bongartz
Goto Top

L2TP VPN mittels einer Astaro 7.5

Hallo,

ich test gerade eine Astaro Firewall und versuche schon etwas länger einen VPN mittels L2TP und IPsec. umzusetzen. Habe die Anleitung von Astaro eins zu eins umgesetzt aber irgendwie kann ich mich nicht mit dem VPN Server verbinden. Hier mal mein Protokoll von der Firewall:

2010:03:13-19:46:54 firewall pluto[3560]: packet from xx:xx:xx:xx:500: received Vendor ID payload [RFC 3947]
2010:03:13-19:46:54 firewall pluto[3560]: packet from xx:xx:xx:xx:500: ignoring Vendor ID payload [4df37928e9fc4fd1b3262170d515c662]
2010:03:13-19:46:54 firewall pluto[3560]: packet from xx:xx:xx:xx:500: ignoring Vendor ID payload [8f8d83826d246b6fc7a8a6a428c11de8]
2010:03:13-19:46:54 firewall pluto[3560]: packet from xx:xx:xx:xx:500: ignoring Vendor ID payload [439b59f8ba676c4c7737ae22eab8f582]
2010:03:13-19:46:54 firewall pluto[3560]: packet from xx:xx:xx:xx:500: ignoring Vendor ID payload [4d1e0e136deafa34c4f3ea9f02ec7285]
2010:03:13-19:46:54 firewall pluto[3560]: packet from xx:xx:xx:xx:500: ignoring Vendor ID payload [80d0bb3def54565ee84645d4c85ce3ee]
2010:03:13-19:46:54 firewall pluto[3560]: packet from xx:xx:xx:xx:500: ignoring Vendor ID payload [9909b64eed937c6573de52ace952fa6b]
2010:03:13-19:46:54 firewall pluto[3560]: packet from xx:xx:xx:xx:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
2010:03:13-19:46:54 firewall pluto[3560]: packet from xx:xx:xx:xx:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
2010:03:13-19:46:54 firewall pluto[3560]: packet from xx:xx:xx:xx:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
2010:03:13-19:46:54 firewall pluto[3560]: packet from xx:xx:xx:xx:500: received Vendor ID payload [Dead Peer Detection]
2010:03:13-19:46:54 firewall pluto[3560]: "S_REF_OIyuDzalKP"[23] xx:xx:xx:xx #12: responding to Main Mode from unknown peer xx:xx:xx:xx
2010:03:13-19:46:54 firewall pluto[3560]: "S_REF_OIyuDzalKP"[23] xx:xx:xx:xx #12: NAT-Traversal: Result using RFC 3947: both are NATed
2010:03:13-19:46:54 firewall pluto[3560]: "S_REF_OIyuDzalKP"[23] xx:xx:xx:xx #12: Peer ID is ID_IPV4_ADDR: '10.0.2.113'
2010:03:13-19:46:54 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx #12: deleting connection "S_REF_OIyuDzalKP" instance with peer xx:xx:xx:xx {isakmp=#0/ipsec=#0}
2010:03:13-19:46:54 firewall pluto[3560]: | NAT-T: new mapping xx:xx:xx:xx:500/4500)
2010:03:13-19:46:54 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: sent MR3, ISAKMP SA established
2010:03:13-19:46:54 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: ignoring informational payload, type IPSEC_INITIAL_CONTACT
2010:03:13-19:46:55 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: cannot respond to IPsec SA request because no connection is known for yy:yy:yy:yy/32===192.168.0.10:4500:17/1701...xx:xx:xx:xx:4500[10.0.2.113]:17/%any==={10.0.2.113/32}
2010:03:13-19:46:55 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: sending encrypted notification INVALID_ID_INFORMATION to xx:xx:xx:xx:4500
2010:03:13-19:46:58 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x62f547e0 (perhaps this is a duplicated packet)
2010:03:13-19:46:58 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: sending encrypted notification INVALID_MESSAGE_ID to xx:xx:xx:xx:4500
2010:03:13-19:47:01 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x62f547e0 (perhaps this is a duplicated packet)
2010:03:13-19:47:01 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: sending encrypted notification INVALID_MESSAGE_ID to xx:xx:xx:xx:4500
2010:03:13-19:47:04 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x62f547e0 (perhaps this is a duplicated packet)
2010:03:13-19:47:04 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: sending encrypted notification INVALID_MESSAGE_ID to xx:xx:xx:xx:4500
2010:03:13-19:47:07 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x62f547e0 (perhaps this is a duplicated packet)
2010:03:13-19:47:07 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: sending encrypted notification INVALID_MESSAGE_ID to xx:xx:xx:xx:4500
2010:03:13-19:47:10 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x62f547e0 (perhaps this is a duplicated packet)
2010:03:13-19:47:10 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: sending encrypted notification INVALID_MESSAGE_ID to xx:xx:xx:xx:4500
2010:03:13-19:47:13 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x62f547e0 (perhaps this is a duplicated packet)
2010:03:13-19:47:13 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: sending encrypted notification INVALID_MESSAGE_ID to xx:xx:xx:xx:4500
2010:03:13-19:47:16 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x62f547e0 (perhaps this is a duplicated packet)
2010:03:13-19:47:16 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: sending encrypted notification INVALID_MESSAGE_ID to xx:xx:xx:xx:4500
2010:03:13-19:47:19 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x62f547e0 (perhaps this is a duplicated packet)
2010:03:13-19:47:19 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: sending encrypted notification INVALID_MESSAGE_ID to xx:xx:xx:xx:4500
2010:03:13-19:47:22 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x62f547e0 (perhaps this is a duplicated packet)
2010:03:13-19:47:22 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: sending encrypted notification INVALID_MESSAGE_ID to xx:xx:xx:xx:4500
2010:03:13-19:47:25 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: received Delete SA payload: deleting ISAKMP State #12
2010:03:13-19:47:25 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500: deleting connection "S_REF_OIyuDzalKP" instance with peer xx:xx:xx:xx {isakmp=#0/ipsec=#0}

Zur Umgebung: Ich habe eine Netgear Router welcher sich für mich ins Internet einwählt. Hinter dem Router steht dann meine Firewall mit 2 Netzwerkkarten. Also eine externe Schnittstelle und eine interne. Bei dem Router habe ich alle Notwenigen Ports auf die Firewall freigeben. Nur irgendwie haut es nicht hin.

Ich hoffe das einer von euch mit hier weiter helfen kann.

Danke

Content-ID: 138252

Url: https://administrator.de/contentid/138252

Ausgedruckt am: 14.11.2024 um 11:11 Uhr

FlashOver
FlashOver 22.03.2010 um 17:06:03 Uhr
Goto Top
nimm mal die Netgear raus. Wir hatten mal mit der gleichen Konstellation Probleme wenn hinter der Netgear eine Juniper SSG war. Die Netgear ist gelinde gesagt zu blöd zu schnallen, daß die Pakete nicht für Sie sind und schluckt die teilweise. Wenn die Netgear raus ist von der Konfiguration wirst sehen, daß es geht.
Was bei der Netgear konfiguriert ist mit NAT usw. mag zwar sinnvoll sein - hat aber bei uns häufig nicht funktioniert und wir haben das in ganz Bayern bei hunderten Kunden gehabt, daß eine Netgear (meist Prosafe) als primärer Router im Netz war und Probleme gemacht hat.
bongartz
bongartz 22.03.2010 um 17:21:09 Uhr
Goto Top
Hi,

ja diese Vermutung hatte ich auch schon geht. Nur irgendwie will der das Netgear ding umbedingt behalten.

Ich werde es dann mal testen. Danke
FlashOver
FlashOver 22.03.2010 um 17:30:58 Uhr
Goto Top
Probier es mal so, daß du die Astaro als DMZ einträgst und alle Ports via NAT umleitest.
also 4500, 500 und 10000, am besten UDP und TCP... IKE nat. auch.
Vielleicht noch ein Firemware Update der Netgear und auf der Netgear darf kein VPN Dienst laufen... evtl. das VPN Passthrough an oder aus... mußt mal testen.. ich würd sagen eher aus.
bongartz
bongartz 22.03.2010 um 18:27:46 Uhr
Goto Top
also alle Ports und den dmz habe ich schon auf meine Friwall gerichtet. das VPN Passthrough ist aus.

ich glaube wir sollten einfach den router in die tonne werfen.
FlashOver
FlashOver 22.03.2010 um 18:43:15 Uhr
Goto Top
ganz meine Rede. Die Netgear ist einfach nicht intelligent genug unter der Haube, um IKE Traffic weiter zu reichen und terminiert ihn auf sich selbst und da hört nat. nichts bzw. geht der Handshake nicht klar und es kommt nur die Hälfte an der Astaro an. Ich würde es auf jeden Fall erstma so testen ohne die Netgear
bongartz
bongartz 22.03.2010 um 18:47:51 Uhr
Goto Top
Also vorher hatten wir einen L2TP laufen. Der Router war im Netzwerk, keine Firewall und auf einem Mac Mini leif iVPN. Dies ging ohne große Probleme. Aber jetzt sieht ja die konfig etwas anders aus.
FlashOver
FlashOver 22.03.2010 um 18:52:31 Uhr
Goto Top
könnte auch ein NAT-T Problem sein denn es gibt ja dann sozusagen ein Transfernetz. Mit Logik hat das nichts zu tun daß die Netgear da rein fummelt - wie gesagt, haben viel negative Erfahrung damit bei Kunden. Grad mit der ProSafe.
bongartz
bongartz 22.03.2010 um 19:35:16 Uhr
Goto Top
an den NAt hatte ich auch gedacht. Habe dann im Netgear router versucht NAT auszuschalten, aber dann ging das I-Net nicht mehr also auch keine Lösung.
FlashOver
FlashOver 22.03.2010 um 21:17:52 Uhr
Goto Top
Nicht NAT, sondern NAT-T (NAT Traversal)
Das gehört zum IPSec dazu. Einfach mal google nutzen mit NAT-T