8
Watchguard XTM505 und Astaro ASG220 Site-to-Site-Verbindung
Hallo Zusammen,
ich möchte für unsere zwei Standorte eine Site-to-Site-Verbindung anlegen. Hier stoße ich allerdings an meine Grenzen und hoffe Ihr könnt mir weiterhelfen.
Standort A:
Astaro ASG 220 (V8)
Standard B:
Watchguard XTM 505
Folgende Konfig habe ich vorgenommen:
Standort A:
IPSec-Policy:
IKE 3DES, MD5, Lifetime 3600, DH Group 1
IPSec 3DES, MD5, Lifetime 3600, DH Group 1
keine strict policy und keine Compression
Remote-Gateway:
Gateway-IP zeigt auf WAN-Adresse von Standort B
Presharedkey: Zahlenkombi
Remotenetwork: internes Subnetz von Standort B
IPSec-Connection:
local Interface: extern
Policy: die zuvor angelegte
Automatic Firewall Rules: aktiviert
Standort B:
Mobile >VPN with IPSec:
Passphrase: wie zuvor bei Standort A angelegt
Firebox IP Adresses: WAN-Adresse des lokalen Standortes B
IPSec Tunnel:
Phase 1: MD5, 3DESSA, Life 1 Std, DH-Goup 1
Phase 2: MD5, 3DESSA, Life 1 Std, DH-Goup 1
Allow all traffic thorugh tunnel:
Any-External + 0.0.0.0/0
Virtual IP Adresspool: 192.168.180.10
Connect Mode: Automatic
Im Watchguard-Protokoll kann ich den Verbindungsaufbau/Abweisung überhaupt nicht sehen, auf der Astaro steht u.a. dies im Protokoll:
2012:07:18-13:41:03 exefw-2 pluto[5161]: | Notify Message Type: INVALID_EXCHANGE_TYPE
2012:07:18-13:41:03 exefw-2 pluto[5161]: packet from StandortB-IP: ignoring informational payload, type INVALID_EXCHANGE_TYPE
2012:07:18-13:41:03 exefw-2 pluto[5161]: | info: 6a 17 b5 6f 3e 55 28 0f c2 ba 8d b5 1d 97 c9 d1
2012:07:18-13:41:03 exefw-2 pluto[5161]: | next event EVENT_SA_SYNC_UPDATE in 15 seconds
Habt ihr vielleicht eine Idee wo mein Fehler liegt?
Vielen Dank schon mal im Voraus.
Michl
ich möchte für unsere zwei Standorte eine Site-to-Site-Verbindung anlegen. Hier stoße ich allerdings an meine Grenzen und hoffe Ihr könnt mir weiterhelfen.
Standort A:
Astaro ASG 220 (V8)
Standard B:
Watchguard XTM 505
Folgende Konfig habe ich vorgenommen:
Standort A:
IPSec-Policy:
IKE 3DES, MD5, Lifetime 3600, DH Group 1
IPSec 3DES, MD5, Lifetime 3600, DH Group 1
keine strict policy und keine Compression
Remote-Gateway:
Gateway-IP zeigt auf WAN-Adresse von Standort B
Presharedkey: Zahlenkombi
Remotenetwork: internes Subnetz von Standort B
IPSec-Connection:
local Interface: extern
Policy: die zuvor angelegte
Automatic Firewall Rules: aktiviert
Standort B:
Mobile >VPN with IPSec:
Passphrase: wie zuvor bei Standort A angelegt
Firebox IP Adresses: WAN-Adresse des lokalen Standortes B
IPSec Tunnel:
Phase 1: MD5, 3DESSA, Life 1 Std, DH-Goup 1
Phase 2: MD5, 3DESSA, Life 1 Std, DH-Goup 1
Allow all traffic thorugh tunnel:
Any-External + 0.0.0.0/0
Virtual IP Adresspool: 192.168.180.10
Connect Mode: Automatic
Im Watchguard-Protokoll kann ich den Verbindungsaufbau/Abweisung überhaupt nicht sehen, auf der Astaro steht u.a. dies im Protokoll:
2012:07:18-13:41:03 exefw-2 pluto[5161]: | Notify Message Type: INVALID_EXCHANGE_TYPE
2012:07:18-13:41:03 exefw-2 pluto[5161]: packet from StandortB-IP: ignoring informational payload, type INVALID_EXCHANGE_TYPE
2012:07:18-13:41:03 exefw-2 pluto[5161]: | info: 6a 17 b5 6f 3e 55 28 0f c2 ba 8d b5 1d 97 c9 d1
2012:07:18-13:41:03 exefw-2 pluto[5161]: | next event EVENT_SA_SYNC_UPDATE in 15 seconds
Habt ihr vielleicht eine Idee wo mein Fehler liegt?
Vielen Dank schon mal im Voraus.
Michl
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 188276
Url: https://administrator.de/forum/watchguard-xtm505-und-astaro-asg220-site-to-site-verbindung-188276.html
Ausgedruckt am: 19.04.2025 um 04:04 Uhr
8 Kommentare
Neuester Kommentar
Benutzt du auf beiden Seiten den Agressive Mode ? Das ist Pflicht wenn du herstellerfremde Komponenten über IPsec koppelst !!
Nein, kannst Du mir bitte sagen wo ich den bei Astaro finde? Ist das der Punkt "Strict policy"?
Ansonsten finde ich dazu gar nichts in der Astaro-Config.
Ansonsten finde ich dazu gar nichts in der Astaro-Config.
Nein, das ist es nicht ! Wenn du IPsec im ESP Mode machst wovon wir hier mal alle ausgehen hast du immer 2 Optionen den IKE Schlüsseltausch ausführen zu lassen nämlich im sog. "Main Mode" und "Agressive Mode".
Siehe auch:
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
In deinem Fall ist der Agressive Mode Pflicht. Vermutlich rennen beide Seiten im Main Mode was immer zu Problemen führt in gemischten Umgebungen.
Sinnvoll wäre noch ein Log Trace der Geräte vom Tunnelaufbau damit man mal genau sehen kann WO es kneift !
Siehe auch:
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
In deinem Fall ist der Agressive Mode Pflicht. Vermutlich rennen beide Seiten im Main Mode was immer zu Problemen führt in gemischten Umgebungen.
Sinnvoll wäre noch ein Log Trace der Geräte vom Tunnelaufbau damit man mal genau sehen kann WO es kneift !
Ääääähm, sorry. Halte mich wenns sein muss für blind. Ich finde in der Astaro nicht die Möglichkeit zwischen ESP und IKE wählen zu können. Somit habe ich auch die Einstellung mit dem "Aggressiv Mode" nicht. Ich habe auch schon mal danach gegoogelt bin jetzt auf die schnelle noch nicht fündig geworden.
Anbei auf jeden Fall mal den Auszug aus dem Log Trace.
* WG Diagnostic Report for Gateway "HHGateway" *
Created On: Thu Jul 19 18:03:38 2012
[Gateway Summary]
Gateway "HHGateway" contains "1" gateway endpoint(s).
Gateway Endpoint #1 (name "HHGateway")
Mode: Aggressive PFS: Disabled
DPD: Disabled Keepalive: Disabled
Local ID<->Remote ID: {IP_ADDR(Standort-GAR-IP) <-> IP_ADDR(Standort-HH-IP)}
Local GW_IP<->Remote GW_IP: {Standort-GAR-IP <-> Standort-HH-IP}
Outgoing Interface: eth0 (ifIndex=2, ifMark=0x10000, linkStatus=2)
[Tunnel Summary]
"1" tunnel(s) are found using the previous gateway
Name: "HHGAR"
PFS: "Enabled" DH-Group: "1"
Number of Proposals: "1"
Proposal "HHGARPhase2"
ESP:
EncryptAlgo: "3DES" KeyLen: "32(bytes)"
AuthAlgo: "MD5"
LifeTime: "3600(seconds)" LifeByte: "128000(kbytes)"
Number of Tunnel Routes: "1"
#1
Direction: "BOTH"
"192.168.0.0/255.255.128.0<->192.168.168.0/255.255.255.0"
[Run-time Info (gateway IKE_SA)]
Name: "HHGateway" (IfStatus: 0x80000001)
ISAKMP SAID: "0x0" State: "AM SA Wait"
Created: Thu Jan 1 01:00:00 1970
My Address: Standort-GAR-IP:500 Peer Address: Standort-HH-IP:500
InitCookie: "807705b21a8e26a9" RespCookie: "0000000000000000"
LifeTime: "0(seconds)" LifeByte: "0(kbtyes)" DPD: "Disabled"
[Run-time Info (tunnel IPSEC_SA)]
[Run-time Info (tunnel IPSEC_SP)]
"1" IPSEC SP(s) are found
#1
Tunnel Endpoint: "Standort-GAR-IP->Standort-HH-IP"
Tunnel Selector: 192.168.0.0/17 -> 192.168.168.0/24 Proto: ANY
Created On: Thu Jul 19 17:52:07 2012
Gateway Name: "HHGateway"
Tunnel Name: "HHGAR"
[Related Logs]
<156>Jul 19 18:02:39 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Drop negotiation to peer Standort-HH-IP:500 due to phase 1 retry timeout
<158>Jul 19 18:02:39 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)ike_p1_status_chg: ikePcyName=HHGateway, status=DOWN
<158>Jul 19 18:02:39 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)ikeMultiWanMarkIkePcyObj: MWAN ikePcyGroup(HHGateway)'s ikePcy(HHGateway) ifStatus=0x80000001, mark it as DOWN
<158>Jul 19 18:02:39 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeDeleteIsakmpSA: try to delete Isakmp SA 0x8149d28 for Gateway HHGateway
<158>Jul 19 18:02:39 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Totally 0 Pending P2 SA Requests Got Dropped.
<158>Jul 19 18:02:39 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeDeleteDelState: try to delete DelState 0x816a180 with IsakmpSA 0x8149d28
<158>Jul 19 18:02:39 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeDeleteDelState: try to delete DelState 0x8169f30 with IsakmpSA 0x8149d28
<158>Jul 19 18:02:39 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeDeleteIsakmpSA: Stop Phase One Retry and Life Timer
<158>Jul 19 18:02:39 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeDeleteIsakmpSA: Stop Phase One DPD Retry timer
<158>Jul 19 18:02:57 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP) RECV an IKE packet at Standort-GAR-IP:500(socket=11 ifIndex=2) from Peer Standort-HH-IP:500
<158>Jul 19 18:02:57 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Found IKE Policy [HHGateway, dev=eth0] for peer IP=Standort-HH-IP, numXform=1, pkt ifIndex=2
<158>Jul 19 18:02:57 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Delete Unknown Isakmp SA: try to delete P1 SA, dstIp 0x509caf6b, srcIp 0x5d68ecdc
<158>Jul 19 18:02:57 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Found IKE Policy [HHGateway, dev=eth0] for peer IP=Standort-HH-IP, numXform=1, pkt ifIndex=2
<158>Jul 19 18:02:57 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeCreateIsakmpSA: init vpnDpdSequenceNum = 160155251(Isakmp SA 0x8149360)
<158>Jul 19 18:02:57 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)AggrMode: Start (Ct=65) pcy [HHGateway]
<158>Jul 19 18:02:57 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeProposalHtoN : net order spi(0000 0000 0000 0000)
<158>Jul 19 18:02:57 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Starting phase 1 negotiation using [HHGateway] to Standort-HH-IP:500 aggressive mode
<156>Jul 19 18:02:57 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Received unknown phase one SA from Standort-HH-IP:500. Start IKE negotiation to delete it
<158>Jul 19 18:02:57 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP) RECV an IKE packet at Standort-GAR-IP:500(socket=11 ifIndex=2) from Peer Standort-HH-IP:500
<158>Jul 19 18:02:57 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Found IKE Policy [HHGateway, dev=eth0] for peer IP=Standort-HH-IP, numXform=1, pkt ifIndex=2
<158>Jul 19 18:03:00 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Phase 1 IkeRetryTimeout:: Retrying 1st phase.. (Gateway HHGateway)
<158>Jul 19 18:03:01 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP) RECV an IKE packet at Standort-GAR-IP:500(socket=11 ifIndex=2) from Peer Standort-HH-IP:500
<158>Jul 19 18:03:01 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Found IKE Policy [HHGateway, dev=eth0] for peer IP=Standort-HH-IP, numXform=1, pkt ifIndex=2
<158>Jul 19 18:03:03 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Phase 1 IkeRetryTimeout:: Retrying 1st phase.. (Gateway HHGateway)
<158>Jul 19 18:03:03 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP) RECV an IKE packet at Standort-GAR-IP:500(socket=11 ifIndex=2) from Peer Standort-HH-IP:500
<158>Jul 19 18:03:03 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Found IKE Policy [HHGateway, dev=eth0] for peer IP=Standort-HH-IP, numXform=1, pkt ifIndex=2
<158>Jul 19 18:03:06 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Phase 1 IkeRetryTimeout:: Retrying 1st phase.. (Gateway HHGateway)
<158>Jul 19 18:03:06 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP) RECV an IKE packet at Standort-GAR-IP:500(socket=11 ifIndex=2) from Peer Standort-HH-IP:500
<158>Jul 19 18:03:06 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Found IKE Policy [HHGateway, dev=eth0] for peer IP=Standort-HH-IP, numXform=1, pkt ifIndex=2
<156>Jul 19 18:03:09 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Drop negotiation to peer Standort-HH-IP:500 due to phase 1 retry timeout
<158>Jul 19 18:03:09 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)ike_p1_status_chg: ikePcyName=HHGateway, status=DOWN
<158>Jul 19 18:03:09 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)ikeMultiWanMarkIkePcyObj: MWAN ikePcyGroup(HHGateway)'s ikePcy(HHGateway) ifStatus=0x80000001, mark it as DOWN
<158>Jul 19 18:03:09 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeDeleteIsakmpSA: try to delete Isakmp SA 0x8149360 for Gateway HHGateway
<158>Jul 19 18:03:09 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Totally 0 Pending P2 SA Requests Got Dropped.
<158>Jul 19 18:03:09 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeDeleteDelState: try to delete DelState 0x816a4f8 with IsakmpSA 0x8149360
<158>Jul 19 18:03:09 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeDeleteIsakmpSA: Stop Phase One Retry and Life Timer
<158>Jul 19 18:03:09 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeDeleteIsakmpSA: Stop Phase One DPD Retry timer
<158>Jul 19 18:03:38 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP) RECV an IKE packet at Standort-GAR-IP:500(socket=11 ifIndex=2) from Peer Standort-HH-IP:500
<158>Jul 19 18:03:38 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Found IKE Policy [HHGateway, dev=eth0] for peer IP=Standort-HH-IP, numXform=1, pkt ifIndex=2
<158>Jul 19 18:03:38 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Delete Unknown Isakmp SA: try to delete P1 SA, dstIp 0x509caf6b, srcIp 0x5d68ecdc
<158>Jul 19 18:03:38 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Found IKE Policy [HHGateway, dev=eth0] for peer IP=Standort-HH-IP, numXform=1, pkt ifIndex=2
<158>Jul 19 18:03:38 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeCreateIsakmpSA: init vpnDpdSequenceNum = 461821219(Isakmp SA 0x8148998)
<158>Jul 19 18:03:38 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)AggrMode: Start (Ct=66) pcy [HHGateway]
<158>Jul 19 18:03:38 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeProposalHtoN : net order spi(0000 0000 0000 0000)
<158>Jul 19 18:03:38 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Starting phase 1 negotiation using [HHGateway] to Standort-HH-IP:500 aggressive mode
<156>Jul 19 18:03:38 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Received unknown phase one SA from Standort-HH-IP:500. Start IKE negotiation to delete it
<158>Jul 19 18:03:38 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP) RECV an IKE packet at Standort-GAR-IP:500(socket=11 ifIndex=2) from Peer Standort-HH-IP:500
<158>Jul 19 18:03:38 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Found IKE Policy [HHGateway, dev=eth0] for peer IP=Standort-HH-IP, numXform=1, pkt ifIndex=2
Vielen Dank für Deine Hilfe.
VG Michl
Anbei auf jeden Fall mal den Auszug aus dem Log Trace.
* WG Diagnostic Report for Gateway "HHGateway" *
Created On: Thu Jul 19 18:03:38 2012
[Gateway Summary]
Gateway "HHGateway" contains "1" gateway endpoint(s).
Gateway Endpoint #1 (name "HHGateway")
Mode: Aggressive PFS: Disabled
DPD: Disabled Keepalive: Disabled
Local ID<->Remote ID: {IP_ADDR(Standort-GAR-IP) <-> IP_ADDR(Standort-HH-IP)}
Local GW_IP<->Remote GW_IP: {Standort-GAR-IP <-> Standort-HH-IP}
Outgoing Interface: eth0 (ifIndex=2, ifMark=0x10000, linkStatus=2)
[Tunnel Summary]
"1" tunnel(s) are found using the previous gateway
Name: "HHGAR"
PFS: "Enabled" DH-Group: "1"
Number of Proposals: "1"
Proposal "HHGARPhase2"
ESP:
EncryptAlgo: "3DES" KeyLen: "32(bytes)"
AuthAlgo: "MD5"
LifeTime: "3600(seconds)" LifeByte: "128000(kbytes)"
Number of Tunnel Routes: "1"
#1
Direction: "BOTH"
"192.168.0.0/255.255.128.0<->192.168.168.0/255.255.255.0"
[Run-time Info (gateway IKE_SA)]
Name: "HHGateway" (IfStatus: 0x80000001)
ISAKMP SAID: "0x0" State: "AM SA Wait"
Created: Thu Jan 1 01:00:00 1970
My Address: Standort-GAR-IP:500 Peer Address: Standort-HH-IP:500
InitCookie: "807705b21a8e26a9" RespCookie: "0000000000000000"
LifeTime: "0(seconds)" LifeByte: "0(kbtyes)" DPD: "Disabled"
[Run-time Info (tunnel IPSEC_SA)]
[Run-time Info (tunnel IPSEC_SP)]
"1" IPSEC SP(s) are found
#1
Tunnel Endpoint: "Standort-GAR-IP->Standort-HH-IP"
Tunnel Selector: 192.168.0.0/17 -> 192.168.168.0/24 Proto: ANY
Created On: Thu Jul 19 17:52:07 2012
Gateway Name: "HHGateway"
Tunnel Name: "HHGAR"
[Related Logs]
<156>Jul 19 18:02:39 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Drop negotiation to peer Standort-HH-IP:500 due to phase 1 retry timeout
<158>Jul 19 18:02:39 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)ike_p1_status_chg: ikePcyName=HHGateway, status=DOWN
<158>Jul 19 18:02:39 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)ikeMultiWanMarkIkePcyObj: MWAN ikePcyGroup(HHGateway)'s ikePcy(HHGateway) ifStatus=0x80000001, mark it as DOWN
<158>Jul 19 18:02:39 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeDeleteIsakmpSA: try to delete Isakmp SA 0x8149d28 for Gateway HHGateway
<158>Jul 19 18:02:39 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Totally 0 Pending P2 SA Requests Got Dropped.
<158>Jul 19 18:02:39 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeDeleteDelState: try to delete DelState 0x816a180 with IsakmpSA 0x8149d28
<158>Jul 19 18:02:39 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeDeleteDelState: try to delete DelState 0x8169f30 with IsakmpSA 0x8149d28
<158>Jul 19 18:02:39 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeDeleteIsakmpSA: Stop Phase One Retry and Life Timer
<158>Jul 19 18:02:39 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeDeleteIsakmpSA: Stop Phase One DPD Retry timer
<158>Jul 19 18:02:57 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP) RECV an IKE packet at Standort-GAR-IP:500(socket=11 ifIndex=2) from Peer Standort-HH-IP:500
<158>Jul 19 18:02:57 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Found IKE Policy [HHGateway, dev=eth0] for peer IP=Standort-HH-IP, numXform=1, pkt ifIndex=2
<158>Jul 19 18:02:57 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Delete Unknown Isakmp SA: try to delete P1 SA, dstIp 0x509caf6b, srcIp 0x5d68ecdc
<158>Jul 19 18:02:57 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Found IKE Policy [HHGateway, dev=eth0] for peer IP=Standort-HH-IP, numXform=1, pkt ifIndex=2
<158>Jul 19 18:02:57 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeCreateIsakmpSA: init vpnDpdSequenceNum = 160155251(Isakmp SA 0x8149360)
<158>Jul 19 18:02:57 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)AggrMode: Start (Ct=65) pcy [HHGateway]
<158>Jul 19 18:02:57 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeProposalHtoN : net order spi(0000 0000 0000 0000)
<158>Jul 19 18:02:57 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Starting phase 1 negotiation using [HHGateway] to Standort-HH-IP:500 aggressive mode
<156>Jul 19 18:02:57 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Received unknown phase one SA from Standort-HH-IP:500. Start IKE negotiation to delete it
<158>Jul 19 18:02:57 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP) RECV an IKE packet at Standort-GAR-IP:500(socket=11 ifIndex=2) from Peer Standort-HH-IP:500
<158>Jul 19 18:02:57 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Found IKE Policy [HHGateway, dev=eth0] for peer IP=Standort-HH-IP, numXform=1, pkt ifIndex=2
<158>Jul 19 18:03:00 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Phase 1 IkeRetryTimeout:: Retrying 1st phase.. (Gateway HHGateway)
<158>Jul 19 18:03:01 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP) RECV an IKE packet at Standort-GAR-IP:500(socket=11 ifIndex=2) from Peer Standort-HH-IP:500
<158>Jul 19 18:03:01 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Found IKE Policy [HHGateway, dev=eth0] for peer IP=Standort-HH-IP, numXform=1, pkt ifIndex=2
<158>Jul 19 18:03:03 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Phase 1 IkeRetryTimeout:: Retrying 1st phase.. (Gateway HHGateway)
<158>Jul 19 18:03:03 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP) RECV an IKE packet at Standort-GAR-IP:500(socket=11 ifIndex=2) from Peer Standort-HH-IP:500
<158>Jul 19 18:03:03 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Found IKE Policy [HHGateway, dev=eth0] for peer IP=Standort-HH-IP, numXform=1, pkt ifIndex=2
<158>Jul 19 18:03:06 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Phase 1 IkeRetryTimeout:: Retrying 1st phase.. (Gateway HHGateway)
<158>Jul 19 18:03:06 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP) RECV an IKE packet at Standort-GAR-IP:500(socket=11 ifIndex=2) from Peer Standort-HH-IP:500
<158>Jul 19 18:03:06 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Found IKE Policy [HHGateway, dev=eth0] for peer IP=Standort-HH-IP, numXform=1, pkt ifIndex=2
<156>Jul 19 18:03:09 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Drop negotiation to peer Standort-HH-IP:500 due to phase 1 retry timeout
<158>Jul 19 18:03:09 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)ike_p1_status_chg: ikePcyName=HHGateway, status=DOWN
<158>Jul 19 18:03:09 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)ikeMultiWanMarkIkePcyObj: MWAN ikePcyGroup(HHGateway)'s ikePcy(HHGateway) ifStatus=0x80000001, mark it as DOWN
<158>Jul 19 18:03:09 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeDeleteIsakmpSA: try to delete Isakmp SA 0x8149360 for Gateway HHGateway
<158>Jul 19 18:03:09 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Totally 0 Pending P2 SA Requests Got Dropped.
<158>Jul 19 18:03:09 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeDeleteDelState: try to delete DelState 0x816a4f8 with IsakmpSA 0x8149360
<158>Jul 19 18:03:09 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeDeleteIsakmpSA: Stop Phase One Retry and Life Timer
<158>Jul 19 18:03:09 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeDeleteIsakmpSA: Stop Phase One DPD Retry timer
<158>Jul 19 18:03:38 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP) RECV an IKE packet at Standort-GAR-IP:500(socket=11 ifIndex=2) from Peer Standort-HH-IP:500
<158>Jul 19 18:03:38 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Found IKE Policy [HHGateway, dev=eth0] for peer IP=Standort-HH-IP, numXform=1, pkt ifIndex=2
<158>Jul 19 18:03:38 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Delete Unknown Isakmp SA: try to delete P1 SA, dstIp 0x509caf6b, srcIp 0x5d68ecdc
<158>Jul 19 18:03:38 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Found IKE Policy [HHGateway, dev=eth0] for peer IP=Standort-HH-IP, numXform=1, pkt ifIndex=2
<158>Jul 19 18:03:38 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeCreateIsakmpSA: init vpnDpdSequenceNum = 461821219(Isakmp SA 0x8148998)
<158>Jul 19 18:03:38 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)AggrMode: Start (Ct=66) pcy [HHGateway]
<158>Jul 19 18:03:38 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)IkeProposalHtoN : net order spi(0000 0000 0000 0000)
<158>Jul 19 18:03:38 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Starting phase 1 negotiation using [HHGateway] to Standort-HH-IP:500 aggressive mode
<156>Jul 19 18:03:38 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Received unknown phase one SA from Standort-HH-IP:500. Start IKE negotiation to delete it
<158>Jul 19 18:03:38 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP) RECV an IKE packet at Standort-GAR-IP:500(socket=11 ifIndex=2) from Peer Standort-HH-IP:500
<158>Jul 19 18:03:38 iked[1689]: (Standort-GAR-IP<->Standort-HH-IP)Found IKE Policy [HHGateway, dev=eth0] for peer IP=Standort-HH-IP, numXform=1, pkt ifIndex=2
Vielen Dank für Deine Hilfe.
VG Michl
Jetzt habe ich was rausgefunden
http://www.astaro.org/astaro-gateway-products/vpn-site-site-remote-acce ...
Aussage Astaro zu der Thematik: Aggressiv-Mode ist nicht sicher, da es sich bei Astaro um ein Sicherheitsprodukt handelt wird das nicht angeboten (siehe link)
Kann ich die Sache noch irgendwie anders angehen? Ich meine wenn das gleiche Protokoll verwendet wird sollten doch normal alle die gleiche Sprache sprechen, oder?
VG und Danke
Michl
http://www.astaro.org/astaro-gateway-products/vpn-site-site-remote-acce ...
Aussage Astaro zu der Thematik: Aggressiv-Mode ist nicht sicher, da es sich bei Astaro um ein Sicherheitsprodukt handelt wird das nicht angeboten (siehe link)
Kann ich die Sache noch irgendwie anders angehen? Ich meine wenn das gleiche Protokoll verwendet wird sollten doch normal alle die gleiche Sprache sprechen, oder?
VG und Danke
Michl
Das ist eine unsinnige Aussage und zeugt von wenig Fachkenntniss der Astaro Hotline...aber egal. Das zu deaktivieren ist eher ein übler Marketing Trick um den Kauf einer weiteren Appliance zu erzwingen und die Kopplung mit Drittanbietern so zu unterbinden.
Dann kannst du nur den Main Mode versuchen und hoffen das es klappt. Die Chancen sind aber nicht groß.
Oder du erwirbst einen andere FW Hardware die sowas kann:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Hilfreich für ein weiteres Troubleshooting sind immer noch die Log Auszüge beider Seiten !!
Dann kannst du nur den Main Mode versuchen und hoffen das es klappt. Die Chancen sind aber nicht groß.
Oder du erwirbst einen andere FW Hardware die sowas kann:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Hilfreich für ein weiteres Troubleshooting sind immer noch die Log Auszüge beider Seiten !!
Im Main Mode habe ich die Watchguard standardmäßig konfiguriert, da hat es nicht funktioniert. Ansonsten hätte ich leider nicht das Drama. Die Astaro ist erst vor 1,5 Jahren angeschafft worden und hat 17k gekostet. Mein Chef reist mir die Rübe runter wenn ich ihm sage er soll das Ding in die Tonne treten ;o)
Anbei noch der LOG-Auszug aus der Astaro, sorry hatte ich vorher vergessen anzuhängen:
2012:07:19-19:08:36 exefw-2 pluto[31711]: loaded ca certificate from '/etc/ipsec.d/cacerts/VPN Signing CA.pem'
2012:07:19-19:08:36 exefw-2 pluto[31711]: loading aa certificates from '/etc/ipsec.d/aacerts'
2012:07:19-19:08:36 exefw-2 pluto[31711]: loading ocsp certificates from '/etc/ipsec.d/ocspcerts'
2012:07:19-19:08:36 exefw-2 pluto[31711]: loading attribute certificates from '/etc/ipsec.d/acerts'
2012:07:19-19:08:36 exefw-2 pluto[31711]: Changing to directory '/etc/ipsec.d/crls'
2012:07:19-19:08:36 exefw-2 pluto[31711]: "S_HH-GAR (IPSec)" #275: received Vendor ID payload [XAUTH]
2012:07:19-19:08:37 exefw-2 pluto[31711]: "S_HH-GAR (IPSec)" #275: Peer ID is ID_IPV4_ADDR: 'Standort-GAR-IP'
2012:07:19-19:08:37 exefw-2 pluto[31711]: "S_HH-GAR (IPSec)" #275: ISAKMP SA established
2012:07:19-19:08:37 exefw-2 pluto[31711]: "S_HH-GAR (IPSec)" #276: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS+UP {using isakmp#275}
2012:07:19-19:08:37 exefw-2 pluto[31711]: "S_HH-GAR (IPSec)" #275: ignoring informational payload, type NO_PROPOSAL_CHOSEN
2012:07:19-19:08:48 exefw-2 pluto[31711]: "S_HH-GAR (IPSec)" #275: ignoring informational payload, type NO_PROPOSAL_CHOSEN
2012:07:19-19:09:07 exefw-2 pluto[31711]: "S_HH-GAR (IPSec)" #275: ignoring informational payload, type NO_PROPOSAL_CHOSEN
2012:07:19-19:09:14 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: received Vendor ID payload [strongSwan]
2012:07:19-19:09:14 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: ignoring Vendor ID payload [Cisco-Unity]
2012:07:19-19:09:14 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: received Vendor ID payload [XAUTH]
2012:07:19-19:09:14 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: received Vendor ID payload [Dead Peer Detection]
2012:07:19-19:09:14 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: ignoring Vendor ID payload [RFC 3947]
2012:07:19-19:09:14 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
2012:07:19-19:09:14 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
2012:07:19-19:09:14 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
2012:07:19-19:09:14 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
2012:07:19-19:09:14 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: initial Main Mode message received on Standort-HH-IP:500 but no connection has been authorized with policy=PSK
2012:07:19-19:09:47 exefw-2 pluto[31711]: "S_HH-GAR (IPSec)" #276: max number of retransmissions (2) reached STATE_QUICK_I1. No acceptable response to our first Quick Mode message: perhaps peer likes no proposal
2012:07:19-19:09:47 exefw-2 pluto[31711]: "S_HH-GAR (IPSec)" #276: starting keying attempt 2 of an unlimited number
2012:07:19-19:09:47 exefw-2 pluto[31711]: "S_HH-GAR (IPSec)" #277: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS+UP to replace #276 {using isakmp#275}
2012:07:19-19:09:47 exefw-2 pluto[31711]: "S_HH-GAR (IPSec)" #275: ignoring informational payload, type NO_PROPOSAL_CHOSEN
2012:07:19-19:09:54 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: received Vendor ID payload [strongSwan]
2012:07:19-19:09:54 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: ignoring Vendor ID payload [Cisco-Unity]
2012:07:19-19:09:54 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: received Vendor ID payload [XAUTH]
2012:07:19-19:09:54 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: received Vendor ID payload [Dead Peer Detection]
2012:07:19-19:09:54 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: ignoring Vendor ID payload [RFC 3947]
2012:07:19-19:09:54 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
2012:07:19-19:09:54 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
2012:07:19-19:09:54 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
2012:07:19-19:09:54 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
2012:07:19-19:09:54 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: initial Main Mode message received on Standort-HH-IP:500 but no connection has been authorized with policy=PSK
VG Michl
Anbei noch der LOG-Auszug aus der Astaro, sorry hatte ich vorher vergessen anzuhängen:
2012:07:19-19:08:36 exefw-2 pluto[31711]: loaded ca certificate from '/etc/ipsec.d/cacerts/VPN Signing CA.pem'
2012:07:19-19:08:36 exefw-2 pluto[31711]: loading aa certificates from '/etc/ipsec.d/aacerts'
2012:07:19-19:08:36 exefw-2 pluto[31711]: loading ocsp certificates from '/etc/ipsec.d/ocspcerts'
2012:07:19-19:08:36 exefw-2 pluto[31711]: loading attribute certificates from '/etc/ipsec.d/acerts'
2012:07:19-19:08:36 exefw-2 pluto[31711]: Changing to directory '/etc/ipsec.d/crls'
2012:07:19-19:08:36 exefw-2 pluto[31711]: "S_HH-GAR (IPSec)" #275: received Vendor ID payload [XAUTH]
2012:07:19-19:08:37 exefw-2 pluto[31711]: "S_HH-GAR (IPSec)" #275: Peer ID is ID_IPV4_ADDR: 'Standort-GAR-IP'
2012:07:19-19:08:37 exefw-2 pluto[31711]: "S_HH-GAR (IPSec)" #275: ISAKMP SA established
2012:07:19-19:08:37 exefw-2 pluto[31711]: "S_HH-GAR (IPSec)" #276: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS+UP {using isakmp#275}
2012:07:19-19:08:37 exefw-2 pluto[31711]: "S_HH-GAR (IPSec)" #275: ignoring informational payload, type NO_PROPOSAL_CHOSEN
2012:07:19-19:08:48 exefw-2 pluto[31711]: "S_HH-GAR (IPSec)" #275: ignoring informational payload, type NO_PROPOSAL_CHOSEN
2012:07:19-19:09:07 exefw-2 pluto[31711]: "S_HH-GAR (IPSec)" #275: ignoring informational payload, type NO_PROPOSAL_CHOSEN
2012:07:19-19:09:14 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: received Vendor ID payload [strongSwan]
2012:07:19-19:09:14 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: ignoring Vendor ID payload [Cisco-Unity]
2012:07:19-19:09:14 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: received Vendor ID payload [XAUTH]
2012:07:19-19:09:14 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: received Vendor ID payload [Dead Peer Detection]
2012:07:19-19:09:14 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: ignoring Vendor ID payload [RFC 3947]
2012:07:19-19:09:14 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
2012:07:19-19:09:14 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
2012:07:19-19:09:14 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
2012:07:19-19:09:14 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
2012:07:19-19:09:14 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: initial Main Mode message received on Standort-HH-IP:500 but no connection has been authorized with policy=PSK
2012:07:19-19:09:47 exefw-2 pluto[31711]: "S_HH-GAR (IPSec)" #276: max number of retransmissions (2) reached STATE_QUICK_I1. No acceptable response to our first Quick Mode message: perhaps peer likes no proposal
2012:07:19-19:09:47 exefw-2 pluto[31711]: "S_HH-GAR (IPSec)" #276: starting keying attempt 2 of an unlimited number
2012:07:19-19:09:47 exefw-2 pluto[31711]: "S_HH-GAR (IPSec)" #277: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS+UP to replace #276 {using isakmp#275}
2012:07:19-19:09:47 exefw-2 pluto[31711]: "S_HH-GAR (IPSec)" #275: ignoring informational payload, type NO_PROPOSAL_CHOSEN
2012:07:19-19:09:54 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: received Vendor ID payload [strongSwan]
2012:07:19-19:09:54 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: ignoring Vendor ID payload [Cisco-Unity]
2012:07:19-19:09:54 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: received Vendor ID payload [XAUTH]
2012:07:19-19:09:54 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: received Vendor ID payload [Dead Peer Detection]
2012:07:19-19:09:54 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: ignoring Vendor ID payload [RFC 3947]
2012:07:19-19:09:54 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
2012:07:19-19:09:54 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
2012:07:19-19:09:54 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
2012:07:19-19:09:54 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
2012:07:19-19:09:54 exefw-2 pluto[31711]: packet from xxx.xxx.xxx.xxx:500: initial Main Mode message received on Standort-HH-IP:500 but no connection has been authorized with policy=PSK
VG Michl
Manchmal ist es besser es mal eine Nacht ruhen zu lassen. Man verrennt sich so leicht.
Also ich habe weiterhin auf beiden Seiten MD5, 3DES, Group1, Main Mode (Astaro läßt ja nix anderes zu)
Es hätte eigentlich alles laufen müssen, wenn ich nicht versehentlich der Astaro das falsche "Lokal Network" zugewiesen hätte *würg*
Das hatte ich auch in den Logs nicht gesehen. Hätte ich einen Ping auf das Remotenetzwerk abgesetzt wären auch in den Logs die notwendigen Hinweise dafür gestanden.
@aqui: Vielen Dank nochmal für Deine Unterstützung und sorry das es dann doch wieder ein PebKaC (Problem exist between keyboard and chair) war ;o)
VG Michl
Also ich habe weiterhin auf beiden Seiten MD5, 3DES, Group1, Main Mode (Astaro läßt ja nix anderes zu)
Es hätte eigentlich alles laufen müssen, wenn ich nicht versehentlich der Astaro das falsche "Lokal Network" zugewiesen hätte *würg*
Das hatte ich auch in den Logs nicht gesehen. Hätte ich einen Ping auf das Remotenetzwerk abgesetzt wären auch in den Logs die notwendigen Hinweise dafür gestanden.
@aqui: Vielen Dank nochmal für Deine Unterstützung und sorry das es dann doch wieder ein PebKaC (Problem exist between keyboard and chair) war ;o)
VG Michl
