Jump to content
Sign in to follow this  
Hr_Rossi

ipsec über ip-sicherheits-richtlinien

Recommended Posts

folgendes problem:

habe eine zyxel zywall 10w die gleichzeitig vpn-server ist

mir ist es über xp nicht möglich eine ipsec verbindung aufzubaun (mit pre-sharedkey) !! auch nicht mit ip-sicherheitrichtlinien (100%alles richtig konfiguriert)

mit den ssh-sentinel vpn client geht es ,aber mit xp nicht !??

kann mir jemand einen tipp geben wäre dankbar

 

bzw kennt jemand einen vpn-client der unter windows läuft und ipsec kann und nochdazu freeware ist

 

details: sha-1, 3des, dh-2 (phase1)

(phase 2) sha-1 3des, dh2

 

das problem bei xp liegt in der phase 2

 

phase 1 laut debug process done

Share this post


Link to post

Ich bin mir nicht sicher, aber ich glaube, dass erst W2k3 DH2 in Phase II kann.

Probiere es entweder:

- auf dem XP in den IPSec-Policies PFS einzuschalten

oder

- auf der zywall DH2 für Phase II abzuschalten.

 

 

grizzly999

Share this post


Link to post

jo thx grizzly für den tipp

werde das morgen mal testen

 

aber ich glaube ich hatte schon alle variationen

 

naja dann is nur mehr das mit den zeiten der schlüsselerneuerung

 

nehm mal an das die auch zusammenpassen müssen

 

bzw welcher zeit is für was in den ip policys

 

mfg rossi

Share this post


Link to post

Schau mal hier rein, da ist alles relativ gut erklärt, auch ein paar tipps zum Troubleshooting. besodners interessant dürdte für dich das Oakley-Logging sein ;)

 

grizzly999

Share this post


Link to post

so schön langsam aber sicher zweifle ich an MS !!

 

ipsec in phase 2

 

mit sentinel ssh client encapsulation "tunnel"

 

mit xp encapsulation "transport"

 

wie kann ich die encapsulation auch auf tunnel stellen bei xp

 

das wär cool

Share this post


Link to post

jo hi grizzly zunächst mal thx für prompte antwort

 

aber in den ip-richtlinien kann man nur den tunnel-endpunkt einstellen das hat nichts mit der encapsulation zu tun

 

ich nehm mal an das das irgend ein reg-key is

 

???

Share this post


Link to post

huhu ein kurzer auszug aus dem oakley-logging

 

******* peer hat si-zuordnung gelöscht waah wieso

 

hier sieh selbst

 

was meinst du dazu

 

beginnt ab phase2 !!

 

 

 

7-29: 13:20:39:897:2768 Datenschutzmodus (Schnellmodus)

 

 

7-29: 13:20:39:897:2768 Quell-IP-Adresse 192.168.100.102

 

Quell-IP-Adressmaske 255.255.255.255

 

Ziel-IP-Adresse 212.24.115.82

 

Ziel-IP-Adressmaske 255.255.255.255

 

Protokoll 17

 

Quellport 1701

 

Zielport 0

 

Lokale IKE-Adresse 192.168.100.102

 

Peer-IKE-Adresse 212.24.115.82

 

 

7-29: 13:20:39:897:2768 Kennung des vorinstallierten Schlüssels.

 

Peer-IP-Adresse: 212.24.115.82

 

 

7-29: 13:20:39:897:2768 Benutzer

 

 

7-29: 13:20:39:897:2768 IKE-Sicherheitszuordnung wurde von Peer gelöscht, bevor Herstellung abgeschossen war.

 

 

 

7-29: 13:20:39:917:2768 Quell-IP-Adresse 192.168.100.102

 

Quell-IP-Adressmaske 255.255.255.255

 

Ziel-IP-Adresse 212.24.115.82

 

Ziel-IP-Adressmaske 255.255.255.255

 

Protokoll 0

 

Quellport 0

 

Zielport 0

 

Lokale IKE-Adresse

 

Peer-IKE-Adresse

 

 

7-29: 13:20:39:917:2768

7-29: 13:20:39:917:2768 Benutzer

 

 

7-29: 13:20:39:917:2768 Neue Richtinie hat Sicherheitszuordnungen ungültig gemacht, die mit der alten Richtlinie erstellt wurden.

Share this post


Link to post

und hier das router log !!!

 

 

 

1 07/29/2004 13:29:35 Send:[sA][VID] 212.24.115.82 192.168.100.102 IKE

 

2 07/29/2004 13:29:34 Recv:[sA][VID] 192.168.100.102 212.24.115.82 IKE

 

3 07/29/2004 13:29:34 Recv Main Mode request from [192.168.100.102] 192.168.100.102 212.24.115.82 IKE

 

4 07/29/2004 13:29:34 Rule [2] Receiving IKE request 192.168.100.102 212.24.115.82 IKE

 

5 07/29/2004 13:29:34 Send:[HASH][DEL] 212.24.115.82 192.168.100.102 IKE

 

6 07/29/2004 13:29:34 Send:[HASH][NOTFY:ERR_ID_INFO] 212.24.115.82 192.168.100.102 IKE

 

7 07/29/2004 13:29:34 vs. My Remote [0.0.0.0]-[0.0.0.0] 192.168.100.102 212.24.115.82 IKE

8 07/29/2004 13:29:34 Recv ID: SINGLE, [192.168.100.102]-[192.168.100.102] 192.168.100.102 212.24.115.82 IKE

 

9 07/29/2004 13:29:34 Rule [2] Verifying Remote ID failed: 192.168.100.102 212.24.115.82 IKE

 

10 07/29/2004 13:29:34 Start Phase 2: Quick Mode 192.168.100.102 212.24.115.82 IKE

 

11 07/29/2004 13:29:34 Recv:[HASH][sA][NONCE][iD][iD] 192.168.100.102 212.24.115.82 IKE

 

12 07/29/2004 13:29:34 Phase 1 IKE SA process done 212.24.115.82 192.168.100.102 IKE

 

13 07/29/2004 13:29:34 Send:[iD][HASH][NOTFY:INIT_CONTACT] 212.24.115.82 192.168.100.102 IKE

 

14 07/29/2004 13:29:34 Recv:[iD][HASH] 192.168.100.102 212.24.115.82 IKE

 

15 07/29/2004 13:29:34 Send:[KE][NONCE] 212.24.115.82 192.168.100.102 IKE

 

16 07/29/2004 13:29:34 Recv:[KE][NONCE] 192.168.100.102 212.24.115.82 IKE

 

17 07/29/2004 13:29:33 Send:[sA][VID] 212.24.115.82 192.168.100.102 IKE

 

18 07/29/2004 13:29:33 Recv:[sA][VID] 192.168.100.102 212.24.115.82 IKE

 

19 07/29/2004 13:29:33 Recv Main Mode request from [192.168.100.102] 192.168.100.102 212.24.115.82 IKE

 

20 07/29/2004 13:29:33 Rule [2] Receiving IKE request 192.168.100.102 212.24.115.82 IKE

 

 

--------------------------------------------------------------------------------

Share this post


Link to post

hi

der client käuft hinter einen unix-router

 

aber hab mit den zyxel techniker gesprochen die sagen das

 

man die firmware nochmal über eine serielle verb. flashen soll

und die default config

 

bin ja mal gespannt

 

mfg rossi

Share this post


Link to post

jo keine sorge

 

der client ist am letzten stabd der möglichen updates

 

*man das dauert über die serielle verbindung* (firmware update)

 

mfg rossi

Share this post


Link to post

Ich frage deshalb so nach, weil nach meiner bisherigen Erfahrung wird dieser Patch ("nur" ein empfohlenes Update übrigens) nicht installiert, weil nur empfohlen vom SUS sowieso nicht downgeloadet, und ich hatte ihn - obwohl vollständig gepatchte Systeme-> Windows Update meldet: keine Updates erforderlich - nie auf meinen Rechnern drauf. Ich musste mir den immer manuell über Windows Update Katalog ziehen und installieren ;)

 

grizzly999

Share this post


Link to post

so

 

neueste firmware drauf von zyxel über seriell eingespielt 3.62

default config.rom drauf

 

auf den clients der patch drauf

 

und es finkr nicht in den router logs immer die ser fehler

zu beginn der phase 2

 

12 07/30/2004 05:50:25 vs. My Remote [192.168.100.102]-[192.168.100.102] 192.168.100.102 212.24.115.82 IKE

 

13 07/30/2004 05:50:25 Recv ID: SINGLE, [192.168.100.102]-[192.168.100.102] 192.168.100.102 212.24.115.82 IKE

 

14 07/30/2004 05:50:25 Rule [1] Verifying Remote ID failed: 192.168.100.102 212.24.115.82 IKE

 

 

laut der techn. referenz von der zywal bedeutet das

 

"During IKE Phase 2negotiation, both parties exchange policy details, including local and remote IP address ranges. If these ranges differ, then the connection fails."

 

hab aber die Ip sicher richtig !!

 

mit SSH Sentinel funkt es

bis auf das das der einenandere encapsulation fährt nämlich " tunnel" sonst komplett intente einstellunge

 

hast du noch eine idee grizzly

 

schön langsam bin ich mit meinem latein am ende

 

gruss rossi

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...