Hr_Rossi 10 Posted July 28, 2004 Report Posted July 28, 2004 folgendes problem: habe eine zyxel zywall 10w die gleichzeitig vpn-server ist mir ist es über xp nicht möglich eine ipsec verbindung aufzubaun (mit pre-sharedkey) !! auch nicht mit ip-sicherheitrichtlinien (100%alles richtig konfiguriert) mit den ssh-sentinel vpn client geht es ,aber mit xp nicht !?? kann mir jemand einen tipp geben wäre dankbar bzw kennt jemand einen vpn-client der unter windows läuft und ipsec kann und nochdazu freeware ist details: sha-1, 3des, dh-2 (phase1) (phase 2) sha-1 3des, dh2 das problem bei xp liegt in der phase 2 phase 1 laut debug process done Quote
grizzly999 11 Posted July 28, 2004 Report Posted July 28, 2004 Ich bin mir nicht sicher, aber ich glaube, dass erst W2k3 DH2 in Phase II kann. Probiere es entweder: - auf dem XP in den IPSec-Policies PFS einzuschalten oder - auf der zywall DH2 für Phase II abzuschalten. grizzly999 Quote
Hr_Rossi 10 Posted July 28, 2004 Author Report Posted July 28, 2004 jo thx grizzly für den tipp werde das morgen mal testen aber ich glaube ich hatte schon alle variationen naja dann is nur mehr das mit den zeiten der schlüsselerneuerung nehm mal an das die auch zusammenpassen müssen bzw welcher zeit is für was in den ip policys mfg rossi Quote
grizzly999 11 Posted July 28, 2004 Report Posted July 28, 2004 Schau mal hier rein, da ist alles relativ gut erklärt, auch ein paar tipps zum Troubleshooting. besodners interessant dürdte für dich das Oakley-Logging sein ;) grizzly999 Quote
Hr_Rossi 10 Posted July 29, 2004 Author Report Posted July 29, 2004 so schön langsam aber sicher zweifle ich an MS !! ipsec in phase 2 mit sentinel ssh client encapsulation "tunnel" mit xp encapsulation "transport" wie kann ich die encapsulation auch auf tunnel stellen bei xp das wär cool Quote
grizzly999 11 Posted July 29, 2004 Report Posted July 29, 2004 Ui, Tunelmodus, wieso das denn? Aber in den IPSec-Richtlinien kann man einstellen, ob Tunnelmodus oder nicht. grizzly999 Quote
Hr_Rossi 10 Posted July 29, 2004 Author Report Posted July 29, 2004 jo hi grizzly zunächst mal thx für prompte antwort aber in den ip-richtlinien kann man nur den tunnel-endpunkt einstellen das hat nichts mit der encapsulation zu tun ich nehm mal an das das irgend ein reg-key is ??? Quote
Hr_Rossi 10 Posted July 29, 2004 Author Report Posted July 29, 2004 huhu ein kurzer auszug aus dem oakley-logging ******* peer hat si-zuordnung gelöscht waah wieso hier sieh selbst was meinst du dazu beginnt ab phase2 !! 7-29: 13:20:39:897:2768 Datenschutzmodus (Schnellmodus) 7-29: 13:20:39:897:2768 Quell-IP-Adresse 192.168.100.102 Quell-IP-Adressmaske 255.255.255.255 Ziel-IP-Adresse 212.24.115.82 Ziel-IP-Adressmaske 255.255.255.255 Protokoll 17 Quellport 1701 Zielport 0 Lokale IKE-Adresse 192.168.100.102 Peer-IKE-Adresse 212.24.115.82 7-29: 13:20:39:897:2768 Kennung des vorinstallierten Schlüssels. Peer-IP-Adresse: 212.24.115.82 7-29: 13:20:39:897:2768 Benutzer 7-29: 13:20:39:897:2768 IKE-Sicherheitszuordnung wurde von Peer gelöscht, bevor Herstellung abgeschossen war. 7-29: 13:20:39:917:2768 Quell-IP-Adresse 192.168.100.102 Quell-IP-Adressmaske 255.255.255.255 Ziel-IP-Adresse 212.24.115.82 Ziel-IP-Adressmaske 255.255.255.255 Protokoll 0 Quellport 0 Zielport 0 Lokale IKE-Adresse Peer-IKE-Adresse 7-29: 13:20:39:917:2768 7-29: 13:20:39:917:2768 Benutzer 7-29: 13:20:39:917:2768 Neue Richtinie hat Sicherheitszuordnungen ungültig gemacht, die mit der alten Richtlinie erstellt wurden. Quote
Hr_Rossi 10 Posted July 29, 2004 Author Report Posted July 29, 2004 und hier das router log !!! 1 07/29/2004 13:29:35 Send:[sA][VID] 212.24.115.82 192.168.100.102 IKE 2 07/29/2004 13:29:34 Recv:[sA][VID] 192.168.100.102 212.24.115.82 IKE 3 07/29/2004 13:29:34 Recv Main Mode request from [192.168.100.102] 192.168.100.102 212.24.115.82 IKE 4 07/29/2004 13:29:34 Rule [2] Receiving IKE request 192.168.100.102 212.24.115.82 IKE 5 07/29/2004 13:29:34 Send:[HASH][DEL] 212.24.115.82 192.168.100.102 IKE 6 07/29/2004 13:29:34 Send:[HASH][NOTFY:ERR_ID_INFO] 212.24.115.82 192.168.100.102 IKE 7 07/29/2004 13:29:34 vs. My Remote [0.0.0.0]-[0.0.0.0] 192.168.100.102 212.24.115.82 IKE 8 07/29/2004 13:29:34 Recv ID: SINGLE, [192.168.100.102]-[192.168.100.102] 192.168.100.102 212.24.115.82 IKE 9 07/29/2004 13:29:34 Rule [2] Verifying Remote ID failed: 192.168.100.102 212.24.115.82 IKE 10 07/29/2004 13:29:34 Start Phase 2: Quick Mode 192.168.100.102 212.24.115.82 IKE 11 07/29/2004 13:29:34 Recv:[HASH][sA][NONCE][iD][iD] 192.168.100.102 212.24.115.82 IKE 12 07/29/2004 13:29:34 Phase 1 IKE SA process done 212.24.115.82 192.168.100.102 IKE 13 07/29/2004 13:29:34 Send:[iD][HASH][NOTFY:INIT_CONTACT] 212.24.115.82 192.168.100.102 IKE 14 07/29/2004 13:29:34 Recv:[iD][HASH] 192.168.100.102 212.24.115.82 IKE 15 07/29/2004 13:29:34 Send:[KE][NONCE] 212.24.115.82 192.168.100.102 IKE 16 07/29/2004 13:29:34 Recv:[KE][NONCE] 192.168.100.102 212.24.115.82 IKE 17 07/29/2004 13:29:33 Send:[sA][VID] 212.24.115.82 192.168.100.102 IKE 18 07/29/2004 13:29:33 Recv:[sA][VID] 192.168.100.102 212.24.115.82 IKE 19 07/29/2004 13:29:33 Recv Main Mode request from [192.168.100.102] 192.168.100.102 212.24.115.82 IKE 20 07/29/2004 13:29:33 Rule [2] Receiving IKE request 192.168.100.102 212.24.115.82 IKE -------------------------------------------------------------------------------- Quote
grizzly999 11 Posted July 29, 2004 Report Posted July 29, 2004 Der Client läuft hinter einem NAT-Gerät?! Hat der den L2TP-Patch installiert und unterstützt der VPN-Server NAT-T? grizzly999 Quote
Hr_Rossi 10 Posted July 29, 2004 Author Report Posted July 29, 2004 hi der client käuft hinter einen unix-router aber hab mit den zyxel techniker gesprochen die sagen das man die firmware nochmal über eine serielle verb. flashen soll und die default config bin ja mal gespannt mfg rossi Quote
grizzly999 11 Posted July 29, 2004 Report Posted July 29, 2004 Du brauchst trotzdem den Patch 818043 auf dem Client. Und wenn das Upgrade NAT-T kann, dann sollte es gehen. grizzly999 Quote
Hr_Rossi 10 Posted July 29, 2004 Author Report Posted July 29, 2004 jo keine sorge der client ist am letzten stabd der möglichen updates *man das dauert über die serielle verbindung* (firmware update) mfg rossi Quote
grizzly999 11 Posted July 29, 2004 Report Posted July 29, 2004 Ich frage deshalb so nach, weil nach meiner bisherigen Erfahrung wird dieser Patch ("nur" ein empfohlenes Update übrigens) nicht installiert, weil nur empfohlen vom SUS sowieso nicht downgeloadet, und ich hatte ihn - obwohl vollständig gepatchte Systeme-> Windows Update meldet: keine Updates erforderlich - nie auf meinen Rechnern drauf. Ich musste mir den immer manuell über Windows Update Katalog ziehen und installieren ;) grizzly999 Quote
Hr_Rossi 10 Posted July 30, 2004 Author Report Posted July 30, 2004 so neueste firmware drauf von zyxel über seriell eingespielt 3.62 default config.rom drauf auf den clients der patch drauf und es finkr nicht in den router logs immer die ser fehler zu beginn der phase 2 12 07/30/2004 05:50:25 vs. My Remote [192.168.100.102]-[192.168.100.102] 192.168.100.102 212.24.115.82 IKE 13 07/30/2004 05:50:25 Recv ID: SINGLE, [192.168.100.102]-[192.168.100.102] 192.168.100.102 212.24.115.82 IKE 14 07/30/2004 05:50:25 Rule [1] Verifying Remote ID failed: 192.168.100.102 212.24.115.82 IKE laut der techn. referenz von der zywal bedeutet das "During IKE Phase 2negotiation, both parties exchange policy details, including local and remote IP address ranges. If these ranges differ, then the connection fails." hab aber die Ip sicher richtig !! mit SSH Sentinel funkt es bis auf das das der einenandere encapsulation fährt nämlich " tunnel" sonst komplett intente einstellunge hast du noch eine idee grizzly schön langsam bin ich mit meinem latein am ende gruss rossi Quote
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.