50793
13.07.2007, aktualisiert am 19.07.2007
5022
7
0
Watchguard Firebox x edge MUVPN
Hi
muss mehrere Außendienstmenschen per vpn mit dem Firmennetz verbinden
nur klapt das mit dem MUVPN nicht ganz so wie es sol nähmlich gar nicht (is meine erste Box)
zum Testen hab ich ne Telekom DSL per FritzBox (die als Modem fungiert) das alles per Statischer IP (I-Net)
per Log View
7-13: 13:56:29.059 My Connectionsxxx.x.xxx.xxx-192.168.111.0 - Initiating IKE Phase 1 (IP ADDR=xxx.xxx.xxx.xxx)
7-13: 13:56:29.439 My Connectionsxxx.xxx.xxx.xxx-192.168.111.0 - SENDING>>>> ISAKMP OAK AG (SA, KE, NON, ID, VID 6x)
7-13: 13:56:44.461 My Connectionsxxx.xxx.xxx.xxx-192.168.111.0 - message not received! Retransmitting!
7-13: 13:56:44.461 My Connectionsxxx.xxx.xxx.xxx-192.168.111.0 - SENDING>>>> ISAKMP OAK AG (Retransmission)
7-13: 13:56:59.473 My Connectionsxxx.xxx.xxx.xxx-192.168.111.0 - message not received! Retransmitting!
7-13: 13:56:59.473 My Connectionsxxx.xxx.xxx.xxx-192.168.111.0 - SENDING>>>> ISAKMP OAK AG (Retransmission)
7-13: 13:57:14.484 My Connectionsxxx.xxx.xxx.xxx-192.168.111.0 - message not received! Retransmitting!
7-13: 13:57:14.484 My Connectionsxxx.xxx.xxx.xxx-192.168.111.0 - SENDING>>>> ISAKMP OAK AG (Retransmission)
7-13: 13:57:29.576 My Connectionsxxx.xxx.xxx.xxx-192.168.111.0 - Exceeded 3 IKE SA negotiation attempts
wieso will die box nicht antworten? IPSEC is offen
Danke
muss mehrere Außendienstmenschen per vpn mit dem Firmennetz verbinden
nur klapt das mit dem MUVPN nicht ganz so wie es sol nähmlich gar nicht (is meine erste Box)
zum Testen hab ich ne Telekom DSL per FritzBox (die als Modem fungiert) das alles per Statischer IP (I-Net)
per Log View
7-13: 13:56:29.059 My Connectionsxxx.x.xxx.xxx-192.168.111.0 - Initiating IKE Phase 1 (IP ADDR=xxx.xxx.xxx.xxx)
7-13: 13:56:29.439 My Connectionsxxx.xxx.xxx.xxx-192.168.111.0 - SENDING>>>> ISAKMP OAK AG (SA, KE, NON, ID, VID 6x)
7-13: 13:56:44.461 My Connectionsxxx.xxx.xxx.xxx-192.168.111.0 - message not received! Retransmitting!
7-13: 13:56:44.461 My Connectionsxxx.xxx.xxx.xxx-192.168.111.0 - SENDING>>>> ISAKMP OAK AG (Retransmission)
7-13: 13:56:59.473 My Connectionsxxx.xxx.xxx.xxx-192.168.111.0 - message not received! Retransmitting!
7-13: 13:56:59.473 My Connectionsxxx.xxx.xxx.xxx-192.168.111.0 - SENDING>>>> ISAKMP OAK AG (Retransmission)
7-13: 13:57:14.484 My Connectionsxxx.xxx.xxx.xxx-192.168.111.0 - message not received! Retransmitting!
7-13: 13:57:14.484 My Connectionsxxx.xxx.xxx.xxx-192.168.111.0 - SENDING>>>> ISAKMP OAK AG (Retransmission)
7-13: 13:57:29.576 My Connectionsxxx.xxx.xxx.xxx-192.168.111.0 - Exceeded 3 IKE SA negotiation attempts
wieso will die box nicht antworten? IPSEC is offen
Danke
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 63778
Url: https://administrator.de/contentid/63778
Ausgedruckt am: 26.11.2024 um 01:11 Uhr
7 Kommentare
Neuester Kommentar
Ist IPSec(IKE, ESP, AH) wirklich offen?
Er scheint ja über Phase 1 des IKEs nicht hinauszukommen. Können die beteiligten Netwerkkomponenten IPSec-Passthrough? Ansonsten sieht es mau aus, wenn ein billiges Gerät die IPSec-Pakete verwurschtelt.
Gruß
Alfredus
Er scheint ja über Phase 1 des IKEs nicht hinauszukommen. Können die beteiligten Netwerkkomponenten IPSec-Passthrough? Ansonsten sieht es mau aus, wenn ein billiges Gerät die IPSec-Pakete verwurschtelt.
Gruß
Alfredus
hi
also aufgebaut ist das ganze momentan so
XP Rechner per Fritz Box am DSL Client
DSL Fritz Box und da ist Watchguard dran.
nur an der Watchguard ist nen Bussines DSL mit ner Festen IP kanns am ISP liegen?
der XP Rechner hat jeden Tag ne neue IP
hier mal nen auszug aus der Watchguard
Logging:
Jul 13 14:52:29 kernel allow in eth0 368 udp 20 122 84.181.54.43 192.168.111.1 62568 500 (IPSec)
Ps.
IPSEC UDP500 4500 TCP 50
oder war da noch mehr?
also aufgebaut ist das ganze momentan so
XP Rechner per Fritz Box am DSL Client
DSL Fritz Box und da ist Watchguard dran.
nur an der Watchguard ist nen Bussines DSL mit ner Festen IP kanns am ISP liegen?
der XP Rechner hat jeden Tag ne neue IP
hier mal nen auszug aus der Watchguard
Logging:
Jul 13 14:52:29 kernel allow in eth0 368 udp 20 122 84.181.54.43 192.168.111.1 62568 500 (IPSec)
Ps.
IPSEC UDP500 4500 TCP 50
oder war da noch mehr?
so nun gehts wenigstens schon mal etwas weiter nun is iom log folgendes zu sehen
7-17: 11:50:09.227 My Connections\xxx.xxx.xxx.xxx-192.168.111.0 - Initiating IKE Phase 2 with Client IDs (message id: 2D7A856E)
7-17: 11:50:09.227 My Connections\xxx.xxx.xxx.xxx-192.168.111.0 - Initiator = IP ADDR=192.168.12.232, prot = 0 port = 0
7-17: 11:50:09.227 My Connections\xxx.xxx.xxx.xxx-192.168.111.0 - Responder = IP SUBNET/MASK=192.168.111.0/255.255.255.0, prot = 0 port = 0
7-17: 11:50:09.227 My Connections\xxx.xxx.xxx.xxx-192.168.111.0 - SENDING>>>> ISAKMP OAK QM *(HASH, SA, NON, ID 2x)
7-17: 11:50:19.041 My Connections\xxx.xxx.xxx.xxx-192.168.111.0 - RECEIVED<<< ISAKMP OAK AG (Retransmission)
7-17: 11:50:24.249 My Connections\xxx.xxx.xxx.xxx-192.168.111.0 - QM re-keying timed out. Retry count: 1
7-17: 11:50:24.249 My Connections\xxx.xxx.xxx.xxx-192.168.111.0 - SENDING>>>> ISAKMP OAK QM *(Retransmission)
er kommt nicht über QM re-keying raus!?
wo liegt da der fehler??
7-17: 11:50:09.227 My Connections\xxx.xxx.xxx.xxx-192.168.111.0 - Initiating IKE Phase 2 with Client IDs (message id: 2D7A856E)
7-17: 11:50:09.227 My Connections\xxx.xxx.xxx.xxx-192.168.111.0 - Initiator = IP ADDR=192.168.12.232, prot = 0 port = 0
7-17: 11:50:09.227 My Connections\xxx.xxx.xxx.xxx-192.168.111.0 - Responder = IP SUBNET/MASK=192.168.111.0/255.255.255.0, prot = 0 port = 0
7-17: 11:50:09.227 My Connections\xxx.xxx.xxx.xxx-192.168.111.0 - SENDING>>>> ISAKMP OAK QM *(HASH, SA, NON, ID 2x)
7-17: 11:50:19.041 My Connections\xxx.xxx.xxx.xxx-192.168.111.0 - RECEIVED<<< ISAKMP OAK AG (Retransmission)
7-17: 11:50:24.249 My Connections\xxx.xxx.xxx.xxx-192.168.111.0 - QM re-keying timed out. Retry count: 1
7-17: 11:50:24.249 My Connections\xxx.xxx.xxx.xxx-192.168.111.0 - SENDING>>>> ISAKMP OAK QM *(Retransmission)
er kommt nicht über QM re-keying raus!?
wo liegt da der fehler??
VPN Netgear FVX538 mit Prosafe VPN Client
Ich bin jetzt nicht so der IPSec-Experte, aber bei:
lehnt einer der Kommunikationspartner eine Verbindung durch den Tunnel ab. QM re-keying wird nach einem Fehlschlag noch 2mal wiederholt und dann halt abgebrochen.
Paketfilter checken. IPSec geht aber schonmal, was ja auch was ist...
Gruß
Andre
Ich bin jetzt nicht so der IPSec-Experte, aber bei:
QM re-keying timed out. Retry count: 1
lehnt einer der Kommunikationspartner eine Verbindung durch den Tunnel ab. QM re-keying wird nach einem Fehlschlag noch 2mal wiederholt und dann halt abgebrochen.
Paketfilter checken. IPSec geht aber schonmal, was ja auch was ist...
Gruß
Andre
*freu*
geht doch wunderbarstens
so nun bin ich schon mal schlauer wie das teil geht
nur eine sache habe ich da noch
wie bzw geht das überhaupt das die remote IP per dyndns gezogen wird?
die box hat ja ihre feste nur die außendienst leutchen haben ja immer ne andere!
hm.......
also da einfach xxx.dyndns reinschreiben mag die box nicht will unbedingt ne IP geht das auch anderwaltig?
aber erst mal DANKE für die Info´s die haben mich dann doch noch über umwege zum ziel gebracht!!
geht doch wunderbarstens
so nun bin ich schon mal schlauer wie das teil geht
nur eine sache habe ich da noch
wie bzw geht das überhaupt das die remote IP per dyndns gezogen wird?
die box hat ja ihre feste nur die außendienst leutchen haben ja immer ne andere!
hm.......
also da einfach xxx.dyndns reinschreiben mag die box nicht will unbedingt ne IP geht das auch anderwaltig?
aber erst mal DANKE für die Info´s die haben mich dann doch noch über umwege zum ziel gebracht!!
wie bzw geht das überhaupt das die remote IP per dyndns gezogen wird?
Frag halt per DNS nach der IP. Unter Windows und Unixoide geht das per nslookup.
also da einfach xxx.dyndns reinschreiben mag die box nicht will unbedingt ne IP geht das auch anderwaltig?
Geht eventuell. Wenn deine Box z.B. Telnet oder SSH kann, könntest du die IPs in die Box per Shell reinpipen. Ich würde es aber nicht machen, DynDNS ist da wesentlich sorgenfreier.
BTW: Lag es denn zum Schluß an den Firewall-Einstellungen?
Gruß
Andre
hi
jo lokale firewall hat sich immer zugeschlaten das war eines der probleme und ne ip vertauscht naja usw.
na wenigstens kenn ich mich jetzt etwas besser mit dem teil aus
nun hab ich nur nochn anderes prob
sobald vpn als manueller gateway konfiguriert ist kann die kiste hinter der box nich mehr ins web
hm.....
hab muss ich wohl noch mal nach dem local und remote tunnel schauen das ganze wohl eingrenzen denke mal
jo lokale firewall hat sich immer zugeschlaten das war eines der probleme und ne ip vertauscht naja usw.
na wenigstens kenn ich mich jetzt etwas besser mit dem teil aus
nun hab ich nur nochn anderes prob
sobald vpn als manueller gateway konfiguriert ist kann die kiste hinter der box nich mehr ins web
hm.....
hab muss ich wohl noch mal nach dem local und remote tunnel schauen das ganze wohl eingrenzen denke mal
