L2TP VPN mittels einer Astaro 7.5
Hallo,
ich test gerade eine Astaro Firewall und versuche schon etwas länger einen VPN mittels L2TP und IPsec. umzusetzen. Habe die Anleitung von Astaro eins zu eins umgesetzt aber irgendwie kann ich mich nicht mit dem VPN Server verbinden. Hier mal mein Protokoll von der Firewall:
2010:03:13-19:46:54 firewall pluto[3560]: packet from xx:xx:xx:xx:500: received Vendor ID payload [RFC 3947]
2010:03:13-19:46:54 firewall pluto[3560]: packet from xx:xx:xx:xx:500: ignoring Vendor ID payload [4df37928e9fc4fd1b3262170d515c662]
2010:03:13-19:46:54 firewall pluto[3560]: packet from xx:xx:xx:xx:500: ignoring Vendor ID payload [8f8d83826d246b6fc7a8a6a428c11de8]
2010:03:13-19:46:54 firewall pluto[3560]: packet from xx:xx:xx:xx:500: ignoring Vendor ID payload [439b59f8ba676c4c7737ae22eab8f582]
2010:03:13-19:46:54 firewall pluto[3560]: packet from xx:xx:xx:xx:500: ignoring Vendor ID payload [4d1e0e136deafa34c4f3ea9f02ec7285]
2010:03:13-19:46:54 firewall pluto[3560]: packet from xx:xx:xx:xx:500: ignoring Vendor ID payload [80d0bb3def54565ee84645d4c85ce3ee]
2010:03:13-19:46:54 firewall pluto[3560]: packet from xx:xx:xx:xx:500: ignoring Vendor ID payload [9909b64eed937c6573de52ace952fa6b]
2010:03:13-19:46:54 firewall pluto[3560]: packet from xx:xx:xx:xx:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
2010:03:13-19:46:54 firewall pluto[3560]: packet from xx:xx:xx:xx:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
2010:03:13-19:46:54 firewall pluto[3560]: packet from xx:xx:xx:xx:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
2010:03:13-19:46:54 firewall pluto[3560]: packet from xx:xx:xx:xx:500: received Vendor ID payload [Dead Peer Detection]
2010:03:13-19:46:54 firewall pluto[3560]: "S_REF_OIyuDzalKP"[23] xx:xx:xx:xx #12: responding to Main Mode from unknown peer xx:xx:xx:xx
2010:03:13-19:46:54 firewall pluto[3560]: "S_REF_OIyuDzalKP"[23] xx:xx:xx:xx #12: NAT-Traversal: Result using RFC 3947: both are NATed
2010:03:13-19:46:54 firewall pluto[3560]: "S_REF_OIyuDzalKP"[23] xx:xx:xx:xx #12: Peer ID is ID_IPV4_ADDR: '10.0.2.113'
2010:03:13-19:46:54 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx #12: deleting connection "S_REF_OIyuDzalKP" instance with peer xx:xx:xx:xx {isakmp=#0/ipsec=#0}
2010:03:13-19:46:54 firewall pluto[3560]: | NAT-T: new mapping xx:xx:xx:xx:500/4500)
2010:03:13-19:46:54 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: sent MR3, ISAKMP SA established
2010:03:13-19:46:54 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: ignoring informational payload, type IPSEC_INITIAL_CONTACT
2010:03:13-19:46:55 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: cannot respond to IPsec SA request because no connection is known for yy:yy:yy:yy/32===192.168.0.10:4500:17/1701...xx:xx:xx:xx:4500[10.0.2.113]:17/%any==={10.0.2.113/32}
2010:03:13-19:46:55 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: sending encrypted notification INVALID_ID_INFORMATION to xx:xx:xx:xx:4500
2010:03:13-19:46:58 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x62f547e0 (perhaps this is a duplicated packet)
2010:03:13-19:46:58 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: sending encrypted notification INVALID_MESSAGE_ID to xx:xx:xx:xx:4500
2010:03:13-19:47:01 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x62f547e0 (perhaps this is a duplicated packet)
2010:03:13-19:47:01 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: sending encrypted notification INVALID_MESSAGE_ID to xx:xx:xx:xx:4500
2010:03:13-19:47:04 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x62f547e0 (perhaps this is a duplicated packet)
2010:03:13-19:47:04 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: sending encrypted notification INVALID_MESSAGE_ID to xx:xx:xx:xx:4500
2010:03:13-19:47:07 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x62f547e0 (perhaps this is a duplicated packet)
2010:03:13-19:47:07 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: sending encrypted notification INVALID_MESSAGE_ID to xx:xx:xx:xx:4500
2010:03:13-19:47:10 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x62f547e0 (perhaps this is a duplicated packet)
2010:03:13-19:47:10 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: sending encrypted notification INVALID_MESSAGE_ID to xx:xx:xx:xx:4500
2010:03:13-19:47:13 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x62f547e0 (perhaps this is a duplicated packet)
2010:03:13-19:47:13 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: sending encrypted notification INVALID_MESSAGE_ID to xx:xx:xx:xx:4500
2010:03:13-19:47:16 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x62f547e0 (perhaps this is a duplicated packet)
2010:03:13-19:47:16 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: sending encrypted notification INVALID_MESSAGE_ID to xx:xx:xx:xx:4500
2010:03:13-19:47:19 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x62f547e0 (perhaps this is a duplicated packet)
2010:03:13-19:47:19 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: sending encrypted notification INVALID_MESSAGE_ID to xx:xx:xx:xx:4500
2010:03:13-19:47:22 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x62f547e0 (perhaps this is a duplicated packet)
2010:03:13-19:47:22 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: sending encrypted notification INVALID_MESSAGE_ID to xx:xx:xx:xx:4500
2010:03:13-19:47:25 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: received Delete SA payload: deleting ISAKMP State #12
2010:03:13-19:47:25 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500: deleting connection "S_REF_OIyuDzalKP" instance with peer xx:xx:xx:xx {isakmp=#0/ipsec=#0}
Zur Umgebung: Ich habe eine Netgear Router welcher sich für mich ins Internet einwählt. Hinter dem Router steht dann meine Firewall mit 2 Netzwerkkarten. Also eine externe Schnittstelle und eine interne. Bei dem Router habe ich alle Notwenigen Ports auf die Firewall freigeben. Nur irgendwie haut es nicht hin.
Ich hoffe das einer von euch mit hier weiter helfen kann.
Danke
ich test gerade eine Astaro Firewall und versuche schon etwas länger einen VPN mittels L2TP und IPsec. umzusetzen. Habe die Anleitung von Astaro eins zu eins umgesetzt aber irgendwie kann ich mich nicht mit dem VPN Server verbinden. Hier mal mein Protokoll von der Firewall:
2010:03:13-19:46:54 firewall pluto[3560]: packet from xx:xx:xx:xx:500: received Vendor ID payload [RFC 3947]
2010:03:13-19:46:54 firewall pluto[3560]: packet from xx:xx:xx:xx:500: ignoring Vendor ID payload [4df37928e9fc4fd1b3262170d515c662]
2010:03:13-19:46:54 firewall pluto[3560]: packet from xx:xx:xx:xx:500: ignoring Vendor ID payload [8f8d83826d246b6fc7a8a6a428c11de8]
2010:03:13-19:46:54 firewall pluto[3560]: packet from xx:xx:xx:xx:500: ignoring Vendor ID payload [439b59f8ba676c4c7737ae22eab8f582]
2010:03:13-19:46:54 firewall pluto[3560]: packet from xx:xx:xx:xx:500: ignoring Vendor ID payload [4d1e0e136deafa34c4f3ea9f02ec7285]
2010:03:13-19:46:54 firewall pluto[3560]: packet from xx:xx:xx:xx:500: ignoring Vendor ID payload [80d0bb3def54565ee84645d4c85ce3ee]
2010:03:13-19:46:54 firewall pluto[3560]: packet from xx:xx:xx:xx:500: ignoring Vendor ID payload [9909b64eed937c6573de52ace952fa6b]
2010:03:13-19:46:54 firewall pluto[3560]: packet from xx:xx:xx:xx:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
2010:03:13-19:46:54 firewall pluto[3560]: packet from xx:xx:xx:xx:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
2010:03:13-19:46:54 firewall pluto[3560]: packet from xx:xx:xx:xx:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
2010:03:13-19:46:54 firewall pluto[3560]: packet from xx:xx:xx:xx:500: received Vendor ID payload [Dead Peer Detection]
2010:03:13-19:46:54 firewall pluto[3560]: "S_REF_OIyuDzalKP"[23] xx:xx:xx:xx #12: responding to Main Mode from unknown peer xx:xx:xx:xx
2010:03:13-19:46:54 firewall pluto[3560]: "S_REF_OIyuDzalKP"[23] xx:xx:xx:xx #12: NAT-Traversal: Result using RFC 3947: both are NATed
2010:03:13-19:46:54 firewall pluto[3560]: "S_REF_OIyuDzalKP"[23] xx:xx:xx:xx #12: Peer ID is ID_IPV4_ADDR: '10.0.2.113'
2010:03:13-19:46:54 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx #12: deleting connection "S_REF_OIyuDzalKP" instance with peer xx:xx:xx:xx {isakmp=#0/ipsec=#0}
2010:03:13-19:46:54 firewall pluto[3560]: | NAT-T: new mapping xx:xx:xx:xx:500/4500)
2010:03:13-19:46:54 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: sent MR3, ISAKMP SA established
2010:03:13-19:46:54 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: ignoring informational payload, type IPSEC_INITIAL_CONTACT
2010:03:13-19:46:55 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: cannot respond to IPsec SA request because no connection is known for yy:yy:yy:yy/32===192.168.0.10:4500:17/1701...xx:xx:xx:xx:4500[10.0.2.113]:17/%any==={10.0.2.113/32}
2010:03:13-19:46:55 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: sending encrypted notification INVALID_ID_INFORMATION to xx:xx:xx:xx:4500
2010:03:13-19:46:58 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x62f547e0 (perhaps this is a duplicated packet)
2010:03:13-19:46:58 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: sending encrypted notification INVALID_MESSAGE_ID to xx:xx:xx:xx:4500
2010:03:13-19:47:01 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x62f547e0 (perhaps this is a duplicated packet)
2010:03:13-19:47:01 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: sending encrypted notification INVALID_MESSAGE_ID to xx:xx:xx:xx:4500
2010:03:13-19:47:04 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x62f547e0 (perhaps this is a duplicated packet)
2010:03:13-19:47:04 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: sending encrypted notification INVALID_MESSAGE_ID to xx:xx:xx:xx:4500
2010:03:13-19:47:07 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x62f547e0 (perhaps this is a duplicated packet)
2010:03:13-19:47:07 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: sending encrypted notification INVALID_MESSAGE_ID to xx:xx:xx:xx:4500
2010:03:13-19:47:10 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x62f547e0 (perhaps this is a duplicated packet)
2010:03:13-19:47:10 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: sending encrypted notification INVALID_MESSAGE_ID to xx:xx:xx:xx:4500
2010:03:13-19:47:13 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x62f547e0 (perhaps this is a duplicated packet)
2010:03:13-19:47:13 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: sending encrypted notification INVALID_MESSAGE_ID to xx:xx:xx:xx:4500
2010:03:13-19:47:16 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x62f547e0 (perhaps this is a duplicated packet)
2010:03:13-19:47:16 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: sending encrypted notification INVALID_MESSAGE_ID to xx:xx:xx:xx:4500
2010:03:13-19:47:19 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x62f547e0 (perhaps this is a duplicated packet)
2010:03:13-19:47:19 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: sending encrypted notification INVALID_MESSAGE_ID to xx:xx:xx:xx:4500
2010:03:13-19:47:22 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x62f547e0 (perhaps this is a duplicated packet)
2010:03:13-19:47:22 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: sending encrypted notification INVALID_MESSAGE_ID to xx:xx:xx:xx:4500
2010:03:13-19:47:25 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500 #12: received Delete SA payload: deleting ISAKMP State #12
2010:03:13-19:47:25 firewall pluto[3560]: "S_REF_OIyuDzalKP"[24] xx:xx:xx:xx:4500: deleting connection "S_REF_OIyuDzalKP" instance with peer xx:xx:xx:xx {isakmp=#0/ipsec=#0}
Zur Umgebung: Ich habe eine Netgear Router welcher sich für mich ins Internet einwählt. Hinter dem Router steht dann meine Firewall mit 2 Netzwerkkarten. Also eine externe Schnittstelle und eine interne. Bei dem Router habe ich alle Notwenigen Ports auf die Firewall freigeben. Nur irgendwie haut es nicht hin.
Ich hoffe das einer von euch mit hier weiter helfen kann.
Danke
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 138252
Url: https://administrator.de/contentid/138252
Ausgedruckt am: 14.11.2024 um 11:11 Uhr
9 Kommentare
Neuester Kommentar
nimm mal die Netgear raus. Wir hatten mal mit der gleichen Konstellation Probleme wenn hinter der Netgear eine Juniper SSG war. Die Netgear ist gelinde gesagt zu blöd zu schnallen, daß die Pakete nicht für Sie sind und schluckt die teilweise. Wenn die Netgear raus ist von der Konfiguration wirst sehen, daß es geht.
Was bei der Netgear konfiguriert ist mit NAT usw. mag zwar sinnvoll sein - hat aber bei uns häufig nicht funktioniert und wir haben das in ganz Bayern bei hunderten Kunden gehabt, daß eine Netgear (meist Prosafe) als primärer Router im Netz war und Probleme gemacht hat.
Was bei der Netgear konfiguriert ist mit NAT usw. mag zwar sinnvoll sein - hat aber bei uns häufig nicht funktioniert und wir haben das in ganz Bayern bei hunderten Kunden gehabt, daß eine Netgear (meist Prosafe) als primärer Router im Netz war und Probleme gemacht hat.
Probier es mal so, daß du die Astaro als DMZ einträgst und alle Ports via NAT umleitest.
also 4500, 500 und 10000, am besten UDP und TCP... IKE nat. auch.
Vielleicht noch ein Firemware Update der Netgear und auf der Netgear darf kein VPN Dienst laufen... evtl. das VPN Passthrough an oder aus... mußt mal testen.. ich würd sagen eher aus.
also 4500, 500 und 10000, am besten UDP und TCP... IKE nat. auch.
Vielleicht noch ein Firemware Update der Netgear und auf der Netgear darf kein VPN Dienst laufen... evtl. das VPN Passthrough an oder aus... mußt mal testen.. ich würd sagen eher aus.
ganz meine Rede. Die Netgear ist einfach nicht intelligent genug unter der Haube, um IKE Traffic weiter zu reichen und terminiert ihn auf sich selbst und da hört nat. nichts bzw. geht der Handshake nicht klar und es kommt nur die Hälfte an der Astaro an. Ich würde es auf jeden Fall erstma so testen ohne die Netgear