Gelöst
Digitalisierungsbox Smart VPN: Wo das lokale Subnetz angeben?
vor 9 Jahren
Hallo zusammen,
ich richte gerade eine Digitalisierungsbox Smart ein und versuche eine IPsec VPN -Verbindung zwischen zwei Standorten zu errichten. Hierbei habe ich ein Problem.
Auf der Digitalisierungsbox läuft Firmware V.10.1.7.108, auf der Gegenseite kommt Linux mit strongSwan 4.5.2 zum Einsatz.
Konkret ist es so, dass ich die VPN -Verbindung von der Digitalisierungsbox aus nicht initiieren kann, weil sie (ich glaube in IKE Phase 2) als lokales Subnet die IP-Adresse 127.0.0.1 übermittelt, für die es auf der Gegenseite natürlich keine Konfiguration gibt:
Oct 10 17:21:12 vpn pluto[2221]: "standort1-digibox" #106908: cannot respond to IPsec SA request because no connection is known for 172.17.0.0/16===217.17.71.38[217.17.71.38]...88.192.166.226[88.192.166.226]===127.0.0.1/32
Oct 11 06:10:04 vpn pluto[2221]: packet from 88.192.166.226:782: initial Main Mode message received on 217.13.70.37:500 but no connection has been authorized with policy=PSK
Darüber hinaus ist mir aufgefallen, dass die Digitalisierungsbox für IKE auch andere Quellports als udp/500 verwendet - z.B. oben im Beispiel Port udp/782. Auch das führt teilweise zu Problemen, weil die Digitalisierungsbox keine eingehenden Verbindungen für IKE an andere Ports als udp/500 erlaubt (jedenfalls nicht mehr nach einer gewissen Zeit, wenn die Verbindung aus dem Connection Tracking geflogen ist).
Deshalb habe ich zwei Fragen:
- Kann mir mir jemand sagen, wo ich in der Konfiguration der Digibox das lokale Subnetz für den VPN -Tunnel angeben kann, so dass nicht mehr die Loopback-Adresse 127.0.0.1 übermittelt wird?
- Kann man die Konfig ggf. so anpassen, dass ausschließlich udp/500 als Quellport verwendet wird?
Im Anhang befinden sich noch die Screenshots von meiner VPN -Konfig auf der Digitalisierungsbox. Von der Gegenseite aus kann ich den Tunnel übrigens erfolgreich starten, allerdings klappt nach einger Zeit dann die Neuaushandlung nicht (aufgrund des falschen Subnetzes).
Danke
Michael
1593
18
Das könnte Ihnen auch weiterhelfen
vor einem Jahr
862
0
5
Das könnte Sie auch interessieren
Kaufberatung
Sie benötigen eine persönliche Kaufberatung? Das Geschäftskundenteam der Telekom berät Sie gerne.
Angebote anzeigen
Informieren Sie sich über unsere aktuellen Internet-Angebote.
vor 9 Jahren
Wurde die VPN - Verbindung manuell oder über den Assistenten eingerichtet?
Man sollte IMMER über den Assistenten gehen, und evtl. Anpassungen dann später vornehmen. Das die DigiBox immer 127.0.0.1 verwendet, stimmt nicht.
Es wurde wohl ein Konfigurationsfehler gemacht.
14
Antwort
von
vor 9 Jahren
Können Sie auch noch etwas Konstruktives beitragen? Warum sendet die Digitalisierungsbox denn diese Angaben?
Sie sollten dringend mal Schulz von Thun lesen.
Antwort
von
vor 9 Jahren
Die Box sendet die Angaben weil Sie diese so konfiguriert haben.
Löschen Sie mal die VPN - Konfiguration in der DigiBox und erstellen diese neu, dann aber nicht mit 0.0.0.0.
Antwort
von
vor 9 Jahren
Hallo Zusammen,
@layer9 ich begrüße Sie als neues Mitglied in unserer Community.
Wie ich sehe, haben Sie schon fleißig Unterstützung aus der Community erhalten, um eine IPSec VPN -Verbindung zwischen zwei Standorten einzurichten. @Kalle2014 und @Insti vielen Dank hierfür.
@layer9 mich interessiert es, ob Sie dem letzten Hinweis von @Kalle2014 nachgegangen sind und die VPN -Konfiguration neu vorgenommen haben.
Bitte geben Sie mir eine kurze Rückmeldung, ob sich Ihr Anliegen erledigt hat. Bei Rückfragen bin ich für Sie da.
Viele Grüße
Regina K.
Uneingeloggter Nutzer
Antwort
von
vor 9 Jahren
Hallo layer9,
welche ip hat das lokale Netz und welche ip hat das entfernte Netz auf dem der StrongSwan Server läuft?
Bitte auch mal die ipsec.conf vom StrongSwan posten.
1
Antwort
von
vor 9 Jahren
Hallo,
das lokale Netz der Digibox ist die 192.168.62.0/24, auf der anderen Seite ist es die 172.17.0.0/16 (die IP-Adressen habe ich für den Post angepasst).
In strongSwan sieht die Verbindungsdefinition so aus:
# Standort1 <-> Digibox
conn standort1-digibox
left=217.17.71.38
leftsubnet=172.17.0.0/16
#
ike=aes128-sha-modp1536
esp=aes128-sha1
#
right=88.192.166.226
rightsubnet=192.168.62.0/24
#
keyexchange=ikev1
#
ikelifetime=4h
keylife=8h
#
pfs=no
#
authby=secret
auto=add
Danke
Michael
Uneingeloggter Nutzer
Antwort
von
Akzeptierte Lösung
akzeptiert von
vor 9 Jahren
Hallo Zusammen,
@layer9 ich begrüße Sie als neues Mitglied in unserer Community.
Wie ich sehe, haben Sie schon fleißig Unterstützung aus der Community erhalten, um eine IPSec VPN -Verbindung zwischen zwei Standorten einzurichten. @Kalle2014 und @Insti vielen Dank hierfür.
@layer9 mich interessiert es, ob Sie dem letzten Hinweis von @Kalle2014 nachgegangen sind und die VPN -Konfiguration neu vorgenommen haben.
Bitte geben Sie mir eine kurze Rückmeldung, ob sich Ihr Anliegen erledigt hat. Bei Rückfragen bin ich für Sie da.
Viele Grüße
Regina K.
0
Uneingeloggter Nutzer
Frage
von