IPSec IKE (raccoon) mit Draytec Vigor 2500 als Gegenstelle
Hallo,
ich möchte einen Tunnel zwischen zwei Locations machen. An der einen Location hab ich eine Vigor 2500, die PPTP aber auch IPSec unterstützt. PPTP ist kein Problem die Requirements schreiben aber IPSec vor. Ich hab ein Debian Gateway eingerichtet mit IPSec im Kernel, racoon und den ipsec-tools. Meine Verbindung wird aufgebaut allerdings werden keinerlei Daten übertragen.
Wireshark liefert zwar ISAKMP pakete und auch meine NAT-Traversals, leider aber keine enkapsulierten Pakete.
Hat jemand so eine Verbindung bereits eingerichtet und kann mir Hinweise geben, welche Optionen aktiviert werden müssen? Bei Bedarf kann ich die Konfigurationen liefern, sobald ich im Office bin
Danke und Grüße
Christoph
ich möchte einen Tunnel zwischen zwei Locations machen. An der einen Location hab ich eine Vigor 2500, die PPTP aber auch IPSec unterstützt. PPTP ist kein Problem die Requirements schreiben aber IPSec vor. Ich hab ein Debian Gateway eingerichtet mit IPSec im Kernel, racoon und den ipsec-tools. Meine Verbindung wird aufgebaut allerdings werden keinerlei Daten übertragen.
Wireshark liefert zwar ISAKMP pakete und auch meine NAT-Traversals, leider aber keine enkapsulierten Pakete.
Hat jemand so eine Verbindung bereits eingerichtet und kann mir Hinweise geben, welche Optionen aktiviert werden müssen? Bei Bedarf kann ich die Konfigurationen liefern, sobald ich im Office bin
Danke und Grüße
Christoph
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 115851
Url: https://administrator.de/forum/ipsec-ike-raccoon-mit-draytec-vigor-2500-als-gegenstelle-115851.html
Ausgedruckt am: 23.12.2024 um 07:12 Uhr
7 Kommentare
Neuester Kommentar
Du musst darauf achten das die racoon SW im ESP Modus arbeitet, was du aber vermutlich schon machst.
Was sagt denn das Racoon Log ???
Wenn du mit dem Sniffer keine IPsec ESP Pakete siehst hast du auch gar keinen aktiven IPsec Tunnel !!
Deine Aussage "...Meine Verbindung wird aufgebaut.." ist dann falsch bzw. es wäre hilfreich zu wissen woran du das denn erkennst wenn es keine ESP Pakete gibt !!!
Die Vigor Implementation supportet kein NAT Traversal, deshalb solltest du es erstmal ohne probieren.
Generell funktioniert die Racoon Implementation vollkommen problemlos auch mit anderen IPsec Endgeräten wie Cisco oder Draytek usw.
Ggf. hilft dir noch etwas dies Tutorial:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Was sagt denn das Racoon Log ???
Wenn du mit dem Sniffer keine IPsec ESP Pakete siehst hast du auch gar keinen aktiven IPsec Tunnel !!
Deine Aussage "...Meine Verbindung wird aufgebaut.." ist dann falsch bzw. es wäre hilfreich zu wissen woran du das denn erkennst wenn es keine ESP Pakete gibt !!!
Die Vigor Implementation supportet kein NAT Traversal, deshalb solltest du es erstmal ohne probieren.
Generell funktioniert die Racoon Implementation vollkommen problemlos auch mit anderen IPsec Endgeräten wie Cisco oder Draytek usw.
Ggf. hilft dir noch etwas dies Tutorial:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Du müsstest aber in jedem Falle ESP Pakete sehen wenn du z.B. nur einen Ping ins entfernte Netz schickst, das ist Fakt !
Vermutlich ist dein Tunnel dann doch nicht wirklich aktiv oder die SAs stimmen nicht wegen falscher Maske, IP Netzadresse usw.
Hast du ggf. eine Firewall am Laufen wo du den ESP Tunnel noch freigeben musst ???
Das du keine ESP Pakete siehst sollte dich stutzig machen !
Vermutlich ist dein Tunnel dann doch nicht wirklich aktiv oder die SAs stimmen nicht wegen falscher Maske, IP Netzadresse usw.
Hast du ggf. eine Firewall am Laufen wo du den ESP Tunnel noch freigeben musst ???
Das du keine ESP Pakete siehst sollte dich stutzig machen !
Zitat von @aqui:
Du musst darauf achten das die racoon SW im ESP Modus arbeitet, was du
aber vermutlich schon machst.
Was sagt denn das Racoon Log ???
Wenn du mit dem Sniffer keine IPsec ESP Pakete siehst hast du auch
gar keinen aktiven IPsec Tunnel !!
Deine Aussage "...Meine Verbindung wird aufgebaut.."
ist dann falsch bzw. es wäre hilfreich zu wissen woran du das
denn erkennst wenn es keine ESP Pakete gibt !!!
Du musst darauf achten das die racoon SW im ESP Modus arbeitet, was du
aber vermutlich schon machst.
Was sagt denn das Racoon Log ???
Wenn du mit dem Sniffer keine IPsec ESP Pakete siehst hast du auch
gar keinen aktiven IPsec Tunnel !!
Deine Aussage "...Meine Verbindung wird aufgebaut.."
ist dann falsch bzw. es wäre hilfreich zu wissen woran du das
denn erkennst wenn es keine ESP Pakete gibt !!!
Es kommt bei mir auch vor, dass beim Zusammenspiel Draytek 2700 und IPSecuritas (racoon-basiert?) die IPSEC-Verbindung als 'aufgebaut' angezeigt wird, obwohl keine Verbindung besteht. Das 'funktioniert' bisweilen sogar ohne NW, hat dann also nichts mit Draytek zu tun.
Lösung ist nur teilweise gelungen:
Ich habe ipsecuritas wieder entfernt, jetzt verwende ich auf Windows den von Draytek mitgelieferten 'smart' VPN-Client (ist nicht echt smart oder gar praktisch, aber er läuft wenigstens) und auf Macs den in OSX eingebauten L2TP/IPSEC Clients. Nachteil, und hier konnte mir bisher keiner helfen: Mein Draytek 2700 unterbricht nach exakt 3636 Sekunden die Verbindung, obwohl nirgends ein Timeout drinsteht.
Insgesamt läuft es so ganz gut, aber eben nicht perfekt.....
Ich habe ipsecuritas wieder entfernt, jetzt verwende ich auf Windows den von Draytek mitgelieferten 'smart' VPN-Client (ist nicht echt smart oder gar praktisch, aber er läuft wenigstens) und auf Macs den in OSX eingebauten L2TP/IPSEC Clients. Nachteil, und hier konnte mir bisher keiner helfen: Mein Draytek 2700 unterbricht nach exakt 3636 Sekunden die Verbindung, obwohl nirgends ein Timeout drinsteht.
Insgesamt läuft es so ganz gut, aber eben nicht perfekt.....