5
IPSec zwischen Bintec VPN25 und Endian Firewall (OpenVPN)
Ich möchte einen IPSec-Tunnel zwischen einem Bintec VPN25 und einer Endian Firewall (OpenVPN-basiert) aufbauen.
Config im Groben: Endian hat feste IP, Bintec nicht (ist Initiator der Verbindung). PreSharedKey, Aggressive Mode, Verschlüsselung 3DES/MD5, DH-Group 2, kein PFS.
So wie es aussieht, klappt Phase 1 (IKE), in Phase 2 (ESP) bricht die Verbindung jedoch ab.
Auszug aus meinen Log:
16:07:11 INFO/IPSEC: Trigger Bundle -329 (Peer 18 Traffic 28) prot 1 10.234.10.1:0->192.168.100.250:0
16:07:11 INFO/IPSEC: P2: peer 18 (xxx) traf 28 bundle -329 (I): created 10.234.10.0/24:0 < any > 192.168.100.250/32:0 rekeyed 0
16:07:11 DEBUG/IPSEC: P1: peer 18 (xxx) sa 2638 (I): identified ip yyy.yyy.yyy.yyy -> ip xxx.xxx.xxx.xxx
16:07:11 INFO/IPSEC: P1: peer 18 (xxx) sa 2638 (I): Vendor ID: xxx.xxx.xxx.xxx:500 (ipv4(any:0,[0..3]=xxx.xxx.xxx.xxx)) is 'Dead Peer Detection (DPD, RFC 3706)'
16:07:11 INFO/IPSEC: P1: peer 18 (xxx) sa 2638 (I): Vendor ID: xxx.xxx.xxx.xxx:500 (ipv4(any:0,[0..3]=xxx.xxx.xxx.xxx)) is 'draft-ietf-ipsec-nat-t-ike-03'
16:07:11 INFO/IPSEC: P1: peer 18 (xxx) sa 2638 (I): done id fqdn(any:0,[0..5]=MEINE_ID) -> id ipv4(any:0,[0..3]=xxx.xxx.xxx.xxx) AG[7511b2b5 52a34b18 : 44609696 3bcf1ea0]
16:07:11 INFO/IPSEC: P2: peer 18 (xxx) traf 28 bundle -329 (I): deleted (Lifetime expired), Pkts: 0/0 Hb: 0/0 Bytes: 0(0)/0(0) rekeyed by 0
16:07:11 INFO/IPSEC: Destroy Bundle -329 (Peer 18 Traffic 28)
16:07:11 INFO/IPSEC: P1: peer 18 (xxx) sa 2638 (I): delete ip yyy.yyy.yyy.yyy -> ip xxx.xxx.xxx.xxx: Lifetime expired
16:07:11 DEBUG/IPSEC: IKE_INVALID_COOKIE: 20090203160711: Source addr:0.0.0.0 Destination addr:xxx.xxx.xxx.xxx
Lifetime-Einstellungen sind auf beiden Seiten identisch (P1: 3600 Sekunden=1 Std., P2: 28800 Sekunden=8 Std.).
Der Kollege auf der anderen Seite hat leider keine Erfahrung mit dem IPSec-Modul von Endian.
Hat jemand 'ne Idee?
Danke & Gruß,
Christian
Config im Groben: Endian hat feste IP, Bintec nicht (ist Initiator der Verbindung). PreSharedKey, Aggressive Mode, Verschlüsselung 3DES/MD5, DH-Group 2, kein PFS.
So wie es aussieht, klappt Phase 1 (IKE), in Phase 2 (ESP) bricht die Verbindung jedoch ab.
Auszug aus meinen Log:
16:07:11 INFO/IPSEC: Trigger Bundle -329 (Peer 18 Traffic 28) prot 1 10.234.10.1:0->192.168.100.250:0
16:07:11 INFO/IPSEC: P2: peer 18 (xxx) traf 28 bundle -329 (I): created 10.234.10.0/24:0 < any > 192.168.100.250/32:0 rekeyed 0
16:07:11 DEBUG/IPSEC: P1: peer 18 (xxx) sa 2638 (I): identified ip yyy.yyy.yyy.yyy -> ip xxx.xxx.xxx.xxx
16:07:11 INFO/IPSEC: P1: peer 18 (xxx) sa 2638 (I): Vendor ID: xxx.xxx.xxx.xxx:500 (ipv4(any:0,[0..3]=xxx.xxx.xxx.xxx)) is 'Dead Peer Detection (DPD, RFC 3706)'
16:07:11 INFO/IPSEC: P1: peer 18 (xxx) sa 2638 (I): Vendor ID: xxx.xxx.xxx.xxx:500 (ipv4(any:0,[0..3]=xxx.xxx.xxx.xxx)) is 'draft-ietf-ipsec-nat-t-ike-03'
16:07:11 INFO/IPSEC: P1: peer 18 (xxx) sa 2638 (I): done id fqdn(any:0,[0..5]=MEINE_ID) -> id ipv4(any:0,[0..3]=xxx.xxx.xxx.xxx) AG[7511b2b5 52a34b18 : 44609696 3bcf1ea0]
16:07:11 INFO/IPSEC: P2: peer 18 (xxx) traf 28 bundle -329 (I): deleted (Lifetime expired), Pkts: 0/0 Hb: 0/0 Bytes: 0(0)/0(0) rekeyed by 0
16:07:11 INFO/IPSEC: Destroy Bundle -329 (Peer 18 Traffic 28)
16:07:11 INFO/IPSEC: P1: peer 18 (xxx) sa 2638 (I): delete ip yyy.yyy.yyy.yyy -> ip xxx.xxx.xxx.xxx: Lifetime expired
16:07:11 DEBUG/IPSEC: IKE_INVALID_COOKIE: 20090203160711: Source addr:0.0.0.0 Destination addr:xxx.xxx.xxx.xxx
Lifetime-Einstellungen sind auf beiden Seiten identisch (P1: 3600 Sekunden=1 Std., P2: 28800 Sekunden=8 Std.).
Der Kollege auf der anderen Seite hat leider keine Erfahrung mit dem IPSec-Modul von Endian.
Hat jemand 'ne Idee?
Danke & Gruß,
Christian
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 107950
Url: https://administrator.de/forum/ipsec-zwischen-bintec-vpn25-und-endian-firewall-openvpn-107950.html
Ausgedruckt am: 09.01.2025 um 00:01 Uhr
5 Kommentare
Neuester Kommentar
Hallo Christian,
wenn beide VPN-Endpunkte eine öffentliche IP haben, brauchst du kein NAT-T zu konfigurieren (das könnte eher hinderlich sein).
Grüße, Steffen
PS: Ein Log von der Gegenseite wäre auch interessant.
[Edit]
Ist auf der VPN25 DynDns konfiguriert?
wenn beide VPN-Endpunkte eine öffentliche IP haben, brauchst du kein NAT-T zu konfigurieren (das könnte eher hinderlich sein).
Grüße, Steffen
PS: Ein Log von der Gegenseite wäre auch interessant.
[Edit]
Ist auf der VPN25 DynDns konfiguriert?
Auf der Bintec-Seite ist keine öffentliche IP vorhanden, DynDNS ist konfiguriert.
Log von der Endian-Seite fände ich auch gut, hat man mir bisher leider nicht zur Verfügung stellen können.
Gruß, Christian
Log von der Endian-Seite fände ich auch gut, hat man mir bisher leider nicht zur Verfügung stellen können.
Gruß, Christian
Hallo Christian,
Sicher, oder meinst du keine 'feste' IP? Ist den NAT auf dem Bintec aktiviert?
Grüße, Steffen
Auf der Bintec-Seite ist keine öffentliche IP vorhanden, DynDNS
ist konfiguriert.
ist konfiguriert.
Sicher, oder meinst du keine 'feste' IP? Ist den NAT auf dem Bintec aktiviert?
Grüße, Steffen
Hallo Steffen,
hast gewonnen, natürlich ist eine (dynamische) öffentliche IP vorhanden aber eben keine feste
NAT ist aktiviert, macht zu diversen anderen IPSec-Partnern auch überhaupt kein Problem (egal ob Bintec-Bintec, Bintec-Cisco, Bintec-Netgear etc).
Gruß, Christian
hast gewonnen, natürlich ist eine (dynamische) öffentliche IP vorhanden aber eben keine feste
NAT ist aktiviert, macht zu diversen anderen IPSec-Partnern auch überhaupt kein Problem (egal ob Bintec-Bintec, Bintec-Cisco, Bintec-Netgear etc).Gruß, Christian
Hallo,
Na wo wird denn dann wohl das Problem vorrangig zu suchen sein
?
NAT-T kannst du ja trotzdem deaktivieren.
Grüße, Steffen
macht zu diversen anderen IPSec-Partnern auch überhaupt kein
Problem (egal ob Bintec-Bintec, Bintec-Cisco, Bintec-Netgear etc).
Problem (egal ob Bintec-Bintec, Bintec-Cisco, Bintec-Netgear etc).
Na wo wird denn dann wohl das Problem vorrangig zu suchen sein
?NAT-T kannst du ja trotzdem deaktivieren.
Grüße, Steffen
