nixxok
Goto Top

Zyxel DSL Router - VPN Konfiguration

ist meine erste IPSec-VPN Tunnel konfiguration face-wink

versuche Standort-A (Zyxel P-662) und Standort-B (Zyxel P-661) per IPSec VPN zu verbinden. Phase 1 klappt, aber bei Phase 2 scheiterts. Woran kann das liegen?
Hängt das zusammen weil Standort-A schon einen permanenten VPN Tunnel zu Standort-C hat?

Content-ID: 180781

Url: https://administrator.de/forum/zyxel-dsl-router-vpn-konfiguration-180781.html

Ausgedruckt am: 23.12.2024 um 17:12 Uhr

Luie86
Luie86 20.02.2012 um 15:32:16 Uhr
Goto Top
Hallo,

hmm ja... woran könnte das liegen?
Ich würde vermuten, irgendwas in deiner VPN-Konfiguration stimmt nicht überein. face-big-smile

Ein bisschen mehr Informationen, wären super face-wink


Gruß Daniel
nixxok
nixxok 20.02.2012 um 17:54:06 Uhr
Goto Top
das log sieht folgendermaßen aus:

Send<:[HASH][NOTFY:ERR_ID_INFO]
2 02/20/2012 17:51:08 Configured Peer ID Content:
3 02/20/2012 17:51:08 Incoming ID Content:
4 02/20/2012 17:51:08 Phase 1 ID content mismatch
5 02/20/2012 17:51:08 Rule [2] Phase 1 ID mismatch
6 02/20/2012 17:51:08 Send<:[HASH][NOTFY:ERR_ID_INFO]
7 02/20/2012 17:51:08 Rule [2] Phase 1 ID mismatch
8 02/20/2012 17:51:08 Recv<:[ID][HASH]
9 02/20/2012 17:51:08 Send<:[KE][NONCE]
10 02/20/2012 17:51:07 Recv<:[KE][NONCE]
11 02/20/2012 17:51:07 Send<:[SA][VID]
12 02/20/2012 17:51:07 Recv<:[SA][VID][VID][VID][VID][VID][
13 02/20/2012 17:51:07 Recv Mode request from <95.171.52.211>
14 02/20/2012 17:51:07 Rule [2] Receiving IKE request
15 02/20/2012 17:50:54 Send<:[HASH][DEL]>

welche Einstellung mache ich falsch?
brammer
brammer 20.02.2012 um 19:50:48 Uhr
Goto Top
Hallo,

dein Log Auszug sagt aber das bereits Phase 1 nicht klappt!

4 02/20/2012 17:51:08 Phase 1 ID content mismatch
5 02/20/2012 17:51:08 Rule [2] Phase 1 ID mismatch

Pre shared Key passt?
Remote IP's passen?
Welche EInstellungen verwendest du für Phase 1?

brammer
Luie86
Luie86 20.02.2012 um 22:51:06 Uhr
Goto Top
Wenn das alles stimmt, schau bitte mal noch, ob du irgendwelche ID´s eingetragen hast....
nixxok
nixxok 22.02.2012 um 18:29:52 Uhr
Goto Top
bei Router-A habe ich folgende Einstellungen:

Lokal
Adresstyp lokal EinzelnBereichSubnet: = Bereich
IP-Startadresse = 192.168.23.0
End-IP oder Subnet-Maske = 192.168.23.254

Gegenstelle
Adresstyp Gegenstelle EinzelnBereichSubnet = Bereich
IP-Startadresse = 192.168.1.0
End-IP oder Subnet-Maske = 192.168.1.254

Adress-Information
Lokale ID = IP
Inhalt = leer
Lokale ID = öffentliche IP vom Router-A

ID Typ von Gegenstelle = IP
Inhalt = leer
Adresse sicherer Gegenstelle = öffentliche IP vom Router-B


Einstellungen von Router-B:

lokaler Adressentyp = einfach
IP Anfangsadresse = 192.168.1.0

entfernter Adressentyp = einfach
IP Anfangsadresse = 192.168.23.0

Adress Information
Meine IP Adresse = öffentliche IP von Router-B
Secure Gateway Adresse = öffentliche IP von Router-A
Lokale ID = IP
Inhalt = 192.168.1.0
entfernte ID = IP
Inhalt = öffentliche IP von Router-A

auf beiden Routern:
3DES
SHA1
DH2
SA Life Time 28800

3DES
SHA1
DH2
SA Life Time 28800
PFS = keine
DPD = aktiviert (nur auf Router-B vorhanden)

was mache ich falsch? - ich blicke einfach nicht durch face-sad
brammer
brammer 22.02.2012 um 19:14:01 Uhr
Goto Top
Hallo,

versuche bitte mal mit einem PSK zu arbeiten der keine Sonderzeichen enthält, es gibt ein paar Sonderzeichen die manchmal kritisch sind.
z.B.: / ! ? % $ sind da Kandidaten.

Außerdem kannst du PFS mal aktivieren
DPD (Dead Peer Detection) solte keinen Einfluss haben, so lange die Gegenseite errreichbar ist.

Wenn das nicht hilft kannst du DH mal auf 1 setzen, nicht das hier ein Performance Problem mit der Schlüssellänge existiert.

Der existierende Tunnel von A zu C zeigt ja eigentlich das es geht.
Was ein Einfluss haben könnte ist der Anschluss an Standort B.
Was für ein Anschluss ist das?

brammer
nixxok
nixxok 22.02.2012 um 20:04:26 Uhr
Goto Top
Hi

- mein benutzer PSK enthält keinerlei Sonderzeichen...besteht nur aus Zahlen und Klein- und Großbuchstaben,

- PFS aktiviert auf DH2, weil DH1 der Router-B nicht verfügbar hat (nur DH2, DH5, DH14)

-Tunnel von A nach C funktioniert ja....
könnte es sein weil sich die Tunnels im Netzwerk-A auf gleiche IP'S beziehen, das Problem verursachen? Oder hat das keinerlei Auswirkungen?

- Router-B hat einen ganz normalen ADSL Anschluss

Grüße
Luie86
Luie86 23.02.2012 um 14:27:41 Uhr
Goto Top
Hi,

ich glaub deine ID´s stimmen nicht.

Wenn du in Router A -> Remote ID auf öffentliche IP von Router B einstellst
darfst du
in Router B -> Lokale ID nicht 192.168.1.0 eintragen.

Sondern öffentliche IP von Router B.


Läuft der Tunnel im Main- oder Aggressive Mode?


Gruß Daniel
nixxok
nixxok 23.02.2012 um 14:53:40 Uhr
Goto Top
Hi Daniel

ok, Phase 1 funktioniert jetzt, aber Phase2 bekomme ich noch nicht hin:

3 02/23/2012 14:48:03 Send<:[HASH][NOTFY:ERR_ID_INFO]
4 02/23/2012 14:48:03 vs. My Remote <192.168.1.0>-<192.168.1.254
5 02/23/2012 14:48:03 Recv ID: SUBNET, <192.168.1.0>-<255.255.255.0
6 02/23/2012 14:48:03 Rule <2> Verifying Remote ID failed:
7 02/23/2012 14:48:03 Start Phase 2: Quick Mode
8 02/23/2012 14:48:03 Recv<:[HASH][SA][NONCE][KE][ID][ID]
9 02/23/2012 14:48:03 Phase 1 IKE SA process done
10 02/23/2012 14:48:03 Send<:[ID][HASH]
11 02/23/2012 14:48:03 Recv<:[ID][HASH]
12 02/23/2012 14:48:03 Send<:[KE][NONCE]
13 02/23/2012 14:48:02 Recv<:[KE][NONCE]
14 02/23/2012 14:48:02 Send<:[SA][VID]
15 02/23/2012 14:48:01 Recv<:[SA][VID][VID][VID][VID][VID][
16 02/23/2012 14:48:01 Recv Mode request from <95.171.52.211
17 02/23/2012 14:48:01 Rule [2] Receiving IKE request

der Tunnel läuft im Main Mode...

Grüße
Luie86
Luie86 23.02.2012 um 16:20:33 Uhr
Goto Top
Zitat von @nixxok:
4 02/23/2012 14:48:03 vs. My Remote <192.168.1.0>-<192.168.1.254
5 02/23/2012 14:48:03 Recv ID: SUBNET, <192.168.1.0>-<255.255.255.0

Ich glaub da stimmen deine Proxy-ID´s (Vertrautes, Remote Netz) nicht.
Mach mal aus der 192.168.1.254 die 255.255.255.0.
nixxok
nixxok 23.02.2012 um 16:38:37 Uhr
Goto Top
ja, es klappt jetzt face-smile TUNNEL steht !

eigentlich müsste ich jetzt ja vom Router-B aus mit einer Ping Anfrage an das Netzwerk-A 192.168.23.13 durchkommen.... aber nix.. alle Pakete gehen verloren. face-sad
?
Luie86
Luie86 23.02.2012 um 16:55:14 Uhr
Goto Top
Dann solltest du jetzt deine Routen und die Firewall überprüfen.
nixxok
nixxok 23.02.2012 um 17:12:35 Uhr
Goto Top
die Firewall auf PC mit der IP 192.168.23.13 habe ich zu testzwecken mal deaktiviert.
Trotzdem kann ich aber vom Router-B aus diesen PC nicht anpingen face-sad
Luie86
Luie86 23.02.2012 um 17:16:11 Uhr
Goto Top
Ich meinte, die Firewall und Routen auf den Routern face-wink
nixxok
nixxok 23.02.2012 um 17:52:59 Uhr
Goto Top
face-sad
aber mit einem IPSec-VPN Tunnel von Netzwerk-A und Netzwerk-B ist doch schon eine Sicherheit vorhanden oder?
was muss ich denn jetzt noch machen?
Luie86
Luie86 24.02.2012 um 10:08:48 Uhr
Goto Top
Naja... Du hast jetzt im Prinzip nur eine Verschlüsselte Verbindung über das Internet.
Ich weiß jetzt nicht wie das bei Zyxel mit den Routen war, aber normalerweise,
musst du auf deinen Routern noch die entsprechenden Routen einrichten.

D.h. du sagst Router A, das er das Netz von Router B, durch den Tunnel routen soll.
Bei Router B, dann natürlich das gleiche, nur mit dem Netz von Router A.

Außerdem, musst du in deiner Firewall (auf den Zyxel-Kisten) noch die jeweiligen
Netze und Dienste freischalten. So das der Traffic aus den anderen Netzen, auch zugelassen wird.
nixxok
nixxok 27.02.2012 um 15:58:52 Uhr
Goto Top
@ Daniel
danke für deine Unterstützung face-smile
werde nun ein wenig testen