Cisco Forum — Allgemein

Jay_Fisi · 25.04.2007, 17:39

Hallo,

Ich habe versucht ein VPN zwischen einer Pix und OpenSwan über das Internet aufzubauen.

Ich bekomme folgende Meldungen in den Logs:

Aug 24 14:05:31 secserver pluto[11682]: |
Aug 24 14:05:31 secserver pluto[11682]: | *received whack message
Aug 24 14:05:31 secserver pluto[11682]: | Queuing pending Quick Mode with [IPSEITE(B) "verbindung"
Aug 24 14:05:31 secserver pluto[11682]: | next event EVENT_RETRANSMIT in 19 seconds for #2
Aug 24 14:05:50 secserver pluto[11682]: |
Aug 24 14:05:50 secserver pluto[11682]: | *time to handle event
Aug 24 14:05:50 secserver pluto[11682]: | handling event EVENT_RETRANSMIT
Aug 24 14:05:50 secserver pluto[11682]: | event after this is EVENT_REINIT_SECRET in 2373 seconds
Aug 24 14:05:50 secserver pluto[11682]: | handling event EVENT_RETRANSMIT for [IPSEITE(B)] "verbindung" #2
Aug 24 14:05:50 secserver pluto[11682]: | sending 328 bytes for EVENT_RETRANSMIT through eth0 to [IPSEITE(B)]:500:
Aug 24 14:05:50 secserver pluto[11682]: | 13 6f a1 c9 13 7f c0 c2 00 00 00 00 00 00 00 00
Aug 24 14:05:50 secserver pluto[11682]: | 01 10 04 00 00 00 00 00 00 00 01 48 04 00 00 34
Aug 24 14:05:50 secserver pluto[11682]: | 00 00 00 01 00 00 00 01 00 00 00 28 00 01 00 01
Aug 24 14:05:50 secserver pluto[11682]: | 00 00 00 20 00 01 00 00 80 0b 00 01 80 0c 0e 10
Aug 24 14:05:50 secserver pluto[11682]: | 80 01 00 05 80 02 00 01 80 03 00 01 80 04 00 05
Aug 24 14:05:50 secserver pluto[11682]: | 0a 00 00 c4 94 0d 34 20 36 43 cd 10 3b 33 ae 89
....
6 96 fc 77 57 01 00
Aug 24 14:05:50 secserver pluto[11682]: | inserting event EVENT_RETRANSMIT, timeout in 40 seconds for #2
Aug 24 14:05:50 secserver pluto[11682]: | next event EVENT_RETRANSMIT in 40 seconds for #2

Habt ihr eine Idee woran das liegen könnte?
MIt einem tcpdump bekomme ich folgenden Output:

IP1 > IP2 isakmp: phase 1 I ident

Wordo · 26.04.2007, 09:21

Wenn nicht mehr kommt ist IPSec auf dem Outisde Interface der PIX nicht aktiviert, oder UDP/500 geblockt.

Jay_Fisi · 26.04.2007, 10:25

Vielen Dank für deine Antwort. Habe den Fehler gefunden. Es lag an einem Tippfehler in der IP.
Schaut das hier gut aus(?):

002 "tunnel" #4: initiating Quick Mode PSK+ENCRYPT+TUNNEL+UP {using isakmp#1}
112 "tunnel" #4: STATE_QUICK_I1: initiate
003 "tunnel" #4: ignoring informational payload, type IPSEC_RESPONDER_LIFETIME
002 "tunnel" #4: transition from state STATE_QUICK_I1 to state STATE_QUICK_I2
002 "tunnel" #4: sent QI2, IPsec SA established {ESP=>0x1233a222 <0x12fe0b12}
004 "tunnel" #4: STATE_QUICK_I2: sent QI2, IPsec SA established {ESP=>0x1233a222 <0x12fe0b12}

Kann momentan noch nichts hinter der Pix anpingen. In der Pix steht für dieses VPN "QM_IDLE"....

Und in den anderen Logs auf dem OpenSwan Server steht:

Apr 26 10:20:02 ipsec__plutorun: 104 "tunnel" #1: STATE_MAIN_I1: initiate
Apr 26 10:20:02 ipsec__plutorun: ...could not start conn "tunnel"

Wordo · 26.04.2007, 10:28

QM_IDLE muesste OK sein, Phase I = Main Mode, Phase II = Quick Mode, also idlet die PIX im QM, passt soweit. Schau mal die ACLs genau an (auch die nonat Sachen).

Jay_Fisi · 26.04.2007, 11:50

Du hasts echt drauf!

Lag am NAT!

Vielen vielen Dank!

Cisco Forum — Allgemein

Cisco Forum: Alles zum Thema CISCO Zertifizierungen CCNA, CCNP, CCSP, CCIE etc. — Q & A zum Thema CISCO Router, Switches und Firewalls