VPN ohne feste IP/DNS

[Nusschale 10]

Moin

 

Ich mache mir gerade gedanken über den Umstand falls man eine VPN Leitung einrichtigen möchte und das Ziel ( Zyxell Router) keine feste IP hat, zudem möchte ich dem ungern einen dyndns Eintrag rüberlegen.

 

Also eigentlich so das ich jedes mal anrufen müsste und er mir seine aktuelle dynamische IP durchgeben müsste.

 

Geht das bei den Zyxell Produkten? Oder bei anderen?

 

Dazu habe ich in der VPN Regel in der lokalen IP einfach 0.0.0.0 was soviel bedeutet wie nicht definiert.....

 

Geht das überhaupt oder braucht die Firewall da eine feste Angabe?

 

mfg

Nussi

[il_principe 11]

hi,

 

du wirst wahrscheinlich um dyndns nicht herumkommen, funktioniert aber bei den zyxel geräten ganz gut.

Was hast du auf der VPN Gegenstelle? (anderen zyxel router, software client,...)

 

lg

il_principe

[Nusschale 10]

Jo mit dyndns und fester IP hab ich schon erfahrung, war noch nie ein Prob.

 

Jo ich hab auf der anderen Seite nen Software Client.

 

 

Also weist du das es nicht geht oder vermutest du das? Ich kam bis jetzt noch nicht auf die Idee das beidseitig dynamisch zu machen, eigentlich auch unsinnig, aber die Betreffende Firma möchte das gerne so wens möglich ist.

[il_principe 11]

also eine seite muss eindeutig identifizierbar sein, wie soll denn der software client dann zur Firewall finden?

 

Richte auf der ZyWall einen dyndns Account ein und so wird's dann gehen.

 

lg

il_principe

[Nusschale 10]

Indem das ich dann per Telefon die IP durchbekomme und die dann im Client halt jedes Mal eintrage.

Also von der Seite würds sicher gehen.

 

ich weis es ist umständlich und mühsam. Aber es ist eben Wunsch der anderen Seite. Wohl ne Art Sicherheitsgefühl.....

[il_principe 11]

aber ein falsches..

 

1. würds mich wundern wenn die Firewall dann noch einen 2. vpn tunnel zulässt, da alle anfragen ja auf den der alles akzeptiert passen.

 

2. muss dann der user jedesmal den software client neu konfigurieren.

Entschuldige aber das ist doch schwachsinnig

 

3. Ich müsste diese Konfiguration mal nachstellen, bin mir nicht sicher ob VPN Phase 1 und 2 überhaupt durchlaufen, weil ja der client in der remote ID die IP Adresse eingetragen hat und die Firewall 0.0.0.0.

 

lg

il_principe

[Nusschale 10]

Ich weis das es schwachsinnig ist.

 

Ich habs zwischenzeitlich mal probiert und hab tatsächlich ein prob.

 

Der Anfang kommt ja noch ganz gut, Verbindung kommt zu Stande. Phase 1 geht klar wenn ich das richtig sehe.

Bei Phase 2 werden zwar die IPs getauscht aber wo bei einer Funktionierten dann der Eintrag: Filter entry 5: Secure bla bla bla kommt

 

Kommt bei dem anderen dann:

Notification for non-existent SPI ( c42BCD5E) ignored

 

Danach brichts ab....

 

 

Kannst du damit etwas anfangen?

 

mfg

Nussi

[IThome 10]

Wie das bei Zyxel ist, weiss ich jetzt nicht. Bei anderen Gateways wird ein Mobiler User eingetragen, in dem meistens aggressive Mode konfiguriert wird (der Client kommt also mit irgendeiner Adresse), auf welchen internen Bereich zugegriffen werden darf, die entsprechenden Proposals für die Phasen, die IDs usw. . Im Software-Client wird Gateway, Remote-ID, lokale ID, der Bereich für den Zugriff (0.0.0.0 wäre dann ein strikter Tunnel) usw. eingetragen. Sicher kann man im Client jedes Mal nur das Gateway ändern (die ID des Remotegateways bleibt ja gleich und muss ja auch nicht die IP-Adresse sein), allerdings finde das auch etwas daneben, da man die Policy noch nicht mal schützen kann ...

[Nusschale 10]

Mhm ich werds nachher nochmal probieren, geht leider nur per Telefon zusätzlich ist das gegenüber alles andere als ein ITler....

 

Wird auch irgendwo ein kleiner Abstimmungsfehler sein, müsste ja gehen, und sonst gehts wohl nur über dyndns.

 

Werd mich dann nochmal melden;-)

 

mfg

Nussi

[il_principe 11]

geht auch hier, jedoch etwas sinnfrei.

 

Meiner Meinung nach einzig sinnvolle Lösung.

 

Dyndns Account auf die Firewall, dynamischen Tunnel f. Software Clients einrichten.

Wenn der Chef alles ganz sicher haben will ext. authentication dazuschalten, dann muss zusätlich zum zertifikat oder psk noch benutzername und passwort beim tunnelaufbau eingegeben werden.

 

Das sollte dann reichen

 

lg

il_principe

[IThome 10]

Noch einzig sinnvoller wäre ne feste IP-Adresse :D Ich sehe das aber genau so wie Du, il_principe, also nix mit Durchgeben der aktuellen Adresse :suspect: ... PSK und XAUTH wäre schon ne feine Sache ...

[Nusschale 10]

Also ich habs mal nach den Vorgaben probiert komm aber auf keinen grünen Zweig.

 

Hier mal das Logfile:

 

 

7-18: 15:43:40.737 My Connections\St.Gallen - Initiating IKE Phase 1 (IP ADDR=IP-Router)

7-18: 15:43:41.018 My Connections\St.Gallen - SENDING>>>> ISAKMP OAK AG (SA, KE, NON, ID, VID 6x)

7-18: 15:43:44.596 My Connections\St.Gallen - RECEIVED<<< ISAKMP OAK AG (SA, KE, NON, ID, HASH, VID)

7-18: 15:43:44.721 My Connections\St.Gallen - SENDING>>>> ISAKMP OAK AG *(HASH, NOTIFY:STATUS_REPLAY_STATUS, NOTIFY:STATUS_INITIAL_CONTACT)

7-18: 15:43:44.721 My Connections\St.Gallen - Established IKE SA

7-18: 15:43:44.721 My Connections\St.Gallen - MY COOKIE c1 f3 e 1d be df 97 f2

7-18: 15:43:44.721 My Connections\St.Gallen - HIS COOKIE ef bc 59 46 6 36 f de

7-18: 15:43:45.003 My Connections\St.Gallen - Initiating IKE Phase 2 with Client IDs (message id: 48D5AE8F)

7-18: 15:43:45.003 My Connections\St.Gallen - Initiator = IP ADDR=Meine InterneIP, prot = 0 port = 0

7-18: 15:43:45.003 My Connections\St.Gallen - Responder = IP RANGE TO/FROM=[192.168.xxx.x, 192.168.xxx.x], prot = 0 port = 0

7-18: 15:43:45.003 My Connections\St.Gallen - SENDING>>>> ISAKMP OAK QM *(HASH, SA, NON, KE, ID 2x)

7-18: 15:43:47.440 My Connections\St.Gallen - RECEIVED<<< ISAKMP OAK INFO *(HASH, NOTIFY:INVALID_ID_INFO)

7-18: 15:43:47.440 My Connections\St.Gallen - Notification for non-existent SPI (55B97D2B) ignored.

7-18: 15:43:47.440 My Connections\St.Gallen - RECEIVED<<< ISAKMP OAK INFO *(HASH, DEL)

7-18: 15:43:47.440 My Connections\St.Gallen - Deleting IKE SA (IP ADDR=212.152.15.186)

7-18: 15:43:47.440 My Connections\St.Gallen - MY COOKIE c1 f3 e 1d be df 97 f2

7-18: 15:43:47.440 My Connections\St.Gallen - HIS COOKIE ef bc 59 46 6 36 f de

 

 

So ich bekomme immer dieses Logfile, natürlich funktioniert die Sache nicht.

 

Hier ROUTER REGEL:

 

Name: Office

IPSEC KEY MODE: IKE

Negotiation Mode: Aggresive

 

 

Local Adress Type; IP-Range

Start: 192.168.xxx.x

Ende: 192.168.xxx.1

 

Remote Adress Typ: Single

Start: 0.0.0.0

End: 0.0.0.0

 

 

Local ID Type: IP

Content:

MyIP Address: 0.0.0.0

PeerID Type: IP

Content:

Secure Gateway IP Adress: 0.0.0.0

Encapsulation Mode: Tunnel

 

Die Sicherheitseinstellungen stimmen mit der Police überein, daher sehe ich da kein Problem.

 

Wie gesagt ich bin verwirrt weil ich nichts festes hab, hab ich eine Angabe falsch gemacht?

 

mfg

Nussi

[il_principe 11]

trag mal bei local id auf der firewall deine public ip ein

 

lg

il_principe

[Nusschale 10]

Werd ich Probieren sobald das andere Büro auch wieder besetzt ist.

 

Ehm falls das eine Rolle spielt, auf der anderen Seite ist nur ein Zyxel Prestige 652 HW-1 .

 

Ich hoffe jetzt mal nicht das der ne Einschränkung hat?

 

mfg

Nussi

[il_principe 11]

hi,

 

glaub ich spielt keine rolle, hab das gerät allerdings noch nie getestet.

 

lg

il_principe