ipsec über ip-sicherheits-richtlinien

[Hr_Rossi 10]

folgendes problem:

habe eine zyxel zywall 10w die gleichzeitig vpn-server ist

mir ist es über xp nicht möglich eine ipsec verbindung aufzubaun (mit pre-sharedkey) !! auch nicht mit ip-sicherheitrichtlinien (100%alles richtig konfiguriert)

mit den ssh-sentinel vpn client geht es ,aber mit xp nicht !??

kann mir jemand einen tipp geben wäre dankbar

 

bzw kennt jemand einen vpn-client der unter windows läuft und ipsec kann und nochdazu freeware ist

 

details: sha-1, 3des, dh-2 (phase1)

(phase 2) sha-1 3des, dh2

 

das problem bei xp liegt in der phase 2

 

phase 1 laut debug process done

[grizzly999 11]

Ich bin mir nicht sicher, aber ich glaube, dass erst W2k3 DH2 in Phase II kann.

Probiere es entweder:

- auf dem XP in den IPSec-Policies PFS einzuschalten

oder

- auf der zywall DH2 für Phase II abzuschalten.

 

 

grizzly999

[Hr_Rossi 10]

jo thx grizzly für den tipp

werde das morgen mal testen

 

aber ich glaube ich hatte schon alle variationen

 

naja dann is nur mehr das mit den zeiten der schlüsselerneuerung

 

nehm mal an das die auch zusammenpassen müssen

 

bzw welcher zeit is für was in den ip policys

 

mfg rossi

[grizzly999 11]

Schau mal hier rein, da ist alles relativ gut erklärt, auch ein paar tipps zum Troubleshooting. besodners interessant dürdte für dich das Oakley-Logging sein ;)

 

grizzly999

[Hr_Rossi 10]

so schön langsam aber sicher zweifle ich an MS !!

 

ipsec in phase 2

 

mit sentinel ssh client encapsulation "tunnel"

 

mit xp encapsulation "transport"

 

wie kann ich die encapsulation auch auf tunnel stellen bei xp

 

das wär cool

[grizzly999 11]

Ui, Tunelmodus, wieso das denn?

Aber in den IPSec-Richtlinien kann man einstellen, ob Tunnelmodus oder nicht.

 

grizzly999

[Hr_Rossi 10]

jo hi grizzly zunächst mal thx für prompte antwort

 

aber in den ip-richtlinien kann man nur den tunnel-endpunkt einstellen das hat nichts mit der encapsulation zu tun

 

ich nehm mal an das das irgend ein reg-key is

 

???

[Hr_Rossi 10]

huhu ein kurzer auszug aus dem oakley-logging

 

******* peer hat si-zuordnung gelöscht waah wieso

 

hier sieh selbst

 

was meinst du dazu

 

beginnt ab phase2 !!

 

 

 

7-29: 13:20:39:897:2768 Datenschutzmodus (Schnellmodus)

 

 

7-29: 13:20:39:897:2768 Quell-IP-Adresse 192.168.100.102

 

Quell-IP-Adressmaske 255.255.255.255

 

Ziel-IP-Adresse 212.24.115.82

 

Ziel-IP-Adressmaske 255.255.255.255

 

Protokoll 17

 

Quellport 1701

 

Zielport 0

 

Lokale IKE-Adresse 192.168.100.102

 

Peer-IKE-Adresse 212.24.115.82

 

 

7-29: 13:20:39:897:2768 Kennung des vorinstallierten Schlüssels.

 

Peer-IP-Adresse: 212.24.115.82

 

 

7-29: 13:20:39:897:2768 Benutzer

 

 

7-29: 13:20:39:897:2768 IKE-Sicherheitszuordnung wurde von Peer gelöscht, bevor Herstellung abgeschossen war.

 

 

 

7-29: 13:20:39:917:2768 Quell-IP-Adresse 192.168.100.102

 

Quell-IP-Adressmaske 255.255.255.255

 

Ziel-IP-Adresse 212.24.115.82

 

Ziel-IP-Adressmaske 255.255.255.255

 

Protokoll 0

 

Quellport 0

 

Zielport 0

 

Lokale IKE-Adresse

 

Peer-IKE-Adresse

 

 

7-29: 13:20:39:917:2768

7-29: 13:20:39:917:2768 Benutzer

 

 

7-29: 13:20:39:917:2768 Neue Richtinie hat Sicherheitszuordnungen ungültig gemacht, die mit der alten Richtlinie erstellt wurden.

[Hr_Rossi 10]

und hier das router log !!!

 

 

 

1 07/29/2004 13:29:35 Send:[sA][VID] 212.24.115.82 192.168.100.102 IKE

 

2 07/29/2004 13:29:34 Recv:[sA][VID] 192.168.100.102 212.24.115.82 IKE

 

3 07/29/2004 13:29:34 Recv Main Mode request from [192.168.100.102] 192.168.100.102 212.24.115.82 IKE

 

4 07/29/2004 13:29:34 Rule [2] Receiving IKE request 192.168.100.102 212.24.115.82 IKE

 

5 07/29/2004 13:29:34 Send:[HASH][DEL] 212.24.115.82 192.168.100.102 IKE

 

6 07/29/2004 13:29:34 Send:[HASH][NOTFY:ERR_ID_INFO] 212.24.115.82 192.168.100.102 IKE

 

7 07/29/2004 13:29:34 vs. My Remote [0.0.0.0]-[0.0.0.0] 192.168.100.102 212.24.115.82 IKE

8 07/29/2004 13:29:34 Recv ID: SINGLE, [192.168.100.102]-[192.168.100.102] 192.168.100.102 212.24.115.82 IKE

 

9 07/29/2004 13:29:34 Rule [2] Verifying Remote ID failed: 192.168.100.102 212.24.115.82 IKE

 

10 07/29/2004 13:29:34 Start Phase 2: Quick Mode 192.168.100.102 212.24.115.82 IKE

 

11 07/29/2004 13:29:34 Recv:[HASH][sA][NONCE][iD][iD] 192.168.100.102 212.24.115.82 IKE

 

12 07/29/2004 13:29:34 Phase 1 IKE SA process done 212.24.115.82 192.168.100.102 IKE

 

13 07/29/2004 13:29:34 Send:[iD][HASH][NOTFY:INIT_CONTACT] 212.24.115.82 192.168.100.102 IKE

 

14 07/29/2004 13:29:34 Recv:[iD][HASH] 192.168.100.102 212.24.115.82 IKE

 

15 07/29/2004 13:29:34 Send:[KE][NONCE] 212.24.115.82 192.168.100.102 IKE

 

16 07/29/2004 13:29:34 Recv:[KE][NONCE] 192.168.100.102 212.24.115.82 IKE

 

17 07/29/2004 13:29:33 Send:[sA][VID] 212.24.115.82 192.168.100.102 IKE

 

18 07/29/2004 13:29:33 Recv:[sA][VID] 192.168.100.102 212.24.115.82 IKE

 

19 07/29/2004 13:29:33 Recv Main Mode request from [192.168.100.102] 192.168.100.102 212.24.115.82 IKE

 

20 07/29/2004 13:29:33 Rule [2] Receiving IKE request 192.168.100.102 212.24.115.82 IKE

 

 

--------------------------------------------------------------------------------

[grizzly999 11]

Der Client läuft hinter einem NAT-Gerät?! Hat der den L2TP-Patch installiert und unterstützt der VPN-Server NAT-T?

 

grizzly999

[Hr_Rossi 10]

hi

der client käuft hinter einen unix-router

 

aber hab mit den zyxel techniker gesprochen die sagen das

 

man die firmware nochmal über eine serielle verb. flashen soll

und die default config

 

bin ja mal gespannt

 

mfg rossi

[grizzly999 11]

Du brauchst trotzdem den Patch 818043 auf dem Client. Und wenn das Upgrade NAT-T kann, dann sollte es gehen.

 

 

grizzly999

[Hr_Rossi 10]

jo keine sorge

 

der client ist am letzten stabd der möglichen updates

 

*man das dauert über die serielle verbindung* (firmware update)

 

mfg rossi

[grizzly999 11]

Ich frage deshalb so nach, weil nach meiner bisherigen Erfahrung wird dieser Patch ("nur" ein empfohlenes Update übrigens) nicht installiert, weil nur empfohlen vom SUS sowieso nicht downgeloadet, und ich hatte ihn - obwohl vollständig gepatchte Systeme-> Windows Update meldet: keine Updates erforderlich - nie auf meinen Rechnern drauf. Ich musste mir den immer manuell über Windows Update Katalog ziehen und installieren ;)

 

grizzly999

[Hr_Rossi 10]

so

 

neueste firmware drauf von zyxel über seriell eingespielt 3.62

default config.rom drauf

 

auf den clients der patch drauf

 

und es finkr nicht in den router logs immer die ser fehler

zu beginn der phase 2

 

12 07/30/2004 05:50:25 vs. My Remote [192.168.100.102]-[192.168.100.102] 192.168.100.102 212.24.115.82 IKE

 

13 07/30/2004 05:50:25 Recv ID: SINGLE, [192.168.100.102]-[192.168.100.102] 192.168.100.102 212.24.115.82 IKE

 

14 07/30/2004 05:50:25 Rule [1] Verifying Remote ID failed: 192.168.100.102 212.24.115.82 IKE

 

 

laut der techn. referenz von der zywal bedeutet das

 

"During IKE Phase 2negotiation, both parties exchange policy details, including local and remote IP address ranges. If these ranges differ, then the connection fails."

 

hab aber die Ip sicher richtig !!

 

mit SSH Sentinel funkt es

bis auf das das der einenandere encapsulation fährt nämlich " tunnel" sonst komplett intente einstellunge

 

hast du noch eine idee grizzly

 

schön langsam bin ich mit meinem latein am ende

 

gruss rossi