This discussion has been locked.

You can no longer post new replies to this discussion. If you have a question you can start a new discussion

L2TP over IPSec VPN hinter Router

Hallo Leute,
bin neu hier und komme leider bei der Konfiguration meines Astaro VPNs nicht mehr weiter...Ich benutze die "Astaro Security Gateway Essential Firewall Edition", also die abgespeckte kostenlose Variante, die nur L2tp over IPSec unterstützt.
Mein Router ist eine Fritzbox 7570 hinter der einmal ein Webserver und zusätzlich um das externe Netz (DMZ) von meinem internen LAN zu trennen, eine Astaro mit 2 Netzwerkschnittstellen(eth0, eth1(WAN)). eth1 hängt also direkt an der Fritzbox.
Die Portweiterleitungen auf der Fritzbox müssten alle stimmen, da ich es mit den einzelnen Freigaben (UDP 1701,4500,500 sowie ESP) versucht habe, als auch mit "Exposed Host", dh, alle Ports werden an die Astaro weitergeleitet. Bei beiden Konfigurationen steht im Astaro IPSec Log folgendes:

2011:06:19-14:22:35 astaro pluto[6380]: packet from 80.187.97.38:500: received Vendor ID payload [RFC 3947]
2011:06:19-14:22:35 astaro pluto[6380]: packet from 80.187.97.38:500: ignoring Vendor ID payload [4df37928e9fc4fd1b3262170d515c662]
2011:06:19-14:22:35 astaro pluto[6380]: packet from 80.187.97.38:500: ignoring Vendor ID payload [8f8d83826d246b6fc7a8a6a428c11de8]
2011:06:19-14:22:35 astaro pluto[6380]: packet from 80.187.97.38:500: ignoring Vendor ID payload [439b59f8ba676c4c7737ae22eab8f582]
2011:06:19-14:22:35 astaro pluto[6380]: packet from 80.187.97.38:500: ignoring Vendor ID payload [4d1e0e136deafa34c4f3ea9f02ec7285]
2011:06:19-14:22:35 astaro pluto[6380]: packet from 80.187.97.38:500: ignoring Vendor ID payload [80d0bb3def54565ee84645d4c85ce3ee]
2011:06:19-14:22:35 astaro pluto[6380]: packet from 80.187.97.38:500: ignoring Vendor ID payload [9909b64eed937c6573de52ace952fa6b]
2011:06:19-14:22:35 astaro pluto[6380]: packet from 80.187.97.38:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
2011:06:19-14:22:35 astaro pluto[6380]: packet from 80.187.97.38:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
2011:06:19-14:22:35 astaro pluto[6380]: packet from 80.187.97.38:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
2011:06:19-14:22:35 astaro pluto[6380]: packet from 80.187.97.38:500: received Vendor ID payload [Dead Peer Detection]
2011:06:19-14:22:35 astaro pluto[6380]: "S_REF_bQkRyNhxrL"[15] 80.187.97.38 #8: responding to Main Mode from unknown peer 80.187.97.38
2011:06:19-14:22:36 astaro pluto[6380]: "S_REF_bQkRyNhxrL"[15] 80.187.97.38 #8: NAT-Traversal: Result using RFC 3947: both are NATed
2011:06:19-14:22:36 astaro pluto[6380]: "S_REF_bQkRyNhxrL"[15] 80.187.97.38 #8: ignoring informational payload, type IPSEC_INITIAL_CONTACT
2011:06:19-14:22:36 astaro pluto[6380]: "S_REF_bQkRyNhxrL"[15] 80.187.97.38 #8: Peer ID is ID_IPV4_ADDR: '10.148.196.209'
2011:06:19-14:22:36 astaro pluto[6380]: "S_REF_bQkRyNhxrL"[16] 80.187.97.38 #8: deleting connection "S_REF_bQkRyNhxrL" instance with peer 80.187.97.38 {isakmp=#0/ipsec=#0}
2011:06:19-14:22:36 astaro pluto[6380]: | NAT-T: new mapping 80.187.97.38:500/11679)
2011:06:19-14:22:36 astaro pluto[6380]: "S_REF_bQkRyNhxrL"[16] 80.187.97.38:11679 #8: sent MR3, ISAKMP SA established
2011:06:19-14:22:37 astaro pluto[6380]: "S_REF_bQkRyNhxrL"[16] 80.187.97.38:11679 #8: cannot respond to IPsec SA request because no connection is known for 84.146.107.126/32===192.168.0.10:4500[192.168.0.10]:17/1701...80.187.97.38:11679[10.148.196.209]:17/%any==={10.148.196.209/32}
2011:06:19-14:22:37 astaro pluto[6380]: "S_REF_bQkRyNhxrL"[16] 80.187.97.38:11679 #8: sending encrypted notification INVALID_ID_INFORMATION to 80.187.97.38:11679
2011:06:19-14:22:41 astaro pluto[6380]: "S_REF_bQkRyNhxrL"[16] 80.187.97.38:11679 #8: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x2b6f0ebd (perhaps this is a duplicated packet)
2011:06:19-14:22:41 astaro pluto[6380]: "S_REF_bQkRyNhxrL"[16] 80.187.97.38:11679 #8: sending encrypted notification INVALID_MESSAGE_ID to 80.187.97.38:11679
2011:06:19-14:22:44 astaro pluto[6380]: "S_REF_bQkRyNhxrL"[16] 80.187.97.38:11679 #8: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x2b6f0ebd (perhaps this is a duplicated packet)
2011:06:19-14:22:44 astaro pluto[6380]: "S_REF_bQkRyNhxrL"[16] 80.187.97.38:11679 #8: sending encrypted notification INVALID_MESSAGE_ID to 80.187.97.38:11679
2011:06:19-14:22:46 astaro pluto[6380]: "S_REF_bQkRyNhxrL"[16] 80.187.97.38:11679 #8: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x2b6f0ebd (perhaps this is a duplicated packet)
2011:06:19-14:22:46 astaro pluto[6380]: "S_REF_bQkRyNhxrL"[16] 80.187.97.38:11679 #8: sending encrypted notification INVALID_MESSAGE_ID to 80.187.97.38:11679
2011:06:19-14:22:50 astaro pluto[6380]: "S_REF_bQkRyNhxrL"[16] 80.187.97.38:11679 #8: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x2b6f0ebd (perhaps this is a duplicated packet)
2011:06:19-14:22:50 astaro pluto[6380]: "S_REF_bQkRyNhxrL"[16] 80.187.97.38:11679 #8: sending encrypted notification INVALID_MESSAGE_ID to 80.187.97.38:11679
2011:06:19-14:22:53 astaro pluto[6380]: "S_REF_bQkRyNhxrL"[16] 80.187.97.38:11679 #8: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x2b6f0ebd (perhaps this is a duplicated packet)
2011:06:19-14:22:53 astaro pluto[6380]: "S_REF_bQkRyNhxrL"[16] 80.187.97.38:11679 #8: sending encrypted notification INVALID_MESSAGE_ID to 80.187.97.38:11679
2011:06:19-14:22:56 astaro pluto[6380]: "S_REF_bQkRyNhxrL"[16] 80.187.97.38:11679 #8: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x2b6f0ebd (perhaps this is a duplicated packet)
2011:06:19-14:22:56 astaro pluto[6380]: "S_REF_bQkRyNhxrL"[16] 80.187.97.38:11679 #8: sending encrypted notification INVALID_MESSAGE_ID to 80.187.97.38:11679
2011:06:19-14:22:59 astaro pluto[6380]: "S_REF_bQkRyNhxrL"[16] 80.187.97.38:11679 #8: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x2b6f0ebd (perhaps this is a duplicated packet)
2011:06:19-14:22:59 astaro pluto[6380]: "S_REF_bQkRyNhxrL"[16] 80.187.97.38:11679 #8: sending encrypted notification INVALID_MESSAGE_ID to 80.187.97.38:11679
2011:06:19-14:23:01 astaro pluto[6380]: "S_REF_bQkRyNhxrL"[16] 80.187.97.38:11679 #8: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x2b6f0ebd (perhaps this is a duplicated packet)
2011:06:19-14:23:01 astaro pluto[6380]: "S_REF_bQkRyNhxrL"[16] 80.187.97.38:11679 #8: sending encrypted notification INVALID_MESSAGE_ID to 80.187.97.38:11679
2011:06:19-14:23:05 astaro pluto[6380]: "S_REF_bQkRyNhxrL"[16] 80.187.97.38:11679 #8: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x2b6f0ebd (perhaps this is a duplicated packet)
2011:06:19-14:23:05 astaro pluto[6380]: "S_REF_bQkRyNhxrL"[16] 80.187.97.38:11679 #8: sending encrypted notification INVALID_MESSAGE_ID to 80.187.97.38:11679
2011:06:19-14:23:08 astaro pluto[6380]: "S_REF_bQkRyNhxrL"[16] 80.187.97.38:11679 #8: received Delete SA payload: deleting ISAKMP State #8
2011:06:19-14:23:08 astaro pluto[6380]: "S_REF_bQkRyNhxrL"[16] 80.187.97.38:11679: deleting connection "S_REF_bQkRyNhxrL" instance with peer 80.187.97.38 {isakmp=#0/ipsec=#0}
2011:06:19-14:23:08 astaro pluto[6380]: ERROR: asynchronous network error report on eth1 for message to 80.187.97.38 port 11679, complainant 80.187.97.38: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)]

Vorallem der "cannot respond to IPsec SA" Part macht mir sorgen, was läuft hier falsch?

Ich habe einen VPN User angelegt, dieser darf laut Paketfilter in das interne Netz.
Das VPN selbst läuft nicht über Zertifikate sondern über Preshared Key, da ich es für mein iPhone etc so benötige...

Weis jemand einen Rat?

Schonmal danke in voraus!

Grüße
Daniel

edit: Die Fritzbox synct natürlich mit DynDNS, habe also keine Feste IP...

This thread was automatically locked due to age.

0 daniel_sun over 14 years ago

Kann denn niemand etwas zu diesem Problem sagen? Bin noch am Verzweifeln hier.[:)]
Cancel
Vote Up 0 Vote Down

Cancel
0 daniel_sun over 14 years ago

Ich habe nun selbst etwas geforscht und ein Support Paper von Astaro sagt das man bei den Benutzern eine "Remote Static IP" vergeben soll. Welche vergibt man denn dort am Besten? Ist es völlig egal oder muss es eine interne IP sein?
Cancel
Vote Up 0 Vote Down

Cancel
0 onkelnatas over 14 years ago

Tag Daniel

Bitte schreib mir mal folgende IPs auf:
interne IP des Clients ---- IP des Internetzugangs --- wwwww --- IP der Fritzbox --- WAN-IP der Astaro ---- VPN-Pool-IP-Range

So kann ich dein Log mal genauer anschauen.

Gruss
Ralph
Cancel
Vote Up 0 Vote Down

Cancel
0 daniel_sun over 14 years ago in reply to onkelnatas

Hallo Ralph,
danke für deine Anwort!
ich bin gerade leider nicht zuhause und per VPN kann ich auch nicht nachsehen[:)] aber ich versuch mal die richtigen IPs aus der Erinnerung und dem Log zusammenzufassen.
interne IP Client: 10.148.196.209
externe IP Client : 80.187.97.38

Client war in diesem Fall ein UMTS-Netz

fritz.box extern: 84.146.107.126 (synct mit DynDNS)
fritz.box intern (Gateway): 192.168.0.1
WAN-IP Astaro: 192.168.0.10

VPN-Pool ist in der Standardeinstellung und ich glaube es war 10.0.3.0 bin mir aber nicht 100% sicher...

LAN-IP der Astaro wäre dann 192.168.1.10 und genau in dieses Netz möchte ich mit VPN...

Gruß
Daniel

edit: ich könnte heute Abend Screenshots aller Astaro Einstellungen anfertigen wenn das etwas nützt?
Cancel
Vote Up 0 Vote Down

Cancel
0 daniel_sun over 14 years ago

So mittlerweile konnte ich nachsehen, der VPN Pool ist nicht wie oben beschrieben sondern 10.242.3.0/24 der Rest müsste passen!
Hier noch ein paar Screenshots der Einstellungen:

Hoffe das Hilft!

- daniel
Cancel
Vote Up 0 Vote Down

Cancel
0 BAlfson over 14 years ago

I apologize for responding in English, but I can't get my German-speaking brain to work right now. [:)]

With NAT-T, an L2TP client behind a NAT can connect, but I think it's not possible to connect if the IPsec VPN server is itself behind a NAT.

In any case, the Packet Filter rule 'vpnuser (User Network) -> Any -> Internal (Network) : Allow' is never necessary with L2TP. And, the Statische Fernzugriffs-IP doesn't seem necessary based on what you have described.

The Astaro should be able to take over if you eliminate the Fritzbox or put it into bridge mode so the Astaro can have a public IP. If that's not possible, I think you're stuck with PPTP on the iPhone.

MfG - Bob
PS Bitte, auf Deutsch weiterhin!

Sophos UTM Community Moderator
Sophos Certified Architect - UTM
Sophos Certified Engineer - XG
Gold Solution Partner since 2005

MediaSoft, Inc. USA
Cancel
Vote Up 0 Vote Down

Cancel
0 daniel_sun over 14 years ago

Hallo BAlfson,

das hatte ich schon befürchtet das es mit dem NAT-Router vor der Astaro nicht funktionieren könnte. Leider benötigt meine derzeitige Infrastruktur das die Fritzbox an dieser Stelle so verweilt^^
Rein aus Interesse, muss ich es jedoch, mit dem Router als Modem einmal testen ob die Verbindung dann Zustande kommt. Ich kann gerne darüber berichten!
Mittlerweile konnte ich wenigstens PPTP zum laufen bringen, diese Verbindung funktioniert ohne jegliche Probleme! Danke für den Hinweis, dachte diese ist gar nicht in meiner Lizenz enthalten...Auch denke ich ist PPTP mit einem ausreichend langen Passwort auch sicher oder irre ich da?

Grüße
Daniel
Cancel
Vote Up 0 Vote Down

Cancel
0 daniel_sun over 14 years ago

So mittlerweile habe ich die Zeit gefunden, das Ganze mit einem Modem statt der FritzBox als Router zu testen. Und siehe da der Fernzugriff über L2TP funktioniert tadellos![:)]
Es liegt also mit Sicherheit daran das L2TP over IPsec nicht funktioniert wenn der Server selbst hinter einem NAT-Router steht...
Naja für mich heißt das, das ich mich wohl vorerst mit PPTP zufriedenstellen muss.
Nochmal danke für die Hilfe!

Grüße
Daniel
Cancel
Vote Up 0 Vote Down

Cancel