen, der Counter für ausgehende Pakete im ipsec Monitoring erhöht sich auch hierbei nicht.
Da du sagst bei deinem Router wäre die Lokale IP in der Route auch 0.0.0.0 habe ich nach dem automatischen Anlegen der Route versucht die lokale IP zurückzuändern, das ändert sie dann allerdings auch im VPN Setup. Hast du bei dir im VPN Setup eine andere IP hinterlegt als in der daraus erstellten Route?
Zitat von @aqui:
http://faq.bintec-elmeg.com/index.php?title=bintec_Router-Serien_und_be ...
Aber das nutzt wohl noch ein älteres GUI...
Das mit der lokalen IP ist in der Tat unlogisch. Normal versteht man darunter ja die Phase 2 Konfig und dort sollte lokales und remotes Netz stehen wie du schon richtig gesagt hast. Es könnte die Netzadresse gemeint sein "192.168.100.0" aber das ist nur geraten.
Interessant wäre von der Strongswan Seite nochmal ein ip route Output bei aktivem Tunnel um zu sehen ob die Phase 2 injiziert wurde in die Routing Tabelle.
http://faq.bintec-elmeg.com/index.php?title=bintec_Router-Serien_und_be ...
Aber das nutzt wohl noch ein älteres GUI...
Das mit der lokalen IP ist in der Tat unlogisch. Normal versteht man darunter ja die Phase 2 Konfig und dort sollte lokales und remotes Netz stehen wie du schon richtig gesagt hast. Es könnte die Netzadresse gemeint sein "192.168.100.0" aber das ist nur geraten.
ich habe Schwierigkeiten das Firewall Log auf der Digibox zu finden
Laut o.a. Bintec HowTo geht das mit SSH oder Telnet Zugang.Interessant wäre von der Strongswan Seite nochmal ein ip route Output bei aktivem Tunnel um zu sehen ob die Phase 2 injiziert wurde in die Routing Tabelle.
Hi,
Danke für die Antwort. 192.168.100.0 hab ich ausgetestet, leider ohne Erfolg. SSH Zugang versuche ich mal, danke. In dem Link steht ja auch noch ein bisschen was drin was ich über SSH mir ansehen kann.
die Route auf Strongswan Seite ist als Policy installiert, diese sind allerdings korrekt vorhanden:
src 172.18.0.0/16 dst 192.168.100.0/24
dir out priority 379519 ptype main
tmpl src xxx dst xxxx
proto esp spi 0x8aa63d03 reqid 9 mode tunnel
src 192.168.100.0/24 dst 172.18.0.0/16
dir fwd priority 379519 ptype main
tmpl src xxx dst xxx
proto esp reqid 9 mode tunnel
src 192.168.100.0/24 dst 172.18.0.0/16
dir in priority 379519 ptype main
tmpl src xxx dst xxx
proto esp reqid 9 mode tunnel
Entschuldige, da hab jetzt grad nochmal geschaut. Die Lokale-IP muss bei der Route auch die der Digi-Box sein.
Ich hab bei der IPSec-Konfiguration mehre Remote-Netze angegeben, die weiteren Remote-Netze werden im Routing mit 0.0.0.0 als Lokale IP geführt.
Starte auch mal die DigiBox durch (Konfiguration Speichern vorher nicht vergessen), hatte auch mal das Problem, dass nichts durch den Tunnel ging, nach einem Neustart war der Fehler weg.
Grüße
n4426
Ich hab bei der IPSec-Konfiguration mehre Remote-Netze angegeben, die weiteren Remote-Netze werden im Routing mit 0.0.0.0 als Lokale IP geführt.
Starte auch mal die DigiBox durch (Konfiguration Speichern vorher nicht vergessen), hatte auch mal das Problem, dass nichts durch den Tunnel ging, nach einem Neustart war der Fehler weg.
Grüße
n4426
Zitat von @n4426:
Entschuldige, da hab jetzt grad nochmal geschaut. Die Lokale-IP muss bei der Route auch die der Digi-Box sein.
Ich hab bei der IPSec-Konfiguration mehre Remote-Netze angegeben, die weiteren Remote-Netze werden im Routing mit 0.0.0.0 als Lokale IP geführt.
Starte auch mal die DigiBox durch (Konfiguration Speichern vorher nicht vergessen), hatte auch mal das Problem, dass nichts durch den Tunnel ging, nach einem Neustart war der Fehler weg.
Grüße
n4426
Entschuldige, da hab jetzt grad nochmal geschaut. Die Lokale-IP muss bei der Route auch die der Digi-Box sein.
Ich hab bei der IPSec-Konfiguration mehre Remote-Netze angegeben, die weiteren Remote-Netze werden im Routing mit 0.0.0.0 als Lokale IP geführt.
Starte auch mal die DigiBox durch (Konfiguration Speichern vorher nicht vergessen), hatte auch mal das Problem, dass nichts durch den Tunnel ging, nach einem Neustart war der Fehler weg.
Grüße
n4426
Der Reboot war es tatsächlich. Die lokale IP ist scheinbar korrekt, aber ohne Reboot hat es nicht funktioniert. Danke!!!
perfekt. Bin da auch mal am verzweifeln gewesen, warum es nicht funktioniert und mit gleicher Config auf einem anderen Gerätgelaufen ist 
.
.
Reboot tut gut ! 😉
Interessant wäre für die Community hier sicher noch einmal die Konfig deiner Strongswan Seite. Hilft sicher auch anderen die Linux nutzen und würde dann ins hiesige IKEv2 Tutorial eingepflegt werden. (Dein Einverständnis vorausgesetzt ?!)
IPsec IKEv2 Standort VPN Vernetzung mit Cisco, pfSense OPNsense und Mikrotik
Die Strongswan IPsec Client VPN Variante zeigt ebenfalls ein hiesiges Tutorial:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Interessant wäre für die Community hier sicher noch einmal die Konfig deiner Strongswan Seite. Hilft sicher auch anderen die Linux nutzen und würde dann ins hiesige IKEv2 Tutorial eingepflegt werden. (Dein Einverständnis vorausgesetzt ?!)
IPsec IKEv2 Standort VPN Vernetzung mit Cisco, pfSense OPNsense und Mikrotik
Die Strongswan IPsec Client VPN Variante zeigt ebenfalls ein hiesiges Tutorial:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Zitat von @aqui:
Reboot tut gut ! 😉
Interessant wäre für die Community hier sicher noch einmal die Konfig deiner Strongswan Seite. Hilft sicher auch anderen die Linux nutzen und würde dann ins hiesige IKEv2 Tutorial eingepflegt werden. (Dein Einverständnis vorausgesetzt ?!)
IPsec IKEv2 Standort VPN Vernetzung mit Cisco, pfSense OPNsense und Mikrotik
Die Strongswan IPsec Client VPN Variante zeigt ebenfalls ein hiesiges Tutorial:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Reboot tut gut ! 😉
Interessant wäre für die Community hier sicher noch einmal die Konfig deiner Strongswan Seite. Hilft sicher auch anderen die Linux nutzen und würde dann ins hiesige IKEv2 Tutorial eingepflegt werden. (Dein Einverständnis vorausgesetzt ?!)
IPsec IKEv2 Standort VPN Vernetzung mit Cisco, pfSense OPNsense und Mikrotik
Die Strongswan IPsec Client VPN Variante zeigt ebenfalls ein hiesiges Tutorial:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Gern:
Ich habe auf der Digibox Seite keine feste IP und bin auf IPv6 für die ipsec Verbindung angewiesen, sodass ich für die Digibox auch kein DynDNS anlegen kann - diese kann scheinbar nur ihre IPv4 Adresse veröffentlichen. Daher bin ich hier auf %any6 gegangen, das lässt sich in einem anderen Setup allerdings sicher schöner lösen.
conn xxx-office
type=tunnel
left=<<<localfqdn>>>
leftsubnet=172.18.0.0/16
leftfirewall=yes
leftid=<<<localfqdn>>>
rightallowany=yes
right=%any6
rightsubnet=192.168.100.0/24
auto=add
compress=no
fragmentation=yes
#Phase-1
keyexchange=ikev2
authby=secret
ike=aes256-sha256-modp2048
ikelifetime=24h
#Phase-2
keylife=1h
esp=aes256-sha256-modp2048<<<localfqdn>>> natürlich ersetzen
Das dürft ihr natürlich gern einpflegen. Auf Digibox Seite habe ich dafür jeweils noch ein Phase-1 und Phase-2 Profil mit AES256 / SHA256 / DH14 angelegt.
1
👍
