Jump to content

VPN ohne feste IP/DNS


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Moin

 

Ich mache mir gerade gedanken über den Umstand falls man eine VPN Leitung einrichtigen möchte und das Ziel ( Zyxell Router) keine feste IP hat, zudem möchte ich dem ungern einen dyndns Eintrag rüberlegen.

 

Also eigentlich so das ich jedes mal anrufen müsste und er mir seine aktuelle dynamische IP durchgeben müsste.

 

Geht das bei den Zyxell Produkten? Oder bei anderen?

 

Dazu habe ich in der VPN Regel in der lokalen IP einfach 0.0.0.0 was soviel bedeutet wie nicht definiert.....

 

Geht das überhaupt oder braucht die Firewall da eine feste Angabe?

 

mfg

Nussi

Link zu diesem Kommentar

Jo mit dyndns und fester IP hab ich schon erfahrung, war noch nie ein Prob.

 

Jo ich hab auf der anderen Seite nen Software Client.

 

 

Also weist du das es nicht geht oder vermutest du das? Ich kam bis jetzt noch nicht auf die Idee das beidseitig dynamisch zu machen, eigentlich auch unsinnig, aber die Betreffende Firma möchte das gerne so wens möglich ist.

Link zu diesem Kommentar

aber ein falsches..

 

1. würds mich wundern wenn die Firewall dann noch einen 2. vpn tunnel zulässt, da alle anfragen ja auf den der alles akzeptiert passen.

 

2. muss dann der user jedesmal den software client neu konfigurieren.

Entschuldige aber das ist doch schwachsinnig

 

3. Ich müsste diese Konfiguration mal nachstellen, bin mir nicht sicher ob VPN Phase 1 und 2 überhaupt durchlaufen, weil ja der client in der remote ID die IP Adresse eingetragen hat und die Firewall 0.0.0.0.

 

lg

il_principe

Link zu diesem Kommentar

Ich weis das es schwachsinnig ist.

 

Ich habs zwischenzeitlich mal probiert und hab tatsächlich ein prob.

 

Der Anfang kommt ja noch ganz gut, Verbindung kommt zu Stande. Phase 1 geht klar wenn ich das richtig sehe.

Bei Phase 2 werden zwar die IPs getauscht aber wo bei einer Funktionierten dann der Eintrag: Filter entry 5: Secure bla bla bla kommt

 

Kommt bei dem anderen dann:

Notification for non-existent SPI ( c42BCD5E) ignored

 

Danach brichts ab....

 

 

Kannst du damit etwas anfangen?

 

mfg

Nussi

Link zu diesem Kommentar

Wie das bei Zyxel ist, weiss ich jetzt nicht. Bei anderen Gateways wird ein Mobiler User eingetragen, in dem meistens aggressive Mode konfiguriert wird (der Client kommt also mit irgendeiner Adresse), auf welchen internen Bereich zugegriffen werden darf, die entsprechenden Proposals für die Phasen, die IDs usw. . Im Software-Client wird Gateway, Remote-ID, lokale ID, der Bereich für den Zugriff (0.0.0.0 wäre dann ein strikter Tunnel) usw. eingetragen. Sicher kann man im Client jedes Mal nur das Gateway ändern (die ID des Remotegateways bleibt ja gleich und muss ja auch nicht die IP-Adresse sein), allerdings finde das auch etwas daneben, da man die Policy noch nicht mal schützen kann ...

Link zu diesem Kommentar

geht auch hier, jedoch etwas sinnfrei.

 

Meiner Meinung nach einzig sinnvolle Lösung.

 

Dyndns Account auf die Firewall, dynamischen Tunnel f. Software Clients einrichten.

Wenn der Chef alles ganz sicher haben will ext. authentication dazuschalten, dann muss zusätlich zum zertifikat oder psk noch benutzername und passwort beim tunnelaufbau eingegeben werden.

 

Das sollte dann reichen

 

lg

il_principe

Link zu diesem Kommentar

Also ich habs mal nach den Vorgaben probiert komm aber auf keinen grünen Zweig.

 

Hier mal das Logfile:

 

 

7-18: 15:43:40.737 My Connections\St.Gallen - Initiating IKE Phase 1 (IP ADDR=IP-Router)

7-18: 15:43:41.018 My Connections\St.Gallen - SENDING>>>> ISAKMP OAK AG (SA, KE, NON, ID, VID 6x)

7-18: 15:43:44.596 My Connections\St.Gallen - RECEIVED<<< ISAKMP OAK AG (SA, KE, NON, ID, HASH, VID)

7-18: 15:43:44.721 My Connections\St.Gallen - SENDING>>>> ISAKMP OAK AG *(HASH, NOTIFY:STATUS_REPLAY_STATUS, NOTIFY:STATUS_INITIAL_CONTACT)

7-18: 15:43:44.721 My Connections\St.Gallen - Established IKE SA

7-18: 15:43:44.721 My Connections\St.Gallen - MY COOKIE c1 f3 e 1d be df 97 f2

7-18: 15:43:44.721 My Connections\St.Gallen - HIS COOKIE ef bc 59 46 6 36 f de

7-18: 15:43:45.003 My Connections\St.Gallen - Initiating IKE Phase 2 with Client IDs (message id: 48D5AE8F)

7-18: 15:43:45.003 My Connections\St.Gallen - Initiator = IP ADDR=Meine InterneIP, prot = 0 port = 0

7-18: 15:43:45.003 My Connections\St.Gallen - Responder = IP RANGE TO/FROM=[192.168.xxx.x, 192.168.xxx.x], prot = 0 port = 0

7-18: 15:43:45.003 My Connections\St.Gallen - SENDING>>>> ISAKMP OAK QM *(HASH, SA, NON, KE, ID 2x)

7-18: 15:43:47.440 My Connections\St.Gallen - RECEIVED<<< ISAKMP OAK INFO *(HASH, NOTIFY:INVALID_ID_INFO)

7-18: 15:43:47.440 My Connections\St.Gallen - Notification for non-existent SPI (55B97D2B) ignored.

7-18: 15:43:47.440 My Connections\St.Gallen - RECEIVED<<< ISAKMP OAK INFO *(HASH, DEL)

7-18: 15:43:47.440 My Connections\St.Gallen - Deleting IKE SA (IP ADDR=212.152.15.186)

7-18: 15:43:47.440 My Connections\St.Gallen - MY COOKIE c1 f3 e 1d be df 97 f2

7-18: 15:43:47.440 My Connections\St.Gallen - HIS COOKIE ef bc 59 46 6 36 f de

 

 

So ich bekomme immer dieses Logfile, natürlich funktioniert die Sache nicht.

 

Hier ROUTER REGEL:

 

Name: Office

IPSEC KEY MODE: IKE

Negotiation Mode: Aggresive

 

 

Local Adress Type; IP-Range

Start: 192.168.xxx.x

Ende: 192.168.xxx.1

 

Remote Adress Typ: Single

Start: 0.0.0.0

End: 0.0.0.0

 

 

Local ID Type: IP

Content:

MyIP Address: 0.0.0.0

PeerID Type: IP

Content:

Secure Gateway IP Adress: 0.0.0.0

Encapsulation Mode: Tunnel

 

Die Sicherheitseinstellungen stimmen mit der Police überein, daher sehe ich da kein Problem.

 

Wie gesagt ich bin verwirrt weil ich nichts festes hab, hab ich eine Angabe falsch gemacht?

 

mfg

Nussi

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...