IPsec UTM9 -> UMTS-Router ohne öffentliche IP

wenn Router öffentlich nicht erreichbar ist. Womit sollte UTM220 Side-To-Side VPN aufbauen?

Na Leute keiner ne Idee oder einen Tipp in welche Richtung ich testen kann?

Immer langsam mit den jungen Pferden. Das is ein Forum, kein Speed-Chat!

Zur Frage:
Am UMTS-Router muss NAT Traversal aktivert werden. Außerdem geht de Verbindungsaufbau nur one-way: vom UMTS-Router zur UTM, da der Router ja nicht öffentlich erreichbar ist.
Also auch die Gegenstelle (Remote  Gateway) in der UTM-IPSec-Config auf "Respond only" einstellen.

Es ist aber nicht sicher, ob es überhaupt funktioniert, weil IPSec massive Probleme mit NAT hat.
OpenVPN (SSL-VPN) wäre hier deutlich stabiler...

Bisher hatte noch keinen Erfolg. NAT Traversal habe ich aktiviert. Das Remote Gateway hatte ich ja bereits auf "Respond only". 

2013:07:26-15:47:58 FW01-1 pluto[25183]: | *received whack message 

2013:07:26-15:47:58 FW01-1 pluto[25183]: | from whack: got --esp=3des-sha1;modp1024 

2013:07:26-15:47:58 FW01-1 pluto[25183]: | esp proposal: 3DES_CBC/HMAC_SHA1, ; pfsgroup=MODP_1024; 

2013:07:26-15:47:58 FW01-1 pluto[25183]: | from whack: got --ike=3des-sha1-modp1024 

2013:07:26-15:47:58 FW01-1 pluto[25183]: | ike proposal: 3DES_CBC/HMAC_SHA1/MODP_1024, 

2013:07:26-15:47:58 FW01-1 pluto[25183]: added connection description "S_RIBACAM000" 

2013:07:26-15:47:58 FW01-1 pluto[25183]: | 192.168.0.0/24===79.193.28.191[79.193.28.191]...%any[%any]===192.168.100.0/24 

2013:07:26-15:47:58 FW01-1 pluto[25183]: | ike_life: 3600s; ipsec_life: 3600s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0; policy: PSK+ENCRYPT+TUNNEL+PFS 

2013:07:26-15:47:58 FW01-1 pluto[25183]: | next event EVENT_REINIT_SECRET in 791 seconds

Im Log sieht doch fast so aus als ob sich die beiden Router verbinden wollen!?!


Ich würde auch zu OpenVPN (SSL-VPN) wechseln. Leider habe ich absolut keine Ahnung wo ich die ganzen Angaben die der Teltonika Router haben möchte herbekomme. Der Router lässt sich als Server oder Client konfigurieren. Ich hänge mal den Ausdruck der Clientkonfigurationsseite an. Ich denke Statik Key ist der einfachere Weg. Bei den roten Stellen bin ich mir nicht so sicher was da rein kommt oder ob das eingetragene richtig ist.

Schon mal vielen Dank!

Bisher hatte noch keinen Erfolg. NAT Traversal habe ich aktiviert. Das Remote Gateway hatte ich ja bereits auf "Respond only". 

2013:07:26-15:47:58 FW01-1 pluto[25183]: | *received whack message 

2013:07:26-15:47:58 FW01-1 pluto[25183]: | from whack: got --esp=3des-sha1;modp1024 

2013:07:26-15:47:58 FW01-1 pluto[25183]: | esp proposal: 3DES_CBC/HMAC_SHA1, ; pfsgroup=MODP_1024; 

2013:07:26-15:47:58 FW01-1 pluto[25183]: | from whack: got --ike=3des-sha1-modp1024 

2013:07:26-15:47:58 FW01-1 pluto[25183]: | ike proposal: 3DES_CBC/HMAC_SHA1/MODP_1024, 

2013:07:26-15:47:58 FW01-1 pluto[25183]: added connection description "S_RIBACAM000" 

2013:07:26-15:47:58 FW01-1 pluto[25183]: | 192.168.0.0/24===79.193.28.191[79.193.28.191]...%any[%any]===192.168.100.0/24 

2013:07:26-15:47:58 FW01-1 pluto[25183]: | ike_life: 3600s; ipsec_life: 3600s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0; policy: PSK+ENCRYPT+TUNNEL+PFS 

2013:07:26-15:47:58 FW01-1 pluto[25183]: | next event EVENT_REINIT_SECRET in 791 seconds

Im Log sieht doch fast so aus als ob sich die beiden Router verbinden wollen!?!


Ich würde auch zu OpenVPN (SSL-VPN) wechseln. Leider habe ich absolut keine Ahnung wo ich die ganzen Angaben die der Teltonika Router haben möchte herbekomme. Der Router lässt sich als Server oder Client konfigurieren. Ich hänge mal den Ausdruck der Clientkonfigurationsseite an. Ich denke Statik Key ist der einfachere Weg. Bei den roten Stellen bin ich mir nicht so sicher was da rein kommt oder ob das eingetragene richtig ist.

Schon mal vielen Dank!

Static Key funkioniert bei SSL-VPN nicht, die UTM kann nur mit Zertifikaten.
Leider verwendet sie auch noch ein eigenes Dateiformat, so dass es etwas tricky ist, da die Daten herauszulesen.

Mit dem in Windows eingebauten Wordpad ist das aber möglich.

Schritte:

• Auf der UTM eine neue SSL Site2Site-Verbindung anlegen, Connection type: Server
  
• die angebotene Datei unverschlüsselt (*.apc) herunterladen
  
• Diese mit Wordpad öffnen und wie unten beschrieben zerpfplücken
  
• Auf dem UMTS-Router eine Client-Verbindung anlegen
  
• die Zertifikate einbinden (evtl. vorher als einzelne Textdateien speichern, da der UMTS-Router die Zertifikate anscheinend in Datei-Form erwartet)
  
• Protokoll und Port wie in deiner UTM unter Site2Site -> SSL -> Setting eingestellt
  
• Remote Host IP Adress: so, wie deine UTM eben von außen erreichbar ist (DynDNS-Adresse, etc.)
  
• Haken bei LZO-Compression rein, resolve retry infinite, keep alive auf interne IP der UTM
  
  

Dann ist noch die Frage: Kannst du noch weitere Einstellungen bzw. Parameter für OpenVPN übergeben? Die folgenden müssen nämlich auch noch rein:

multihome ; tls-remote  ;  nobind ; auth-user-pass /etc/openvpn/ovpn.auth ; auth-retry nointeract ; auth MD5

In der Datei /etc/openvpn/ovpn.auth stehen username und passwort (jeweils eine Zeile) drin, s.u., diese Datei muss angelegt werden (s. hierzu Handbuch des Routers, sofern der das hergibt).


Zerpflücken der APC-Datei:

Am Anfang stehen die drei nötigen Zertifikate (in der Reihenfolge "Client Zertifikat, CA und Private Key), jeweils mit einigem unnötigem Geplänkel dabei. Wichtig sind immer die Werte ab -----BEGIN CERTIFICATE----- bis einschließlich -----END CERTIFICATE----- bzw. beim Private Key ab -----BEGIN PRIVATE KEY----- bis einschließlich -----END PRIVATE KEY-----.

Dann steht am Ende der APC-Datei noch der Username und das Passwort.
Beide beginnen mit REF_, beim Username (ist relativ kurz) steht direkt danach "username", beim Passwort direkt danach "password" (dieses ist relativ lang).

Außerdem findest du da auch den nötigen x509name für tls-remote (Beginnt mit C=... und endet mit emailAddress=).


edit: evtl. helfen die folgenden Links noch etwas zum Verständnis beim Einrichten:
http://willpeters.com/2011/06/astaro-site-to-site-vpn-with-dd-wrt/, http://www.demel-net.de/howto/How-To.html

Moin,

das NAT Traversal  auf dem router muss meines erachtens aus. Das NAT Traversal  auf der Firewall des Providers muss angeschaltet sein.

Was für ein VON hast due PSK/RSA/Cert?
Was hast du als VPN ID?

Bitte mal mit PSK probieren und als VPN IP irgendeine Private IP eintragen. 192.168.0.1 z.B.

Sven

Vielen Dank für die vielfältigen Tipps.
Komme nicht so recht Weiter.

SSL-VPN:
Hier scheinen einige wichtige Einstellungen an dem UMTS Router zu fehlen. Ich kann weder den Benutzer noch das Password noch die Parameter eingeben. Die Zertifikate und den Key konnte ich ohne weiteres Extrahieren und auch in den Router einladen. 
Derzeit warte ich auf eine Antwort meines Händlers. Davon erhoffe ich mir aber nicht besonders viel. Der Hersteller hat mich umgehend auf den Händler verwiesen[:(]

IPsec:
Mit IPsec bekomme ich leider auch keine Verbindung eingerichtet. Mich wundert, dass ich in den Logs nicht so recht was finde. Sollten nicht zu mindestens etwas in den Livelogs zu sehen sein? Die Firewal sollte doch etwas durchlassen oder blocken. Habe ich einen groben Fehler in meiner Konfig?
Als VPN-ID habe ich 192.168.0.1 und 192.168.10.1 Probiert
NAT-Traversal habe am UMTS Router an und ausgeschaltet.

IPSec: Es kann gut sein, dass dein Mobilfunk-Provider hier irgendetwas blockt. Da wird vermutlich keine große Chance bestehen, wenn gar nix an der UTM ankommt.

SSL-VPN: Gibt's bei deinem UMTS-Router nicht noch irgendeinen "Erweitert"-Button oder ein zusätzliches Eingabefeld für OpenVPN?