Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

L2TP VPN mittels einer Astaro 7.5

Mitglied: bongartz

bongartz (Level 1) - Jetzt verbinden

15.03.2010 um 14:23 Uhr, 7310 Aufrufe, 9 Kommentare

Hallo,

ich test gerade eine Astaro Firewall und versuche schon etwas länger einen VPN mittels L2TP und IPsec. umzusetzen. Habe die Anleitung von Astaro eins zu eins umgesetzt aber irgendwie kann ich mich nicht mit dem VPN Server verbinden. Hier mal mein Protokoll von der Firewall:

2010:03:13-19:46:54 firewall pluto[3560]: packet from xx:xx:xx:xx:500: received Vendor ID payload [RFC 3947]
2010:03:13-19:46:54 firewall pluto[3560]: packet from xx:xx:xx:xx:500: ignoring Vendor ID payload [4df37928e9fc4fd1b3262170d515c662]
2010:03:13-19:46:54 firewall pluto[3560]: packet from xx:xx:xx:xx:500: ignoring Vendor ID payload [8f8d83826d246b6fc7a8a6a428c11de8]
2010:03:13-19:46:54 firewall pluto[3560]: packet from xx:xx:xx:xx:500: ignoring Vendor ID payload [439b59f8ba676c4c7737ae22eab8f582]
2010:03:13-19:46:54 firewall pluto[3560]: packet from xx:xx:xx:xx:500: ignoring Vendor ID payload [4d1e0e136deafa34c4f3ea9f02ec7285]
2010:03:13-19:46:54 firewall pluto[3560]: packet from xx:xx:xx:xx:500: ignoring Vendor ID payload [80d0bb3def54565ee84645d4c85ce3ee]
2010:03:13-19:46:54 firewall pluto[3560]: packet from xx:xx:xx:xx:500: ignoring Vendor ID payload [9909b64eed937c6573de52ace952fa6b]
2010:03:13-19:46:54 firewall pluto[3560]: packet from xx:xx:xx:xx:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
2010:03:13-19:46:54 firewall pluto[3560]: packet from xx:xx:xx:xx:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
2010:03:13-19:46:54 firewall pluto[3560]: packet from xx:xx:xx:xx:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
2010:03:13-19:46:54 firewall pluto[3560]: packet from xx:xx:xx:xx:500: received Vendor ID payload [Dead Peer Detection]
2010:03:13-19:46:54 firewall pluto[3560]: "S_REF_OIyuDzalKP"[23] xx:xx:xx:xx #12: responding to Main Mode from unknown peer xx:xx:xx:xx
2010:03:13-19:46:54 firewall pluto[3560]: "S_REF_OIyuDzalKP"[23] xx:xx:xx:xx #12: NAT-Traversal: Result using RFC 3947: both are NATed
2010:03:13-19:46:54 firewall pluto[3560]: "S_REF_OIyuDzalKP"[23] xx:xx:xx:xx #12: Peer ID is ID_IPV4_ADDR: '10.0.2.113'
2010:03:13-19:46:54 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx #12: deleting connection "S_REF_OIyuDzalKP" instance with peer xx:xx:xx:xx {isakmp=#0/ipsec=#0}
2010:03:13-19:46:54 firewall pluto[3560]: | NAT-T: new mapping xx:xx:xx:xx:500/4500)
2010:03:13-19:46:54 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: sent MR3, ISAKMP SA established
2010:03:13-19:46:54 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: ignoring informational payload, type IPSEC_INITIAL_CONTACT
2010:03:13-19:46:55 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: cannot respond to IPsec SA request because no connection is known for yy:yy:yy:yy/32===192.168.0.10:4500:17/1701...xx:xx:xx:xx:4500[10.0.2.113]:17/%any==={10.0.2.113/32}
2010:03:13-19:46:55 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: sending encrypted notification INVALID_ID_INFORMATION to xx:xx:xx:xx:4500
2010:03:13-19:46:58 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x62f547e0 (perhaps this is a duplicated packet)
2010:03:13-19:46:58 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: sending encrypted notification INVALID_MESSAGE_ID to xx:xx:xx:xx:4500
2010:03:13-19:47:01 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x62f547e0 (perhaps this is a duplicated packet)
2010:03:13-19:47:01 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: sending encrypted notification INVALID_MESSAGE_ID to xx:xx:xx:xx:4500
2010:03:13-19:47:04 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x62f547e0 (perhaps this is a duplicated packet)
2010:03:13-19:47:04 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: sending encrypted notification INVALID_MESSAGE_ID to xx:xx:xx:xx:4500
2010:03:13-19:47:07 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x62f547e0 (perhaps this is a duplicated packet)
2010:03:13-19:47:07 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: sending encrypted notification INVALID_MESSAGE_ID to xx:xx:xx:xx:4500
2010:03:13-19:47:10 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x62f547e0 (perhaps this is a duplicated packet)
2010:03:13-19:47:10 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: sending encrypted notification INVALID_MESSAGE_ID to xx:xx:xx:xx:4500
2010:03:13-19:47:13 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x62f547e0 (perhaps this is a duplicated packet)
2010:03:13-19:47:13 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: sending encrypted notification INVALID_MESSAGE_ID to xx:xx:xx:xx:4500
2010:03:13-19:47:16 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x62f547e0 (perhaps this is a duplicated packet)
2010:03:13-19:47:16 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: sending encrypted notification INVALID_MESSAGE_ID to xx:xx:xx:xx:4500
2010:03:13-19:47:19 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x62f547e0 (perhaps this is a duplicated packet)
2010:03:13-19:47:19 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: sending encrypted notification INVALID_MESSAGE_ID to xx:xx:xx:xx:4500
2010:03:13-19:47:22 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x62f547e0 (perhaps this is a duplicated packet)
2010:03:13-19:47:22 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: sending encrypted notification INVALID_MESSAGE_ID to xx:xx:xx:xx:4500
2010:03:13-19:47:25 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: received Delete SA payload: deleting ISAKMP State #12
2010:03:13-19:47:25 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500: deleting connection "S_REF_OIyuDzalKP" instance with peer xx:xx:xx:xx {isakmp=#0/ipsec=#0}

Zur Umgebung: Ich habe eine Netgear Router welcher sich für mich ins Internet einwählt. Hinter dem Router steht dann meine Firewall mit 2 Netzwerkkarten. Also eine externe Schnittstelle und eine interne. Bei dem Router habe ich alle Notwenigen Ports auf die Firewall freigeben. Nur irgendwie haut es nicht hin.

Ich hoffe das einer von euch mit hier weiter helfen kann.

Danke
Mitglied: FlashOver
22.03.2010 um 17:06 Uhr
nimm mal die Netgear raus. Wir hatten mal mit der gleichen Konstellation Probleme wenn hinter der Netgear eine Juniper SSG war. Die Netgear ist gelinde gesagt zu blöd zu schnallen, daß die Pakete nicht für Sie sind und schluckt die teilweise. Wenn die Netgear raus ist von der Konfiguration wirst sehen, daß es geht.
Was bei der Netgear konfiguriert ist mit NAT usw. mag zwar sinnvoll sein - hat aber bei uns häufig nicht funktioniert und wir haben das in ganz Bayern bei hunderten Kunden gehabt, daß eine Netgear (meist Prosafe) als primärer Router im Netz war und Probleme gemacht hat.
Bitte warten ..
Mitglied: bongartz
22.03.2010 um 17:21 Uhr
Hi,

ja diese Vermutung hatte ich auch schon geht. Nur irgendwie will der das Netgear ding umbedingt behalten.

Ich werde es dann mal testen. Danke
Bitte warten ..
Mitglied: FlashOver
22.03.2010 um 17:30 Uhr
Probier es mal so, daß du die Astaro als DMZ einträgst und alle Ports via NAT umleitest.
also 4500, 500 und 10000, am besten UDP und TCP... IKE nat. auch.
Vielleicht noch ein Firemware Update der Netgear und auf der Netgear darf kein VPN Dienst laufen... evtl. das VPN Passthrough an oder aus... mußt mal testen.. ich würd sagen eher aus.
Bitte warten ..
Mitglied: bongartz
22.03.2010 um 18:27 Uhr
also alle Ports und den dmz habe ich schon auf meine Friwall gerichtet. das VPN Passthrough ist aus.

ich glaube wir sollten einfach den router in die tonne werfen.
Bitte warten ..
Mitglied: FlashOver
22.03.2010 um 18:43 Uhr
ganz meine Rede. Die Netgear ist einfach nicht intelligent genug unter der Haube, um IKE Traffic weiter zu reichen und terminiert ihn auf sich selbst und da hört nat. nichts bzw. geht der Handshake nicht klar und es kommt nur die Hälfte an der Astaro an. Ich würde es auf jeden Fall erstma so testen ohne die Netgear
Bitte warten ..
Mitglied: bongartz
22.03.2010 um 18:47 Uhr
Also vorher hatten wir einen L2TP laufen. Der Router war im Netzwerk, keine Firewall und auf einem Mac Mini leif iVPN. Dies ging ohne große Probleme. Aber jetzt sieht ja die konfig etwas anders aus.
Bitte warten ..
Mitglied: FlashOver
22.03.2010 um 18:52 Uhr
könnte auch ein NAT-T Problem sein denn es gibt ja dann sozusagen ein Transfernetz. Mit Logik hat das nichts zu tun daß die Netgear da rein fummelt - wie gesagt, haben viel negative Erfahrung damit bei Kunden. Grad mit der ProSafe.
Bitte warten ..
Mitglied: bongartz
22.03.2010 um 19:35 Uhr
an den NAt hatte ich auch gedacht. Habe dann im Netgear router versucht NAT auszuschalten, aber dann ging das I-Net nicht mehr also auch keine Lösung.
Bitte warten ..
Mitglied: FlashOver
22.03.2010 um 21:17 Uhr
Nicht NAT, sondern NAT-T (NAT Traversal)
Das gehört zum IPSec dazu. Einfach mal google nutzen mit NAT-T
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
L2TP-IPsec VPN pfSense 2.3
gelöst Frage von maddigLAN, WAN, Wireless6 Kommentare

Hallo, ich bin zurzeit am versuchen einen VPN Server mit L2TP/IPsec zum laufen zu bringen. Die meisten Tutorials basieren ...

MikroTik RouterOS
Mikrotik VPN IPSec L2tp mit Apple
Frage von PhibboMikroTik RouterOS9 Kommentare

Moin. Ich bin jetzt kein Anfänger mehr, aber ich schaffe es einfach nicht eine VPN Verbindung zwischen einem RB2011 ...

Windows Server

L2TP VPN Server funktioniert nicht - Win2012R2

gelöst Frage von 118080Windows Server33 Kommentare

Moin :-) Ich fange gerade mit dem Thema VPN over L2TP auf Windows Server 2012 R2 an. Dazu habe ...

Windows Server

VPN mit Window Server: PPTP, SSTP, L2TP, .?

gelöst Frage von ahussainWindows Server2 Kommentare

Hallo allerseits, ich plane eine Windows Server 2016 Installation als Terminalserver, um Zugriff von außen auf Anwendungen im Büro-Intranet ...

Neue Wissensbeiträge
Internet
EU-Urheberrechtsreform: Zusammenfassung
Information von Frank vor 1 TagInternet

Auf golem.de gibt es eine Analyse von Friedhelm Greis, der das Thema EU-Urheberrechtsreform gut und strukturiert zusammenfasst. Zwar haben ...

Microsoft Office

Office365 Schwachstellen bei Sicherheit und Datenschutz

Information von Penny.Cilin vor 2 TagenMicrosoft Office7 Kommentare

Auf Heise+ gibt es einen Artikel bzgl. Office365 Schwachstellen. Das ist noch ein Grund mehr seine Daten nicht in ...

Sicherheit
Schwachstellen in VPN Clients
Tipp von transocean vor 4 TagenSicherheit2 Kommentare

Moin, es gibt Sicherheitslücken bei VPN Clients namhafter Hersteller, wie man hier lesen kann. Gruß Uwe

Sicherheit

Wikileaks-Gründer Julian Assange wurde festgenommen

Information von Frank vor 6 TagenSicherheit3 Kommentare

Wikileaks-Gründer Julian Assange wurde heute in London festgenommen. Die Botschaft Ecuadors, in der er seit sieben Jahren lebte, hat ...

Heiß diskutierte Inhalte
HTML
Google maps
Frage von jensgebkenHTML20 Kommentare

Hallo Gemeinschaft, hab mal ne Frage zu Maps - habe es hinbekommen, dass ich einen iframe link erstellen kann ...

Drucker und Scanner
Xerox 7328 muss jeden Tag neu installert werden
Frage von PN-SchrauberDrucker und Scanner20 Kommentare

hallo, ich habe in Problem mit einem unserer Drucker. Vorweg, die meisten unserer Netzwerkdrucker laufen über einen Druckserver, dieser ...

Tipps & Tricks
Verdammt voll erwischt
Frage von AlchimedesTipps & Tricks19 Kommentare

Folgende Mail habe ich auf meinem Freenet Account erhalten: Nun folgendes Problem: 1) Ich besuche Porno Seiten yep hat ...

Switche und Hubs
PC Verursach Probleme im Netzwerk
gelöst Frage von spoboeSwitche und Hubs16 Kommentare

Hallo zusammen, folgene Situation macht mich inzwischen ratlos: In unserem Betrieb ist ein Rechner über die Hausverkabelung an einem ...