catscrash
Goto Top

Digitalisierungsbox Premium und ipsec IKEv2 Routing

Hallo zusammen,

ich habe leider ein VPN Problem mit der Digitalisierungsbox und hoffe ihr könnt mir helfen.

Ich habe ein ipsec VPN über ikev2 aufgesetzt, das VPN baut sich auch sauber auf, aber die Digitalisierungsbox lässt keinen Traffic hindurch. Auf der Gegenseite kann ich einen Ping starten und sehe den Traffic im VPN. Ich sehe auch in der Digitalisierungsbox in der ipsec Statistik die eingehenden Pakete - der Zielhost hinter der Digitalisierungsbox wird allerdings nicht erreicht (tcpdump auf dem Zielhost, keine eingehenden Pakete).
Andersherum erreicht ein Host hinter der Digitalisierungsbox mit einem Ping auch das Remote-Netz nicht. Der Traffic-Counter in der Digitalisierungsbox für ausgehende Pakete erhöht sich auch nicht und auf der Gegenseite habe ich gar keinen eingehenden Traffic.

Es scheint für mich als wäre das Routing des Netzwerks auf die Schnittstelle nicht in Ordnung, verstehe aber auch nicht wirklich wie die Digitalisierungsbox das korrekt erwartet.

Netzwerk der Digitalisierungsbox: 192.168.100.0/24
Remote Netzwerk: 172.18.0.0/16
Remote VPN Software: Strongswan 5.7
VPN Setup: IKEv2, PSK

selection_957


Status der Verbindung auf Digibox Seite:
selection_958
selection_959

Status der Verbindung auf Strongswan-Seite:
ipsec statusall xxx-office
Status of IKE charon daemon (strongSwan 5.7.2, Linux 4.19.0-17-amd64, x86_64):
  uptime: 70 minutes, since Aug 28 14:39:36 2021
  malloc: sbrk 2945024, mmap 0, used 1287840, free 1657184
  worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 18
  loaded plugins: charon test-vectors ldap pkcs11 tpm aes rc2 sha2 sha1 md5 mgf1 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl gcrypt af-alg fips-prf gmp curve25519 agent chapoly xcbc cmac hmac ctr ccm gcm curl attr kernel-netlink resolve socket-default connmark farp stroke vici updown eap-identity eap-aka eap-md5 eap-gtc eap-mschapv2 eap-radius eap-tls eap-ttls eap-tnc xauth-generic xauth-eap xauth-pam tnc-tnccs dhcp lookip error-notify certexpire led addrblock unity counters
Listening IP addresses:
xxx
Connections:
xxx-office:  xxx...%any6,0.0.0.0/0,::/0  IKEv2
xxx-office:   local:  [xxx] uses pre-shared key authentication
xxx-office:   remote: uses pre-shared key authentication
xxx-office:   child:  172.18.0.0/16 === 192.168.100.0/24 TUNNEL
Security Associations (2 up, 0 connecting):
xxx-office[10]: ESTABLISHED 11 minutes ago, xxx[ID1]...xxx[ID2]
xxx-office[10]: IKEv2 SPIs: bb82601532924eee_i b01ea32c07cb2ced_r*, pre-shared key reauthentication in 23 hours
xxx-office[10]: IKE proposal: AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
xxx-office{9}:  INSTALLED, TUNNEL, reqid 8, ESP SPIs: cd61b543_i 20dad766_o
xxx-office{9}:  AES_CBC_256/HMAC_SHA2_256_128, 0 bytes_i, 84 bytes_o (1 pkt, 587s ago), rekeying in 32 minutes
xxx-office{9}:   172.18.0.0/16 === 192.168.100.0/24

Automatisch installierte Routen:
selection_960

Im VPN-Setup der Digitalisierungsbox gibt es diesen Punkt "Lokale IP-Adresse" der mich etwas irritiert. Normalerweise erwarte ich eigentlich, dass ich in einem ipsec Setup Subnets für die lokale Seite und Subnets für die Remote Seite angeben kann, das scheint hier nicht der Fall zu sein, das Feld Lokale IP-Adresse nimmt keine Angabe wie 192.168.100.0/24 - Standard war hier die 0.0.0.0 - aber auch die lokale IP der Digitalisierungsbox zu nutzen hat keine Änderung gebracht.

Ich denke irgendwas grundlegendes am Setup in der Digitalisierungsbox verstehe ich hier nicht - vielleicht kann mir jemand helfen?

Wenn Euch noch etwas an Infos fehlt, liefere ich es gerne nach

Danke!

Content-ID: 1205288600

Url: https://administrator.de/contentid/1205288600

Ausgedruckt am: 21.11.2024 um 14:11 Uhr

em-pie
em-pie 28.08.2021 um 16:15:38 Uhr
Goto Top
Moin,

hast du auf beiden Seiten auch die Firewall entsprechend geprüft?
Der Tunnel ist die eine Sache, wenn die Firewall in der Digibox aber sagt "nee, iss nich", dann bleibst du halt am Türsteher hängen face-wink

Gruß
em-pie
Catscrash
Catscrash 28.08.2021 aktualisiert um 16:31:28 Uhr
Goto Top
Zitat von @em-pie:
hast du auf beiden Seiten auch die Firewall entsprechend geprüft?

Hi,

hatte ich auch überlegt und die IPv4 Firewall mal testweise komplett abgeschaltet ohne anderes Ergebnis.

Der Punkt "vertrauenswürdige Schnittstelle" im VPN Setup fügt allerdings die Schnittstelle auch zur Firewall hinzu. Sicherheitshalber habe ich trotzdem noch den IP Bereich freigegeben. Daher vermute ich derzeit, dass es die Firewall eher nicht ist. Trotz allem - ich habe Schwierigkeiten das Firewall Log auf der Digibox zu finden, Home -> Monitoring -> Internes Protokoll hat jedenfalls keine spannenden Einträge.

Auf der Gegenseite (Strongswan-Seite) habe ich ein vernünftiges Firewall log und da kommt ja im Tunnel schon gar kein Traffic an aus der Digibox der überhaupt mal bis zur Firewall auf Strongswan-Seite kommen könnte.
n4426
n4426 28.08.2021 um 16:36:45 Uhr
Goto Top
Hi Catscrash,

der Routing-Eintrag mit der Lokalen IP 0.0.0.0 ist bei meinen Bintec auch so, sollte also passen.

Ist das die Eingabe-Maske bei der IPSec-Verbindung?
selection_957

wenn ja, gehört hier bei Lokaler-IP die IP der DigiBox rein.

Grüße
n4426
aqui
aqui 28.08.2021 um 16:40:44 Uhr
Goto Top
http://faq.bintec-elmeg.com/index.php?title=bintec_Router-Serien_und_be ...
Aber das nutzt wohl noch ein älteres GUI... face-sad
Das mit der lokalen IP ist in der Tat unlogisch. Normal versteht man darunter ja die Phase 2 Konfig und dort sollte lokales und remotes Netz stehen wie du schon richtig gesagt hast. Es könnte die Netzadresse gemeint sein "192.168.100.0" aber das ist nur geraten.
ich habe Schwierigkeiten das Firewall Log auf der Digibox zu finden
Laut o.a. Bintec HowTo geht das mit SSH oder Telnet Zugang.
Interessant wäre von der Strongswan Seite nochmal ein ip route Output bei aktivem Tunnel um zu sehen ob die Phase 2 injiziert wurde in die Routing Tabelle.
Catscrash
Catscrash 28.08.2021 um 16:46:15 Uhr
Goto Top
Zitat von @n4426:

Hi Catscrash,

der Routing-Eintrag mit der Lokalen IP 0.0.0.0 ist bei meinen Bintec auch so, sollte also passen.

Ist das die Eingabe-Maske bei der IPSec-Verbindung?
selection_957

wenn ja, gehört hier bei Lokaler-IP die IP der DigiBox rein.

Grüße
n4426

Hi,

ja, das ist die Eingabe-Maske der IPsec-Verbindung. Wenn ich hier die lokale Digibox IP (192.168.100.1) eintrage, erscheint diese allerdings auch in der automatisch erstellten Route:

selection_961

Helfen tut diese Änderung allerdings nicht. Ich kann weiterhin nicht mal direkt von der Digibox über die Diagnosetools eine IP auf der Gegenseite pingen, der Counter für ausgehende Pakete im ipsec Monitoring erhöht sich auch hierbei nicht.

Da du sagst bei deinem Router wäre die Lokale IP in der Route auch 0.0.0.0 habe ich nach dem automatischen Anlegen der Route versucht die lokale IP zurückzuändern, das ändert sie dann allerdings auch im VPN Setup. Hast du bei dir im VPN Setup eine andere IP hinterlegt als in der daraus erstellten Route?
Catscrash
Catscrash 28.08.2021 aktualisiert um 17:51:52 Uhr
Goto Top
Zitat von @aqui:

http://faq.bintec-elmeg.com/index.php?title=bintec_Router-Serien_und_be ...
Aber das nutzt wohl noch ein älteres GUI... face-sad
Das mit der lokalen IP ist in der Tat unlogisch. Normal versteht man darunter ja die Phase 2 Konfig und dort sollte lokales und remotes Netz stehen wie du schon richtig gesagt hast. Es könnte die Netzadresse gemeint sein "192.168.100.0" aber das ist nur geraten.
ich habe Schwierigkeiten das Firewall Log auf der Digibox zu finden
Laut o.a. Bintec HowTo geht das mit SSH oder Telnet Zugang.
Interessant wäre von der Strongswan Seite nochmal ein ip route Output bei aktivem Tunnel um zu sehen ob die Phase 2 injiziert wurde in die Routing Tabelle.

Hi,
Danke für die Antwort. 192.168.100.0 hab ich ausgetestet, leider ohne Erfolg. SSH Zugang versuche ich mal, danke. In dem Link steht ja auch noch ein bisschen was drin was ich über SSH mir ansehen kann.


die Route auf Strongswan Seite ist als Policy installiert, diese sind allerdings korrekt vorhanden:
src 172.18.0.0/16 dst 192.168.100.0/24   
        dir out priority 379519 ptype main
        tmpl src xxx dst xxxx
                proto esp spi 0x8aa63d03 reqid 9 mode tunnel
src 192.168.100.0/24 dst 172.18.0.0/16   
        dir fwd priority 379519 ptype main
        tmpl src xxx dst xxx
                proto esp reqid 9 mode tunnel
src 192.168.100.0/24 dst 172.18.0.0/16   
        dir in priority 379519 ptype main
        tmpl src xxx dst xxx
                proto esp reqid 9 mode tunnel
Einen Ping von Strongswan Seite sehe ich ja auch immerhin als eingehende Pakete in der Digibox. Eine fehlende Rückroute im Strongswan-Setup würde eine fehlende Antwort auf Pings von der Digibox erklären, aber nicht dass es im VPN keine eingehenden Pakete gibt. Auch mit einem tcpdump sehe ich keine eingehenden Pakete.
n4426
Lösung n4426 28.08.2021 um 16:55:22 Uhr
Goto Top
Entschuldige, da hab jetzt grad nochmal geschaut. Die Lokale-IP muss bei der Route auch die der Digi-Box sein.

Ich hab bei der IPSec-Konfiguration mehre Remote-Netze angegeben, die weiteren Remote-Netze werden im Routing mit 0.0.0.0 als Lokale IP geführt.

Starte auch mal die DigiBox durch (Konfiguration Speichern vorher nicht vergessen), hatte auch mal das Problem, dass nichts durch den Tunnel ging, nach einem Neustart war der Fehler weg.

Grüße
n4426
Catscrash
Catscrash 28.08.2021 um 17:05:42 Uhr
Goto Top
Zitat von @n4426:

Entschuldige, da hab jetzt grad nochmal geschaut. Die Lokale-IP muss bei der Route auch die der Digi-Box sein.

Ich hab bei der IPSec-Konfiguration mehre Remote-Netze angegeben, die weiteren Remote-Netze werden im Routing mit 0.0.0.0 als Lokale IP geführt.

Starte auch mal die DigiBox durch (Konfiguration Speichern vorher nicht vergessen), hatte auch mal das Problem, dass nichts durch den Tunnel ging, nach einem Neustart war der Fehler weg.

Grüße
n4426

Der Reboot war es tatsächlich. Die lokale IP ist scheinbar korrekt, aber ohne Reboot hat es nicht funktioniert. Danke!!!
n4426
n4426 28.08.2021 um 17:10:53 Uhr
Goto Top
perfekt. Bin da auch mal am verzweifeln gewesen, warum es nicht funktioniert und mit gleicher Config auf einem anderen Gerätgelaufen ist face-smile.
aqui
aqui 28.08.2021 aktualisiert um 17:19:26 Uhr
Goto Top
Reboot tut gut ! 😉
Interessant wäre für die Community hier sicher noch einmal die Konfig deiner Strongswan Seite. Hilft sicher auch anderen die Linux nutzen und würde dann ins hiesige IKEv2 Tutorial eingepflegt werden. (Dein Einverständnis vorausgesetzt ?!)
IPsec IKEv2 Standort VPN Vernetzung mit Cisco, pfSense OPNsense und Mikrotik
Die Strongswan IPsec Client VPN Variante zeigt ebenfalls ein hiesiges Tutorial:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Catscrash
Catscrash 28.08.2021 aktualisiert um 17:44:38 Uhr
Goto Top
Zitat von @aqui:

Reboot tut gut ! 😉
Interessant wäre für die Community hier sicher noch einmal die Konfig deiner Strongswan Seite. Hilft sicher auch anderen die Linux nutzen und würde dann ins hiesige IKEv2 Tutorial eingepflegt werden. (Dein Einverständnis vorausgesetzt ?!)
IPsec IKEv2 Standort VPN Vernetzung mit Cisco, pfSense OPNsense und Mikrotik
Die Strongswan IPsec Client VPN Variante zeigt ebenfalls ein hiesiges Tutorial:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten


Gern:

Ich habe auf der Digibox Seite keine feste IP und bin auf IPv6 für die ipsec Verbindung angewiesen, sodass ich für die Digibox auch kein DynDNS anlegen kann - diese kann scheinbar nur ihre IPv4 Adresse veröffentlichen. Daher bin ich hier auf %any6 gegangen, das lässt sich in einem anderen Setup allerdings sicher schöner lösen.

conn xxx-office
        type=tunnel
        left=<<<localfqdn>>>
        leftsubnet=172.18.0.0/16   
        leftfirewall=yes
        leftid=<<<localfqdn>>>
        rightallowany=yes
        right=%any6
        rightsubnet=192.168.100.0/24
        auto=add
        compress=no
        fragmentation=yes
        #Phase-1
        keyexchange=ikev2
        authby=secret
        ike=aes256-sha256-modp2048
        ikelifetime=24h
        #Phase-2
        keylife=1h
        esp=aes256-sha256-modp2048

<<<localfqdn>>> natürlich ersetzen

Das dürft ihr natürlich gern einpflegen. Auf Digibox Seite habe ich dafür jeweils noch ein Phase-1 und Phase-2 Profil mit AES256 / SHA256 / DH14 angelegt.
aqui
aqui 29.08.2021 um 13:23:52 Uhr
Goto Top
👍