17
Zyxel DSL Router - VPN Konfiguration
ist meine erste IPSec-VPN Tunnel konfiguration 
versuche Standort-A (Zyxel P-662) und Standort-B (Zyxel P-661) per IPSec VPN zu verbinden. Phase 1 klappt, aber bei Phase 2 scheiterts. Woran kann das liegen?
Hängt das zusammen weil Standort-A schon einen permanenten VPN Tunnel zu Standort-C hat?
versuche Standort-A (Zyxel P-662) und Standort-B (Zyxel P-661) per IPSec VPN zu verbinden. Phase 1 klappt, aber bei Phase 2 scheiterts. Woran kann das liegen?
Hängt das zusammen weil Standort-A schon einen permanenten VPN Tunnel zu Standort-C hat?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 180781
Url: https://administrator.de/contentid/180781
Ausgedruckt am: 22.11.2024 um 10:11 Uhr
17 Kommentare
Neuester Kommentar
Hallo,
hmm ja... woran könnte das liegen?
Ich würde vermuten, irgendwas in deiner VPN-Konfiguration stimmt nicht überein.
Ein bisschen mehr Informationen, wären super
Gruß Daniel
hmm ja... woran könnte das liegen?
Ich würde vermuten, irgendwas in deiner VPN-Konfiguration stimmt nicht überein.
Ein bisschen mehr Informationen, wären super
Gruß Daniel
das log sieht folgendermaßen aus:
Send<:[HASH][NOTFY:ERR_ID_INFO]
2 02/20/2012 17:51:08 Configured Peer ID Content:
3 02/20/2012 17:51:08 Incoming ID Content:
4 02/20/2012 17:51:08 Phase 1 ID content mismatch
5 02/20/2012 17:51:08 Rule [2] Phase 1 ID mismatch
6 02/20/2012 17:51:08 Send<:[HASH][NOTFY:ERR_ID_INFO]
7 02/20/2012 17:51:08 Rule [2] Phase 1 ID mismatch
8 02/20/2012 17:51:08 Recv<:[ID][HASH]
9 02/20/2012 17:51:08 Send<:[KE][NONCE]
10 02/20/2012 17:51:07 Recv<:[KE][NONCE]
11 02/20/2012 17:51:07 Send<:[SA][VID]
12 02/20/2012 17:51:07 Recv<:[SA][VID][VID][VID][VID][VID][
13 02/20/2012 17:51:07 Recv Mode request from <95.171.52.211>
14 02/20/2012 17:51:07 Rule [2] Receiving IKE request
15 02/20/2012 17:50:54 Send<:[HASH][DEL]>
welche Einstellung mache ich falsch?
Send<:[HASH][NOTFY:ERR_ID_INFO]
2 02/20/2012 17:51:08 Configured Peer ID Content:
3 02/20/2012 17:51:08 Incoming ID Content:
4 02/20/2012 17:51:08 Phase 1 ID content mismatch
5 02/20/2012 17:51:08 Rule [2] Phase 1 ID mismatch
6 02/20/2012 17:51:08 Send<:[HASH][NOTFY:ERR_ID_INFO]
7 02/20/2012 17:51:08 Rule [2] Phase 1 ID mismatch
8 02/20/2012 17:51:08 Recv<:[ID][HASH]
9 02/20/2012 17:51:08 Send<:[KE][NONCE]
10 02/20/2012 17:51:07 Recv<:[KE][NONCE]
11 02/20/2012 17:51:07 Send<:[SA][VID]
12 02/20/2012 17:51:07 Recv<:[SA][VID][VID][VID][VID][VID][
13 02/20/2012 17:51:07 Recv Mode request from <95.171.52.211>
14 02/20/2012 17:51:07 Rule [2] Receiving IKE request
15 02/20/2012 17:50:54 Send<:[HASH][DEL]>
welche Einstellung mache ich falsch?
Hallo,
dein Log Auszug sagt aber das bereits Phase 1 nicht klappt!
Pre shared Key passt?
Remote IP's passen?
Welche EInstellungen verwendest du für Phase 1?
brammer
dein Log Auszug sagt aber das bereits Phase 1 nicht klappt!
4 02/20/2012 17:51:08 Phase 1 ID content mismatch
5 02/20/2012 17:51:08 Rule [2] Phase 1 ID mismatch
5 02/20/2012 17:51:08 Rule [2] Phase 1 ID mismatch
Pre shared Key passt?
Remote IP's passen?
Welche EInstellungen verwendest du für Phase 1?
brammer
Wenn das alles stimmt, schau bitte mal noch, ob du irgendwelche ID´s eingetragen hast....
bei Router-A habe ich folgende Einstellungen:
Lokal
Adresstyp lokal EinzelnBereichSubnet: = Bereich
IP-Startadresse = 192.168.23.0
End-IP oder Subnet-Maske = 192.168.23.254
Gegenstelle
Adresstyp Gegenstelle EinzelnBereichSubnet = Bereich
IP-Startadresse = 192.168.1.0
End-IP oder Subnet-Maske = 192.168.1.254
Adress-Information
Lokale ID = IP
Inhalt = leer
Lokale ID = öffentliche IP vom Router-A
ID Typ von Gegenstelle = IP
Inhalt = leer
Adresse sicherer Gegenstelle = öffentliche IP vom Router-B
Einstellungen von Router-B:
lokaler Adressentyp = einfach
IP Anfangsadresse = 192.168.1.0
entfernter Adressentyp = einfach
IP Anfangsadresse = 192.168.23.0
Adress Information
Meine IP Adresse = öffentliche IP von Router-B
Secure Gateway Adresse = öffentliche IP von Router-A
Lokale ID = IP
Inhalt = 192.168.1.0
entfernte ID = IP
Inhalt = öffentliche IP von Router-A
auf beiden Routern:
3DES
SHA1
DH2
SA Life Time 28800
3DES
SHA1
DH2
SA Life Time 28800
PFS = keine
DPD = aktiviert (nur auf Router-B vorhanden)
was mache ich falsch? - ich blicke einfach nicht durch
Lokal
Adresstyp lokal EinzelnBereichSubnet: = Bereich
IP-Startadresse = 192.168.23.0
End-IP oder Subnet-Maske = 192.168.23.254
Gegenstelle
Adresstyp Gegenstelle EinzelnBereichSubnet = Bereich
IP-Startadresse = 192.168.1.0
End-IP oder Subnet-Maske = 192.168.1.254
Adress-Information
Lokale ID = IP
Inhalt = leer
Lokale ID = öffentliche IP vom Router-A
ID Typ von Gegenstelle = IP
Inhalt = leer
Adresse sicherer Gegenstelle = öffentliche IP vom Router-B
Einstellungen von Router-B:
lokaler Adressentyp = einfach
IP Anfangsadresse = 192.168.1.0
entfernter Adressentyp = einfach
IP Anfangsadresse = 192.168.23.0
Adress Information
Meine IP Adresse = öffentliche IP von Router-B
Secure Gateway Adresse = öffentliche IP von Router-A
Lokale ID = IP
Inhalt = 192.168.1.0
entfernte ID = IP
Inhalt = öffentliche IP von Router-A
auf beiden Routern:
3DES
SHA1
DH2
SA Life Time 28800
3DES
SHA1
DH2
SA Life Time 28800
PFS = keine
DPD = aktiviert (nur auf Router-B vorhanden)
was mache ich falsch? - ich blicke einfach nicht durch
Hallo,
versuche bitte mal mit einem PSK zu arbeiten der keine Sonderzeichen enthält, es gibt ein paar Sonderzeichen die manchmal kritisch sind.
z.B.: / ! ? % $ sind da Kandidaten.
Außerdem kannst du PFS mal aktivieren
DPD (Dead Peer Detection) solte keinen Einfluss haben, so lange die Gegenseite errreichbar ist.
Wenn das nicht hilft kannst du DH mal auf 1 setzen, nicht das hier ein Performance Problem mit der Schlüssellänge existiert.
Der existierende Tunnel von A zu C zeigt ja eigentlich das es geht.
Was ein Einfluss haben könnte ist der Anschluss an Standort B.
Was für ein Anschluss ist das?
brammer
versuche bitte mal mit einem PSK zu arbeiten der keine Sonderzeichen enthält, es gibt ein paar Sonderzeichen die manchmal kritisch sind.
z.B.: / ! ? % $ sind da Kandidaten.
Außerdem kannst du PFS mal aktivieren
DPD (Dead Peer Detection) solte keinen Einfluss haben, so lange die Gegenseite errreichbar ist.
Wenn das nicht hilft kannst du DH mal auf 1 setzen, nicht das hier ein Performance Problem mit der Schlüssellänge existiert.
Der existierende Tunnel von A zu C zeigt ja eigentlich das es geht.
Was ein Einfluss haben könnte ist der Anschluss an Standort B.
Was für ein Anschluss ist das?
brammer
Hi
- mein benutzer PSK enthält keinerlei Sonderzeichen...besteht nur aus Zahlen und Klein- und Großbuchstaben,
- PFS aktiviert auf DH2, weil DH1 der Router-B nicht verfügbar hat (nur DH2, DH5, DH14)
-Tunnel von A nach C funktioniert ja....
könnte es sein weil sich die Tunnels im Netzwerk-A auf gleiche IP'S beziehen, das Problem verursachen? Oder hat das keinerlei Auswirkungen?
- Router-B hat einen ganz normalen ADSL Anschluss
Grüße
- mein benutzer PSK enthält keinerlei Sonderzeichen...besteht nur aus Zahlen und Klein- und Großbuchstaben,
- PFS aktiviert auf DH2, weil DH1 der Router-B nicht verfügbar hat (nur DH2, DH5, DH14)
-Tunnel von A nach C funktioniert ja....
könnte es sein weil sich die Tunnels im Netzwerk-A auf gleiche IP'S beziehen, das Problem verursachen? Oder hat das keinerlei Auswirkungen?
- Router-B hat einen ganz normalen ADSL Anschluss
Grüße
Hi,
ich glaub deine ID´s stimmen nicht.
Wenn du in Router A -> Remote ID auf öffentliche IP von Router B einstellst
darfst du
in Router B -> Lokale ID nicht 192.168.1.0 eintragen.
Sondern öffentliche IP von Router B.
Läuft der Tunnel im Main- oder Aggressive Mode?
Gruß Daniel
ich glaub deine ID´s stimmen nicht.
Wenn du in Router A -> Remote ID auf öffentliche IP von Router B einstellst
darfst du
in Router B -> Lokale ID nicht 192.168.1.0 eintragen.
Sondern öffentliche IP von Router B.
Läuft der Tunnel im Main- oder Aggressive Mode?
Gruß Daniel
Hi Daniel
ok, Phase 1 funktioniert jetzt, aber Phase2 bekomme ich noch nicht hin:
3 02/23/2012 14:48:03 Send<:[HASH][NOTFY:ERR_ID_INFO]
4 02/23/2012 14:48:03 vs. My Remote <192.168.1.0>-<192.168.1.254
5 02/23/2012 14:48:03 Recv ID: SUBNET, <192.168.1.0>-<255.255.255.0
6 02/23/2012 14:48:03 Rule <2> Verifying Remote ID failed:
7 02/23/2012 14:48:03 Start Phase 2: Quick Mode
8 02/23/2012 14:48:03 Recv<:[HASH][SA][NONCE][KE][ID][ID]
9 02/23/2012 14:48:03 Phase 1 IKE SA process done
10 02/23/2012 14:48:03 Send<:[ID][HASH]
11 02/23/2012 14:48:03 Recv<:[ID][HASH]
12 02/23/2012 14:48:03 Send<:[KE][NONCE]
13 02/23/2012 14:48:02 Recv<:[KE][NONCE]
14 02/23/2012 14:48:02 Send<:[SA][VID]
15 02/23/2012 14:48:01 Recv<:[SA][VID][VID][VID][VID][VID][
16 02/23/2012 14:48:01 Recv Mode request from <95.171.52.211
17 02/23/2012 14:48:01 Rule [2] Receiving IKE request
der Tunnel läuft im Main Mode...
Grüße
ok, Phase 1 funktioniert jetzt, aber Phase2 bekomme ich noch nicht hin:
3 02/23/2012 14:48:03 Send<:[HASH][NOTFY:ERR_ID_INFO]
4 02/23/2012 14:48:03 vs. My Remote <192.168.1.0>-<192.168.1.254
5 02/23/2012 14:48:03 Recv ID: SUBNET, <192.168.1.0>-<255.255.255.0
6 02/23/2012 14:48:03 Rule <2> Verifying Remote ID failed:
7 02/23/2012 14:48:03 Start Phase 2: Quick Mode
8 02/23/2012 14:48:03 Recv<:[HASH][SA][NONCE][KE][ID][ID]
9 02/23/2012 14:48:03 Phase 1 IKE SA process done
10 02/23/2012 14:48:03 Send<:[ID][HASH]
11 02/23/2012 14:48:03 Recv<:[ID][HASH]
12 02/23/2012 14:48:03 Send<:[KE][NONCE]
13 02/23/2012 14:48:02 Recv<:[KE][NONCE]
14 02/23/2012 14:48:02 Send<:[SA][VID]
15 02/23/2012 14:48:01 Recv<:[SA][VID][VID][VID][VID][VID][
16 02/23/2012 14:48:01 Recv Mode request from <95.171.52.211
17 02/23/2012 14:48:01 Rule [2] Receiving IKE request
der Tunnel läuft im Main Mode...
Grüße
Zitat von @nixxok:
4 02/23/2012 14:48:03 vs. My Remote <192.168.1.0>-<192.168.1.254
5 02/23/2012 14:48:03 Recv ID: SUBNET, <192.168.1.0>-<255.255.255.0
4 02/23/2012 14:48:03 vs. My Remote <192.168.1.0>-<192.168.1.254
5 02/23/2012 14:48:03 Recv ID: SUBNET, <192.168.1.0>-<255.255.255.0
Ich glaub da stimmen deine Proxy-ID´s (Vertrautes, Remote Netz) nicht.
Mach mal aus der 192.168.1.254 die 255.255.255.0.
ja, es klappt jetzt 
TUNNEL steht !
eigentlich müsste ich jetzt ja vom Router-B aus mit einer Ping Anfrage an das Netzwerk-A 192.168.23.13 durchkommen.... aber nix.. alle Pakete gehen verloren.
?
TUNNEL steht !eigentlich müsste ich jetzt ja vom Router-B aus mit einer Ping Anfrage an das Netzwerk-A 192.168.23.13 durchkommen.... aber nix.. alle Pakete gehen verloren.
?
Dann solltest du jetzt deine Routen und die Firewall überprüfen.
die Firewall auf PC mit der IP 192.168.23.13 habe ich zu testzwecken mal deaktiviert.
Trotzdem kann ich aber vom Router-B aus diesen PC nicht anpingen
Trotzdem kann ich aber vom Router-B aus diesen PC nicht anpingen
Ich meinte, die Firewall und Routen auf den Routern
aber mit einem IPSec-VPN Tunnel von Netzwerk-A und Netzwerk-B ist doch schon eine Sicherheit vorhanden oder?
was muss ich denn jetzt noch machen?
Naja... Du hast jetzt im Prinzip nur eine Verschlüsselte Verbindung über das Internet.
Ich weiß jetzt nicht wie das bei Zyxel mit den Routen war, aber normalerweise,
musst du auf deinen Routern noch die entsprechenden Routen einrichten.
D.h. du sagst Router A, das er das Netz von Router B, durch den Tunnel routen soll.
Bei Router B, dann natürlich das gleiche, nur mit dem Netz von Router A.
Außerdem, musst du in deiner Firewall (auf den Zyxel-Kisten) noch die jeweiligen
Netze und Dienste freischalten. So das der Traffic aus den anderen Netzen, auch zugelassen wird.
Ich weiß jetzt nicht wie das bei Zyxel mit den Routen war, aber normalerweise,
musst du auf deinen Routern noch die entsprechenden Routen einrichten.
D.h. du sagst Router A, das er das Netz von Router B, durch den Tunnel routen soll.
Bei Router B, dann natürlich das gleiche, nur mit dem Netz von Router A.
Außerdem, musst du in deiner Firewall (auf den Zyxel-Kisten) noch die jeweiligen
Netze und Dienste freischalten. So das der Traffic aus den anderen Netzen, auch zugelassen wird.
@ Daniel
danke für deine Unterstützung
werde nun ein wenig testen
danke für deine Unterstützung
werde nun ein wenig testen
