mrat
Goto Top

Sonicwall TZ210 VPN Iphone

Hallo Zusammen,

zur Zeit versuche ich eine Verbindung (VPN L2TP) zwischen einem Iphone / iPad und einer Sonicwal TZ210 einzurichten. (siehe auch diese Anleitung: http://www.fuzeqna.com/sonicwallkb/consumer/kbdetail.asp?kbid=3544 )

Die Verbindung kann aufgebaut werden, jedoch bekommt das Iphone keine IP. Folgende Einträge sind im Log enthalten:

1 05/06/2011 10:30:19.016 Debug Network TCP packet received on non-existent/closed connection; TCP packet dropped 93.187.XXX.XXX, 80, X1 80.XXX.XXXX.XXXX, 14316, X1 TCP Flag(s): ACK
2 05/06/2011 10:29:58.128 Info L2TP Server L2TP Server : L2TP Session Established. 46.XXX.XXXX.XXXX, 63997 80.XXX.XXXX.XXXX, 1701 LocalSessionID=0x1a80, RemoteSessionId=0xae
3 05/06/2011 10:29:57.832 Info L2TP Server L2TP Server : L2TP Tunnel Established. 46.XXX.XXXX.XXXX, 63997 80.XXX.XXXX.XXXX, 1701 LocalTunnelID=0xcd1b, RemoteTunnelId=0x10, RemoteHostName=
4 05/06/2011 10:29:57.544 Info VPN IKE IKE negotiation complete. Adding IPSec SA. (Phase 2) 46.XXX.XXXX.XXXX, 12838 80.XXX.XXXX.XXXX, 4500 VPN Policy: WAN GroupVPN; ESP:AES-128; HMAC_SHA1; Lifetime=3600 secs; inSPI:XXXXXX; outSPI:XXXXX
5 05/06/2011 10:29:57.544 Info VPN IKE IKE Responder: Accepting IPSec proposal (Phase 2) 46.XXX.XXXX.XXXX, 12838 80.XXX.XXXX.XXXX, 4500 VPN Policy: WAN GroupVPN; 80.XXX.XXXX.XXXX -> 10.XXX.XXXX.XXXX
6 05/06/2011 10:29:57.544 Debug VPN IKE RECEIVED<<< ISAKMP OAK QM (InitCookie:0xfd4XXXXX92600 RespCookie:0xbXXXXXX1e2baf, MsgID: 0xCXXXA27) *(HASH) 46.1XXX.XXXX.XXXX, 12838 80.1XXX.XXXX.XXXX, 4500 VPN Policy: WAN GroupVPN
7 05/06/2011 10:29:57.288 Debug VPN IKE RECEIVED<<< ISAKMP OAK QM (InitCookie:0xfd460XXXX2600 RespCookie:0xb085XXXXbaf, MsgID: 0xC6AXXX27) *(HASH, SA, NON, ID, ID, NAT_OA, NAT_OA) 46.XXX.XXXX.XXXX, 12838 80.XXX.XXXX.XXXX, 4500 VPN Policy: WAN GroupVPN
8 05/06/2011 10:29:57.288 Info VPN IKE IKE Responder: Received Quick Mode Request (Phase 2) 46.1XXX.XXXX.XXXX, 12838 80.1XXX.XXXX.XXXX, 4500 VPN Policy: WAN GroupVPN
9 05/06/2011 10:29:55.944 Info VPN IKE IKE Responder: Main Mode complete (Phase 1) 46.XXX.XXXX.XXXX, 12838 80.1XXX.XXXX.XXXX, 4500 VPN Policy: WAN GroupVPN;AES-256; SHA1; DH Group 2; lifetime=3600 secs

Hat einer ne Idee dazu, wo das Problem liegen kann?

Danke!

Content-ID: 165777

Url: https://administrator.de/forum/sonicwall-tz210-vpn-iphone-165777.html

Ausgedruckt am: 23.12.2024 um 04:12 Uhr

Dani
Dani 06.05.2011 um 10:37:46 Uhr
Goto Top
Moin,
hast du versucht von einem Windowsclient (z.B. von zuhause aus) eine VPN-Verbindung aufzubauen.
Somit wäre erstmal sichergestellt, dass die Sonicwallkonfiguriation stimmt.

Das Tool von Apple kennst du?


Grüße,
Dani
mrat
mrat 06.05.2011 um 11:52:59 Uhr
Goto Top
Hallo Dani,

das ist eigentlich eine gute Idee. Ich werde das nachher mal probieren.

Das Programm kannte ich noch nicht!

Gruss
Alex
aqui
aqui 06.05.2011 um 14:06:25 Uhr
Goto Top
Am VPN Tunnel liegts wenigstens nicht, denn der wird fehlerfrei aufgebaut wie man eindeutig am Log sehen kann. Vermutlich wie immer fehlen die Firewall Regeln zw. VPN IP Netz und Zielnetz ?!
mrat
mrat 09.05.2011 um 11:45:08 Uhr
Goto Top
Hallo Aqui,

so wird es sein. Kannst du mir einen Tipp geben, wo genau welche Regel sein muss.

Danke.
mrat
mrat 09.05.2011 um 16:16:52 Uhr
Goto Top
Falls das weiter hilft, unter VPN -> L2TP Server taucht keine Verbindung auf, obwohl im Log steht, das einer Verbindung aufgebaut wäre. Jemand eine Idee dazu?

DANKE!
aqui
aqui 09.05.2011 um 17:44:19 Uhr
Goto Top
Hast du die aktuellste Firmware auf der Sonicwall ??
mrat
mrat 09.05.2011 um 17:50:30 Uhr
Goto Top
Ja, habe ich! Wieso? Und finde ich jetzt heraus wo das Problem liegt?
aqui
aqui 09.05.2011 um 18:07:24 Uhr
Goto Top
Kannst du alternativ mal eine reine PPTP VPN Verbindung aufmachen und checken ob die korrekt im Log angezeigt werden ?
Dani
Dani 09.05.2011 um 19:27:39 Uhr
Goto Top
Moin Alex,
und was hat das Tool ausrichten können?
schalte doch das Logging Level auf "Debug" und somit solltest du sehen woran es scheitert. So sehen wir bei unserer NSA 7500 jeden kleinen Fehler.

Falls das weiter hilft, unter VPN -> L2TP Server taucht keine Verbindung auf, obwohl im Log steht, das einer Verbindung aufgebaut wäre. Jemand eine Idee dazu?
Dann steht die Verbindung auch nicht. Hast du es mit deinem Heimrechner probiert? Was ist das Ergebnis?


Grüße,
Dani
mrat
mrat 09.05.2011 um 20:02:39 Uhr
Goto Top
Hallo Dani,

von Zuhause aus hat es auch nicht funktioniert. Es liegt also an der Sonicwall TZ 210 und nicht an den Endgeräten.

Gruss Alex
Dani
Dani 09.05.2011 um 20:58:40 Uhr
Goto Top
Guten Abend Alex,
hmmm... und du hast wirklich 1:1 diese Anleitung auf die TS konfiguiert? Wir nutzen diesen Artikel für unsere NSA Geräte und es funktioniert.
Was genau sag das Debuglevel bei einem Verbindungsaufbau? Bitte poste alles was zwischen Aufbau und Abbruchseintrag protokolliert wird.


Grüße,
Dani
mrat
mrat 09.05.2011 um 21:41:04 Uhr
Goto Top
OK, mache ich Morgen, wenn ich wieder in der Firma bin!

Ja, bin die Anleitung mehrmals durchgegangen! Habe aber nach wie vor das Gefühl, das das Problem bei der IP-Adressenverteilung liegt. (Clients bekommen keine IP)

Gruss Alex
Dani
Dani 09.05.2011 um 22:33:51 Uhr
Goto Top
Hi Alex,
achja, hinterlege mal in den DHCPoverVPN eine freie IP-Adresse aus dem L2TP Pool.
WIr hatten bei dem GVP das Gleiche Problem. Erst als wir aus dem Pool eine IP-Adresse als "Relay IP Address" hinterlegt haben, funktionierte es.

BTW:
http://www.fuzeqna.com/sonicwallkb/consumer/kbdetail.asp?kbid=6579
http://www.fuzeqna.com/sonicwallkb/consumer/kbdetail.asp?kbid=8269
http://www.fuzeqna.com/sonicwallkb/consumer/kbdetail.asp?kbid=8260


Grüße.
Dani
mrat
mrat 10.05.2011 um 09:47:22 Uhr
Goto Top
Hallo Dani,

auch das hat leider nichts gebracht. Hier der aktuelle Log:

1 05/10/2011 09:36:47.688 Notice Network Access UDP packet dropped 46.115.X.X, 27453, X1 80.149.X.X, 1701, X1 UDP Port: 1701
2 05/10/2011 09:36:47.064 Info L2TP Server L2TP Server: Tunnel Disconnect from Remote. 46.115.X.X, 57707 80.149.x.x, 1701 Host Name :
3 05/10/2011 09:36:47.032 Info L2TP Server L2TP Server: Call Disconnect from Remote. 46.115.x.x, 57707 80.149.x.x, 1701 Host Name :
4 05/10/2011 09:36:46.768 Info PPP PPP message: Processing TERMINATE request
5 05/10/2011 09:36:39.688 Debug Network Access Broadcast packet dropped 192.168.0.252, 0, X0 192.168.255.255 Protocol:137
6 05/10/2011 09:36:38.608 Warning Firewall Logging Problem sending log email; check log settings
7 05/10/2011 09:36:38.608 Debug Network TCP connection abort received; TCP connection dropped 192.168.1.12, 45899, X0 46.137.x.x, 80, X1 TCP Flag(s): ACK RST
8 05/10/2011 09:36:37.928 Notice Network Access Web management request allowed 192.168.20.60, 57602, X0 (admin) 192.168.0.1, 447, X0 TCP HTTPS Management
9 05/10/2011 09:36:27.544 Info Network Access DNS packet allowed 195.243.X.X, 53, X1 192.168.0.252, 50275, X0 UDP Port: 50275
10 05/10/2011 09:36:26.768 Notice Network Access TCP connection dropped 80.157.X.X, 80, X1 192.168.1.139, 51741, X0 TCP Port: 51741
11 05/10/2011 09:35:58.272 Debug Network ARP timeout 192.6.1.18
12 05/10/2011 09:35:45.880 Debug Network TCP packet received on non-existent/closed connection; TCP packet dropped 80.157.X.X, 80, X1 80.149.X.X, 13840, X1 TCP Flag(s): ACK
13 05/10/2011 09:35:38.704 Info L2TP Server L2TP Server : L2TP Session Established. 46.115.X.X, 57707 80.149.X.X, 1701 LocalSessionID=0xac31, RemoteSessionId=0x5ab
14 05/10/2011 09:35:38.272 Info L2TP Server L2TP Server : L2TP Tunnel Established. 46.115.X.X, 57707 80.149.X.X, 1701 LocalTunnelID=0xf8b8, RemoteTunnelId=0x34, RemoteHostName=
15 05/10/2011 09:35:37.912 Notice Network Access Web management request allowed 192.168.20.60, 57551, X0 (admin) 192.168.0.1, 447, X0 TCP HTTPS Management
16 05/10/2011 09:35:37.720 Info VPN IKE IKE negotiation complete. Adding IPSec SA. (Phase 2) 46.115.X.X, 65258 80.149.X.X, 4500 VPN Policy: WAN GroupVPN; ESP:AES-128; HMAC_SHA1; Lifetime=3600 secs; inSPI:0xbc239cc8; outSPI:0xde96dc8
17 05/10/2011 09:35:37.720 Info VPN IKE IKE Responder: Accepting IPSec proposal (Phase 2) 46.115.X.X, 65258 80.149.X.X, 4500 VPN Policy: WAN GroupVPN; 80.149.X.X -> 10.147.X.X
18 05/10/2011 09:35:37.720 Debug VPN IKE RECEIVED<<< ISAKMP OAK QM (InitCookie:0x9e62d23f9680cd17 RespCookie:0xf2d3a309276c00cf, MsgID: 0x966B8BEB) *(HASH) 46.115.X.X, 65258 80.149.X.X, 4500 VPN Policy: WAN GroupVPN
19 05/10/2011 09:35:37.432 Debug VPN IKE SENDING>>>> ISAKMP OAK QM (InitCookie:0x9e62d23f9680cd17 RespCookie:0xf2d3a309276c00cf, MsgID: 0x966B8BEB) *(HASH, SA, NON, ID, ID, NAT_OA, NAT_OA) 80.149.X.X, 4500 46.115.X.X, 65258 VPN Policy: WAN GroupVPN
20 05/10/2011 09:35:37.432 Debug VPN IKE RECEIVED<<< ISAKMP OAK QM (InitCookie:0x9e62d23f9680cd17 RespCookie:0xf2d3a309276c00cf, MsgID: 0x966B8BEB) *(HASH, SA, NON, ID, ID, NAT_OA, NAT_OA) 46.115.X.X, 65258 80.149.X.X, 4500 VPN Policy: WAN GroupVPN
21 05/10/2011 09:35:37.432 Info VPN IKE IKE Responder: Received Quick Mode Request (Phase 2) 46.115.X.X, 65258 80.149.226.2, 4500 VPN Policy: WAN GroupVPN
22 05/10/2011 09:35:37.064 Debug VPN IKE SENDING>>>> ISAKMP OAK MM (InitCookie:0x9e62d23f9680cd17 RespCookie:0xf2d3a309276c00cf, MsgID: 0x0) *(ID, HASH) 80.149.X.X, 4500 46.115.X.X, 65258 VPN Policy: WAN GroupVPN
23 05/10/2011 09:35:37.064 Info VPN IKE IKE Responder: Main Mode complete (Phase 1) 46.115.X.X, 65258 80.149.X.X, 4500 VPN Policy: WAN GroupVPN;3DES; SHA1; DH Group 2; lifetime=3600 secs
24 05/10/2011 09:35:37.064 Debug VPN IKE RECEIVED<<< ISAKMP OAK MM (InitCookie:0x9e62d23f9680cd17 RespCookie:0xf2d3a309276c00cf, MsgID: 0x0) *(ID, HASH, NOTIFY: INITIAL_CONTACT) 46.115.X.X, 65258 80.149.X.X, 4500 VPN Policy: WAN GroupVPN
25 05/10/2011 09:35:36.608 Debug VPN IKE SENDING>>>> ISAKMP OAK MM (InitCookie:0x9e62d23f9680cd17 RespCookie:0xf2d3a309276c00cf, MsgID: 0x0) (KE, NATD, NATD, NON, VID, VID, VID) 80.149.X.X, 500 46.115.X.X, 459 VPN Policy: WAN GroupVPN
26 05/10/2011 09:35:36.608 Info VPN IKE NAT Discovery : Peer IPSec Security Gateway behind a NAT/NAPT Device
27 05/10/2011 09:35:36.576 Debug VPN IKE RECEIVED<<< ISAKMP OAK MM (InitCookie:0x9e62d23f9680cd17 RespCookie:0xf2d3a309276c00cf, MsgID: 0x0) (KE, NON, NATD, NATD) 46.115.X.X, 459 80.149.226.2, 500 VPN Policy: WAN GroupVPN
28 05/10/2011 09:35:35.480 Debug VPN IKE SENDING>>>> ISAKMP OAK MM (InitCookie:0x9e62d23f9680cd17 RespCookie:0xf2d3a309276c00cf, MsgID: 0x0) (SA, VID, VID) 80.149.X.X, 500 46.115.X.X, 459 VPN Policy: WAN GroupVPN
29 05/10/2011 09:35:35.480 Info VPN IKE IKE Responder: Received Main Mode request (Phase 1) 46.115.1.217, 459 80.149.X.X, 500
30 05/10/2011 09:35:35.480 Debug VPN IKE RECEIVED<<< ISAKMP OAK MM (InitCookie:0x9e62d23f9680cd17 RespCookie:0x0000000000000000, MsgID: 0x0) (SA, VID, VID, VID, VID, VID, VID, VID, VID, VID, VID, VID) 46.115.X.X, 459 80.149.X.X, 500

Vielleicht hat einer von euch ja noch eine Idee.

Gruss Alex
mrat
mrat 10.05.2011 um 10:01:37 Uhr
Goto Top
Hier nochmal ein größerer Auszug mit Log-Level Info:


05.10.2011 09:48 Info VPN IKE IKE Responder: Received Main Mode request (Phase 1)
05.10.2011 09:48 Info VPN IKE NAT Discovery : Peer IPSec Security Gateway behind a NAT/NAPT Device
05.10.2011 09:48 Info VPN IKE IKE Responder: Main Mode complete (Phase 1)
05.10.2011 09:48 Info VPN IKE IKE Responder: Received Quick Mode Request (Phase 2)
05.10.2011 09:48 Info VPN IKE IKE Responder: Accepting IPSec proposal (Phase 2)
05.10.2011 09:48 Info VPN IKE IKE negotiation complete. Adding IPSec SA. (Phase 2)
05.10.2011 09:48 Info L2TP Server L2TP Server : L2TP Tunnel Established.
05.10.2011 09:48 Info L2TP Server L2TP Server : L2TP Session Established.
05.10.2011 09:48 Error Network Access Web site access denied
05.10.2011 09:49 Info Network Access ICMP packet allowed
05.10.2011 09:49 Notice Network Access Web management request allowed
05.10.2011 09:49 Warning Firewall Logging Problem sending log email; check log settings
05.10.2011 09:49 Notice Network Access UDP packet dropped
05.10.2011 09:49 Info Network Access DNS packet allowed
05.10.2011 09:49 Notice Network Access TCP connection dropped
05.10.2011 09:50 Info PPP PPP message: discarding Config-ACK/NAK/REJ, got ID 0x0 expected 0x100

05.10.2011 09:50 Info Network Access ICMP packet allowed
05.10.2011 09:50 Notice Network Access Web management request allowed
05.10.2011 09:50 Warning Firewall Logging Problem sending log email; check log settings
05.10.2011 09:50 Notice Network Access UDP packet dropped
05/10/2011 09:50:57.080 Info Network Access DNS packet allowed
05.10.2011 09:50 Notice Network Access TCP connection dropped
05.10.2011 09:51 Info PPP PPP message: discarding Config-ACK/NAK/REJ, got ID 0xF expected 0x10F

05.10.2011 09:51 Info Network Access ICMP packet allowed
05.10.2011 09:51 Notice Network Access Web management request allowed
05.10.2011 09:51 Notice Network Access UDP packet dropped
05.10.2011 09:51 Warning Firewall Logging Problem sending log email; check log settings
05.10.2011 09:52 Info Network Access DNS packet allowed
05.10.2011 09:52 Info PPP PPP message: discarding Config-ACK/NAK/REJ, got ID 0x1E expected 0x11E

05.10.2011 09:52 Notice Network Access TCP connection dropped
05.10.2011 09:52 Info Network Access ICMP packet allowed
05.10.2011 09:52 Notice Network Access Web management request allowed
05.10.2011 09:52 Notice Network Access UDP packet dropped
05.10.2011 09:53 Info PPP PPP message: discarding Config-ACK/NAK/REJ, got ID 0x2D expected 0x12D

05.10.2011 09:53 Warning Firewall Logging Problem sending log email; check log settings
05.10.2011 09:53 Info Network Access DNS packet allowed
05.10.2011 09:53 Notice Network Access TCP connection dropped
05.10.2011 09:53 Info Network Access ICMP packet allowed
05.10.2011 09:53 Notice Network Access Web management request allowed
05.10.2011 09:53 Info L2TP Server L2TP Server: Call Disconnect from Remote.
05.10.2011 09:53 Info L2TP Server L2TP Server: Tunnel Disconnect from Remote.
05.10.2011 09:54 Info L2TP Server L2TP Server : Deleting the Tunnel
05.10.2011 09:54 Notice Network Access TCP connection dropped
05.10.2011 09:54 Info Network Access ICMP packet allowed
05.10.2011 09:54 Warning Firewall Logging Problem sending log email; check log settings
05.10.2011 09:54 Info Network Access DNS packet allowed
05.10.2011 09:54 Notice Network Access Web management request allowed
05.10.2011 09:54 Notice Network Access UDP packet dropped
05/10/2011 09:55:17.048 Notice Network Access TCP connection dropped
05.10.2011 09:55 Info Network Access ICMP packet allowed
05.10.2011 09:55 Info Network Access DNS packet allowed
05.10.2011 09:55 Notice Network Access Web management request allowed
05.10.2011 09:55 Warning Firewall Logging Problem sending log email; check log settings
05.10.2011 09:56 Critical Firewall Event DHCP Server sanity check passed ; Passed when checked last time - 05/10/2011 09:26:05
05.10.2011 09:56 Notice Network Access TCP connection dropped
05.10.2011 09:56 Alert Intrusion Prevention Possible port scan detected
05.10.2011 09:56 Alert Intrusion Prevention Probable port scan detected
05.10.2011 09:56 Notice Network Access UDP packet dropped
05.10.2011 09:56 Info Network Access DNS packet allowed
05.10.2011 09:56 Notice Network Access Web management request allowed
05.10.2011 09:56 Info Network Access ICMP packet from LAN allowed
mrat
mrat 11.05.2011 um 07:54:16 Uhr
Goto Top
Keiner mehr eine Idee?

Gruss Alex
Dani
Dani 11.05.2011 um 23:16:56 Uhr
Goto Top
Hi Alex,
ich habe leider nebenher noch ein Privatleben und kann nicht gleich immer reinschauen!
Ich bin für meinen Teil am Ende des Lateins. Mach doch einen Sonicwall Support Request auf?!


Grüße,
Dani
mrat
mrat 12.05.2011 um 07:41:26 Uhr
Goto Top
Hallo Dani,

kein Problem! Ich werde mich jetzt mal an Sonicwall wenden, mal schauen was die sagen!

Danke trotzdem!

Gruss Alex
mrat
mrat 12.05.2011 um 13:20:38 Uhr
Goto Top
Hallo Dani,

also mit der Firmware die wir wohl haben, gibt es Probleme. Naja, ich werde jetzt ne Lösung über die Aventail realisieren, die dahinter hängt für das Allgemeine VPN. Hier kann ich dann jedoch nur OWA benutzen, das genügt aber für den ersten Schritt. Hast du da auch eine Anleitung zu?

Gruss Alex
Dani
Dani 12.05.2011 um 21:51:47 Uhr
Goto Top
HI Alex,
Freigabe von OWA über die Sonicwall oder was meinst du?


GRüße,
Dani
mrat
mrat 12.05.2011 um 22:13:37 Uhr
Goto Top
Hallo Dani,

laut Aussage vom Support, besteht die Möglichkeit in der Aventail einen SSL Zugang für die iPhones einzurichten. Ich selber habe aber noch keine Unterlagen dazu bekommen. Und wenn die wieder rauskommen um das einzurichten wird das wieder sau teuer.

Gruss Alex
Dani
Dani 13.05.2011 um 14:51:15 Uhr
Goto Top
Hi Alex,
was ist ein "Aventail"?


Grüße,
Dani
aqui
aqui 13.05.2011 um 16:09:48 Uhr
Goto Top
SSL VPN: face-wink
http://www.tro.net/Networking/CorporateSecurity/SSL-VPN/index.htm

Supportet das iPhone aber nicht da vermutlich mit Java oder Active-X Applet.