ISA 2004 Standort VPN - Never ending Stroy

[jvogler 10]

Langsam bin ich absolut am Ende mit meinem Latein, nach einigen erfolglosen Versuchen mit Client VPN (IPSEC) auf den ISA 2004 funktioniert auch Standort-VPN mit einer SonicWall nicht.

 

Folgendes Szenario:

 

- Remote LAN (1 Client)

SonicWall TZ 150 am T-DSL Business mit fester IP

 

- Zentrale

ISA 2004 (SP3) auf W2k3 SP2 mit mehreren festen IPs hinter einem Cisco 1812 (Route) am ADSL unseres Serviceproviders

 

Ich bin nach der Anleitung von Dieter Rauscher vorgegangen, leider ohne erfolgreichen Aufbau des Tunnels.

Nachdem ich Fehlermeldungen hinsichtlich eines NAT-T Gerätes hatte, habe ich auf der SonicWall unter VPN-Advanced "NAT Traversal" deaktiviert. Übrig sind folgende Logeinträge:

 

07/26/2007 15:55:20.096 IKE Initiator: Start Main Mode negotiation (Phase 1) 217.7.242.26, 500, pd907f21a.dip0.t-ipconnect.de 213.214.19.227, 500

2 07/26/2007 15:54:57.160 IKE negotiation aborted due to timeout 217.7.242.26, pd907f21a.dip0.t-ipconnect.de 213.214.19.227

3 07/26/2007 15:54:23.896 Web management request allowed 213.214.19.227, 3025, WAN (admin) 172.20.150.1, 443, LAN TCP HTTPS

4 07/26/2007 15:54:22.160 IKE Initiator: No response - remote party timeout 217.7.242.26, 500, pd907f21a.dip0.t-ipconnect.de 213.214.19.227, 500

5 07/26/2007 15:54:18.112 Received packet retransmission. Drop duplicate packet 213.214.19.227, 500 (admin) 213.214.19.227, 500

6 07/26/2007 15:54:05.160 IKE Initiator: No response - remote party timeout 217.7.242.26, 500, pd907f21a.dip0.t-ipconnect.de 213.214.19.227, 500

7 07/26/2007 15:54:02.112 Received packet retransmission. Drop duplicate packet 213.214.19.227, 500 (admin) 213.214.19.227, 500

8 07/26/2007 15:53:55.160 IKE Initiator: No response - remote party timeout 217.7.242.26, 500, pd907f21a.dip0.t-ipconnect.de 213.214.19.227, 500

9 07/26/2007 15:53:54.112 Received packet retransmission. Drop duplicate packet 213.214.19.227, 500 (admin) 213.214.19.227, 500

10 07/26/2007 15:53:50.112 Received packet retransmission. Drop duplicate packet 213.214.19.227, 500 (admin) 213.214.19.227, 500

11 07/26/2007 15:53:48.112 Received packet retransmission. Drop duplicate packet 213.214.19.227, 500 (admin) 213.214.19.227, 500

12 07/26/2007 15:53:46.880 IKE Initiator: Start Main Mode negotiation (Phase 1) 217.7.242.26, 500, pd907f21a.dip0.t-ipconnect.de 213.214.19.227, 500

 

In der Cisco Firewall sind alle notwendigen Protokolle in BEIDE Richtungen frei, woher kommen dann die Probleme mit 500 UDP?!? Bin fürchterlich ratlos und hoffe dass jemand findet der mir den fehlenden Hinweis gibt.

 

Grüße

Jochen

[jvogler 10]

Nachdem ich ein "ä" aus meinem Shared Secret entfernt habe kommt er immerhin schon bis zur Phase 2:

 

07/26/2007 16:13:59.288 Received notify: INVALID_ID_INFO 213.214.19.227 (admin) 217.7.242.26, pd907f21a.dip0.t-ipconnect.de

4 07/26/2007 16:13:59.112 IKE Initiator: Start Quick Mode (Phase 2). 217.7.242.26, 500, pd907f21a.dip0.t-ipconnect.de 213.214.19.227, 500

[jvogler 10]

Und nachdem ich an der SonicWall noch etwas mit den Häckchen rumgespielt habe ist mein Tunnel doch glatt zustande gekommen. :)

 

Die Meldung aus meinem vorigen Post erhalte ich aber immer noch.