vpn tunnel zwischen zwei zywall 2 plus

[zetor 11]

hi leute,

 

ich bin in sachen vpn noch ein absoluter neuling, deswegen hoffe ich das ihr mir helfen könnt:

 

aus dem handbuch werde ich nicht sonderlich schlau, wie baue ich einen vpn tunnel zwischen den beiden geräten auf? benötige ich für beide eine dyndns? da steht immer etwas von einem ipsec router, wie legt man fest was das remotenetwork und was das local network ist? oder ist das jeweils auf beiden seiten so?

 

hat wer vielleicht ne leichtverständliche anleitung für so ein xywall gerät mit der man einen tunnel zwischen den beiden aufmachen kann?

[GuentherH 61]

Hallo.

 

Hier etwas für dich - Studerus AG, ZyXEL Generalvertretung - Konfiguration VPN mit der ZyWALL 2 Plus

 

Ansonsten wirst du auf Studerus AG, ZyXEL Generalvertretung sicherlich fündig.

 

LG Günther

[zetor 11]

hi günther, danke erst einmal für deine hilfe, echt super seite!!!

 

ich hab auch alles nach der anleitung gemacht, und verstehs inzwischen auch etwas, nur bekomm ich den tunnel nicht gebacken. liegt es eventuell daran das ich beide router an einem anschluss betreibe? (für testzwecke)

beide können jedoch beide zum provider eine verbindung aufbauen, zur zeit bediene ich beide per remote von einem anderen standort aus.

 

*edit*: im protokoll steht: IKE Packet Retransmit

[Stephan Betken 43]

liegt es eventuell daran das ich beide router an einem anschluss betreibe? (für testzwecke)

Hallo Zetor,

 

es liegt mit Sicherheit daran. Du musst schon extern testen. Du brauchst halt zwei unterschiedliche externe IP-Adressen.

[zetor 11]

also ich habe im router nachgesehen, die haben auch beide eine unterschiedliche ip, die hängen lediglich am selben modem, bei dem multipaththrough oder wie das heisst eingeschaltet ist

[chris_davidi 10]

Du meinst aber mit Sicherheit die externe IP Adresse?

[zetor 11]

also folgendes:

192.168.1.1 interne ip router 1

79.214.94.224 externe ip router 1

192.168.0.1 interne ip router 2

79.223.... externe ip router 2

 

ich habe bei beiden, nach der oben genannten anleitung alle einstellungen vorgenommen, für beide eine dynamicdns eingerichtet, die auch funktioniert. aber trotzdem kann keine verbindung hergestellt werden..

firewall ist bei beiden deaktiviert.

[tcomic 10]

Kannts du mal Printscreens des Gateways und der Policy von beiden Routern posten?

 

Dann können wir dir wahrscheinlich etwas genauere Informationen geben.

[zetor 11]

also hi leute, da ich leider immer etwas "on the way" bin, gibts jetzt erst die screenshots:

 

 

er baut einfach keine verbindung auf :/

 

ich muss aber schon 2 verschiedene adressräume eintragen ne? also beide in 192.168.0.0 geht nicht?

[tekka81 10]

du solltest bei local id-type noch was eintragen.

schalte am besten auf DNS und trage dann einmal die eigene dyndns adresse ein und darunter die dyndns adresse vom entfernten gerät.

 

dies musst du natürlich bei beiden geräten eintragen

[zetor 11]

geht immernoch nicht :(

 

hier mal die logs die dabei rauskommen

 

1  2008-05-30 15:35:36 IKE Packet Retransmit 91.40.124.52 79.214.110.12 IKE 
2  2008-05-30 15:35:36 The cookie pair is : 0x7FFCB3E1A9D1D0F7 / 0x86611974FBCA8364 91.40.124.52 79.214.110.12 IKE 
3  2008-05-30 15:35:20 IKE Packet Retransmit 91.40.124.52 79.214.110.12 IKE 
4  2008-05-30 15:35:20 The cookie pair is : 0x7FFCB3E1A9D1D0F7 / 0x86611974FBCA8364 91.40.124.52 79.214.110.12 IKE 
5  2008-05-30 15:35:12 IKE Packet Retransmit 91.40.124.52 79.214.110.12 IKE 
6  2008-05-30 15:35:12 The cookie pair is : 0x7FFCB3E1A9D1D0F7 / 0x86611974FBCA8364 91.40.124.52 79.214.110.12 IKE 
7  2008-05-30 15:35:10 IKE Negotiation is in process 91.40.124.52 79.214.110.12 IKE 
8  2008-05-30 15:35:10 The cookie pair is : 0x7FFCB3E1A9D1D0F7 / 0x86611974FBCA8364 91.40.124.52 79.214.110.12 IKE 

–

was heisst "virtual adress mapping rule"? dazu kann ich in der anleitung nichts finden, anscheinend ist das ne neuere firmware..

 

kann das daran liegen?

[s.k. 11]

was heisst "virtual adress mapping rule"?

Damit kannst Du auf dem Tunnel natten.

 

In den Firewallregelwerken gibt es jeweils eine WAN-WAN-Regel, die UDP/500 eingehend erlaubt?

Ebenfalls ein häufiger Fehler bei den ZyNOS-Kisten: Aktivierung des Standardservers unter "NAT" oder Konfiguration eines Portmappings, welches Port 500 einschließt (ZyNOS unterscheidet an dieser Stelle nicht zw. TCP und UDP).

 

Gruß

Steffen

[zetor 11]

das ist es wahrscheinlich, ich hab den standartserver eingerichtet bei einem der router.. die firewalls sind deaktiviert, von daher dürften die keine probleme machen. ich probier das gleich mal

–

also steffen du bist der prinz!

 

es lag tatsächlich an dem standartserver.. da muss man auch erst einmal drauf kommen o_O

 

danke leute!!

 

 

*closed*

[s.k. 11]

es lag tatsächlich an dem standartserver.. da muss man auch erst einmal drauf kommen o_O

Ein Evergreen!

Freut mich, dass ich helfen konnte. :)

 

Gruß

Steffen