henere
Goto Top

Site 2 Site VPN Zyxel - FritzBox immer wieder Ausfälle

Hallo,

habe nach der Anleitung von ZyWALL USG 20 mit FritzBOX WLAN 7360 via IPSecVPN verbinden erfolgreich ein S2S-VPN zwischen einer USG60W und meiner Fritte 7490 eingerichtet.

Aber es gibt noch größere Probleme.

1. VPN wird nur aufgebaut, wenn ich auf der Zyxel - VPN auf Verbinden klicke. Ein Ping in das Netzwerksegment hinter dem Tunnel reicht nicht aus.
2. Von seitens der Fritte wird das VPN nicht aufgebaut, immer nur wenn es vom Zyxel kommt.
3. Trotz eines "Nailed-Up" Tunnels bricht die Verbindung immer mal wieder zusammen für 20-30 Sekunden, danach geht es wieder.

Mein Netz: 192.168.200.0/24 hinter der Fritte mit Dyndns
Gegenseite 192.168.0.0/24 hinter der Zyxel mit statischer Adresse, dennoch mal ein Dyndns Account verbunden.

Hier die Config der Fritte:

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "XXX.XXX.XXX.XXX";  
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 156.67.X.X;
                remote_virtualip = 0.0.0.0;
                localid {
                        fqdn = "XXX.XXX.XXX";  
                }
                remoteid {
                        ipaddr = 156.67.X.X;
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";  
                keytype = connkeytype_pre_shared;
                key = "XXXXXXXXX";  
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.200.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.0.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";  
                accesslist = "permit ip any 192.168.0.0 255.255.255.0";  
        } 
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",   
                            "udp 0.0.0.0:4500 0.0.0.0:4500";  
}


// EOF

Seitens der USG60W sind folgende Einstellungen getroffen:

1
2
3

Dauerping von beiden Seiten aus ins Internet ohne Ausfälle. Provider und ähnliches kann ich ausschliessen.
Es taucht auch nix im Log der USG60W auf..... Auszüge kann ich bei Bedarf gerne nachreichen.

Grüße, Henere

Content-ID: 361038

Url: https://administrator.de/forum/site-2-site-vpn-zyxel-fritzbox-immer-wieder-ausfaelle-361038.html

Ausgedruckt am: 26.12.2024 um 12:12 Uhr

135185
Lösung 135185 14.01.2018 aktualisiert um 10:06:41 Uhr
Goto Top
Schau nochmal ganz genau auf die SA Lifetimes, die sind bei dir viel zu lang! Die müssen mit der Fritte matchen sonst kommt es nämlich genau zu diesem Abbrüchen wenn mitten drin die SAs absaufen.
aqui
Lösung aqui 14.01.2018 aktualisiert um 11:38:26 Uhr
Goto Top
Das ist richtig ! Die Cipher Suite Timer müssen zwingend auf beiden Seiten identisch sein. Das ist immer der typische Fehler wenn es in heterogenen Umgebungen zu solchen Abbrüchen kommt.
Zu Punkt 2 wäre noch interessant was dann am Zyxel im Log steht !!
Leider fehlen hier wie immer die Log Auszüge so das man hier nur frei raten kann ohne zielführende Informationen face-sad
Vermutlich stimmt hier auch etwas in den Credentials nicht ?!
Grundlagen zur IPsec VPN Kopplung findet man sonst auch hier:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
sk
sk 14.01.2018 um 13:03:24 Uhr
Goto Top
Die FB im Aggressivemode. Die ZW im Main-Mode. Da sollte der Tunnel eigentlich gar nicht zustande kommen...
ChriBo
ChriBo 14.01.2018 um 13:26:52 Uhr
Goto Top
Hi,
das du überhaupt ein VPN aufbauen kannst verwundert mich.
Wie schon von Anderen festgestellt wurde:
Negotiation Mode ist unterschiedlich
die SA Lifetime Phase Einstellung für Phase 1 und 2 sieht nicht richtig aus.
Üblich ist häufig 28800(8h) und 3600 (1h)
-
Ebenso scheint das "Application Scenario" verkehrt zu sein: Es muß Site-to-Site with Dynamic Peer sein

Gruß
CH
Henere
Henere 14.01.2018 um 13:35:26 Uhr
Goto Top
Das ist der default-Wert der USG. Allerdings sehe ich in der CFG für die Fritte keien Angabe über die Lifetime, oder übersehe ich was ?
Welchen Wert sollte man hier nehmen ?
Henere
Henere 14.01.2018 um 13:43:12 Uhr
Goto Top
Im Log taucht das hier auf:

Peer not reachable
The cookie Pair is
Send [Hash]NOTIFY:R_U_THERE] [count2]
ISAKMP SA [Gatewayname] is disconnected.

TUNNEL[Name] Sending IKE Request
SEND MAIN MODE REQUEST (meine IP)

Kann man das Log einer Zyxel eigentlich irgendwie exportieren ? Ausser es per Mail zu versenden ?

Das Peer not reachable irritiert mich. Ping von beiden Seiten auf www.avm.de ist die ganze Nacht gelaufen, ohne ein Packet Loss.
Ping von Netz a nach b hat bis zu 10% Packet Loss. Immer mal wieder ein paar Sekunden weg, danach geht es wieder.

Henner
Henere
Henere 14.01.2018 um 13:52:39 Uhr
Goto Top
Zitat von @ChriBo:

Hi,
das du überhaupt ein VPN aufbauen kannst verwundert mich.
Wie schon von Anderen festgestellt wurde:
Negotiation Mode ist unterschiedlich
die SA Lifetime Phase Einstellung für Phase 1 und 2 sieht nicht richtig aus.
Üblich ist häufig 28800(8h) und 3600 (1h)
-
Ebenso scheint das "Application Scenario" verkehrt zu sein: Es muß Site-to-Site with Dynamic Peer sein

Gruß
CH

Wenn ich auf Dynamic Peer umstelle, kann ich das VPN-Gateway nicht mehr auswählen.
Wenn ich dann im VPN-Gateway von statisch auf dynamisch umstelle, bekomme ich beim Klick auf OK den Text hier serviert:
CLI Number: 3
Warning Number: 16015
Warning Message: 'Crypto map scenario is invalid!'

Der Tunnel muss ja von beiden Seiten aufgebaut werden können, wenn ich es auf dynamic umstelle, dann kann die USG die Verbindung nicht aufbauen, weil sie ja gar nciht weiß, wohin... oder Denkfehler ?

Wo kann ich denn die Lifetime für Phase1 einstellen ? In der CFG der Fritte taucht Lifetime nicht auf, in der USG sehe ich es nur für Phase 2. P2 haber ich jetzt auf 3600 umgestellt.
the-buccaneer
Lösung the-buccaneer 14.01.2018 um 14:03:05 Uhr
Goto Top
Moin!
Nimm mal eine Lifetime von 3600s für beide Phasen. Das ist das default der FB.
(Es gibt seit einiger Zeit andere Einstellungen mit mehreren Stunden, die könntest du später ja noch anpassen) siehe z.b. hier: https://blog.webernetz.net/fritzos-ab-06-23-ipsec-p2-proposals-erweitert ...

Dann auf "aggressive" und "Dynamic Peer" umstellen .
"always_renew" in der FB auf "yes" (Damit stellt sie die Verbindung nach Ablauf wieder her)

Ich habe besere Erfahrungen, wenn nur die FB die Verbindung initiiert, daher mal die Zyxel auf Responder umstellen.

Kann die Zyxel kein AES-256?

Gruß
Buc
Henere
Henere 14.01.2018 um 14:15:47 Uhr
Goto Top
Zitat von @the-buccaneer:

Moin!

Servuis,

Nimm mal eine Lifetime von 3600s für beide Phasen. Das ist das default der FB.

Wo stelle ich das für beide Phasen ein ? In der USG finde ich nur die Einstellung für Phase 2

(Es gibt seit einiger Zeit andere Einstellungen mit mehreren Stunden, die könntest du später ja noch anpassen) siehe z.b. hier: https://blog.webernetz.net/fritzos-ab-06-23-ipsec-p2-proposals-erweitert ...


Dann auf "aggressive" und "Dynamic Peer" umstellen .

Wenn ich das mache, wie kann dann die USG den Tunnel zur Fritte herstellen ? Ich habe dann keine Möglichkeit mehr, einen FQDN einzugeben.

"always_renew" in der FB auf "yes" (Damit stellt sie die Verbindung nach Ablauf wieder her)

Erledigt

Ich habe besere Erfahrungen, wenn nur die FB die Verbindung initiiert, daher mal die Zyxel auf Responder umstellen.

Kann die Zyxel kein AES-256?

Hab ich jetzt von 3DES auf AES256 umgestellt.

Gruß
Buc

Grüße, Henere
the-buccaneer
Lösung the-buccaneer 14.01.2018 um 14:33:12 Uhr
Goto Top
Die FB nimmt 3600s automatisch.
In der Zyxel kann ich auf deinem 2. Bild erkennen, dass man da die Phase 1 Lifetime und den Negotiation Mode einstellen kann.

Es reicht im Zweifel, wenn die FB den Tunnel herstellt. Die Fritte reagiert nicht immer zuverlässig auf Proposals der Gegenseite.

Buc
aqui
Lösung aqui 14.01.2018 aktualisiert um 16:02:28 Uhr
Goto Top
Das Peer not reachable irritiert mich.
Kollege sk hat hier absolut Recht. Eine Seite im Agressive Mode und eine im Main Mode kann niemals klappen bei IPsec !
In einem heterogenen Umfeld (unterschiedliche Hersteller) nimmt man beidseitig IMMER den Aggressive Mode !
Also damit mal probieren, Timer anpassen das die gleich sind und dann nochmals die Logs posten von beiden Maschinen beim Verbindungsaufbau !
Vermutlich löst das eh schon das Problem.
Henere
Henere 14.01.2018 um 18:32:07 Uhr
Goto Top
Das irritierende an der ganzen Geschichte..... der Tunnelaufbau scheint ja zu klappen. Trotz Main und Aggressive Mode.

Wie bekomme ich das Log aus der USG exportiert ?
Das einzige was ich sehe, ist die Möglichkeit das per Mail zu schicken. Das macht sie aber nicht.
Testmail und den Daily Report bekomme ich raus, beim Log bekomme ich immer nen Fehler:
Email log now: => 
CLI Numer 0
Error Numer: -23008
Error Message: "Both mail servers are not ready"  

Verstehe ich noch nicht, der next-hop-mailer ist eingetragen und der mailer (postfix) hat die ext IP in mynetworks. Da blockiert nix.

Auf der Fritte müsste ich dann halt nen Paketmitschnitt machen, logging ist da nicht wirklich möglich.
Henere
Henere 14.01.2018 um 18:35:37 Uhr
Goto Top
Zitat von @the-buccaneer:

Die FB nimmt 3600s automatisch.
In der Zyxel kann ich auf deinem 2. Bild erkennen, dass man da die Phase 1 Lifetime und den Negotiation Mode einstellen kann.

Es reicht im Zweifel, wenn die FB den Tunnel herstellt. Die Fritte reagiert nicht immer zuverlässig auf Proposals der Gegenseite.

Buc

Zeit steht jetzt auf 3600 und auf der USG ist umgestellt auf aggressive. Tunnel läuft. Mal schauen wie lange.
sk
sk 14.01.2018 um 19:11:12 Uhr
Goto Top
Zitat von @Henere:
Wie bekomme ich das Log aus der USG exportiert ?
Das einzige was ich sehe, ist die Möglichkeit das per Mail zu schicken. Das macht sie aber nicht.
Testmail und den Daily Report bekomme ich raus, beim Log bekomme ich immer nen Fehler: ...
Verstehe ich noch nicht, der next-hop-mailer ist eingetragen und der mailer (postfix) hat die ext IP in mynetworks. Da blockiert nix.

Entweder auf einen USB-Stick oder auf einen Syslog-Server schreiben lassen

Gruß
sk
Henere
Henere 14.01.2018 um 19:14:59 Uhr
Goto Top
Zitat von @sk:
Entweder auf einen USB-Stick oder auf einen Syslog-Server schreiben lassen

Gruß
sk

Ist das deren Ernst ? Irgendwie war bei Checkpoint (13 Jahre her) alles einfacher, übersichtlicher, besser strukturiert.
USB muss ich mal jemanden beauftragen da mal was anzustöpseln. Für jetzt noch nen weiteren Server (oder Dienst) hab ich grad nicht den Nerv dazu.

Eh ne sehr geile Idee von Zyxel FW-Logs per Mail verschicken zu können. "Security-Appliance" und dann im Klartext Mails verschicken....

Naja, schaun mer mal. Nach Änderung auf 3600 und beide Seiten im Aggressive-Mode sieht es deutlich stabiler aus.
Ich werde es bis morgen beobachten und berichten.

Danke erstmal bis hierher an alle Beteiligten.

Henere
Henere
Henere 15.01.2018 aktualisiert um 00:52:14 Uhr
Goto Top
Sehr merkwürdig alles.

Ich habe durch das VPN von A nach B 1% Packetloss beim Dauerping über 2h hinweg. Dennoch kann man sauber arbeiten über das VPN.
Aber im Log der Fritte finde ich das hier:

14.01.18 23:49:57 	VPN-Verbindung zu XXXXXX.spdns.de wurde erfolgreich hergestellt. 
14.01.18 23:49:52 	VPN-Fehler: XXXXXX.spdns.de, IKE-Error 0x2026 
14.01.18 23:48:27 	VPN-Verbindung zu XXXXXX.spdns.de wurde erfolgreich hergestellt. 
14.01.18 23:48:27 	VPN-Fehler: XXXXXX.spdns.de, IKE-Error 0x2026 
14.01.18 23:47:02 	VPN-Verbindung zu XXXXXX.spdns.de wurde erfolgreich hergestellt. 
14.01.18 23:47:02 	VPN-Fehler: XXXXXX.spdns.de, IKE-Error 0x2026 
14.01.18 23:45:37 	VPN-Verbindung zu XXXXXX.spdns.de wurde erfolgreich hergestellt. 
14.01.18 23:45:37 	VPN-Fehler: XXXXXX.spdns.de, IKE-Error 0x2026 
14.01.18 23:44:13 	VPN-Verbindung zu XXXXXX.spdns.de wurde erfolgreich hergestellt. 
14.01.18 23:44:13 	VPN-Fehler: XXXXXX.spdns.de, IKE-Error 0x2026 
14.01.18 23:42:48 	VPN-Verbindung zu XXXXXX.spdns.de wurde erfolgreich hergestellt. 
14.01.18 23:42:48 	VPN-Fehler: XXXXXX.spdns.de, IKE-Error 0x2026 
14.01.18 23:41:23 	VPN-Verbindung zu XXXXXX.spdns.de wurde erfolgreich hergestellt. 
14.01.18 23:41:23 	VPN-Fehler: XXXXXX.spdns.de, IKE-Error 0x2026 
14.01.18 23:39:58 	VPN-Verbindung zu XXXXXX.spdns.de wurde erfolgreich hergestellt. 

Laut AVM => IKE-Error 0x2026 "no proposal chosen"

Das geht ewig so weiter.

Aktuelle CFG der Fritte:

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "XXXXXXXX.spdns.de";  
                always_renew = yes;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 156.67.XXX.XXX;
                remote_virtualip = 0.0.0.0;
                localid {
                        fqdn = "XXXXX.spdns.de";  
                }
                remoteid {
                        ipaddr = 156.67.XXX.XXX;
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";  
                keytype = connkeytype_pre_shared;
                key = "XXXXXXXXXXXXXX";  
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.200.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.0.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";  
                accesslist = "permit ip any 192.168.0.0 255.255.255.0";  
        } 
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",   
                            "udp 0.0.0.0:4500 0.0.0.0:4500";  
}


// EOF

1


2


3


4


5


Log von der USG lasse ich morgen auf USB ziehen, dann kann ich es posten.
the-buccaneer
Lösung the-buccaneer 15.01.2018 um 07:34:33 Uhr
Goto Top
Moin!
Ist irgendwas in der Phase 2 obwohl das erstmal gut aussieht.
Du hast auf der Zyxel NAT-T gesetzt, auf der FB aber use_nat_t=no.
Setze mal use_nat_t=yes.
Und versuche mal: phase2ss = "esp-all-all/ah-none/comp-all/pfs";

Wie es sein kann, dass die Verbindung steht, aber gleichzeitig "no proposal chosen" ausgegeben wird?
Nicht ganz kongruent.

Die Zyxel mit Dynamic Host geht nicht?
Gruß
Buc
Henere
Henere 15.01.2018 aktualisiert um 16:48:42 Uhr
Goto Top
Servus,

nat_t_yes
phase2ss = "esp-all-all/ah-none/comp-all/pfs";  

ist in der Fritten-CFG jetzt drin. Tunnel ist up, Traffic geht durch, aber immer wieder 0x2026 auf der Fritte.

Ich habe das logging der USG jetzt auf USB gestellt. Darüber kann man dann die Files mit einem Browser holen..... Wer bitte lässt sich so einen Schwachsinn einfallen ?

Time               ,Source                ,Destination          ,Priority                ,Category              ,Note                 ,Source Interface        ,Destination Interface ,Protocol             ,Message
========================================================================================================================================================================================================================================================================================
2018-01-15 16:25:42,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     The cookie pair is : 0x89db735c3bd6088c / 0x102a551a8d583ebc
2018-01-15 16:25:42,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     Send:[HASH][NOTIFY:R_U_THERE]
2018-01-15 16:25:55,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     The cookie pair is : 0x89db735c3bd6088c / 0x102a551a8d583ebc
2018-01-15 16:25:55,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     Send:[HASH][NOTIFY:R_U_THERE]
2018-01-15 16:26:16,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     Peer not reachable
2018-01-15 16:26:16,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     The cookie pair is : 0x89db735c3bd6088c / 0x102a551a8d583ebc
2018-01-15 16:26:16,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     Send:[HASH][DEL]
2018-01-15 16:26:16,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     The cookie pair is : 0x89db735c3bd6088c / 0x102a551a8d583ebc
2018-01-15 16:26:16,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     Send:[HASH][DEL]
2018-01-15 16:26:16,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     The cookie pair is : 0x89db735c3bd6088c / 0x102a551a8d583ebc
2018-01-15 16:26:16,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     Send:[HASH][DEL]
2018-01-15 16:26:16,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     The cookie pair is : 0x89db735c3bd6088c / 0x102a551a8d583ebc
2018-01-15 16:26:16,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     ISAKMP SA [GATEWAYNAME] is disconnected
2018-01-15 16:26:16,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     The cookie pair is : 0xf6532df896875851 / 0x0000000000000000
2018-01-15 16:26:16,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     Tunnel [GATEWAYNAME] Sending IKE request
2018-01-15 16:26:16,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     The cookie pair is : 0xf6532df896875851 / 0x0000000000000000
2018-01-15 16:26:16,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     Send Aggressive Mode request to [93.207.XXX.XXX]
2018-01-15 16:26:17,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     The cookie pair is : 0xf6532df896875851 / 0x0000000000000000
2018-01-15 16:26:17,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     Send:[SA][KE][NONCE][ID][VID][VID][VID][VID][VID][VID][VID][VID][VID]
2018-01-15 16:26:17,93.207.XXX.XXX:500     ,156.67.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     The cookie pair is : 0xaa5b9c8f351ed5a7 / 0xf6532df896875851
2018-01-15 16:26:17,93.207.XXX.XXX:500     ,156.67.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     Recv:[SA][KE][NONCE][ID][HASH][VID][VID]
2018-01-15 16:26:17,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     The cookie pair is : 0xf6532df896875851 / 0xaa5b9c8f351ed5a7
2018-01-15 16:26:17,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     Send:[HASH]
2018-01-15 16:26:17,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     The cookie pair is : 0xf6532df896875851 / 0xaa5b9c8f351ed5a7
2018-01-15 16:26:17,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     Phase 1 IKE SA process done
2018-01-15 16:26:17,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     The cookie pair is : 0xf6532df896875851 / 0xaa5b9c8f351ed5a7
2018-01-15 16:26:17,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     Send:[HASH][SA][NONCE][KE][ID][ID]
2018-01-15 16:26:17,93.207.XXX.XXX:500     ,156.67.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     The cookie pair is : 0xaa5b9c8f351ed5a7 / 0xf6532df896875851
2018-01-15 16:26:17,93.207.XXX.XXX:500     ,156.67.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     Recv:[HASH][NOTIFY:INITIAL_CONTACT]
2018-01-15 16:26:18,93.207.XXX.XXX:500     ,156.67.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     The cookie pair is : 0xaa5b9c8f351ed5a7 / 0xf6532df896875851
2018-01-15 16:26:18,93.207.XXX.XXX:500     ,156.67.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     Recv:[HASH][SA][NONCE][KE][ID][ID]
2018-01-15 16:26:18,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     The cookie pair is : 0xf6532df896875851 / 0xaa5b9c8f351ed5a7
2018-01-15 16:26:18,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     Send:[HASH]
2018-01-15 16:26:18,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     The cookie pair is : 0xf6532df896875851 / 0xaa5b9c8f351ed5a7
2018-01-15 16:26:18,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     [Initiator:156.67.XXX.XXX][Responder:93.207.XXX.XXX]
2018-01-15 16:26:18,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     The cookie pair is : 0xf6532df896875851 / 0xaa5b9c8f351ed5a7
2018-01-15 16:26:18,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     [Policy: ipv4(192.168.0.0-192.168.0.255)-ipv4(192.168.200.0-192.168.200.255)]
2018-01-15 16:26:18,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     The cookie pair is : 0xf6532df896875851 / 0xaa5b9c8f351ed5a7
2018-01-15 16:26:18,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     [ESP aes-cbc|hmac-sha1-96][SPI 0xff28ca7d|0xebf90592][PFS:DH2][Lifetime 3300]
2018-01-15 16:26:18,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     The cookie pair is : 0xf6532df896875851 / 0xaa5b9c8f351ed5a7
2018-01-15 16:26:18,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     Tunnel [GATEWAYNAME:GATEWAYNAME:0xebf90592] built successfully
2018-01-15 16:26:18,93.207.XXX.XXX:500     ,156.67.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     The cookie pair is : 0xaa5b9c8f351ed5a7 / 0xf6532df896875851
2018-01-15 16:26:18,93.207.XXX.XXX:500     ,156.67.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     Recv:[HASH][DEL]
2018-01-15 16:26:18,93.207.XXX.XXX:500     ,156.67.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     The cookie pair is : 0xaa5b9c8f351ed5a7 / 0xf6532df896875851
2018-01-15 16:26:18,93.207.XXX.XXX:500     ,156.67.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     Recv:[HASH][DEL]
2018-01-15 16:26:18,93.207.XXX.XXX:500     ,156.67.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     The cookie pair is : 0xaa5b9c8f351ed5a7 / 0xf6532df896875851
2018-01-15 16:26:18,93.207.XXX.XXX:500     ,156.67.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     Recv:[HASH][DEL]
2018-01-15 16:26:18,93.207.XXX.XXX:500     ,156.67.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     The cookie pair is : 0xaa5b9c8f351ed5a7 / 0xf6532df896875851
2018-01-15 16:26:18,93.207.XXX.XXX:500     ,156.67.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     Recv:[HASH][DEL]
2018-01-15 16:26:48,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     The cookie pair is : 0xf6532df896875851 / 0xaa5b9c8f351ed5a7
2018-01-15 16:26:48,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     Send:[HASH][NOTIFY:R_U_THERE]
2018-01-15 16:26:49,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     The cookie pair is : 0xf6532df896875851 / 0xaa5b9c8f351ed5a7
2018-01-15 16:26:49,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     Send:[HASH][NOTIFY:R_U_THERE]
2018-01-15 16:26:51,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     The cookie pair is : 0xf6532df896875851 / 0xaa5b9c8f351ed5a7
2018-01-15 16:26:51,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     Send:[HASH][NOTIFY:R_U_THERE]
2018-01-15 16:26:54,85.11.23.12:33224     ,156.67.XXX.XXX:23     ,     notice             ,secure-policy         ,ACCESS BLOCK         ,     wan1               ,                      ,tcp                  ,     Match default rule, DROP
2018-01-15 16:26:54,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     The cookie pair is : 0xf6532df896875851 / 0xaa5b9c8f351ed5a7
2018-01-15 16:26:54,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     Send:[HASH][NOTIFY:R_U_THERE]
2018-01-15 16:26:59,185.222.211.41:44546  ,156.67.XXX.XXX:2155   ,     notice             ,secure-policy         ,ACCESS BLOCK         ,     wan1               ,                      ,tcp                  ,     Match default rule, DROP
2018-01-15 16:26:59,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     The cookie pair is : 0xf6532df896875851 / 0xaa5b9c8f351ed5a7
2018-01-15 16:26:59,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     Send:[HASH][NOTIFY:R_U_THERE]
2018-01-15 16:27:07,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     The cookie pair is : 0xf6532df896875851 / 0xaa5b9c8f351ed5a7
2018-01-15 16:27:07,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     Send:[HASH][NOTIFY:R_U_THERE]
2018-01-15 16:27:20,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     The cookie pair is : 0xf6532df896875851 / 0xaa5b9c8f351ed5a7
2018-01-15 16:27:20,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     Send:[HASH][NOTIFY:R_U_THERE]
2018-01-15 16:27:41,181.214.87.245:44449  ,156.67.XXX.XXX:1054   ,     notice             ,secure-policy         ,ACCESS BLOCK         ,     wan1               ,                      ,tcp                  ,     Match default rule, DROP
2018-01-15 16:27:41,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     Peer not reachable
2018-01-15 16:27:41,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     The cookie pair is : 0xf6532df896875851 / 0xaa5b9c8f351ed5a7
2018-01-15 16:27:41,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     Send:[HASH][DEL]
2018-01-15 16:27:41,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     The cookie pair is : 0xf6532df896875851 / 0xaa5b9c8f351ed5a7
2018-01-15 16:27:41,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     Send:[HASH][DEL]
2018-01-15 16:27:41,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     The cookie pair is : 0xf6532df896875851 / 0xaa5b9c8f351ed5a7
2018-01-15 16:27:41,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     Send:[HASH][DEL]
2018-01-15 16:27:41,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     The cookie pair is : 0xf6532df896875851 / 0xaa5b9c8f351ed5a7
2018-01-15 16:27:41,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     ISAKMP SA [GATEWAYNAME] is disconnected
2018-01-15 16:27:41,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     The cookie pair is : 0xa809f140e4a53403 / 0x0000000000000000
2018-01-15 16:27:41,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     Tunnel [GATEWAYNAME] Sending IKE request
2018-01-15 16:27:41,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     The cookie pair is : 0xa809f140e4a53403 / 0x0000000000000000
2018-01-15 16:27:41,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     Send Aggressive Mode request to [93.207.XXX.XXX]
2018-01-15 16:27:42,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     The cookie pair is : 0xa809f140e4a53403 / 0x0000000000000000
2018-01-15 16:27:42,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     Send:[SA][KE][NONCE][ID][VID][VID][VID][VID][VID][VID][VID][VID][VID]
2018-01-15 16:27:42,93.207.XXX.XXX:500     ,156.67.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     The cookie pair is : 0xb837cc503c983799 / 0xa809f140e4a53403
2018-01-15 16:27:42,93.207.XXX.XXX:500     ,156.67.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     Recv:[SA][KE][NONCE][ID][HASH][VID][VID]
2018-01-15 16:27:42,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     The cookie pair is : 0xa809f140e4a53403 / 0xb837cc503c983799
2018-01-15 16:27:42,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     Send:[HASH]
2018-01-15 16:27:42,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     The cookie pair is : 0xa809f140e4a53403 / 0xb837cc503c983799
2018-01-15 16:27:42,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     Phase 1 IKE SA process done
2018-01-15 16:27:42,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     The cookie pair is : 0xa809f140e4a53403 / 0xb837cc503c983799
2018-01-15 16:27:42,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     Send:[HASH][SA][NONCE][KE][ID][ID]
2018-01-15 16:27:42,93.207.XXX.XXX:500     ,156.67.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     The cookie pair is : 0xb837cc503c983799 / 0xa809f140e4a53403
2018-01-15 16:27:42,93.207.XXX.XXX:500     ,156.67.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     Recv:[HASH][NOTIFY:INITIAL_CONTACT]
2018-01-15 16:27:43,93.207.XXX.XXX:500     ,156.67.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     The cookie pair is : 0xb837cc503c983799 / 0xa809f140e4a53403
2018-01-15 16:27:43,93.207.XXX.XXX:500     ,156.67.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     Recv:[HASH][SA][NONCE][KE][ID][ID]
2018-01-15 16:27:43,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     The cookie pair is : 0xa809f140e4a53403 / 0xb837cc503c983799
2018-01-15 16:27:43,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     Send:[HASH]
2018-01-15 16:27:43,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     The cookie pair is : 0xa809f140e4a53403 / 0xb837cc503c983799
2018-01-15 16:27:43,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     [Initiator:156.67.XXX.XXX][Responder:93.207.XXX.XXX]
2018-01-15 16:27:43,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     The cookie pair is : 0xa809f140e4a53403 / 0xb837cc503c983799
2018-01-15 16:27:43,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     [Policy: ipv4(192.168.0.0-192.168.0.255)-ipv4(192.168.200.0-192.168.200.255)]
2018-01-15 16:27:43,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     The cookie pair is : 0xa809f140e4a53403 / 0xb837cc503c983799
2018-01-15 16:27:43,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     [ESP aes-cbc|hmac-sha1-96][SPI 0x447642c9|0x23ae37a3][PFS:DH2][Lifetime 3420]
2018-01-15 16:27:43,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     The cookie pair is : 0xa809f140e4a53403 / 0xb837cc503c983799
2018-01-15 16:27:43,156.67.XXX.XXX:500     ,93.207.XXX.XXX:500    ,     info               ,ike                   ,IKE_LOG              ,                        ,                      ,                     ,     Tunnel [GATEWAYNAME:GATEWAYNAME:0x23ae37a3] built successfully

Dass der Tunnel up ist, sehe ich hier am Ping.

Ping-Statistik für 192.168.0.10:
    Pakete: Gesendet = 795, Empfangen = 783, Verloren = 12
    (1% Verlust),
Ca. Zeitangaben in Millisek.:
    Minimum = 15ms, Maximum = 372ms, Mittelwert = 17ms

Grüße, Henere
sk
Lösung sk 15.01.2018 um 17:31:21 Uhr
Goto Top
Schalte mal auf der USG das DPD ab!

Gruß
sk
Henere
Henere 15.01.2018 um 17:46:53 Uhr
Goto Top
Zitat von @sk:

Schalte mal auf der USG das DPD ab!

Gruß
sk

Seit 17:17 (keine Änderung Fritte oder USG seit dem Post von 16:48 habe ich auf der Fritte keinen 0X2026 mehr ?
Dead Peer Detection in P1 habe ich dennoch im VPG-Gateway-Objekt abgeschaltet.
Schaun mer mal....

Grüße, Henere
Henere
Henere 16.01.2018 um 00:34:52 Uhr
Goto Top
So gefällt mir das schon besser.

Ping-Statistik für 192.168.0.10:
Pakete: Gesendet = 22311, Empfangen = 22305, Verloren = 6
(0% Verlust),
Ca. Zeitangaben in Millisek.:
Minimum = 15ms, Maximum = 114ms, Mittelwert = 16ms

Ping-Statistik für 192.168.200.1:
Pakete: Gesendet = 12640, Empfangen = 12640, Verloren = 0
(0% Verlust),
Ca. Zeitangaben in Millisek.:
Minimum = 15ms, Maximum = 63ms, Mittelwert = 16ms

Ich denke, das war es jetzt. Keine Fehler mehr im Log zu finden.

Ich danke allen Beteiligten für die kompetente Hilfe !

Grüße, Henere
sk
sk 16.01.2018 um 09:42:50 Uhr
Goto Top
Gut. Dann folgt jetzt das Hardening.

1) Mainmode statt Aggressivmode
https://m.heise.de/security/artikel/Zu-Schnell-271296.html

2) Nur Crypto- und Hashing-Algos verwenden, die noch als sicher gelten.

Gruß
sk
MKepir
MKepir 03.08.2022 um 19:47:14 Uhr
Goto Top
Hallo @Henere ,

Ist zwar ne weile her mit dem Thema aber ich brauch deine Hilfe.
Ich habe alles wie beschrieben umgesetzt. Verbindung zwischen Fritzbox 7590 und Zyxel USG310 ist hergestellt.
Nur kann ich nicht zwischen beiden Netzen pingen.

Hier ist meine Config :
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "VPN4";
always_renew = yes;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 172.233.XX.XX;
remote_virtualip = 0.0.0.0;
remoteid {
ipaddr = 172.233.XX.XX;
}
localid {
ipaddr = 93.240.XX.XX;
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "XXXXXXXX";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.178.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 172.16.0.0;
mask = 255.255.252.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 172.16.0.0 255.255.252.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}