Hallo zusammen,

ich richte gerade eine Digitalisierungsbox Smart ein und versuche eine IPsec VPN -Verbindung zwischen zwei Standorten zu errichten. Hierbei habe ich ein Problem.

Auf der Digitalisierungsbox läuft Firmware V.10.1.7.108, auf der Gegenseite kommt Linux mit strongSwan 4.5.2 zum Einsatz.

Konkret ist es so, dass ich die VPN -Verbindung von der Digitalisierungsbox aus nicht initiieren kann, weil sie (ich glaube in IKE Phase 2) als lokales Subnet die IP-Adresse 127.0.0.1 übermittelt, für die es auf der Gegenseite natürlich keine Konfiguration gibt:

Oct 10 17:21:12 vpn pluto[2221]: "standort1-digibox" #106908: cannot respond to IPsec SA request because no connection is known for 172.17.0.0/16===217.17.71.38[217.17.71.38]...88.192.166.226[88.192.166.226]===127.0.0.1/32

Oct 11 06:10:04 vpn pluto[2221]: packet from 88.192.166.226:782: initial Main Mode message received on 217.13.70.37:500 but no connection has been authorized with policy=PSK

Darüber hinaus ist mir aufgefallen, dass die Digitalisierungsbox für IKE auch andere Quellports als udp/500 verwendet - z.B. oben im Beispiel Port udp/782.  Auch das führt teilweise zu Problemen, weil die Digitalisierungsbox keine eingehenden Verbindungen für IKE an andere Ports als udp/500 erlaubt (jedenfalls nicht mehr nach einer gewissen Zeit, wenn die Verbindung aus dem Connection Tracking geflogen ist).

Deshalb habe ich zwei Fragen:

- Kann mir mir jemand sagen, wo ich in der Konfiguration der Digibox das lokale Subnetz für den VPN -Tunnel angeben kann, so dass nicht mehr die Loopback-Adresse 127.0.0.1 übermittelt wird?

- Kann man die Konfig ggf. so anpassen, dass ausschließlich udp/500 als Quellport verwendet wird?

Im Anhang befinden sich noch die Screenshots von meiner VPN -Konfig auf der Digitalisierungsbox. Von der Gegenseite aus kann ich den Tunnel übrigens erfolgreich starten, allerdings klappt nach einger Zeit dann die Neuaushandlung nicht (aufgrund des falschen Subnetzes).

Danke

Michael