Jump to content

VPN ohne feste IP/DNS


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Moin

 

Ich mache mir gerade gedanken über den Umstand falls man eine VPN Leitung einrichtigen möchte und das Ziel ( Zyxell Router) keine feste IP hat, zudem möchte ich dem ungern einen dyndns Eintrag rüberlegen.

 

Also eigentlich so das ich jedes mal anrufen müsste und er mir seine aktuelle dynamische IP durchgeben müsste.

 

Geht das bei den Zyxell Produkten? Oder bei anderen?

 

Dazu habe ich in der VPN Regel in der lokalen IP einfach 0.0.0.0 was soviel bedeutet wie nicht definiert.....

 

Geht das überhaupt oder braucht die Firewall da eine feste Angabe?

 

mfg

Nussi

Link to post

Jo mit dyndns und fester IP hab ich schon erfahrung, war noch nie ein Prob.

 

Jo ich hab auf der anderen Seite nen Software Client.

 

 

Also weist du das es nicht geht oder vermutest du das? Ich kam bis jetzt noch nicht auf die Idee das beidseitig dynamisch zu machen, eigentlich auch unsinnig, aber die Betreffende Firma möchte das gerne so wens möglich ist.

Link to post

Indem das ich dann per Telefon die IP durchbekomme und die dann im Client halt jedes Mal eintrage.

Also von der Seite würds sicher gehen.

 

ich weis es ist umständlich und mühsam. Aber es ist eben Wunsch der anderen Seite. Wohl ne Art Sicherheitsgefühl.....

Link to post

aber ein falsches..

 

1. würds mich wundern wenn die Firewall dann noch einen 2. vpn tunnel zulässt, da alle anfragen ja auf den der alles akzeptiert passen.

 

2. muss dann der user jedesmal den software client neu konfigurieren.

Entschuldige aber das ist doch schwachsinnig

 

3. Ich müsste diese Konfiguration mal nachstellen, bin mir nicht sicher ob VPN Phase 1 und 2 überhaupt durchlaufen, weil ja der client in der remote ID die IP Adresse eingetragen hat und die Firewall 0.0.0.0.

 

lg

il_principe

Link to post

Ich weis das es schwachsinnig ist.

 

Ich habs zwischenzeitlich mal probiert und hab tatsächlich ein prob.

 

Der Anfang kommt ja noch ganz gut, Verbindung kommt zu Stande. Phase 1 geht klar wenn ich das richtig sehe.

Bei Phase 2 werden zwar die IPs getauscht aber wo bei einer Funktionierten dann der Eintrag: Filter entry 5: Secure bla bla bla kommt

 

Kommt bei dem anderen dann:

Notification for non-existent SPI ( c42BCD5E) ignored

 

Danach brichts ab....

 

 

Kannst du damit etwas anfangen?

 

mfg

Nussi

Link to post

Wie das bei Zyxel ist, weiss ich jetzt nicht. Bei anderen Gateways wird ein Mobiler User eingetragen, in dem meistens aggressive Mode konfiguriert wird (der Client kommt also mit irgendeiner Adresse), auf welchen internen Bereich zugegriffen werden darf, die entsprechenden Proposals für die Phasen, die IDs usw. . Im Software-Client wird Gateway, Remote-ID, lokale ID, der Bereich für den Zugriff (0.0.0.0 wäre dann ein strikter Tunnel) usw. eingetragen. Sicher kann man im Client jedes Mal nur das Gateway ändern (die ID des Remotegateways bleibt ja gleich und muss ja auch nicht die IP-Adresse sein), allerdings finde das auch etwas daneben, da man die Policy noch nicht mal schützen kann ...

Link to post

Mhm ich werds nachher nochmal probieren, geht leider nur per Telefon zusätzlich ist das gegenüber alles andere als ein ITler....

 

Wird auch irgendwo ein kleiner Abstimmungsfehler sein, müsste ja gehen, und sonst gehts wohl nur über dyndns.

 

Werd mich dann nochmal melden;-)

 

mfg

Nussi

Link to post

geht auch hier, jedoch etwas sinnfrei.

 

Meiner Meinung nach einzig sinnvolle Lösung.

 

Dyndns Account auf die Firewall, dynamischen Tunnel f. Software Clients einrichten.

Wenn der Chef alles ganz sicher haben will ext. authentication dazuschalten, dann muss zusätlich zum zertifikat oder psk noch benutzername und passwort beim tunnelaufbau eingegeben werden.

 

Das sollte dann reichen

 

lg

il_principe

Link to post

Also ich habs mal nach den Vorgaben probiert komm aber auf keinen grünen Zweig.

 

Hier mal das Logfile:

 

 

7-18: 15:43:40.737 My Connections\St.Gallen - Initiating IKE Phase 1 (IP ADDR=IP-Router)

7-18: 15:43:41.018 My Connections\St.Gallen - SENDING>>>> ISAKMP OAK AG (SA, KE, NON, ID, VID 6x)

7-18: 15:43:44.596 My Connections\St.Gallen - RECEIVED<<< ISAKMP OAK AG (SA, KE, NON, ID, HASH, VID)

7-18: 15:43:44.721 My Connections\St.Gallen - SENDING>>>> ISAKMP OAK AG *(HASH, NOTIFY:STATUS_REPLAY_STATUS, NOTIFY:STATUS_INITIAL_CONTACT)

7-18: 15:43:44.721 My Connections\St.Gallen - Established IKE SA

7-18: 15:43:44.721 My Connections\St.Gallen - MY COOKIE c1 f3 e 1d be df 97 f2

7-18: 15:43:44.721 My Connections\St.Gallen - HIS COOKIE ef bc 59 46 6 36 f de

7-18: 15:43:45.003 My Connections\St.Gallen - Initiating IKE Phase 2 with Client IDs (message id: 48D5AE8F)

7-18: 15:43:45.003 My Connections\St.Gallen - Initiator = IP ADDR=Meine InterneIP, prot = 0 port = 0

7-18: 15:43:45.003 My Connections\St.Gallen - Responder = IP RANGE TO/FROM=[192.168.xxx.x, 192.168.xxx.x], prot = 0 port = 0

7-18: 15:43:45.003 My Connections\St.Gallen - SENDING>>>> ISAKMP OAK QM *(HASH, SA, NON, KE, ID 2x)

7-18: 15:43:47.440 My Connections\St.Gallen - RECEIVED<<< ISAKMP OAK INFO *(HASH, NOTIFY:INVALID_ID_INFO)

7-18: 15:43:47.440 My Connections\St.Gallen - Notification for non-existent SPI (55B97D2B) ignored.

7-18: 15:43:47.440 My Connections\St.Gallen - RECEIVED<<< ISAKMP OAK INFO *(HASH, DEL)

7-18: 15:43:47.440 My Connections\St.Gallen - Deleting IKE SA (IP ADDR=212.152.15.186)

7-18: 15:43:47.440 My Connections\St.Gallen - MY COOKIE c1 f3 e 1d be df 97 f2

7-18: 15:43:47.440 My Connections\St.Gallen - HIS COOKIE ef bc 59 46 6 36 f de

 

 

So ich bekomme immer dieses Logfile, natürlich funktioniert die Sache nicht.

 

Hier ROUTER REGEL:

 

Name: Office

IPSEC KEY MODE: IKE

Negotiation Mode: Aggresive

 

 

Local Adress Type; IP-Range

Start: 192.168.xxx.x

Ende: 192.168.xxx.1

 

Remote Adress Typ: Single

Start: 0.0.0.0

End: 0.0.0.0

 

 

Local ID Type: IP

Content:

MyIP Address: 0.0.0.0

PeerID Type: IP

Content:

Secure Gateway IP Adress: 0.0.0.0

Encapsulation Mode: Tunnel

 

Die Sicherheitseinstellungen stimmen mit der Police überein, daher sehe ich da kein Problem.

 

Wie gesagt ich bin verwirrt weil ich nichts festes hab, hab ich eine Angabe falsch gemacht?

 

mfg

Nussi

Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...