3
VPN Problem Tunnel steht kein Zugriff aufs Netzwerk
Hallo zusammen
Ich habe ein Problem mit einer Site to Site VPN Verbindung.
Ich Administriere die eine Site Watchguard Firebox die andere Site gehört ein Software Unternehmen . ( Es war alles vorkonfiguriert deswegen komme ich in Schwiederigkeiten)
Folgendes Problem es besteht eine VPN Verbindung die mittels Manual VPN Gateways auf der firebox eingerichtet ist.
Die VPN Verbindung kommt zur Stande nur kann die andere Site nicht aufs Netzwerk zugreifen..
Die Remote Gatewy Ip und die local und Remote Netz Angaben sind richtig.....
Local Network Remote Network
192.168.211.0/24 192.168.200.0/24
In der Log steht folgendes :
Jun 10 11:12:11 iked TO 8*.8.*7.1*7 IF-HDR* -EAFFDC50 ISA_HASH ISA_NOTIFY
Jun 10 11:12:11 iked Sending R_U_THERE_ACK message
Jun 10 11:12:11 iked Received R_U_THERE message, mess_id=0xCF3110A6
Jun 10 11:12:11 iked FROM 8*.8.*7.1*7 IF-HDR* -CF3110A6 ISA_HASH ISA_NOTIFY
Jun 10 11:11:41 iked TO 8*.8.*7.1*7 IF-HDR* -CAF16CB1 ISA_HASH ISA_NOTIFY
Jun 10 11:11:41 iked Sending R_U_THERE_ACK message
Jun 10 11:11:41 iked Received R_U_THERE message, mess_id=0x5D1F8163
Jun 10 11:11:41 iked FROM 8*.8.*7.1*7 IF-HDR* -5D1F8163 ISA_HASH ISA_NOTIFY
Jun 10 11:11:11 iked TO 8*.8.*7.1*7 IF-HDR* -C5D93EC6 ISA_HASH ISA_NOTIFY
Jun 10 11:11:11 iked Sending R_U_THERE_ACK message
Jun 10 11:11:11 iked Received R_U_THERE message, mess_id=0x3FA908D1
Jun 10 11:11:11 iked FROM 8*.8.*7.1*7 IF-HDR* -3FA908D1 ISA_HASH ISA_NOTIFY
Erklärung:
8*.8.*7.1*7 ip von der anderen Site
Hat jemand ein Tip für mich woran das liegen könnte ?
Danke
Ich habe ein Problem mit einer Site to Site VPN Verbindung.
Ich Administriere die eine Site Watchguard Firebox die andere Site gehört ein Software Unternehmen . ( Es war alles vorkonfiguriert deswegen komme ich in Schwiederigkeiten)
Folgendes Problem es besteht eine VPN Verbindung die mittels Manual VPN Gateways auf der firebox eingerichtet ist.
Die VPN Verbindung kommt zur Stande nur kann die andere Site nicht aufs Netzwerk zugreifen..
Die Remote Gatewy Ip und die local und Remote Netz Angaben sind richtig.....
Local Network Remote Network
192.168.211.0/24 192.168.200.0/24
In der Log steht folgendes :
Jun 10 11:12:11 iked TO 8*.8.*7.1*7 IF-HDR* -EAFFDC50 ISA_HASH ISA_NOTIFY
Jun 10 11:12:11 iked Sending R_U_THERE_ACK message
Jun 10 11:12:11 iked Received R_U_THERE message, mess_id=0xCF3110A6
Jun 10 11:12:11 iked FROM 8*.8.*7.1*7 IF-HDR* -CF3110A6 ISA_HASH ISA_NOTIFY
Jun 10 11:11:41 iked TO 8*.8.*7.1*7 IF-HDR* -CAF16CB1 ISA_HASH ISA_NOTIFY
Jun 10 11:11:41 iked Sending R_U_THERE_ACK message
Jun 10 11:11:41 iked Received R_U_THERE message, mess_id=0x5D1F8163
Jun 10 11:11:41 iked FROM 8*.8.*7.1*7 IF-HDR* -5D1F8163 ISA_HASH ISA_NOTIFY
Jun 10 11:11:11 iked TO 8*.8.*7.1*7 IF-HDR* -C5D93EC6 ISA_HASH ISA_NOTIFY
Jun 10 11:11:11 iked Sending R_U_THERE_ACK message
Jun 10 11:11:11 iked Received R_U_THERE message, mess_id=0x3FA908D1
Jun 10 11:11:11 iked FROM 8*.8.*7.1*7 IF-HDR* -3FA908D1 ISA_HASH ISA_NOTIFY
Erklärung:
8*.8.*7.1*7 ip von der anderen Site
Hat jemand ein Tip für mich woran das liegen könnte ?
Danke
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 117905
Url: https://administrator.de/contentid/117905
Ausgedruckt am: 22.11.2024 um 13:11 Uhr
3 Kommentare
Neuester Kommentar
Wie fast immer bei diesen Fällen zu 98% an den nicht beachteten Firewall Einstellungen im jeweils remoten Netzwerk !!
Du kommst von einem Fremdnetz und normalerweise blocken die lokalen Firewalls alles was NICHT aus dem jeweils lokalen Netz kommt und damit sämtliche Pakete von deinem remoten Netz:
Folge: Du siehst genau dein Problem !!!
Du musst also folglich die Firewall in den remoten Lokationen entsprechend customizen in den Ausnahmen das sie entweder von allem (Schrotschuss methode und wenig sicher !) Pakete annehmen oder eben nur vom 192.167.200er und .211er Netz !!
Dann klappts auch problemlos mit dem Zugriff !!
Du kommst von einem Fremdnetz und normalerweise blocken die lokalen Firewalls alles was NICHT aus dem jeweils lokalen Netz kommt und damit sämtliche Pakete von deinem remoten Netz:
Folge: Du siehst genau dein Problem !!!
Du musst also folglich die Firewall in den remoten Lokationen entsprechend customizen in den Ausnahmen das sie entweder von allem (Schrotschuss methode und wenig sicher !) Pakete annehmen oder eben nur vom 192.167.200er und .211er Netz !!
Dann klappts auch problemlos mit dem Zugriff !!
Ok dann muss ich mal mit denen Sprechen
Das Kuriose ist das nichts verändert wurde (wie so oft)
und es von einen auf den anderen Tag der Tunnel weg war ...
Da kam ich ins Spiel ich habe die VPN Konfiguration neu angelegt das Ergebniss siehe oben .....
Aus den logs kann ich nur entnehmen das er immer wieder den Tunnel refreshed ? Eine Erklärung wäre es schon mit der Firewall nur im Normalfall müssten die Policys im remote Netrz vorhanden sein.
Ein VPN besteht auch aus meiner Firma ins Kundennetzwerk via Mobile VPN with SSL client und damit besteht kein Problem, nur die Software Firma vom Kunden hat mit der site to site Verbiindung Prtobleme
*edit*
Grad kam folgendes im Log
Jun 10 13:44:07 kernel deny in ipsec0 64 tcp 20 126 192.168.200.2 192.168.211.2 4271 139 syn (default)
Jun 10 13:44:07 kernel deny in ipsec0 64 tcp 20 126 192.168.200.2 192.168.211.2 4270 445 syn (default)
*edit*
Problem gelöst es lag an der lokalen Firewall ohne den spät auftrettenen Log hätte ich wohl ewig gebraucht Danke für die Hinweisse
Was bedeutet 64 tcp 20 126 ? tcp port 20 126 ?
Das Kuriose ist das nichts verändert wurde (wie so oft)
und es von einen auf den anderen Tag der Tunnel weg war ...Da kam ich ins Spiel ich habe die VPN Konfiguration neu angelegt das Ergebniss siehe oben .....
Aus den logs kann ich nur entnehmen das er immer wieder den Tunnel refreshed ? Eine Erklärung wäre es schon mit der Firewall nur im Normalfall müssten die Policys im remote Netrz vorhanden sein.
Ein VPN besteht auch aus meiner Firma ins Kundennetzwerk via Mobile VPN with SSL client und damit besteht kein Problem, nur die Software Firma vom Kunden hat mit der site to site Verbiindung Prtobleme
*edit*
Grad kam folgendes im Log
Jun 10 13:44:07 kernel deny in ipsec0 64 tcp 20 126 192.168.200.2 192.168.211.2 4271 139 syn (default)
Jun 10 13:44:07 kernel deny in ipsec0 64 tcp 20 126 192.168.200.2 192.168.211.2 4270 445 syn (default)
*edit*
Problem gelöst es lag an der lokalen Firewall ohne den spät auftrettenen Log hätte ich wohl ewig gebraucht Danke für die Hinweisse
Was bedeutet 64 tcp 20 126 ? tcp port 20 126 ?
Vermutlich sind das ESP Pakete die geblockt worden sind durch die Firewall (Protokoll 20). Ohne genaueres zu sehen kann man da aber nur vermuten...
