Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Lancom zu Palo Alto VPN IKE Phase-2 Probleme

Mitglied: MSurmund

MSurmund (Level 1) - Jetzt verbinden

13.06.2019, aktualisiert 13:39 Uhr, 216 Aufrufe, 6 Kommentare

Hallo

Ich habe derzeit einige Probleme bei der Einrichtung eines Site-to-Site-VPN zwischen einem Lancom 1783va-4g und einem Palo Alto PA-220, um die zwei lokalen Netzwerke zu verbinden (192.168.100.0/24 an dem Lancom und 192.168.4.0/24 an der PA). Die PA befindet sich hinter einer anderen Firewall (192.168.0.0/24), die die öffentliche IP-Adresse hat und die Ports 500 und 4500 an die PA weiterleitet, das NAT und Routing sind kein Problem. Beide Seiten haben eine statische IP-Adresse. Ich bin neu in Palo Alto, es tut mir so leid, wenn ich etwas vergesse.

Die ausgehende Verbindung der PA zur anderen Firewall erfolgt über Ethernet 1/1 (192.168.0.1) und mein lokales Netz, das ich mit dem VPN verbinden möchte, ist über Ethernet 1/3 (192.168.4.254). Ich habe das IKE-Gateway für 1/1 eingerichtet, IKE-Krypto und IPSec-Krypto konfiguriert, den IPsec-Tunnel mit einem Proxy konfiguriert (da Lancom policy-based VPN ist) und einen Tunnel für die vpn-security-zone konfiguriert.

Der Lancom verbindet sich mit der PA und IKE phase-1 funktioniert gut, soweit ich das an den Logs erkennen kann.

01.
IKE phase-1 negotiation is started as responder, aggressive mode. Initiated SA: 192.168.0.1[4500]-x.x.x.x[4500] cookie: ******************************.
02.
IKE phase-1 negotiation is succeeded as responder, aggressive mode. Established SA: 192.168.0.1[4500]-x.x.x.x[4500] cookie: ****************************** lifetime 2800 Sec.
03.
IKE phase-2 negotiation is started as responder, quick mode. Initiated SA: 192.168.0.1[4500]-x.x.x.x[4500] message id: *********.
04.
IKE phase-2 negotiation failed when processing SA payload. no suitable proposal found in peer's SA payload.
05.
IKE protocol notification message sent: NO-PROPOSAL-CHOSEN (14).
Die Lancom bietet keine große Hilfe:

01.
VPN: Error for peer PPA-220: IPSEC-I-No-proposal-matched
02.
Disconnected from peer PA-220: VPN-no-channel
Das Problem scheint mit meiner PA-Konfiguration zu sein, vielleicht hat jemand eine Idee, wie man das beheben kann. Es ist vermutlich etwas, das irgendwie offensichtlich ist, aber mein Kopf ist irgendwie Matsche momentan.



die PA-Konfiguration:
screenshot from 2019-06-13 11-09-16 - Klicke auf das Bild, um es zu vergrößern
screenshot from 2019-06-13 11-12-12 - Klicke auf das Bild, um es zu vergrößern
screenshot from 2019-06-13 11-12-22 - Klicke auf das Bild, um es zu vergrößern
screenshot from 2019-06-13 11-12-26 - Klicke auf das Bild, um es zu vergrößern
screenshot from 2019-06-13 11-12-49 - Klicke auf das Bild, um es zu vergrößern
screenshot from 2019-06-13 11-12-54 - Klicke auf das Bild, um es zu vergrößern
screenshot from 2019-06-13 11-13-02 - Klicke auf das Bild, um es zu vergrößern
screenshot from 2019-06-13 11-13-27 - Klicke auf das Bild, um es zu vergrößern


LG und schonmal vielen Dank
Mitglied: hesper
LÖSUNG 13.06.2019 um 13:18 Uhr
Mahlzeit!

Passen denn die IKE-Proposals des LANCOM zu denen vom PA.
Das Log sagt da nein, was ich rauslese.
SHA128 statt SHA256? Zahlendreher?

h.
Bitte warten ..
Mitglied: aqui
LÖSUNG 13.06.2019, aktualisiert um 13:33 Uhr
Bitte lasse den Unsinn mit überflüssigen externen Links oder Bilderlinks hier im Forum !!!
Das kann man alles auch lokal einbinden in den Thread !! (Und auch noch nachträglich !)
Außerdem ist einfach cut and pasten von HIER ja nun wahrlich recht plump.
Zurück zum Thema...

die die öffentliche IP-Adresse hat und die Ports 500 und 4500 an die PA weiterleitet
Das nützt nichts und ist nur die Hälfte der Miete. Die Produktivdaten werden in einem ESP Tunnel (IP Protokoll Nummer 50) geforwartet. Wenn du kein ESP auf dem davor kaskadierten Router/Firewall forwardest wirst du niemals einen IPsec VPN Tunnel zum Fliegen bekommen und scheiterst logischerweise.
Für die Details siehe hier:
https://administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-firewa ...
Du brauchst also immer drei Protokollkomponenten: UDP 500, 4500 und das ESP Protokoll !!

Den entscheidenden Tip gibt dir aber das Lancom Log !!! "IPSEC-I-No-proposal-matched"
Das bedeutet die PA ist Initiator und bietet dem Lancom eine Auswahl an Phase 2 Verschlüsselungs Verfahren an. Keines davon passt allerdings zu denen für die der Lancom konfiguriert ist.
Die PA meckert das übrigens ebenso an: "no suitable proposal found in peer's SA payload.".
Man muss also einfach nur mal in die Logs sehen !
Folglich kommen die also logischerweise niemals zueinander, da der eine Englisch sprechen will und der andere aber nur Französisch versteht um es mal salopp zu sagen !! Kollege @hesper hat es schon angesprochen oben.

Checke also was die PA in der Phase 2 anbietet. In der Regel ist das heute AES 256, AES 512 in Verbindung mit einem SHA256 (bevorzugt) oder SHA1 Hash.
Auch die DG Group muss überein stimmen ! Normal ist 14 (2048 Bit) möglicherweise arbeitet der Lancom noch mit 1024 Bit.
Sehr gut möglich das die PA, da professioneller, SHA256 macht und der Lancom auf dem üblichen SHA1 oder schlimmer MD5 konfiguriert ist. Möglicherweise sogar noch 3DES usw. Dann hast du den Mismatch.
Beide Seiten müssen natürlich mindestens ein übereinstimmendes Verfahren konfiguriert haben ! (Damit sie beide Englisch sprechen)
Beachte auch das du bei Hersteller fremden Komponenten immer besser den Aggressive Mode statt des Main Mode verwenden solltest !!
Bitte warten ..
Mitglied: hesper
13.06.2019 um 13:53 Uhr
Über die Wizards läuft glaube ich wirklich MD5 und 1024 Bit bei den LANCOMs.
Bitte warten ..
Mitglied: MSurmund
13.06.2019 um 13:53 Uhr
Bitte lasse den Unsinn mit überflüssigen externen Links oder Bilderlinks hier im Forum !!!
Das kann man alles auch lokal einbinden in den Thread !! (Und auch noch nachträglich !)
Danke für den Hinweis, habe ich korrigiert.
Außerdem ist einfach cut and pasten von HIER ja nun wahrlich recht plump.
an mehreren Stellen zu fragen und mehr Leute zu erreichen schien mir eine gute Idee. Schlecht umgesetzt an der Stelle, sorry.

So, zurück zum Thema:
Die ganzen Verschlüsselungsverfahren waren eigentlich auf einander abgestimmt weswegen ich auch erstmal nicht weiter wusste.
Vertrauen ist gut, Kontrolle ist besser, aber es hat soweit von AES256, SHA256 und DH Group 14 alles gestimmt.
Den Fehler hab ich dann in dem Palo Alto IPSec Crypto Profile gefunden: das IPSec Protocol war als AH eingestellt während Lancom nur ESP nimmt. Umgestellt und phase-2 funktioniert jetzt auch.

Eine Verbindung zwischen den beiden Netzen hab ich jetzt zwar immer noch nicht, aber da setze ich mich jetzt dran.
Bitte warten ..
Mitglied: goscho
13.06.2019 um 14:05 Uhr
Mahlzeit
Zitat von MSurmund:
Die Lancom bietet keine große Hilfe:

Das glaube ich dir nicht.
Du kannst einen Trace über den Lanmonitor zu deinem 1783va-4g laufen lassen.
  • Lanmonitor -> Gerät auswählen -> Rechtsklick -> Traceausgabe erstellen
  • Diesen Trace kannst du noch schön auf VPN einschränken
lancom-trace-einstellungen-vpn - Klicke auf das Bild, um es zu vergrößern


Jetzt wirst du bestimmt sehr genau gesagt bekommen, was nicht stimmt.
Dabei ist es ja wohl schon ziemlich ersichtlich:

Gehe zu:

IKE/IPSec -> Verbindungs-Parameter und wähle dort deine Verbindung zum PA aus.
Hier musst du jetzt die IPSEC-Proposals so anpassen, dass diese mit denen der Gegenstelle übereinstimmen.
Auf deinem PA sollten die unter "IPSEC-Crypto" stehen.
Bitte warten ..
Mitglied: aqui
13.06.2019, aktualisiert um 16:48 Uhr
war als AH eingestellt während Lancom nur ESP nimmt.
Was heisst "nur" ?? AH kann man im Internet technisch gar nicht über NAT übertragen, deshalb verwendet niemand AH bei IPsec VPNs. Denn die Absender-Adresse stimmt dann mit der Adresse im Original-Header nicht mehr überein. Der NAT-Router "manipuliert" durch NAT die IP-Adressen. Dadurch wird ein solches AH Datenpaket beim Empfänger immer als ungültig verworfen.
Das würde also nur in einem völlig NAT freien Umfeld klappen was es bei IPv4 mehr oder minder ja nirgendwo mehr gibt.
Sollte man als Netzwerker eigentlich wissen !
Eine Verbindung zwischen den beiden Netzen hab ich jetzt zwar immer noch nicht
Kann dann ja nur noch an falschen oder fehlenden Firewall Regeln auf den Tunnel Interfaces liegen ?!
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Palo Alto Routing
Frage von Maik20Router & Routing6 Kommentare

Hallo, ich habe folgendes Problem mit einer Firewall. Die Clients im Netz 10.3.10.x haben keine Verbindung zum Internet. Als ...

Firewall
Problem Webinterface Palo Alto PA-200
Frage von YannoschFirewall

Guten Tag zusammen, wir haben hier bei uns eine kleine PA-200 im Einsatz. Mir ist neuerdings aufgefallen, dass das ...

Netzwerke

OpenVPN hinter Palo Alto Firewall. Mehrere VPN-Server in DMZ

gelöst Frage von mikado90Netzwerke33 Kommentare

Hi! Ich habe einen OpenVPN-Server hinter einer Palo Alto PA500 installiert. Diese kann kein IPsec etc zu einzelnen PCs ...

Firewall

Palo Alto PA-200 URL Filtering

Frage von YannoschFirewall

Guten Morgen zusammen, wie oben beschrieben habe ich ein Problem mit dem URL-Filtering auf meiner PA-200. Habe über das ...

Neue Wissensbeiträge
LAN, WAN, Wireless
Sophos RED50 stürzt ab und ist danach tot
Information von Ex0r2k16 vor 2 TagenLAN, WAN, Wireless

Hey, nach meinem Thread bin ich durch Zufall auf das hier gestoßen: Also wenn ihr UTMs und RED50's im ...

Windows 10

Microsoft macht Bluetooth absichtlich kaputt: Windows 10 Update blockiert Bluetooth-Verbindungen zu Android

Tipp von 1Werner1 vor 2 TagenWindows 107 Kommentare

Moin, jetzt spinnt MS total , was muss ich da auf Chip.de lesen: Auch im Juni schließt Microsoft im ...

Soziale Netzwerke

Facebook - künftig ohne Account des Bundeslandes Sachsen-Anhalt

Information von VGem-e vor 3 TagenSoziale Netzwerke3 Kommentare

Servus, mal sehen, ob andere öffentliche Einrichtungen folgen wollen/können Gruß

Humor (lol)
Facebook Mailer auf NIX-Spamlist
Information von Henere vor 3 TagenHumor (lol)

Eben aus dem Log meines Postfix gefischt. Recht haben Sie. FB ist SPAM :-) lachende Grüße, Henere

Heiß diskutierte Inhalte
Router & Routing
Synology NAS in anderem Subnetz nicht erreichbar
Frage von Tech1KonniRouter & Routing24 Kommentare

Hallo Leute, ich bin Software-Entwickler und daher auch etwas bewandert in den Grundkenntnissen der Netzwerktechnik. Aktuell habe ich allerdings ...

Netzwerke
Zugriff auf mehrere Clients via RDP
Frage von xXMariusXxNetzwerke11 Kommentare

Moin, ich würde gerne auf mehrere Clients in einem Netzwerk via RDP zugreifen. Gibt es eine elegantere Lösung als ...

Windows 7
RDP funktioniert nur einmal
Frage von Sc0rc3dWindows 710 Kommentare

Hi, ich arbeite mittels Remote Desktop von zu Hause. Manchmal per VPN und manchmal direkt (Portfreigabe 3389 -> 46XXX). ...

Windows Server
Probleme Installation Windows Server 2019
Frage von AK-47.2Windows Server7 Kommentare

Hallo zusammen, ich habe das Problem einen Windows Server 2019 auf ein Testsystem zu bringen. Das Mainboard ist ein ...