birdyb
Goto Top

Shrew: Verbindung zu Checkpoint mit Zertifikat

Hallo zusammen,

ich möchte mich gerne per shrew mit einem IPSec-VPN verbinden, welches von einer Checkpoint terminiert wird. Dazu habe ich eine .p12-Datei nebst zugehörigem Passwort erhalten und die IP-Adresse des Endpunktes. Mit dem Checkpoint-Client kann ich nur mit diesen Informationen die Verbindung auch einrichten. Bei Shrew gelingt mir dies nicht. Ich weiß ehrlichgesagt auch nicht, welche Auth-Methode hier die richtige ist. Alles was noch ein X-Auth hat fällt ja weg, da ich keinen zusätzlichen Benutzernamen/Passwort habe und bei "Mutual RSA" möchte Shrew gerne drei Zertifikatsdateien haben.

Was ich schon probiert habe :
Bei Mutual RSA in allen Feldern die .p12 angeben. Das führt zu folgender Meldung:
config loaded for site '<IP-Adresse ersetzt>'  
attached to key daemon ...
peer configured
iskamp proposal configured
esp proposal configured
client configured
local id configured
remote id configured
server cert configured
client cert configured
client key configured
bringing up tunnel ...
negotiation timout occurred
tunnel disabled
detached from key daemon

Also scheint irgendetwas noch zu fehlen. Ich habe leider bisher nur sehr wenig Berührungspunkte mit IPSec gehabt und wäre für eure Unterstützung sehr dankbar.

Viele Grüße

Content-ID: 579509

Url: https://administrator.de/forum/shrew-verbindung-zu-checkpoint-mit-zertifikat-579509.html

Ausgedruckt am: 22.12.2024 um 06:12 Uhr

goscho
Lösung goscho 16.06.2020 aktualisiert um 14:15:19 Uhr
Goto Top
Mahlzeit,

mit den Shrew-Client installiert sich das Trace Utility.
Starte dieses vor dem Verbindungsaufbau und dann kannst du sehen, was schief läuft.

Schau, dass die IKE und IPSEC Einstellungen (Phase 1 und Phase 2) im Shrew-Client passend zu den Servereinstellungen konfiguriert wurden.

Edit:

Habe nochmal für dich gegoogelt und folgende Anleitung gefunden:

Shrew Soft - Howto Checkpoint

Besonders der Teil mit dem umwandeln des Zertifikats sollte für dich relevant sein.
BirdyB
BirdyB 16.06.2020 aktualisiert um 14:40:17 Uhr
Goto Top
Mahlzeit,

vielen Dank für den Hinweis. Jetzt bin ich schonmal ein kleines Stück weiter. Folgende Meldungen kommen mir da suspekt vor:
20/06/16 14:20:52 !! : peer violates RFC, transform number mismatch ( 1 != 7 )
received peer INVALID-ID-INFORMATION notification

Irgendwie kann ich damit nicht besonders viel anfangen...

EDIT:
Ich habe das Logfile nochmal genauer durchgearbeitet und ein paar nicht passende Einstellungen gefunden. Diese habe ich dann nochmal abgeglichen.
Jetzt scheint es irgendwo hier Probleme zu geben:
20/06/16 14:37:11 ii : received peer unknown notification
...
20/06/16 14:37:16 -> : resend 1 phase1 packet(s) [0/2]
...
20/06/16 14:37:31 ii : resend limit exceeded for phase1 exchange
goscho
Lösung goscho 16.06.2020 um 17:17:44 Uhr
Goto Top
Hast du das Zertifikat so umgewandelt, wie es im Link steht?

Hast du die Einstellungen im Shrew-Client so vorgenommen, wie es im Link steht?
BirdyB
BirdyB 17.06.2020 um 16:01:11 Uhr
Goto Top
Hi goscho,

ich habe alles geprüft und es hat nicht funktioniert.
Dann habe ich es nochmal neu gemacht und es hat funktioniert. Vielleicht waren es auch die Tomaten auf meinen Augen.

Vielen Dank für die Hilfe!
goscho
goscho 18.06.2020 um 15:17:31 Uhr
Goto Top
Hauptsache es geht jetzt. face-smile