IPsec IKE Phase 2 startet nicht
Hallo zusammen,
ich versuche nun seit geraumer Zeit ein IPsec-Tunnel zwischen einem Bintec RS123 und einer Sophos UTM 9 zu bauen.
Leider scheitert das IPsec bereits an Phase 2.
Aufbau und Konfiguration:
Initiator: Bintec RS123
Der Bintec ist über seinen WAN-Port am lokalen Netz einer EasyBox von Vodafone, auf welcher die Firewall zu Testzwecken ausgestellt ist.
Die öffentliche IP-Adresse ist dynamisch und per DynDNS auf einen Hostnamen aufgelöst.
Die EasyBox NATet das ganze nach außen, die Bintec selbst hat NAT ausgestellt, aber NAT-Traversal an.
Lokales Netz der EasyBox: 192.168.178.0/24
Lokales Netz der Bintec: 192.168.133.0/24
Die Sophos UTM hat eine öffentliche Schnittstelle mit fester IP und muss dementsprechend nicht NATen, hat aber ebenfalls NAT-Traversal an.
Das IPSec ist mit PSK abgesichert.
Das Problem ist, dass Phase 1 zwar erfolgreich durchläuft (sent MR3, ISAKMP SA established) aber ab diesem Zeitpunkt einfach überhaupt nichts mehr passiert.
Es erscheinen weder Meldungen über geblockte Pakete noch über Fehler bei der Aushandlung oder gar überhaupt ein gesendetes Paket. (Bild von Wireshark-Mitschnitt ist angehängt)
Lediglich Identity Protection (Main Mode) läuft durch und dann ist Schluss.
Die Konfiguration der Bintec habe ich ebenfalls in Form von Bildern angehängt. (Bild 1-6)
Sophos Config (Bild 7)
ich versuche nun seit geraumer Zeit ein IPsec-Tunnel zwischen einem Bintec RS123 und einer Sophos UTM 9 zu bauen.
Leider scheitert das IPsec bereits an Phase 2.
Aufbau und Konfiguration:
Initiator: Bintec RS123
Der Bintec ist über seinen WAN-Port am lokalen Netz einer EasyBox von Vodafone, auf welcher die Firewall zu Testzwecken ausgestellt ist.
Die öffentliche IP-Adresse ist dynamisch und per DynDNS auf einen Hostnamen aufgelöst.
Die EasyBox NATet das ganze nach außen, die Bintec selbst hat NAT ausgestellt, aber NAT-Traversal an.
Lokales Netz der EasyBox: 192.168.178.0/24
Lokales Netz der Bintec: 192.168.133.0/24
Die Sophos UTM hat eine öffentliche Schnittstelle mit fester IP und muss dementsprechend nicht NATen, hat aber ebenfalls NAT-Traversal an.
Das IPSec ist mit PSK abgesichert.
Das Problem ist, dass Phase 1 zwar erfolgreich durchläuft (sent MR3, ISAKMP SA established) aber ab diesem Zeitpunkt einfach überhaupt nichts mehr passiert.
Es erscheinen weder Meldungen über geblockte Pakete noch über Fehler bei der Aushandlung oder gar überhaupt ein gesendetes Paket. (Bild von Wireshark-Mitschnitt ist angehängt)
Lediglich Identity Protection (Main Mode) läuft durch und dann ist Schluss.
Die Konfiguration der Bintec habe ich ebenfalls in Form von Bildern angehängt. (Bild 1-6)
Sophos Config (Bild 7)
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 344281
Url: https://administrator.de/contentid/344281
Ausgedruckt am: 24.11.2024 um 21:11 Uhr
1 Kommentar