5
Shrew: Verbindung zu Checkpoint mit Zertifikat
Hallo zusammen,
ich möchte mich gerne per shrew mit einem IPSec-VPN verbinden, welches von einer Checkpoint terminiert wird. Dazu habe ich eine .p12-Datei nebst zugehörigem Passwort erhalten und die IP-Adresse des Endpunktes. Mit dem Checkpoint-Client kann ich nur mit diesen Informationen die Verbindung auch einrichten. Bei Shrew gelingt mir dies nicht. Ich weiß ehrlichgesagt auch nicht, welche Auth-Methode hier die richtige ist. Alles was noch ein X-Auth hat fällt ja weg, da ich keinen zusätzlichen Benutzernamen/Passwort habe und bei "Mutual RSA" möchte Shrew gerne drei Zertifikatsdateien haben.
Was ich schon probiert habe :
Bei Mutual RSA in allen Feldern die .p12 angeben. Das führt zu folgender Meldung:
Also scheint irgendetwas noch zu fehlen. Ich habe leider bisher nur sehr wenig Berührungspunkte mit IPSec gehabt und wäre für eure Unterstützung sehr dankbar.
Viele Grüße
ich möchte mich gerne per shrew mit einem IPSec-VPN verbinden, welches von einer Checkpoint terminiert wird. Dazu habe ich eine .p12-Datei nebst zugehörigem Passwort erhalten und die IP-Adresse des Endpunktes. Mit dem Checkpoint-Client kann ich nur mit diesen Informationen die Verbindung auch einrichten. Bei Shrew gelingt mir dies nicht. Ich weiß ehrlichgesagt auch nicht, welche Auth-Methode hier die richtige ist. Alles was noch ein X-Auth hat fällt ja weg, da ich keinen zusätzlichen Benutzernamen/Passwort habe und bei "Mutual RSA" möchte Shrew gerne drei Zertifikatsdateien haben.
Was ich schon probiert habe :
Bei Mutual RSA in allen Feldern die .p12 angeben. Das führt zu folgender Meldung:
config loaded for site '<IP-Adresse ersetzt>'
attached to key daemon ...
peer configured
iskamp proposal configured
esp proposal configured
client configured
local id configured
remote id configured
server cert configured
client cert configured
client key configured
bringing up tunnel ...
negotiation timout occurred
tunnel disabled
detached from key daemonAlso scheint irgendetwas noch zu fehlen. Ich habe leider bisher nur sehr wenig Berührungspunkte mit IPSec gehabt und wäre für eure Unterstützung sehr dankbar.
Viele Grüße
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 579509
Url: https://administrator.de/contentid/579509
Ausgedruckt am: 21.11.2024 um 17:11 Uhr
5 Kommentare
Neuester Kommentar
Mahlzeit,
mit den Shrew-Client installiert sich das Trace Utility.
Starte dieses vor dem Verbindungsaufbau und dann kannst du sehen, was schief läuft.
Schau, dass die IKE und IPSEC Einstellungen (Phase 1 und Phase 2) im Shrew-Client passend zu den Servereinstellungen konfiguriert wurden.
Edit:
Habe nochmal für dich gegoogelt und folgende Anleitung gefunden:
Shrew Soft - Howto Checkpoint
Besonders der Teil mit dem umwandeln des Zertifikats sollte für dich relevant sein.
mit den Shrew-Client installiert sich das Trace Utility.
Starte dieses vor dem Verbindungsaufbau und dann kannst du sehen, was schief läuft.
Schau, dass die IKE und IPSEC Einstellungen (Phase 1 und Phase 2) im Shrew-Client passend zu den Servereinstellungen konfiguriert wurden.
Edit:
Habe nochmal für dich gegoogelt und folgende Anleitung gefunden:
Shrew Soft - Howto Checkpoint
Besonders der Teil mit dem umwandeln des Zertifikats sollte für dich relevant sein.
Mahlzeit,
vielen Dank für den Hinweis. Jetzt bin ich schonmal ein kleines Stück weiter. Folgende Meldungen kommen mir da suspekt vor:
Irgendwie kann ich damit nicht besonders viel anfangen...
EDIT:
Ich habe das Logfile nochmal genauer durchgearbeitet und ein paar nicht passende Einstellungen gefunden. Diese habe ich dann nochmal abgeglichen.
Jetzt scheint es irgendwo hier Probleme zu geben:
vielen Dank für den Hinweis. Jetzt bin ich schonmal ein kleines Stück weiter. Folgende Meldungen kommen mir da suspekt vor:
20/06/16 14:20:52 !! : peer violates RFC, transform number mismatch ( 1 != 7 )received peer INVALID-ID-INFORMATION notificationIrgendwie kann ich damit nicht besonders viel anfangen...
EDIT:
Ich habe das Logfile nochmal genauer durchgearbeitet und ein paar nicht passende Einstellungen gefunden. Diese habe ich dann nochmal abgeglichen.
Jetzt scheint es irgendwo hier Probleme zu geben:
20/06/16 14:37:11 ii : received peer unknown notification
...
20/06/16 14:37:16 -> : resend 1 phase1 packet(s) [0/2]
...
20/06/16 14:37:31 ii : resend limit exceeded for phase1 exchange
Hast du das Zertifikat so umgewandelt, wie es im Link steht?
Hast du die Einstellungen im Shrew-Client so vorgenommen, wie es im Link steht?
Hast du die Einstellungen im Shrew-Client so vorgenommen, wie es im Link steht?
Hi goscho,
ich habe alles geprüft und es hat nicht funktioniert.
Dann habe ich es nochmal neu gemacht und es hat funktioniert. Vielleicht waren es auch die Tomaten auf meinen Augen.
Vielen Dank für die Hilfe!
ich habe alles geprüft und es hat nicht funktioniert.
Dann habe ich es nochmal neu gemacht und es hat funktioniert. Vielleicht waren es auch die Tomaten auf meinen Augen.
Vielen Dank für die Hilfe!
Hauptsache es geht jetzt. 
