131941
Apr 27, 2017
1567
1
0
Mehrere IPSec Clients hinter einem Router
Moin zusammen,
ich habe eine ZyWALL USG 60, sowie 2 Windows 10 Clients die mittels Shrew VPN eine IPSec Verbindung aufbauen.
Client -> Server.
Wenn beide Clients nicht im selben LAN sind (z.B. jeder Client Zuhause), können beide parallel eine IPSec Verbindung aufbauen.
Wenn sich jetzt aber beide Clients im gleichen LAN aufhalten (Zweigstelle), kann dies nur einer zur Zeit.
Der zweite Tunnel wird direkt beendet, sobald der 2te Client die Verbindung aufbaut.
Dies passiert aber nur, wenn beide im gleichen LAN sind. Verbinden sich z.B. beide über einen Hotspot mittels Smartphone können beide gleichzeitig verbunden sein...?
Mit LAN meine ich auch nicht das LAN der Firewall. Der Zugriff erfolgt immer von extern.
Mit dem ZyXel eigenen IPSec Client funktioniert dies auch gleichzeitig, auch im selben LAN.
Es sieht so aus, als dass der Shrew Client hiermit ein Problem hat.
Hat jemand eine Idee, was das Problem sein könnte?
Die Einstellungen zum Thema NAT-T, enable, force-rfc etc. habe ich schon durch.
Viele Grüße
ich habe eine ZyWALL USG 60, sowie 2 Windows 10 Clients die mittels Shrew VPN eine IPSec Verbindung aufbauen.
Client -> Server.
Wenn beide Clients nicht im selben LAN sind (z.B. jeder Client Zuhause), können beide parallel eine IPSec Verbindung aufbauen.
Wenn sich jetzt aber beide Clients im gleichen LAN aufhalten (Zweigstelle), kann dies nur einer zur Zeit.
Der zweite Tunnel wird direkt beendet, sobald der 2te Client die Verbindung aufbaut.
Dies passiert aber nur, wenn beide im gleichen LAN sind. Verbinden sich z.B. beide über einen Hotspot mittels Smartphone können beide gleichzeitig verbunden sein...?
Mit LAN meine ich auch nicht das LAN der Firewall. Der Zugriff erfolgt immer von extern.
Mit dem ZyXel eigenen IPSec Client funktioniert dies auch gleichzeitig, auch im selben LAN.
Es sieht so aus, als dass der Shrew Client hiermit ein Problem hat.
Hat jemand eine Idee, was das Problem sein könnte?
Die Einstellungen zum Thema NAT-T, enable, force-rfc etc. habe ich schon durch.
Viele Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 336304
Url: https://administrator.de/contentid/336304
Printed on: April 26, 2024 at 21:04 o'clock
1 Comment
Wenn sich jetzt aber beide Clients im gleichen LAN aufhalten (Zweigstelle), kann dies nur einer zur Zeit.
Das ist leider sehr häufig so bei billigen Routern die nur ein simples VPN Passthrough supporten.Wie du ja sicher selber weisst wird der eigentliche Transport Tunnel mit ESP aufgebaut. ESP ist aber ein portloses Protokoll und "dumme" Router können sich nur eine einzige Session ID merken anhand der Mac Adresse des Clients auf das sie die ESP Session dann mappen.
Ist dieser Cache belegt können keinen weiteren Clients im gleichen Netz arbeiten weil der Router das nicht kann.
Bessere Systeme haben eine Application Firewall die mit multiplen ESP Sessions umgehen kann.
Bei dir ist es vermutlich daraus geschuldet das du vergessen hast im Shrew Client die Option "NAT Traversal" anzuhaken, was beim anderen Client vermutlich default ist. Damit wird dann ESP in ein UDP Paket mit Port 4500 encapsuliert und somit ist es dann über die sessionbasierte NAT Firewall problemlos übertragbar und das auch mit mehreren Sessions gleichzeitig.
Das dürfte also dein Problem sein das du schlicht und einfach den Shrew falsch konfiguriert hast.
Ein Wireshark Trace sollte hier auch Klarheit schaffen.