[SIZE="3"][SIZE="2"]Hallo zusammen,
auf die Gefahr hin, einige böse Kommentare zu bekommen, poste ich trotzdem dieses Thema, weil mich die bisherigen Fundstellen in sämtlichen Foren nicht weiter gebracht haben.
Ich versuche, mit unserer UTM525 Hardware Appliance einen Site-to-Site VPN Tunnel mit einem Dienstleister aufzubauen.
Als Verfahren habe ich IPsec gewählt. Im ersten Versuch habe ich die Firewallregeln und NAT manuell eingerichtet. Zusätzlich ist NAT-T eingerichtet. Ich verwende folgende Parameter für die Verbindung:
Komprimierung aus, verwendet strikte Richtlinie.
IKE-Einstellungen: AES 256 / SHA2 512 / Gruppe 16: MODP 4096 Gültigkeit: 7800Sekunden
IPsec-Einstellungen: AES 256 / SHA2 512 / Gruppe 16: MODP 4096 Gültigkeit 3600Sekunden
Ich habe sowohl die öffentliche IP der Gegenstelle als auch das dort befindliche Netz eingetragen.
Auf unserer Seite haben wir 3 Kabel-Uplinks mit jeweils 5 statischen IPs, ich greife für diese Verbindung aber gezielt auf eine IP und 1 Interface zurück.
Der Router ist komplett offen und fungiert ausschließlich als "Modem". Der gesamte Verkehr wird erst in der Astaro terminiert.
Auf der Gegenseite existiert leider nur eine FritzBox mit statischer IP.
Für die Authentifizierung verwende ich notgedrungen einen PSK.
Wenn ich unsere UTM anweise, die Verbindung zu initiieren, bekomme ich folgende Meldung:
ERROR: asynchronous network error report on eth2 for message to 217.91.96.xx port 500, complainant 217.91.96.xx: No route to host [errno 113, origin ICMP type 3 code 13 (not authenticated)]
und manchmal auch
*time to handle event
2013:04:24-08:01:07 ***-1 pluto[6488]: | event after this is EVENT_REINIT_SECRET in 2508 seconds
2013:04:24-08:01:07 ***-1 pluto[6488]: | handling event EVENT_RETRANSMIT for 217.91.96.xx "S_REF_IpsSit***Vpn_0" #70
2013:04:24-08:01:07 ***-1 pluto[6488]: | inserting event EVENT_RETRANSMIT, timeout in 40 seconds for #70
2013:04:24-08:01:07 ***-1 pluto[6488]: | next event EVENT_RETRANSMIT in 40 seconds for #70
2013:04:24-08:01:07 ***-1 pluto[6488]: | rejected packet
Schalte ich den VPN-Modus auf "Nur Antworten" um, kommt gar nichts rein.
Auch mit automatischen Firewallregeln (testweise) funktioniert es nicht.
Abschließend ist noch zu sagen, dass unsere statische IP für Site-to-Site VPN von der statischen IP für User-VPN abweicht. Nur das User-VPN lässt sich als FQDN öffentlich auflösen. Kann hier das Problem liegen?
Es wäre super, wenn jemand eine Idee hätte. Auch, weil ich von Fritzbox-VPN keine Ahnung habe.
Vielen Dank im Voraus[/SIZE]![/SIZE]
This thread was automatically locked due to age.