Jump to content

IPSEC VPN Verbindungsaufbau Fehler nur im Ausland


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Guten Morgen das Forum!

 

Wir haben hier ein GSM Modem "Westermo" mit dem wir uns über IPSEC VPN " zertifikat " einen Tunnel zu unserer Firma herstellen.

 

Das Problem liegt darin, dass die Verbindung in Österreich funktioniert aber aus dem Ausland z.b. Deutschland, Ungarn, Rumänien der Verbindungsaufbau nicht mehr stattfindet.

Das hat aber bis vor zwei Wochen noch über den APN von T-Mobile / business.gprsinternet funktioniert.

Was uns noch auffällt ist, dass sich die öffentliche IP bei den Westermo Modem immer zwischen 78.132.x.x oder 46.124.x.x wechselt.

 

hier ein Ausschnitt des Westermo log

 

<84>Dec 15 07:15:47 pluto[22799]: "RIT_primary_TM0" #4: max number of retransmissions (2) reached STATE_MAIN_I3.  Possible authentication failure: no acceptable response to our first encrypted message 
<84>Dec 15 07:15:47 pluto[22799]: "RIT_primary_TM0" #4: starting keying attempt 5 of an unlimited number 
<84>Dec 15 07:15:47 pluto[22799]: "RIT_primary_TM0" #5: initiating Main Mode to replace #4 
<84>Dec 15 07:15:48 pluto[22799]: "RIT_primary_TM0" #5: ignoring Vendor ID payload [FRAGMENTATION] 
<84>Dec 15 07:15:48 pluto[22799]: "RIT_primary_TM0" #5: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n] method set to=106  
<84>Dec 15 07:15:48 pluto[22799]: "RIT_primary_TM0" #5: enabling possible NAT-traversal with method draft-ietf-ipsec-nat-t-ike-02/03 
<84>Dec 15 07:15:48 pluto[22799]: "RIT_primary_TM0" #5: transition from state STATE_MAIN_I1 to state STATE_MAIN_I2 
<84>Dec 15 07:15:48 pluto[22799]: "RIT_primary_TM0" #5: STATE_MAIN_I2: sent MI2, expecting MR2 
<84>Dec 15 07:15:48 pluto[22799]: "RIT_primary_TM0" #5: NAT-Traversal: Result using draft-ietf-ipsec-nat-t-ike-02/03: no NAT detected 
<84>Dec 15 07:15:48 pluto[22799]: "RIT_primary_TM0" #5: I am sending my cert 
<84>Dec 15 07:15:48 pluto[22799]: "RIT_primary_TM0" #5: I am sending a certificate request 
<84>Dec 15 07:15:48 pluto[22799]: "RIT_primary_TM0" #5: transition from state STATE_MAIN_I2 to state STATE_MAIN_I3 
<84>Dec 15 07:15:48 pluto[22799]: "RIT_primary_TM0" #5: STATE_MAIN_I3: sent MI3, expecting MR3 
<84>Dec 15 07:15:50 pluto[22799]: "RIT_primary_TM0" #5: discarding duplicate packet; already STATE_MAIN_I3 
<84>Dec 15 07:16:56 last message repeated 10 time(s) 
 
diese Meldung wiederholt sich immer wieder.
 
lt. Firewall Checkpoint log sind keine Fehler ersichtlich.
 
Könnt ihr mir einen Tipp geben?
 
Danke, Gruß hannes
 
 
 

 

 

Link zu diesem Kommentar

Hallo,

 

PSK kann ich leider nicht ausprobieren, FW ist beim outsourcer - und lt. diesem darf bei mobiler Verbindung nur die cert variante verwenden.

 

hier von der checkpoint analyse:

 

Hier scheint es einen grawierenden Unterschied zu geben scheinbar arbeitet die Box in HU mit Fragmentation den bei den Verbindungsaufbau Versuchen der BOX aus Ungarn sehe ich im Log_File der Firewall folgendes:

Number:            3262806

Date:                   6Dec2017

Time:                 13:48:04

Interface:                          eth1

Origin:               xcragb01

Type:                   Log

Action:               Drop

Source:               78.132.52.27

Destination:      xcragc01 (217.13.180.9)

Protocol:           udp

Information:                     message: Virtual defragmentation error: Timeout

                             ip_id: 55987

                             ip_len: 1484

                             ip_offset: 0

                             fragments_dropped: 8

                             during_sec: 60

Product:            Security Gateway/Management

Product Family: Network

Policy Info:        Policy Name: RAG

                             Created at: Wed Dec 06 13:09:52 2017

                             Installed from: xlfmpp01cma7

 

 

Kann hier eine Umstellung beim Mobile Provider vorgenommen worden sein.?

 

Grus hannes

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...