Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Keine IPsec Verbindung über LTE zu StrongSwan

Mitglied: momai

momai (Level 1) - Jetzt verbinden

29.05.2017 um 17:04 Uhr, 3047 Aufrufe, 7 Kommentare

Hallo,

ich habe eine Problem mit meinem StrongSwan 5.2.1 VPN Server. Ich möchte mich von meinem mobilen Device mit Telekom LTE Connection via IPsec IKEv2 auf meinen Server einloggen. Das klappt leider nicht. Hat das Device eine Wi-Fi Connection funktioniert die Einwahl. Vereinfacht gesagt über Wi-Fi komme ich auf den Server über LTE geht nichts ich bekomme jediglich diesen Fehler im Log.



Das hier ist meine ipsec.conf

Habt ihre eine Idee an was das liegen kann? Ich habe jetzt öfters was gelesen das dass NAT-Traversal ein Problem sein könnte, allerdings ist das ja ab StrongSwan 5 auf IKEv2 standardmäßig eingeschaltet.

Danke für eure Hilfe

Mitglied: aqui
29.05.2017, aktualisiert um 18:49 Uhr
Sehr häufig verwenden die LTE Provider wegen der anhaltenden IPv4 Adressknappheit eine private RFC 1918 IP Adressierung in den Mobilfunk LTE Netzen mit den allseits bekannten privaten IP Netzen:
https://de.wikipedia.org/wiki/Private_IP-Adresse#Adressbereiche
die im Internet nicht geroutet werden.
Der Provider macht dann zentral in seinem RZ ein sog. Carrier grade NAT also eine zentrale IP Adress Translation auf eine öffentliche IP.
Über so ein zentrales NAT kommt aber dein IPsec Protokoll generell nicht drüber.
Deshalb solltest du also zuallererst checken am LTE Gerät (Router, Smartphone, Stick etc.) was für eine Art von IP Adresse du im Provider netz dort zugewiesen bekommst.
Ist es eine RFC1918 ists aus mit dem IPsec VPN.
Siehe auch diesen Thread der das anhand der Adressproblematik und NAT im UMTS Netz beschreibt:
https://www.administrator.de/contentid/185875
Ggf. musst du dann beim Mobilfunkprovider in einen Business Tarif wechseln um eine öffentliche IP am LTE Endgerät zu bekommen.

Du hast übrigens noch einen DH Group Mismatch zwischen Server und Client. Der eine hat Group 2 (1024) der andere Group 14 (2048) nicht gravierend da das ausgehandelt wird nach unten. Besser ist aber immer man passt das an um Autoneg Probleme gleich zu verhindern
Nähere Infos dazu auch hier:
https://www.administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-fi ...
Bitte warten ..
Mitglied: momai
29.05.2017 um 19:26 Uhr
Das richtig seltsame ist das ich ab und an eine Verbindung via IPsec und LTE bekomme, dann funktioniert es wieder nicht.
Was auch seltsam ist das es auf einen anderen Server via Cisco IPsec funktioniert.

Wie bekomme ich den raus ob es RFC1918 ist...?
Bitte warten ..
Mitglied: shadynet
29.05.2017 um 21:52 Uhr
Kann ich so nicht bestätigen, bin dauerhaft per CGN unterwegs im VPN, egal ob IPSec zur Firma oder OpenVPN nach Hause. Probleme? Keene. Verbinden, grün, gut. Du kannst keine EINGEHENDEN Verbindungen aufbauen, das würde ich so unterschreiben. Ausgehende VPN-Verbindungen zum Concentrator tun da ihren Dienst. Und ja, selbst bei DS-Lite...
Bitte warten ..
Mitglied: tikayevent
29.05.2017 um 22:24 Uhr
Im Log sieht man auch, dass sowohl lokale als auch entfernte Seite geNATtet werden.
IKEv2 hat damit keine Probleme. Bei IKEv1 war NAT-T eine nachträgliche Erweiterung, bei IKEv2 ist es Teil des Standards.

Da laut Log auch dein VPN-Server hinter einem NAT-Router steht, stellt sich die Frage, welche Ports du weitergeleitet hast.
Bitte warten ..
Mitglied: momai
29.05.2017 um 22:34 Uhr
Im Moment sind auf dem Server noch alle Ports offen. Somit auch ganz sicher 500 und 4500
Bitte warten ..
Mitglied: aqui
30.05.2017, aktualisiert um 10:30 Uhr
Was auch seltsam ist das es auf einen anderen Server via Cisco IPsec funktioniert.
Was dann eher gegen ein CGN und NAT spricht, denn das würde alles nicht gehen.
Möglich ist aber auch das IPsec vom Provider gefiltert oder geRateLimited wird bei billigen nur Surf Accounts. Viele Provider behalten VPN Nutzung oft nur Business Accounts vor. Das müsstest du aber nachfragen beim provider.
Wie bekomme ich den raus ob es RFC1918 ist...?
Eine eher etwas peinliche Frage....
Wenn es ein Router ist, dann gehst du in die Status Übersicht der Interfaces !!!
Woe bei jedem DSL oder was auch immer Router auf der Welt werden dir dort die aktuellen IP Adressen angezeigt.
Wenn du einen Stick hast im rechner ist es wie immer ipconfig oder da du ja glücklicherweise kein Winblows Knecht bist dann ifconfig.
@shadynet
egal ob IPSec zur Firma oder OpenVPN nach Hause. Probleme? Keene.
Ja richtig, allerdings redest du hier nur von der Client Seite !!! Das ist klar das das auch mit CGN oder DS-Lite usw. geht, denn der Client ist ja dann der Initiator der Verbindung. OpenVPN geht immer da es ein SSL VPN ist und IPsec funktioniert deshalb da an deinem Client NAT Traversal aktiviert ist.
Es geht hier aber um den Server !! Hängt der an einem CGN Anschluss oder auch DS-Lite usw. ists aus mit VPN.
Es ist also nicht trivial ob wir hier vom Server oder Client reden !
Bitte warten ..
Mitglied: shadynet
30.05.2017 um 19:58 Uhr
Zitat von aqui:

Es geht hier aber um den Server !! Hängt der an einem CGN Anschluss oder auch DS-Lite usw. ists aus mit VPN.
Es ist also nicht trivial ob wir hier vom Server oder Client reden !

Wenns via Wifi geht und via LTE nicht dann hängt der Server ja eher unwahrscheinlich an CGN oder DS-Lite, denn in dem Fall würde auch Wifi kaum helfen, es sei denn, man hat auf beiden Seiten IPv6 UND DynDNS/DNS/feste IP/Glaskugel-Connect am Server. IPv6 und DynDNS ist selten, fester Präfix im Consumer-Umfeld auch, welcher Business-Vertrag bei welchem Provider da was festes hat ist mir nicht bekannt.
Im Log ist ja eh die Rede von IPv4. Das ist jetzt mal mein Blick in die Glaskugel und über den Tellerrand.
Bitte warten ..
Ähnliche Inhalte
Netzwerke

StrongSwan IPSEC Android App - AutoConnect der VPN

gelöst Frage von 135624Netzwerke7 Kommentare

Huhu, gibt es eine Möglichkeit, die VPN automatisch neu aufzubauen, sodass ich immer mit VPN unterwegs bin. Solltet ihr ...

Firewall

StrongSwan Android

Frage von Interessierter00Firewall7 Kommentare

Hallo! Ich verwende auf meinem Huawei StrongSwan mit der pfsense Firewall. Ich habe dies auch brav nach der Anleitung ...

Windows Netzwerk

LTE Modul - Kein Internet trotz Verbindung

gelöst Frage von killtecWindows Netzwerk23 Kommentare

Hallo, ich habe hier ein Dell 7390 2-in-1 mit W10 Pro wo ich nachträglich eine LTE-Karte (Original Dell DW5811e ...

Linux

Strongswan 5.8.0 systemd Änderungen

Tipp von 139920Linux

Moin Kollegen. An alle User die die neue Version >=5.8.0 von Strongswan in Kombination mit systemd nutzen, sollten ihre ...

Neue Wissensbeiträge
Virtualisierung

VEEAM Instant VM Recovery Datenverlust möglich

Information von sabines vor 12 StundenVirtualisierung

Wer instant VM Recovery unter Veeam nutzt, sollte seine Installation überprüfen. In manchen Fällen könnte es zu Datenverlust kommen, ...

Administrator.de Feedback
Hinweise auf Dienstleister oder auf Suchmaschinen
Information von Frank vor 4 TagenAdministrator.de Feedback71 Kommentare

Lieber User, Admins und Moderatoren, aus gegebenen Anlass möchte ich zwei Dinge endgültig klarstellen und für die Nachwelt festhalten: ...

Router & Routing

PfSense 2.4 IPSec VPN mobile Clients Phase 2 wird plötzlich nicht mehr aufgebaut - So einfach war die Lösung

Tipp von the-buccaneer vor 4 TagenRouter & Routing9 Kommentare

Moinsen! Nachdem ich mir hierbei nen Wolf gesucht habe, möchte ich doch die Welt an dieser simplen Lösung teilhaben ...

Humor (lol)
Wählscheiben Telefon
Information von brammer vor 5 TagenHumor (lol)4 Kommentare

Hallo, Mal wirkliche eine nette Spielerei brammer

Heiß diskutierte Inhalte
Netzwerkmanagement
Softwareverteilung für kleines Unternehmen mit sehr gemixter Hardware
gelöst Frage von BavarianSysadNetzwerkmanagement20 Kommentare

Hallo zusammen^^, ich stehe vor dem Problem das wir im Unternehmen eine Softwareverteilung einführen soll, leider ist dies wie ...

Exchange Server
Exchange 2019 Wildcard geht nicht
Frage von opc123Exchange Server16 Kommentare

Hallo, ich kann mein Wildcard auf dem Exchange keine Dienste zuweisen??

Windows 10
Dell Optiplex 790 Installation Windows 10
gelöst Frage von Ghost108Windows 1016 Kommentare

Guten morgen zusammen, möchte gerne auf meinem Optiplex 790 Windows 10 installieren (Clean Install). Habe das BIOS von Legacy ...

Netzwerkprotokolle
Verständnissfrage IPv6
Frage von killtecNetzwerkprotokolle15 Kommentare

Hi, ich habe mir einen Online-Kurs zu IPv6 angeschaut. Dabei stellt sich mir die Frage der nutzbaren IPv6-Adressen. Bei ...