5232joe 10 Geschrieben 15. Dezember 2017 Melden Teilen Geschrieben 15. Dezember 2017 Guten Morgen das Forum! Wir haben hier ein GSM Modem "Westermo" mit dem wir uns über IPSEC VPN " zertifikat " einen Tunnel zu unserer Firma herstellen. Das Problem liegt darin, dass die Verbindung in Österreich funktioniert aber aus dem Ausland z.b. Deutschland, Ungarn, Rumänien der Verbindungsaufbau nicht mehr stattfindet. Das hat aber bis vor zwei Wochen noch über den APN von T-Mobile / business.gprsinternet funktioniert. Was uns noch auffällt ist, dass sich die öffentliche IP bei den Westermo Modem immer zwischen 78.132.x.x oder 46.124.x.x wechselt. hier ein Ausschnitt des Westermo log <84>Dec 15 07:15:47 pluto[22799]: "RIT_primary_TM0" #4: max number of retransmissions (2) reached STATE_MAIN_I3. Possible authentication failure: no acceptable response to our first encrypted message <84>Dec 15 07:15:47 pluto[22799]: "RIT_primary_TM0" #4: starting keying attempt 5 of an unlimited number <84>Dec 15 07:15:47 pluto[22799]: "RIT_primary_TM0" #5: initiating Main Mode to replace #4 <84>Dec 15 07:15:48 pluto[22799]: "RIT_primary_TM0" #5: ignoring Vendor ID payload [FRAGMENTATION] <84>Dec 15 07:15:48 pluto[22799]: "RIT_primary_TM0" #5: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n] method set to=106 <84>Dec 15 07:15:48 pluto[22799]: "RIT_primary_TM0" #5: enabling possible NAT-traversal with method draft-ietf-ipsec-nat-t-ike-02/03 <84>Dec 15 07:15:48 pluto[22799]: "RIT_primary_TM0" #5: transition from state STATE_MAIN_I1 to state STATE_MAIN_I2 <84>Dec 15 07:15:48 pluto[22799]: "RIT_primary_TM0" #5: STATE_MAIN_I2: sent MI2, expecting MR2 <84>Dec 15 07:15:48 pluto[22799]: "RIT_primary_TM0" #5: NAT-Traversal: Result using draft-ietf-ipsec-nat-t-ike-02/03: no NAT detected <84>Dec 15 07:15:48 pluto[22799]: "RIT_primary_TM0" #5: I am sending my cert <84>Dec 15 07:15:48 pluto[22799]: "RIT_primary_TM0" #5: I am sending a certificate request <84>Dec 15 07:15:48 pluto[22799]: "RIT_primary_TM0" #5: transition from state STATE_MAIN_I2 to state STATE_MAIN_I3 <84>Dec 15 07:15:48 pluto[22799]: "RIT_primary_TM0" #5: STATE_MAIN_I3: sent MI3, expecting MR3 <84>Dec 15 07:15:50 pluto[22799]: "RIT_primary_TM0" #5: discarding duplicate packet; already STATE_MAIN_I3 <84>Dec 15 07:16:56 last message repeated 10 time(s) diese Meldung wiederholt sich immer wieder. lt. Firewall Checkpoint log sind keine Fehler ersichtlich. Könnt ihr mir einen Tipp geben? Danke, Gruß hannes Zitieren Link zu diesem Kommentar
testperson 1.677 Geschrieben 15. Dezember 2017 Melden Teilen Geschrieben 15. Dezember 2017 Hi, kannst du testweise einmal ein VPN Tunnel ohne Zertifikat-Auth also mit PSK probieren? Wenn ich mich recht erinnere hatte ich mal den Fall, da wurde im LTE Netz das Zertifikat durch eine eingesetzte Komprimierung zerstört. Gruß Jan Zitieren Link zu diesem Kommentar
5232joe 10 Geschrieben 15. Dezember 2017 Autor Melden Teilen Geschrieben 15. Dezember 2017 Hallo, PSK kann ich leider nicht ausprobieren, FW ist beim outsourcer - und lt. diesem darf bei mobiler Verbindung nur die cert variante verwenden. hier von der checkpoint analyse: Hier scheint es einen grawierenden Unterschied zu geben scheinbar arbeitet die Box in HU mit Fragmentation den bei den Verbindungsaufbau Versuchen der BOX aus Ungarn sehe ich im Log_File der Firewall folgendes: Number: 3262806 Date: 6Dec2017 Time: 13:48:04 Interface: eth1 Origin: xcragb01 Type: Log Action: Drop Source: 78.132.52.27 Destination: xcragc01 (217.13.180.9) Protocol: udp Information: message: Virtual defragmentation error: Timeout ip_id: 55987 ip_len: 1484 ip_offset: 0 fragments_dropped: 8 during_sec: 60 Product: Security Gateway/Management Product Family: Network Policy Info: Policy Name: RAG Created at: Wed Dec 06 13:09:52 2017 Installed from: xlfmpp01cma7 Kann hier eine Umstellung beim Mobile Provider vorgenommen worden sein.? Grus hannes Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 15. Dezember 2017 Melden Teilen Geschrieben 15. Dezember 2017 (bearbeitet) Vielleicht fragst Du mal bei T-Mobile-Ösi nach, welchen APN Du im Ausland benutzen sollst. Nicht das die Dich in irgendein Netz stecken, in dem die VPN-Port geblockt werden. In D ist der APN internet.t-mobile internet.telekom bei der Telekom. bearbeitet 15. Dezember 2017 von zahni Zitieren Link zu diesem Kommentar
5232joe 10 Geschrieben 21. Dezember 2017 Autor Melden Teilen Geschrieben 21. Dezember 2017 Hallo Habe gestern u. vorgestern Euer schönes Deutschland besucht. Dort habe ich mit zwei Prepaid Cards Vodafone u. lebara(T-Mobile) die Test erfolgreich durchführen können. Schein so als das Ösi Karten T-Mobile , A1 bei IPSEC VPN Verbindungsaufbau nun Probleme machen. Grus hannes Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.