Jump to content

Relaunch 2018: Willkommen im neuen Forum - Das MCSEboard.de wurde runderneuert. Wir wünschen Euch viel Spaß an Board.

Melde dich an, um diesem Inhalt zu folgen  
5232joe

IPSEC VPN Verbindungsaufbau Fehler nur im Ausland

Empfohlene Beiträge

Guten Morgen das Forum!

 

Wir haben hier ein GSM Modem "Westermo" mit dem wir uns über IPSEC VPN " zertifikat " einen Tunnel zu unserer Firma herstellen.

 

Das Problem liegt darin, dass die Verbindung in Österreich funktioniert aber aus dem Ausland z.b. Deutschland, Ungarn, Rumänien der Verbindungsaufbau nicht mehr stattfindet.

Das hat aber bis vor zwei Wochen noch über den APN von T-Mobile / business.gprsinternet funktioniert.

Was uns noch auffällt ist, dass sich die öffentliche IP bei den Westermo Modem immer zwischen 78.132.x.x oder 46.124.x.x wechselt.

 

hier ein Ausschnitt des Westermo log

 

<84>Dec 15 07:15:47 pluto[22799]: "RIT_primary_TM0" #4: max number of retransmissions (2) reached STATE_MAIN_I3.  Possible authentication failure: no acceptable response to our first encrypted message 
<84>Dec 15 07:15:47 pluto[22799]: "RIT_primary_TM0" #4: starting keying attempt 5 of an unlimited number 
<84>Dec 15 07:15:47 pluto[22799]: "RIT_primary_TM0" #5: initiating Main Mode to replace #4 
<84>Dec 15 07:15:48 pluto[22799]: "RIT_primary_TM0" #5: ignoring Vendor ID payload [FRAGMENTATION] 
<84>Dec 15 07:15:48 pluto[22799]: "RIT_primary_TM0" #5: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n] method set to=106  
<84>Dec 15 07:15:48 pluto[22799]: "RIT_primary_TM0" #5: enabling possible NAT-traversal with method draft-ietf-ipsec-nat-t-ike-02/03 
<84>Dec 15 07:15:48 pluto[22799]: "RIT_primary_TM0" #5: transition from state STATE_MAIN_I1 to state STATE_MAIN_I2 
<84>Dec 15 07:15:48 pluto[22799]: "RIT_primary_TM0" #5: STATE_MAIN_I2: sent MI2, expecting MR2 
<84>Dec 15 07:15:48 pluto[22799]: "RIT_primary_TM0" #5: NAT-Traversal: Result using draft-ietf-ipsec-nat-t-ike-02/03: no NAT detected 
<84>Dec 15 07:15:48 pluto[22799]: "RIT_primary_TM0" #5: I am sending my cert 
<84>Dec 15 07:15:48 pluto[22799]: "RIT_primary_TM0" #5: I am sending a certificate request 
<84>Dec 15 07:15:48 pluto[22799]: "RIT_primary_TM0" #5: transition from state STATE_MAIN_I2 to state STATE_MAIN_I3 
<84>Dec 15 07:15:48 pluto[22799]: "RIT_primary_TM0" #5: STATE_MAIN_I3: sent MI3, expecting MR3 
<84>Dec 15 07:15:50 pluto[22799]: "RIT_primary_TM0" #5: discarding duplicate packet; already STATE_MAIN_I3 
<84>Dec 15 07:16:56 last message repeated 10 time(s) 
 
diese Meldung wiederholt sich immer wieder.
 
lt. Firewall Checkpoint log sind keine Fehler ersichtlich.
 
Könnt ihr mir einen Tipp geben?
 
Danke, Gruß hannes
 
 
 

 

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hi,

 

kannst du testweise einmal ein VPN Tunnel ohne Zertifikat-Auth also mit PSK probieren?

Wenn ich mich recht erinnere hatte ich mal den Fall, da wurde im LTE Netz das Zertifikat durch eine eingesetzte Komprimierung zerstört.

 

Gruß

Jan

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hallo,

 

PSK kann ich leider nicht ausprobieren, FW ist beim outsourcer - und lt. diesem darf bei mobiler Verbindung nur die cert variante verwenden.

 

hier von der checkpoint analyse:

 

Hier scheint es einen grawierenden Unterschied zu geben scheinbar arbeitet die Box in HU mit Fragmentation den bei den Verbindungsaufbau Versuchen der BOX aus Ungarn sehe ich im Log_File der Firewall folgendes:

Number:            3262806

Date:                   6Dec2017

Time:                 13:48:04

Interface:                          eth1

Origin:               xcragb01

Type:                   Log

Action:               Drop

Source:               78.132.52.27

Destination:      xcragc01 (217.13.180.9)

Protocol:           udp

Information:                     message: Virtual defragmentation error: Timeout

                             ip_id: 55987

                             ip_len: 1484

                             ip_offset: 0

                             fragments_dropped: 8

                             during_sec: 60

Product:            Security Gateway/Management

Product Family: Network

Policy Info:        Policy Name: RAG

                             Created at: Wed Dec 06 13:09:52 2017

                             Installed from: xlfmpp01cma7

 

 

Kann hier eine Umstellung beim Mobile Provider vorgenommen worden sein.?

 

Grus hannes

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Vielleicht fragst Du mal bei T-Mobile-Ösi nach, welchen APN Du im Ausland benutzen sollst.

Nicht das die Dich in irgendein Netz stecken, in dem die VPN-Port geblockt werden.

 

In D ist der APN internet.t-mobile  internet.telekom bei der  Telekom.

bearbeitet von zahni

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hallo

 

Habe gestern u. vorgestern Euer schönes Deutschland besucht.

 

Dort habe ich mit zwei Prepaid Cards Vodafone u. lebara(T-Mobile) die Test erfolgreich durchführen können.

 

Schein so als das Ösi Karten T-Mobile , A1 bei IPSEC VPN Verbindungsaufbau nun Probleme machen.

 

Grus hannes

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Melde dich an, um diesem Inhalt zu folgen  

×