Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 4304 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

L2TP over IPSec VPN hinter Router

daniel_sun
Hallo Leute,
bin neu hier und komme leider bei der Konfiguration meines Astaro VPNs nicht mehr weiter...Ich benutze die "Astaro Security Gateway Essential Firewall Edition", also die abgespeckte kostenlose Variante, die nur L2tp over IPSec unterstützt.
Mein Router ist eine Fritzbox 7570 hinter der einmal ein Webserver und zusätzlich um das externe Netz (DMZ) von meinem internen LAN zu trennen, eine Astaro mit 2 Netzwerkschnittstellen(eth0, eth1(WAN)). eth1 hängt also direkt an der Fritzbox.
Die Portweiterleitungen auf der Fritzbox müssten alle stimmen, da ich es mit den einzelnen Freigaben (UDP 1701,4500,500 sowie ESP) versucht habe, als auch mit "Exposed Host", dh, alle Ports werden an die Astaro weitergeleitet. Bei beiden Konfigurationen steht im Astaro IPSec Log folgendes:

2011:06:19-14:22:35 astaro pluto[6380]: packet from 80.187.97.38:500: received Vendor ID payload [RFC 3947]
2011:06:19-14:22:35 astaro pluto[6380]: packet from 80.187.97.38:500: ignoring Vendor ID payload [4df37928e9fc4fd1b3262170d515c662]
2011:06:19-14:22:35 astaro pluto[6380]: packet from 80.187.97.38:500: ignoring Vendor ID payload [8f8d83826d246b6fc7a8a6a428c11de8]
2011:06:19-14:22:35 astaro pluto[6380]: packet from 80.187.97.38:500: ignoring Vendor ID payload [439b59f8ba676c4c7737ae22eab8f582]
2011:06:19-14:22:35 astaro pluto[6380]: packet from 80.187.97.38:500: ignoring Vendor ID payload [4d1e0e136deafa34c4f3ea9f02ec7285]
2011:06:19-14:22:35 astaro pluto[6380]: packet from 80.187.97.38:500: ignoring Vendor ID payload [80d0bb3def54565ee84645d4c85ce3ee]
2011:06:19-14:22:35 astaro pluto[6380]: packet from 80.187.97.38:500: ignoring Vendor ID payload [9909b64eed937c6573de52ace952fa6b]
2011:06:19-14:22:35 astaro pluto[6380]: packet from 80.187.97.38:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
2011:06:19-14:22:35 astaro pluto[6380]: packet from 80.187.97.38:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
2011:06:19-14:22:35 astaro pluto[6380]: packet from 80.187.97.38:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
2011:06:19-14:22:35 astaro pluto[6380]: packet from 80.187.97.38:500: received Vendor ID payload [Dead Peer Detection]
2011:06:19-14:22:35 astaro pluto[6380]: "S_REF_bQkRyNhxrL"[15] 80.187.97.38 #8: responding to Main Mode from unknown peer 80.187.97.38
2011:06:19-14:22:36 astaro pluto[6380]: "S_REF_bQkRyNhxrL"[15] 80.187.97.38 #8: NAT-Traversal: Result using RFC 3947: both are NATed
2011:06:19-14:22:36 astaro pluto[6380]: "S_REF_bQkRyNhxrL"[15] 80.187.97.38 #8: ignoring informational payload, type IPSEC_INITIAL_CONTACT
2011:06:19-14:22:36 astaro pluto[6380]: "S_REF_bQkRyNhxrL"[15] 80.187.97.38 #8: Peer ID is ID_IPV4_ADDR: '10.148.196.209'
2011:06:19-14:22:36 astaro pluto[6380]: "S_REF_bQkRyNhxrL"[16] 80.187.97.38 #8: deleting connection "S_REF_bQkRyNhxrL" instance with peer 80.187.97.38 {isakmp=#0/ipsec=#0}
2011:06:19-14:22:36 astaro pluto[6380]: | NAT-T: new mapping 80.187.97.38:500/11679)
2011:06:19-14:22:36 astaro pluto[6380]: "S_REF_bQkRyNhxrL"[16] 80.187.97.38:11679 #8: sent MR3, ISAKMP SA established
2011:06:19-14:22:37 astaro pluto[6380]: "S_REF_bQkRyNhxrL"[16] 80.187.97.38:11679 #8: cannot respond to IPsec SA request because no connection is known for 84.146.107.126/32===192.168.0.10:4500[192.168.0.10]:17/1701...80.187.97.38:11679[10.148.196.209]:17/%any==={10.148.196.209/32}
2011:06:19-14:22:37 astaro pluto[6380]: "S_REF_bQkRyNhxrL"[16] 80.187.97.38:11679 #8: sending encrypted notification INVALID_ID_INFORMATION to 80.187.97.38:11679
2011:06:19-14:22:41 astaro pluto[6380]: "S_REF_bQkRyNhxrL"[16] 80.187.97.38:11679 #8: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x2b6f0ebd (perhaps this is a duplicated packet)
2011:06:19-14:22:41 astaro pluto[6380]: "S_REF_bQkRyNhxrL"[16] 80.187.97.38:11679 #8: sending encrypted notification INVALID_MESSAGE_ID to 80.187.97.38:11679
2011:06:19-14:22:44 astaro pluto[6380]: "S_REF_bQkRyNhxrL"[16] 80.187.97.38:11679 #8: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x2b6f0ebd (perhaps this is a duplicated packet)
2011:06:19-14:22:44 astaro pluto[6380]: "S_REF_bQkRyNhxrL"[16] 80.187.97.38:11679 #8: sending encrypted notification INVALID_MESSAGE_ID to 80.187.97.38:11679
2011:06:19-14:22:46 astaro pluto[6380]: "S_REF_bQkRyNhxrL"[16] 80.187.97.38:11679 #8: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x2b6f0ebd (perhaps this is a duplicated packet)
2011:06:19-14:22:46 astaro pluto[6380]: "S_REF_bQkRyNhxrL"[16] 80.187.97.38:11679 #8: sending encrypted notification INVALID_MESSAGE_ID to 80.187.97.38:11679
2011:06:19-14:22:50 astaro pluto[6380]: "S_REF_bQkRyNhxrL"[16] 80.187.97.38:11679 #8: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x2b6f0ebd (perhaps this is a duplicated packet)
2011:06:19-14:22:50 astaro pluto[6380]: "S_REF_bQkRyNhxrL"[16] 80.187.97.38:11679 #8: sending encrypted notification INVALID_MESSAGE_ID to 80.187.97.38:11679
2011:06:19-14:22:53 astaro pluto[6380]: "S_REF_bQkRyNhxrL"[16] 80.187.97.38:11679 #8: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x2b6f0ebd (perhaps this is a duplicated packet)
2011:06:19-14:22:53 astaro pluto[6380]: "S_REF_bQkRyNhxrL"[16] 80.187.97.38:11679 #8: sending encrypted notification INVALID_MESSAGE_ID to 80.187.97.38:11679
2011:06:19-14:22:56 astaro pluto[6380]: "S_REF_bQkRyNhxrL"[16] 80.187.97.38:11679 #8: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x2b6f0ebd (perhaps this is a duplicated packet)
2011:06:19-14:22:56 astaro pluto[6380]: "S_REF_bQkRyNhxrL"[16] 80.187.97.38:11679 #8: sending encrypted notification INVALID_MESSAGE_ID to 80.187.97.38:11679
2011:06:19-14:22:59 astaro pluto[6380]: "S_REF_bQkRyNhxrL"[16] 80.187.97.38:11679 #8: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x2b6f0ebd (perhaps this is a duplicated packet)
2011:06:19-14:22:59 astaro pluto[6380]: "S_REF_bQkRyNhxrL"[16] 80.187.97.38:11679 #8: sending encrypted notification INVALID_MESSAGE_ID to 80.187.97.38:11679
2011:06:19-14:23:01 astaro pluto[6380]: "S_REF_bQkRyNhxrL"[16] 80.187.97.38:11679 #8: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x2b6f0ebd (perhaps this is a duplicated packet)
2011:06:19-14:23:01 astaro pluto[6380]: "S_REF_bQkRyNhxrL"[16] 80.187.97.38:11679 #8: sending encrypted notification INVALID_MESSAGE_ID to 80.187.97.38:11679
2011:06:19-14:23:05 astaro pluto[6380]: "S_REF_bQkRyNhxrL"[16] 80.187.97.38:11679 #8: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x2b6f0ebd (perhaps this is a duplicated packet)
2011:06:19-14:23:05 astaro pluto[6380]: "S_REF_bQkRyNhxrL"[16] 80.187.97.38:11679 #8: sending encrypted notification INVALID_MESSAGE_ID to 80.187.97.38:11679
2011:06:19-14:23:08 astaro pluto[6380]: "S_REF_bQkRyNhxrL"[16] 80.187.97.38:11679 #8: received Delete SA payload: deleting ISAKMP State #8
2011:06:19-14:23:08 astaro pluto[6380]: "S_REF_bQkRyNhxrL"[16] 80.187.97.38:11679: deleting connection "S_REF_bQkRyNhxrL" instance with peer 80.187.97.38 {isakmp=#0/ipsec=#0}
2011:06:19-14:23:08 astaro pluto[6380]: ERROR: asynchronous network error report on eth1 for message to 80.187.97.38 port 11679, complainant 80.187.97.38: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)] 

Vorallem der "cannot respond to IPsec SA" Part macht mir sorgen, was läuft hier falsch?

Ich habe einen VPN User angelegt, dieser darf laut Paketfilter in das interne Netz.
Das VPN selbst läuft nicht über Zertifikate sondern über Preshared Key, da ich es für mein iPhone etc so benötige...

Weis jemand einen Rat?

Schonmal danke in voraus!

Grüße
Daniel

edit: Die Fritzbox synct natürlich mit DynDNS, habe also keine Feste IP...


This thread was automatically locked due to age.
Parents
  • 0
    Tag Daniel

    Bitte schreib mir mal folgende IPs auf:
    interne IP des Clients ---- IP des Internetzugangs --- wwwww  --- IP der Fritzbox --- WAN-IP der Astaro ---- VPN-Pool-IP-Range

    So kann ich dein Log mal genauer anschauen.

    Gruss
    Ralph
Reply
  • 0
    Tag Daniel

    Bitte schreib mir mal folgende IPs auf:
    interne IP des Clients ---- IP des Internetzugangs --- wwwww  --- IP der Fritzbox --- WAN-IP der Astaro ---- VPN-Pool-IP-Range

    So kann ich dein Log mal genauer anschauen.

    Gruss
    Ralph
Children
  • 0 in reply to onkelnatas
    Hallo Ralph,
    danke für deine Anwort!
    ich bin gerade leider nicht zuhause und per VPN kann ich auch nicht nachsehen[:)] aber ich versuch mal die richtigen IPs aus der Erinnerung und dem Log zusammenzufassen.
    interne IP Client: 10.148.196.209
    externe IP Client : 80.187.97.38

    Client war in diesem Fall ein UMTS-Netz

    fritz.box extern: 84.146.107.126 (synct mit DynDNS)
    fritz.box intern (Gateway): 192.168.0.1
    WAN-IP Astaro: 192.168.0.10

    VPN-Pool ist in der Standardeinstellung und ich glaube es war 10.0.3.0 bin mir aber nicht 100% sicher...

    LAN-IP der Astaro wäre dann 192.168.1.10 und genau in dieses Netz möchte ich mit VPN...

    Gruß
    Daniel

    edit: ich könnte heute Abend Screenshots aller Astaro Einstellungen anfertigen wenn das etwas nützt?
Cookie Information Banner