Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

IPSec mit netkey zu klips

Mitglied: Hitman4021

Hitman4021 (Level 2) - Jetzt verbinden

20.01.2014 um 23:45 Uhr, 1827 Aufrufe, 1 Kommentar

Hallo,

ich hätte mal wieder eine Frage an euch:

Und zwar habe ich an einem Außenstandort eine alte IPCop Firewall die nun mittels IPSec eine VPN Verbindung in die Zentrale aufbauen soll.
Außenstation: IPCop 1.4.21
Internes Subnetz: 192.168.120.0/24
Öffentliche IP: 199.xx.xx.xx

Zentrale: CentOS 6.x
Internes Subnetz (eth3.10): 192.168.11.0/24
Öffentliche IP: 200.xx.xx.xx

Der Tunnel hat zwar den Status offen allerdings bekomme ich keine Pakete durch.

Die Config der Zentrale ist:
01.
config setup
02.
        protostack=netkey
03.
        nat_traversal=yes
04.
        virtual_private=%v4:10.0.0.0/8,%v4:172.16.0.0/16
05.

06.
conn OUT
07.
        authby=secret
08.
        auto=start
09.
        type=tunnel
10.
        left=200.xx.xx.xx
11.
        leftid=200.xx.xx.xx
12.
        leftsubnet=192.168.11.0/24
13.
        right=199.xx.xx.xx
14.
        rightsubnet=192.168.120.0/24
15.
        ike=aes128-sha1;modp1536
16.
        phase2=esp
17.
        phase2alg=aes128-sha1
Am Außenstand:
01.
config setup
02.
        interfaces="%defaultroute "
03.
        klipsdebug="none"
04.
        plutodebug="dns "
05.
        plutoload=%search
06.
        plutostart=%search
07.
        uniqueids=yes
08.
        nat_traversal=yes
09.
        virtual_private=%v4:10.0.0.0/8,%v4:172.16.0.0/12,%v4:192.168.0.0/16,%v4:!192.168.120.0/255.255.255.0,%v4:!192.168.11.0/255.255.255.0
10.

11.
conn %default
12.
        keyingtries=0
13.
        disablearrivalcheck=no
14.

15.
conn zentrale #RED
16.
        left=199.xx.xx.xx
17.
        leftnexthop=%defaultroute
18.
        leftsubnet=192.168.120.0/255.255.255.0
19.
        right=200.xx.xx.xx
20.
        rightsubnet=192.168.11.0/255.255.255.0
21.
        rightnexthop=%defaultroute
22.
        ike=aes128-sha-modp1536,aes128-sha-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha-modp1536,3des-sha-modp1024,3des-md5-modp1536,3des-md5-modp1024
23.
        esp=aes128-sha1,aes128-md5,3des-sha1,3des-md5
24.
        ikelifetime=1h
25.
        keylife=8h
26.
        dpddelay=30
27.
        dpdtimeout=120
28.
        dpdaction=restart
29.
        pfs=yes
30.
        authby=secret
31.
        auto=start
Die Iptables Regeln sehen so aus:
01.
iptables -A INPUT -s 199.xx.xx.xx .j ACCEPT
02.
iptables -A OUTPUT -s 199.xx.xx.xx .j ACCEPT
03.
iptables -A FORWARD -s 192.168.120.0 -j ACCEPT
04.
iptables -t nat -A POSTROUTING -s 192.168.11.0/24 -j SNAT --to-source 200.xx.xx.xx
Ich bekomme nur leider von keiner Seite Daten (Ping, etc.) durch.

Kann mir hier bitte jemand helfen?

Grüße
Mitglied: aqui
21.01.2014, aktualisiert um 08:09 Uhr
Was macht dich so sicher das der VPN Tunnel auch wirklich aktiv ist ?? Ein Log Auszug wäre da hilfreicher ob dem wirklich so ist ??
Wenn man dir glaubt kann es dann nur einzig an der Firewall bzw. deren falschen Regeln liegen.
Die iptables der Zentrale klingen schon komisch...
  • 199er Adressen kommen bei dir gar nicht vor ?
  • das 11er Netz wird zum 200er geNATet ?
Irgendwie hat das erstmal rein gar nichts mit deiner Anwendung zu tun !
Was für dich essentiell wichtig ist bei den Firewall Rules und zwar auf beiden Seiten ist:
  • Für IPsec müssen die Protokolle IKE (UDP 500), NAT-T (UDP 4500) und ESP (Rotokoll Nr.50) frei sein für den WAN Port des Zielsystems
  • Der Traffic 192.168.120.0 auf 192.168.11.0 und auch andersrum darf nicht geNATet werden muss also explizit in den Regeln aus dem NAT prozess ausgenommen werden ! Klar...intern im VPN will man nicht NATen !
  • Bedenke das die lokalen Firewalls aller Endgeräte in den lokalen Netzen Zugriffe auf sich von einer fremden Absender IP in der Regel immer blockieren. Für Zugriffe über das VPN musst du also entsprechende Regeln erstellen oder Ausnahmen anlegen. meist betrifft das auch das ICMP Protokoll (Ping)
Das sind die Grundregeln die zu zu beachten sind !
Den Rest erklären dir diese Forumstutorials:
https://www.administrator.de/wissen/ipsec-vpn-mit-cisco-mikrotik-pfsense ...
und
https://www.administrator.de/contentid/73117
Korrigier also deine Regeln oder deaktiviere sie mal temporär nur zum Test, dann kommt das auch zum Fliegen.
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Fortigate ipsec
Frage von meister00Router & Routing5 Kommentare

hallo, ich habe folgendes Problem. ich möchte von einem aussenstandort einen Server in unsere Domäne einbinden. habe mit 2 ...

Firewall
PfSense IPsec Unitymedia
Frage von comtelFirewall10 Kommentare

Hallo, Ich habe eine pfSense Installation auf einem PC Engines APU1D4 Board laufen. Internetanbieter ist Unitymedia Business IPv4 (Feste ...

Netzwerkmanagement
Pfsense IPSEC QoS
Frage von Fenris14Netzwerkmanagement2 Kommentare

Guten Tag, ich habe seit einiger Zeit das Problem das mein IPSec-Tunnel öfters mal kleine "Aussetzer" hat. Meine Vermutung ...

Windows Server
L2TP over IPSEC
gelöst Frage von sardldbWindows Server6 Kommentare

Hallo Zusammen Ich hoffe ihr könnt mir einige Tipps geben wie ich weiterkomme. Ich beschäftige mich erst seit kurzem ...

Neue Wissensbeiträge
Datenschutz

SiSyPHuS Win10: Analyse der Telemetriekomponenten in Windows 10

Tipp von freesolo vor 3 TagenDatenschutz1 Kommentar

Alle die sich detailliert für die Datensammlung interessieren die unter Windows 10 stattfindet, sollten sich folgende Analyse des BSI ...

Sicherheit
Adminrechte dank Intel-Grafikkarte
Information von DerWoWusste vor 3 TagenSicherheit2 Kommentare

ist das Advisory, welches beschreibt, welche Intel HD Graphics Modelle Sicherheitslücken haben, mit denen sich schwache Nutzer zu Admins ...

Internet

EU Urheberrechtsreform: Eingriff in die Internetkultur

Information von Frank vor 4 TagenInternet1 Kommentar

Liebe Besucherin, lieber Besucher, warum erscheint das obere Banner in allen Beiträgen? Aus Protest gegen Teile der geplanten EU-Urheberrechtsreform ...

Windows Server
Windows Backup - FilterManager Event 3
Tipp von NixVerstehen vor 4 TagenWindows Server

Hallo zusammen, ich bin kein gelernter ITler und auch beruflich nicht in dem Feld tätig. Wir setzen in unserem ...

Heiß diskutierte Inhalte
Hyper-V
Hyper-V Manager startet, jedoch keine VM
Frage von NaleorHyper-V14 Kommentare

Hallo zusammen, auf meinem Windows 10 (Build 1703) Notebook von der Arbeit scheint Hyper-V plötzliche nicht mehr zu funktionieren. ...

DNS
50 EUR für Telekom-, Unitymedia- und Vodafone-Kunden
Frage von Zorro1199DNS14 Kommentare

Hallo zusammen, wie evaluieren gerade das korrekte Einhalten von DNS-TTLs durch verschiedene Provider. Aktuell suchen wir noch Kunden der ...

Windows Server
Sonntagsfrage: Welchen Sinn seht Ihr noch im Server 2019 Essentials
Frage von ashnodWindows Server13 Kommentare

Guten Morgen, ich habe gestern den Windows Server 2019 Essentials als Trial in einer VM installiert um mir das ...

Windows Server
Windows 2012 R2 - Skript um Druckerkonfiguration auszulesen und zu setzen
gelöst Frage von Der-PhilWindows Server11 Kommentare

Hallo! Kennt ihr eine Möglichkeit, per Skript die Konfiguration eines Druckers auszulesen und auf einen anderen anzuwenden? Hintergrund: Ich ...