IPSEC in der aktuellen Version überhaupt möglich ?

    Hallo liebe Community,

    seit der Version 2.5 versuche ich krampfhaft mit dem IPsec Client "Shrewsoft VPN Access Manager" eine Verbindung zur Firewall herzustellen. Als How To habe ich "IPSec VPN - How to Create a Roadwarrior Connection (Shrewsoft)" von der Seite https://endian.zendesk.com/entries/202745…ction-shrewsoft genommen. Unter der Überschrift "Download Certificate Files" befindet sich ein Bild wo die RemoteA Verbindung als "Open" bezeichnet wird. Bei mir kann ich machen was ich möchte es erscheint immer nur "Beendet"!
    im Logfile "System" bin ich auf Folgende Fehlermeldungen gestoßen

    ipsec_starter (23813) Starting strongSwan 4.5.3 IPsec [starter]...

    ipsec_starter (23813) syntax error, unexpected EQUAL, expecting EOL [=]

    ipsec_starter (23813) unable to start strongSwan -- fatal errors in config

    Daher auch meine Frage ob das vllt. bei irgendjemanden schon mal funktioniert hat ? und wenn ja wie ist die Rätselslösung ? ;)


    Vielen Dank im Voraus
    Gruß Philipp

    "Was wir heute tun entscheidet darüber, wie die Welt morgen aussieht" von Boris Pasternak

    Hat denn überhaupt schon jemand mit IPSEC in der neuen Version gearbeitet ?

    "Was wir heute tun entscheidet darüber, wie die Welt morgen aussieht" von Boris Pasternak

    Zitat von "EgonSommer"

    Hat denn überhaupt schon jemand mit IPSEC in der neuen Version gearbeitet ?

    Ich habe seit vergangenem WE meine erste EFW auf 2.5.1 im Produktivbetrieb und dafür eine Datensicherung aus der 2.4.1 eingespielt. Es läuft alles zu meiner vollen Zufriedenheit, auch die beiden VPN-Tunnel, die dauerhaft per IPSEC angebunden sind.
    Ich empfehle allerdings dringend, mit Zertifikaten zu arbeiten, um eine stabile Verbindung zu gewährleisten.

    Gruß
    Joachim

    Hallo Joachim,

    erst mal vielen Dank für deine schnelle Antwort. Bei deiner Empfehlung mit den Zertifikaten kann ich dir nur zustimmen! Hast du zufällig eine funktionstüchtige Anleitung für die Einrichtung eines VPN IPSEC Tunnels mit Zertifikaten ?

    Vielen Dank im voraus.

    "Was wir heute tun entscheidet darüber, wie die Welt morgen aussieht" von Boris Pasternak

    Hallo Philipp,

    Ich arbeite zwar nicht mit Shrewsoft, aber die Anleitung aus dem Link in Deinem 1. Post ist grundsätzlich richtig. Wenn es dennoch nicht funktioniert, würde ich die Parameter aus Phase 1, die auf "auto" stehen (DH Exchange, Cipher Algorithm), durch fixe Werte ersetzen und diese ebenso in den erweiterten Einstellungen der IPSEC-Verbindung an der EFW hinterlegen.

    Ich verwende auf beiden Seiten für IKE und ESP jeweils 3DES und SHA1, sowie DH-Gruppe 2. Auch das Key Life Time Limit sollte auf beiden Seiten identisch sein.

    Und noch ein Tipp aus der Praxis: Starte die Verbindung erst auf dem Client, anschliessen an der EFW. Damit hat es bei mir immer besser funktioniert wie mit der umgekehrten Reihenfolge.

    Gruß
    Joachim

    Guten Morgen Joachim,

    vielen Dank für deine Antwort, ich habe gestern Abend deine Tipps mal beherzigt und das ganze noch mal versucht. Leider wieder ohne Erfolg :cry: Welchen IPSEC Client verwendest du denn wenn ich mal fragen darf ? Könnte es sein das der IPSEC Client mit Windows 7 einfach nur ein Problem hat ? Weil laut anderen Foren gibt es immer wieder Probleme mit IPSEC und Windows 7. Hat vielleicht jemand eine Anleitung / kurzes HowTo die vor kurzen noch funktioniert hat ? Denn es scheint so dass generell wenig Anleitungen bezüglich IPsec und Endian in den neueren Versionen irgend wo im Internet vorhanden sind.

    Vielen Dank
    Gruß Philipp

    "Was wir heute tun entscheidet darüber, wie die Welt morgen aussieht" von Boris Pasternak

    Hallo Philipp,

    ich verwende IPSEC für die (dauerhaften) Verbindungen von Router zu Router, bzw. OpenVPN für zeitweilige Verbindungen von Unterwegs mit dem Laptop.
    Es wäre denkbar, dass Dein Router / Deine (Windows-) Firewall die erforderlichen UDP-Ports blockiert und die Verbindung deshalb nicht zustande kommt.
    Für OpenVPN könnte ich Dir eine Anleitung zukommen lassen. Das ist eigentlich der einfachste Weg.


    Gruß
    Joachim

    Hallo Joachim,

    Den Gedanken mit OpenVPN hatte ich auch schon ... unter einem Debian in Verbindung mit dem OpenAccess Server habe ich das ganze auch schon erfolgreich zum laufen bekommen. Aber wenn du ne Anleitung für das OpenVPN in Verbindung mit der Endian Firewall hast dann sage ich natürlich nicht nein :D. Ich werde es wahrscheinlich auch so umsetzen wie es bei dir läuft für die LAN LAN Kopplungen IPSEC und für die Clients OpenVPN. (Wenns funktioniert :lol:). Ist die Geschichte mit der LAN LAN Kopplung und IPSEC "leichter einzurichten" ? Über die Ports habe ich auch schon drüber nachgedacht aber an dem Router wird der IPsec Port 500 und für IPsec + NAT 4500 auf die Endian geforwarded, sowie auf dem Windows7 Client ist die FW aus .... ist schon alles ein bisschen komisch aber wie meistens wird "nur eine Kleinigkeit" nicht stimmen.

    Gruß
    Philipp

    "Was wir heute tun entscheidet darüber, wie die Welt morgen aussieht" von Boris Pasternak

    Ok, dann beschreibe mal, was Du genau vorhast, sprich von wo willst Du Dich womit wohin verbinden und welche Hard- und Software ist dabei im Spiel?

    Persönlich fand ich die Einrichtung der OpenVPN-Verbindung einfacher als IPSEC. Im Nachhinein betrachtet ist auch IPSEC kein Hexenwerk, aber wie Du sicher schon bemerkt hast, steckt der Teufel oft im Detail. Die Anleitungen, die dazu im Internet kursieren, beinhalten meistens nicht genau die Lösung für Deine Konfiguration, sind aber zum Verständnis eine gute Hilfe.


    Gruß
    Joachim

    Guten Morgen,

    guuut also dann hohle ich mal ein bisschen weiter aus. Wir nutzen bei fast allen unseren größeren Kunden Gate Protect Firewalls die machen eigentlich einen guten Eindruck nur was mich ein bisschen stört ist einfach die Preisgestaltung. Die Hardware die verbaut wird ist nicht das "non plus Ultra" und für "zusätzliche Module" wie (URL-Filter, Spam-Filter usw.) die meiner Meinung nach in eine Firewall gehören sind nur gegen ein "geringes Aufgeld" zu haben. Für größere Kunden mag das ja noch vertretbar sein. Aber gerade für Schulen oder kleinere Unternehmen ist das einfach zu teuer. Deshalb suchen wir gerade für kleinere Kunden eine günstigere Lösung.

    Testweise habe ich auf Arbeit einen HP ProLiant mit einem Intel-Xeon und 2 GB RAM stehen darauf läuft die Endian 2.5.1. Die Internet Anbindung erfolgt über eine synchrone Leitung mit statischer IP-Adresse. Ziel ist es außerhalb der Firma mit dem OpenVPN eine Roadwarrior Verbindung herzustellen.

    Der 2. Schritt soll eine LAN LAN Kopplung über IPsec sein. Dafür habe ich zu Hause einen alten AMD 3000+ mit 2 GB RAM stehen. Auch auf dem läuft die Aktuelle 2.5.1 stabil. Meine Netzanbindung erfolgt über einen Speedport W723V die entsprechenden Ports 500 und 4500 sind auf die Endian geforwarded. Für die Dynamische IP-Adresse habe ich noch einen DynDNS Account eingerichtet.

    Früher hatte ich so eine ähnliche Konstellation anstatt der Endian hatte ich ein Debain mit einem IP-Tables Skript und dem OpenVPN Access Server dass lief richtig gut nur ich möchte bei den Kunden nicht mehr anfangen das IP-Tables Skript händisch zu schreiben. Deshalb sollte eben eine Komplette "Fertige Lösung" her. Da es mir die Endian Firewall ein bisschen angetan hat wollte ich das eben alles mal Testen.

    Soo dann wünsche ich allen Beteiligten noch einen schönen sonnigen Samstag bis später
    Gruß Philipp

    "Was wir heute tun entscheidet darüber, wie die Welt morgen aussieht" von Boris Pasternak