IPCOP in VirtualBox - VPN over IPSEC to Fritzbox 7490

Mitglied: cc-frauenstein

cc-frauenstein (Level 1) - Jetzt verbinden

22.01.2016, aktualisiert 31.01.2016, 1911 Aufrufe, 5 Kommentare

Hallo zusammen

Ich versuche seit Tagen ein VPN tunnel aufzubauen was mach ich falsch ?


Rechenzentrum:
Rootserver und VirtualBox Host = X.X.X.149
VirtualBox(IPCOP) = X.X.X.10
Routen sind Okay alles anpingbar auch die aussenfiliale.



Filiale:
Fritzbox 7490


hier mal das Log aus der /var/log/message:
NVNVPN01" #1: max number of retransmissions (2) reached STATE_MAIN_I3. Possible authentication failure: no acceptable response to our first encrypted message
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: "NVNVPN01" #1: starting keying attempt 2 of an unlimited number
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: "NVNVPN01" #2: initiating Main Mode to replace #1
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: "NVNVPN01" #2: received Vendor ID payload [XAUTH]
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: "NVNVPN01" #2: received Vendor ID payload [Dead Peer Detection]
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: "NVNVPN01" #2: received Vendor ID payload [RFC 3947] method set to=115
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: "NVNVPN01" #2: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03] meth=108, but already using method 115
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: "NVNVPN01" #2: ignoring unknown Vendor ID payload [a2226fc364500f5634ff77db3b74f41b]
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: "NVNVPN01" #2: enabling possible NAT-traversal with method RFC 3947 (NAT-Traversal)
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: "NVNVPN01" #2: transition from state STATE_MAIN_I1 to state STATE_MAIN_I2
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: "NVNVPN01" #2: STATE_MAIN_I2: sent MI2, expecting MR2
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: "NVNVPN01" #2: NAT-Traversal: Result using draft-ietf-ipsec-nat-t-ike (MacOS X): no NAT detected
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: "NVNVPN01" #2: transition from state STATE_MAIN_I2 to state STATE_MAIN_I3
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: "NVNVPN01" #2: STATE_MAIN_I3: sent MI3, expecting MR3
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: "NVNVPN01" #2: next payload type of ISAKMP Hash Payload has an unknown value: 126
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: "NVNVPN01" #2: malformed payload in packet
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: | payload malformed after IV
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: | fa 81 52 07 c4 15 0b 2a fe 7d a8 fe e8 b1 31 e0
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: "NVNVPN01" #2: sending notification PAYLOAD_MALFORMED to 217.224.7.231:500
Mitglied: Valexus
22.01.2016 um 17:31 Uhr
Moin,

die Konfigurationsparameter sind auf beiden Seiten abgesehen von den Subnetzen gleich? Was steht im Log der Fritzbox?

Mal nebenbei solltest du dir für deine Firewall eine aktueller Platform (z.B. PfSense)suchen...

Letztes Update vor einem Jahr klingt nicht gerade nach einem aktuellen System, da vorallem im Strongswan und OpenSSL doch immer mal Sicherheitslücken stecken. Achja Pluto ist auch seit ca. 3,5 Jahren nichtmal mehr im Strongswan Code enthalten...
https://www.strongswan.org/blog/2012/06/20/bye-bye-pluto.html

Rootserver und VirtualBox Host = X.X.X.149
Warum man VirtualBox verwendet werde ich auch nie verstehen, wenn es doch bessere Alternativen gibt...
Ist doch vermutlich ein Linux Server oder? Schonmal KVM angeschaut? Oder unter Windows Hyper-V?

VG
Val
Bitte warten ..
Mitglied: aqui
22.01.2016, aktualisiert um 19:06 Uhr
Ansonsten findest du grundlegende Infos zum Thema IPsec hier:
https://www.administrator.de/wissen/ipsec-vpn-cisco-mikrotik-pfsense-fir ...

Knackpunkt ist "#2: malformed payload in packet" Damit stirbt deine Phase 1 bei IPsec ! Kann das sein das du ein MTU oder MSS Problem hast ?
Oder kann das sein das du mit einem L2TP Client auf native IPsec gehst oder umgekehrt ?
Das geht natürlich dann in die Hose, klar ! Die FritzBox kann nur native IPsec !

IPCop ist so oder so ein Krampf von der Konfig her. Kopier dir eine pfSense in die VM und mach das damit. Im oben genannten Tutorial findest du eine lauffähige Konfig von pfSense zu FritzBox. Die rennt fehlerlos.
Bitte warten ..
Mitglied: cc-frauenstein
23.01.2016 um 12:34 Uhr
JA die kosten alle Geld ich will kosten einsparen nur das mit der Komprimierung kann in Zukunft weh tun :( face-sad
Es gibt ja auch /phpvirtualbox und ich habe noch gute scripts zu matuostart die ich damls geschrieben habe.

Oka ich werde mir PFSense anschauen danke für den Tip :) face-smile Das gibt wieder Hoffnung :) face-smile
Bitte warten ..
Mitglied: aqui
LÖSUNG 23.01.2016, aktualisiert 31.01.2016
JA die kosten alle Geld
Was kostet Geld ?? Ist jetzt unverständlich ...??
ich will kosten einsparen nur das mit der Komprimierung kann in Zukunft weh tun
Bahnhof ?? Was sollen uns diese kryptischen Sätze oder Gedanken sagen ????
Das gibt wieder Hoffnung
Und funktioniert sogar sicher ! ;-) face-wink
Bitte warten ..
Mitglied: cc-frauenstein
31.01.2016 um 16:12 Uhr
VPN Gateways und Firewalls ;)

So pfSense geht ab :) face-smile sofortiger VPN aufbau alles top Danke :) face-smile


Weis jemand Wie man ein AD DC an die pfSense hängt ?
pfSens + TinyDNS Server < ----- Debian + Samba 4 (Host anfragen functionieren nicht)





Error:
/usr/sbin/samba_dnsupdate: Traceback (most recent call last):
/usr/sbin/samba_dnsupdate: File "/usr/sbin/samba_dnsupdate", line 612, in <module>
/usr/sbin/samba_dnsupdate: get_credentials(lp)
/usr/sbin/samba_dnsupdate: File "/usr/sbin/samba_dnsupdate", line 125, in get_credentials
/usr/sbin/samba_dnsupdate: raise e
/usr/sbin/samba_dnsupdate: RuntimeError: kinit for NVN-CC-UBS$@NVN-GROUP.DE failed (Cannot contact any KDC for requested realm)
/usr/sbin/samba_dnsupdate:





Einstellungen:
pfSense:
DNS Forwoarder active (Require domain= on, )
hostoverrides->nvn-cc-ubs nvn-group.de 192.168.3.11
Domäinoverrides _> nvn-group.de 127.0.0.1


TinyDNS Server auch ()
Records =:
NVN-GROUP.DE SOA 192.168.3.11
NVN-GROUP.DE SOA 8.8.8.8

IpAdress = 127.0.0.1
Responseip = 192.168.3

Netwerl = LAN

ZoneTransfers:
192.168.3.11 NVN-CC-UBS




Debian:
NVN-CC-UBS:/home/afrauenstein# cat /etc/hosts
127.0.0.1 localhost
127.0.0.1 NVN-CC-UBS.NVN-GROUP.DE NVN-CC-UBS
127.0.0.1 NVN-GROUP.DE

  1. The following lines are desirable for IPv6 capable hosts
::1 localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters


NVN-CC-UBS:/home/afrauenstein# cat /etc/resolv.conf
domain NVN-GROUP.DE
nameserver 192.168.3.1
search NVN-GROUP.DE


NVN-CC-UBS:/home/afrauenstein# host -l NVN-GROUP.DE
Host NVN-GROUP.DE not found: 9(NOTAUTH)
; Transfer failed.




Bitte warten ..
Heiß diskutierte Inhalte
Exchange Server
Sicherheits-Update KB5001779 für Exchange 2013-2019
kgbornVor 1 TagInformationExchange Server9 Kommentare

Microsoft hat zum 13. April 2021 das Sicherheitsupdate KB5001779 für Exchange 2013-2019 veröffentlicht, um vier RCE-Schwachstellen zu schließen. Das Update sollte zeitnah installiert werden. ...

Datenschutz
Regierung testet Einsatz von Microsoft Azure-Cloud für die Bundescloud
VisuciusVor 1 TagInformationDatenschutz34 Kommentare

LÄUFT! Deutschland will Microsoft für die Bundescloud testen Ich hätts ja beinahe unter dem Topic "Humor" veröffentlicht. Aber der 1. April ist ja durch ...

Festplatten, SSD, Raid
Festplatte aus defekten Notebook ausgebaut - wird nicht erkannt - Wie gelange ich an meine Daten?
1nCoreVor 20 StundenFrageFestplatten, SSD, Raid11 Kommentare

Hallo liebe Community, nach 7 Jahren hat mein XMG Notebook seinen Geist aufgegeben In dem Notebook waren zwei Festplatten verbaut (eine für System und ...

Server
Server Anbieter mit 2 NICs gesucht
gelöst SilvergreenVor 1 TagFrageServer16 Kommentare

Hallo Community, ich bin auf der Suche nach einem Serveranbieter, der VPS/Cloud Server mit 2 Netzwerkkarten anbietet. Eine Internetsuche brache mich da leider nicht ...

Internet
Woher holt sich Android die Kontaktdaten von unbekannten Rufnummern?
gelöst anteNopeVor 1 TagFrageInternet8 Kommentare

Hallo zusammen, seit einiger Zeit merke ich, dass mir mein Android Gerät Namen und Informationen zu mir unbekannten Teilnehmern präsentiert. Soll heißen eine nicht ...

Windows Netzwerk
MS Lizenzierung - externe Scandienstleistung
monstermaniaVor 23 StundenFrageWindows Netzwerk9 Kommentare

Hallo Allerseits, ich habe da mal eine Frage an die MS Lizenzspeziallisten. Eine externe Firma soll Scandienstleistungen für uns erledigen. Dazu ist angedacht, dass ...

Exchange Server
Exchange Update CU19 auf CU20 Fehler - Eine weitere Version dieses Produkts ist bereits installiert
gelöst StefanKittelVor 21 StundenFrageExchange Server6 Kommentare

Hallo, ich habe hier einen Exchange 2016 mit CU19 (15.1.2176.2). Darauf wollte ich nun CU20 installiert. Download Es erscheint Eine weitere Version dieses Produkts ...

Exchange Server
April 2021 Microsoft Exchange Server Security Updates
FrankVor 1 TagInformationExchange Server2 Kommentare

Microsoft has released security updates for vulnerabilities found in: Exchange Server 2013 Exchange Server 2016 Exchange Server 2019 These updates are available for the ...