IPSec VPN: Es werden keine Daten übertragen.

Dieses Thema im Forum "Bintec" wurde erstellt von AdrianP, 6. Januar 2017.

  1. AdrianP

    AdrianP Starter

    Registriert seit:
    6. Januar 2017
    Beiträge:
    6
    Punkte für Erfolge:
    0
    Hi
    Ich habe seit Jahren als VPN Lösung eine PPTP Verbindung benutzt. Da diese nicht mehr wirklich als sicher gilt, wollte ich auf IPSec umsteigen.
    Als Router fungiert ein RS123w. Dank des Assistenten und einigen Vorschlägen hier aus dem Forum konnte ich eine Verbindung zwischen einem Mac und meinem Router herstellen. Das dachte ich zumindest, bis ich versuchte die IP meines Routers anzusprechen. Keine Antwort.
    Mein 2ter Versuch war mit einem Windows Rechner und dem bintec-elmeg Secure Client. Glücklicherweise kann man den 30 Tage testen.
    Dank der Guide aus http://classic.faq.bintec-elmeg.com...verbindung_zu_r232bw_fci_01_de,10993,194.html
    ging das einigermaßen. Aber auch hier ist es mir nicht möglich mein Heimnetz anzusprechen.
    Laut dem Log aus dem Secure Client (sehe tiefer) kommt eine Verbindung zu Stande. Aber wenn ich das richtig verstehe, statt sich mit der internen IP (Gateway 192.168.11.254) meines Routers zu verbinden, verbindet sich der IPSec Tunnel mit der öffentlichen Ip (46.XXX.XXX.XXX )des Routers.

    12:28:39 - System: DNSHandling=0
    12:28:39 - IPSec: Start building connection
    12:28:39 - IPSec: DNSREQ: resolving GW=<ipsectest.dyndns.org> over lan:
    12:28:39 - IPSec: DNSREQ resolved vpn ipadr=46.XXX.XXX.XXX,ipadr6=0.0.0.0
    12:28:39 - System: ikeusesocket=1
    12:28:39 - IpsDial: connection time interface choice,LocIpa=131.XXX.XXX.XXX,AdapterIndex=200
    12:28:40 - Ike: Opening connection in PATHFINDER mode : RS123W
    12:28:40 - Ike: Outgoing connect request AGGRESSIVE mode - gateway=46.XXX.XXX.XXX : RS123W
    12:28:40 - Ike: XMIT_MSG1_AGGRESSIVE - RS123W,vpngw=46.XXX.XXX.XXX:500
    12:28:40 - ike_phase1:send_id:ID_FQDN:pid=0,port=0,IPSec_4Me
    12:28:40 - Ike: RECV_MSG2_AGGRESSIVE - RS123W
    12:28:40 - Ike: IKE phase I: Setting LifeTime to 86400 seconds
    12:28:40 - Ike: Turning on XAUTH mode - RS123W
    12:28:40 - Ike: IkeSa1 negotiated with the following properties -
    12:28:40 - Authentication=XAUTH_INIT_PSK,Encryption=AES,Hash=SHA,DHGroup=2,KeyLen=128
    12:28:40 - Ike: RS123W ->Support for NAT-T version - 3
    12:28:40 - IPSec: Final Tunnel EndPoint is=46.XXX.XXX.XXX
    12:28:40 - Ike: ike_phase1:recv_id:ID_FQDN:pid=0,port=0,Sulaco
    12:28:40 - Ike: XMIT_MSG3_AGGRESSIVE - RS123W
    12:28:40 - Ike: IkeSa1 negotiated with the following properties -
    12:28:40 - Authentication=XAUTH_INIT_PSK,Encryption=AES,Hash=SHA,DHGroup=2,KeyLen=128
    12:28:40 - Ike: Turning on DPD mode - RS123W
    12:28:40 - Ike: phase1:name(RS123W) - connected
    12:28:40 - SUCCESS: IKE phase 1 ready
    12:28:40 - IPSec: Phase1 is Ready,AdapterIndex=200,IkeIndex=25,LocTepIpAdr=131.XXX.XXX.XXX,AltRekey=1
    12:28:40 - IkeXauth: RECV_XAUTH_REQUEST
    12:28:40 - IkeXauth: XMIT_XAUTH_REPLY
    12:28:40 - IkeXauth: RECV_XAUTH_SET
    12:28:40 - IkeXauth: XMIT_XAUTH_ACK
    12:28:40 - IkeCfg: name <RS123W> - IkeXauth: enter state open
    12:28:40 - SUCCESS: Ike Extended Authentication is ready
    12:28:42 - IkeCfg: XMIT_IKECFG_REQUEST - RS123W
    12:28:42 - IkeCfg: RECV_IKECFG_REPLY - RS123W
    12:28:42 - IkeCfg: name <RS123W> - enter state open
    12:28:42 - SUCCESS: IkeCfg ready
    12:28:42 - IPSec: Quick Mode is Ready: IkeIndex=25,VpnSrcPort=10952
    12:28:42 - IPSec: Assigned IP Address:IPv4=192.168.11.104,IPv6=0.0.0.0
    12:28:42 - IPSec: Assigned IP Network Mask:IPv4=255.255.255.0,IPv6=0.0.0.0
    12:28:42 - IPSec: Gateway IP Address:IPv4=0.0.0.0,IPv6=0.0.0.0
    12:28:42 - IPSec: Primary DNS Server: 192.168.11.254
    12:28:42 - IPSec: Secondary DNS Server: 0.0.0.0
    12:28:42 - IPSec: Primary WINS Server: 0.0.0.0
    12:28:42 - IPSec: Secondary WINS Server: 0.0.0.0
    12:28:42 - IPSec: Primary NCP SEM Server: 0.0.0.0
    12:28:42 - IPSec: Secondary NCP SEM Server: 0.0.0.0
    12:28:42 - IkeQuick: ike_phase2:send_id1:ID_IPV4_ADDR:pid=0,port=0,192.168.11.104
    12:28:42 - IkeQuick: ike_phase2:send_id2:ID_IPV4_ADDR_SUBNET:pid=0,port=0,192.168.11.0 - 255.255.255.0
    12:28:42 - IkeQuick: XMIT_MSG1_QUICK - RS123W
    12:28:42 - IkeQuick: RECV_MSG2_QUICK - RS123W
    12:28:42 - IkeQuick: Turning on PFS mode(RS123W) with group 2
    12:28:42 - IkeQuick: ike_phase2:recv_id1:ID_IPV4_ADDR:pid=0,port=0,192.168.11.104
    12:28:42 - IkeQuick: ike_phase2:recv_id2:ID_IPV4_ADDR_SUBNET:pid=0,port=0,192.168.11.0 - 255.255.255.0
    12:28:42 - IkeQuick: XMIT_MSG3_QUICK - RS123W
    12:28:42 - IkeQuick: phase2:name(RS123W) - connected
    12:28:42 - SUCCESS: Ike phase 2 (quick mode) ready
    12:28:42 - IPSec: Created an IPSEC SA with the following characteristics -
    12:28:42 - IpSrcRange=[192.168.11.104-192.168.11.104],IpDstRange=[192.168.11.0-192.168.11.255],IpProt=0,SrcPort=0,DstPort=0
    12:28:42 - IPSec: connected: LifeDuration in Seconds = 20160
    12:28:42 - IPSec: Connected to RS123W on channel 1.
    12:28:42 - System: Setting NCP virtual adapter linkstatus=1,laststate=0.
    12:28:42 - PPP(Ipcp): connected to RS123W with IP Address: 192.168.11.104
    12:28:42 - SUCCESS: IpSec connection ready
    12:28:42 - Link: dhcp ack sent
    12:28:42 - DhcpV6: received MSG_SOLICIT, adapterstate=2
    12:28:43 - DhcpV6: received MSG_REQUEST, adapterstate=2
    12:28:45 - Link: iphlp_renew_done
    12:28:45 - SUCCESS: Link -> <RS123W> IP address assigned to IP stack - link is operational.
    12:28:45 - Link: iphlp_renew_done
    12:28:45 - osspecific_add_dns: cmdline=netsh interface ipv4 add dnsservers 22 192.168.11.254 validate=no
    12:28:45 - INFO - MONITOR: Connected -> RS123W
    12:28:45 - INFO - MONITOR: Media=LAN, Tx=929 Byte, Rx=0 Byte
    12:29:12 - Ike: NOTIFY : RS123W : SENT : NOTIFY_MSG_R_U_HERE : 36136
    12:29:12 - Ike: NOTIFY : RS123W : RECEIVED : NOTIFY_MSG_R_U_HERE_ACK : 36137

    NAT auf dem Router, denke ich auch richtig konfiguriert zu haben. Ist im Grunde vom Aufbau her ähnlich wie wie bei PPTP

    Eingehen UDP Port 500
    Eingehen UDP Port 4500
    Eingehen und Ausgehend ESP
    Eingehen und Ausgehend AH

    Das hier verstehe ich nicht „IPSec: Gateway IP Address:IPv4=0.0.0.0,IPv6=0.0.0.0“
    Ich hätte erwartet dass hier die Gatewayaddresse (192.168.11.254) auftauchen sollte.
    Im Moment habe ich keine Idee wo das Problem liegt, hoffe irgendwer kann mir einen Tip geben.

    Gruß
    Adrian
     
  2. Kalle2013

    Kalle2013 Experte

    Registriert seit:
    19. Mai 2013
    Beiträge:
    487
    Punkte für Erfolge:
    16
    Damit der Router auf einen ping antwortet, muss das explizit über den Administrativen Zugriff erlaubt werden.
     
  3. AdrianP

    AdrianP Starter

    Registriert seit:
    6. Januar 2017
    Beiträge:
    6
    Punkte für Erfolge:
    0
    Hi

    Das ist richtig.
    Von außen ist der Router nicht anpingbar. Wäre ich mit einem VPN-Tunel, mit meinem Heimnetzwerk verbunden, musste ich alles ansprechen können. Mit der PPTP Verbindung klappt es einwandfrei.
    Ich werde demnächst ein paar Screenshots meiner IPSec-Konfiguration posten, vielleicht fällt einem was auf.

    Danke & Gruß
    Adrian
     
  4. AdrianP

    AdrianP Starter

    Registriert seit:
    6. Januar 2017
    Beiträge:
    6
    Punkte für Erfolge:
    0
  5. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    2.254
    Punkte für Erfolge:
    38
    Hi,
    Aber nicht den Router mit "ping". Das ist ein "administrativer Zugriff" und der muss auf dem Interface explizit erlaubt werden, unabhängig von NAT- und Firewall-Einstellungen. Das wird unter "Systemverwaltung->Administrativer Zugriff" eingestellt - wie übrigens auch der Zugriff auf den Router per http / https

    Auf ein Gerät im LAN-Segment klappt der Zugriff?

    VG
     
  6. AdrianP

    AdrianP Starter

    Registriert seit:
    6. Januar 2017
    Beiträge:
    6
    Punkte für Erfolge:
    0
    Sollte ich abchecken, das ist aber nicht so wichtig.

    Das habe ich natürlich vorher auch überprüft. Es geht mir hauptsächlich um Zugriff auf andere Geräte im LAN.
    Und es funktioniert leider auch nicht.

    Gruß
    Adrian
     
  7. AdrianP

    AdrianP Starter

    Registriert seit:
    6. Januar 2017
    Beiträge:
    6
    Punkte für Erfolge:
    0
    Hi

    Im Log und in der Statusanzeige ist mir aufgefallen dass Daten durchaus übertragen werden, allerdings nur in eine Richtung.
    INFO - MONITOR: Media=LAN, Tx=4308 Byte, Rx=0 Byte
    Ich habe hier im Forum ein ähnliches Posting gefunden, der Fehler lag allerdings am fehlerhaften Client unter Vista.
    Ich werde erstmal meinem Router die neueste FW verpassen, und falls es immer noch nicht gehen sollte, muss ich in den sauer Apfel beißen und Bintec Hotline anrufen.

    Gruß
    Adrian
     
  8. R2D2bw

    R2D2bw Routinier

    Registriert seit:
    14. März 2009
    Beiträge:
    140
    Punkte für Erfolge:
    16
    Erstelle doch auch mal einen Log auf dem bintec Router und überprüfe da, ob du da RX/TX hast
     
  9. AdrianP

    AdrianP Starter

    Registriert seit:
    6. Januar 2017
    Beiträge:
    6
    Punkte für Erfolge:
    0
    Hi

    Problem gelöst, es war die Firewall des Standortes, aus dem ich mich verbinden wollte.
    Danke für den Wink in die richtige Richtung.

    Gruß
    Adrian

     

Diese Seite empfehlen