Solved
Digitalisierungsbox Smart VPN: Wo das lokale Subnetz angeben?
9 years ago
Hallo zusammen,
ich richte gerade eine Digitalisierungsbox Smart ein und versuche eine IPsec VPN -Verbindung zwischen zwei Standorten zu errichten. Hierbei habe ich ein Problem.
Auf der Digitalisierungsbox läuft Firmware V.10.1.7.108, auf der Gegenseite kommt Linux mit strongSwan 4.5.2 zum Einsatz.
Konkret ist es so, dass ich die VPN -Verbindung von der Digitalisierungsbox aus nicht initiieren kann, weil sie (ich glaube in IKE Phase 2) als lokales Subnet die IP-Adresse 127.0.0.1 übermittelt, für die es auf der Gegenseite natürlich keine Konfiguration gibt:
Oct 10 17:21:12 vpn pluto[2221]: "standort1-digibox" #106908: cannot respond to IPsec SA request because no connection is known for 172.17.0.0/16===217.17.71.38[217.17.71.38]...88.192.166.226[88.192.166.226]===127.0.0.1/32
Oct 11 06:10:04 vpn pluto[2221]: packet from 88.192.166.226:782: initial Main Mode message received on 217.13.70.37:500 but no connection has been authorized with policy=PSK
Darüber hinaus ist mir aufgefallen, dass die Digitalisierungsbox für IKE auch andere Quellports als udp/500 verwendet - z.B. oben im Beispiel Port udp/782. Auch das führt teilweise zu Problemen, weil die Digitalisierungsbox keine eingehenden Verbindungen für IKE an andere Ports als udp/500 erlaubt (jedenfalls nicht mehr nach einer gewissen Zeit, wenn die Verbindung aus dem Connection Tracking geflogen ist).
Deshalb habe ich zwei Fragen:
- Kann mir mir jemand sagen, wo ich in der Konfiguration der Digibox das lokale Subnetz für den VPN -Tunnel angeben kann, so dass nicht mehr die Loopback-Adresse 127.0.0.1 übermittelt wird?
- Kann man die Konfig ggf. so anpassen, dass ausschließlich udp/500 als Quellport verwendet wird?
Im Anhang befinden sich noch die Screenshots von meiner VPN -Konfig auf der Digitalisierungsbox. Von der Gegenseite aus kann ich den Tunnel übrigens erfolgreich starten, allerdings klappt nach einger Zeit dann die Neuaushandlung nicht (aufgrund des falschen Subnetzes).
Danke
Michael
1593
18
This could help you too
1 year ago
862
0
5
You might also be interested in
Buying advice
Do you need personal purchasing advice? Telekom's business customer team will be happy to advise you.
View offers
Informieren Sie sich über unsere aktuellen Internet-Angebote.
9 years ago
Wurde die VPN - Verbindung manuell oder über den Assistenten eingerichtet?
Man sollte IMMER über den Assistenten gehen, und evtl. Anpassungen dann später vornehmen. Das die DigiBox immer 127.0.0.1 verwendet, stimmt nicht.
Es wurde wohl ein Konfigurationsfehler gemacht.
14
Answer
from
9 years ago
Das ist das lokale Tunnelende, und das hat so seine Richtigkeit.
Nachtrag: Ist die Firmware Ihrer DigiBox aktuell? Denn bei mir sieht die Hilfe zur VPN - Konfiguration anders aus. Da steht:
Lokale IP-Adresse
Wählen Sie die erforderliche LAN-IP-Adresse des Gateways aus.
Answer
from
9 years ago
Als Tunnelende bezeichnet man meines Wissens eigentlich nicht in dem Tunnel genutzten Netzwerke, sondern die Adressen des Gatways. Siehe dazu
"The outer IP header Source Address and Destination Address
identify the "endpoints" of the tunnel (the encapsulator and
decapsulator). The inner IP header Source Address and Destination
Addresses identify the original sender and recipient of the
datagram (from the perspective of this tunnel), respectively."
https://tools.ietf.org/html/rfc4301
Das passt auch zur Beschreibung in der Dokumentation der Digibox, wo das Feld "Lokale IP-Adresse" wie gesagt wie folgt beschrieben wird:
"Geben Sie die WAN IP-Adresse Ihrer IPSec-Verbindung an. Es kann die
gleiche IP-Adresse sein, die als LAN IP-Adresse an Ihrem Router konfiguriert ist"
In meiner Hilfeseite des Assistenten steht das etwas anders (siehe Screenshot). Ich probiere es mal aus, auch wenn es von der Beschreibung her etwas konfus ist.
Die Firmware ist übrigens V.10.1.7.108 und ich hatte gestern ein Update über die Onlinefunktion gemacht. Ich gehe deshalb davon aus, dass sie aktuell ist.
Answer
from
9 years ago
Ich bin ganz oben rechts auf das ? gegangen, und da steht es richtig in der Funktionsübersicht.
Unlogged in user
Answer
from
9 years ago
Hallo layer9,
welche ip hat das lokale Netz und welche ip hat das entfernte Netz auf dem der StrongSwan Server läuft?
Bitte auch mal die ipsec.conf vom StrongSwan posten.
1
Answer
from
9 years ago
Hallo,
das lokale Netz der Digibox ist die 192.168.62.0/24, auf der anderen Seite ist es die 172.17.0.0/16 (die IP-Adressen habe ich für den Post angepasst).
In strongSwan sieht die Verbindungsdefinition so aus:
# Standort1 <-> Digibox
conn standort1-digibox
left=217.17.71.38
leftsubnet=172.17.0.0/16
#
ike=aes128-sha-modp1536
esp=aes128-sha1
#
right=88.192.166.226
rightsubnet=192.168.62.0/24
#
keyexchange=ikev1
#
ikelifetime=4h
keylife=8h
#
pfs=no
#
authby=secret
auto=add
Danke
Michael
Unlogged in user
Answer
from
Accepted Solution
accepted by
9 years ago
Hallo Zusammen,
@layer9 ich begrüße Sie als neues Mitglied in unserer Community.
Wie ich sehe, haben Sie schon fleißig Unterstützung aus der Community erhalten, um eine IPSec VPN -Verbindung zwischen zwei Standorten einzurichten. @Kalle2014 und @Insti vielen Dank hierfür.
@layer9 mich interessiert es, ob Sie dem letzten Hinweis von @Kalle2014 nachgegangen sind und die VPN -Konfiguration neu vorgenommen haben.
Bitte geben Sie mir eine kurze Rückmeldung, ob sich Ihr Anliegen erledigt hat. Bei Rückfragen bin ich für Sie da.
Viele Grüße
Regina K.
0
Unlogged in user
Ask
from