Site-to-Site IPSec VPN

1. offizieller Beitrag

    Hallo zusammen,

    ich bitte schon Mal im Voraus um Entschuldigung, wenn diese Frage bereits beantwortet wurde, über die Foren-Suche habe ich leider nichts gefunden.

    Seit heute Morgen habe ich zum ersten Mal eine Endian Firewall (Community release 2.1) unter meinen Fittichen und versuche nun, ein Site-to-Site IPSec VPN aufzubauen. Die Gegenseite (WatchGuard Firebox Core) ist fertig konfiguriert, die Endian eigentlich auch, nur startet der "VPN (ipsec)"-Dienst nicht. Wie kann ich diesen Service zum Starten bewegen bzw. wo sehe ich, was sein Problem ist?

    Vielen Dank für eure Hilfe!

    Gruß
    Lukas

    • Offizieller Beitrag

    Hallo Lukas,

    eine 2.1 community nun es gibt schon die 2.2 community da wäre villeicht ein Update angebracht.

    Zu deinem Problem,
    Soll die Verbindung via OpenVPN oder eindeutig via ipsec aufgebaut werden?
    Dann müssen erst die ganzen Zertifikate in die Endian eingebracht werden.

    unter Log/Protokolle
    kannst du dir entsprechende Informationen zu den Diensten anzeigen lassen.

    Zum einrichten müssen die ja gewisse Daten vorliegen.Sind diese hier eingetragen?

    Hallo ffischer,

    danke für die schnelle Antwort.

    Es soll definitiv mit IPSec gearbeitet werden, nicht mit OpenVPN. Die ganzen Zertifikatseinstellungen hatte ich gesehen und ignoriert, da ich mit einem pre-shared Key arbeiten möchte. Die sind dann auch ausgegraut.

    Zu den Logfiles: entweder bin ich blind oder es gibt keine IPSec-Logs in meiner Version. Habe mal einen Screenshot angehängt, mehr sehe ich unter "Logs" nicht.


    Gruß
    Lukas

    • Offizieller Beitrag

    Hallo Lukas,
    das ist dann nicht so gut, wenn du die 2.1 hast besteht die Möglichkeit auf die 2.2 umzurüsten?

    Habe gerade keine 2.1 Version zur Verfügung,
    Aber die Einstellungen sollten bei dir seperat sein zwischen ipsec und openvpn.

    hast du mir ein screenshot von den Feldern die ausgegraut sind?

    gruß Frank

    Hallo Frank,

    das sieht bei mir genauso aus wie in deinem Beispiel:


    Ich würde dann aber zunächst auf v2.2 aktualisieren, das sieht ja relativ simpel aus. Gibt es known issues, wenn ich das von remote mache? Klar, ein Neustart wird wohl nötig sein, aber gibt es irgendwelche PPPoE-Verbindungen, die danach manuell neu eingerichtet werden müssen? Oder so etwas in der Art?

    Gruß
    Lukas

    • Offizieller Beitrag

    willst du von 2.1 auf die 2.2
    die Konstellation hab ich bisher noch nicht gehabt wenn dann von 2.2rc1/2/3 auf die 2.2 Final

    Remote sollte man das nicht machen, sprich per ssh via VPN ist keine gute idee :) sprech aus eigener Erfahrung.
    wenn dann lokal per SSH das ist kein problem.
    Bei einem Update wird die die Verbindung getrennt und nur halblebig wieder aufgebaut, weil ein neustart fällig ist aufgrund des neuinstallierten Kernels.

    gruß Frank

    Hallo Frank,

    als ich heute morgen die Logs auf der Gegenseite durchsah, fiel mir auf, dass die Endian durchaus versuchte, einen Tunnel aufzubauen. Es scheiterte nur an falsch gesetzten Phase1-Parametern. Nachdem ich die angeglichen hatte, war der Tunnel sofort aktiv. Sehr mysteriös das Ganze, denn der VPN-Service ist nachwievor angehalten. Wofür ist der denn überhaupt da?

    Wie dem auch sei, ich bin froh, dass der Kelch mit dem Firmware-Update an mir vorüber gegangen ist. ;)

    Gruß
    Lukas

    • Offizieller Beitrag

    Hallo Lukas,
    ok wenn die Verbindung nun besteht ist das ja gut.
    Überprüf doch mal ob der Dienst wirklich gestartet ist über die Console villeicht nur ein Bug in der HTTP Gui.

    Auch sicher das das nicht via OpenVPN aufgebaut wird der Tunnel?

    gruß Frank

    Hi,

    da hätte ich noch ein Problem bei dieser Konstellation.

    Der Tunnel steht zwischen der WatchGuard und der EF 2.2. Ich kann von der EF Seite in das WatchGuard Netz Pingen.
    Ich kann aber nur von der Seite der WatchGuard nur die EF pingen. Ich habe keinen Zugriff auf das Netz hinder der EF.

    Habe schon probiert die Interzonen Firewalls usw. abzudrehen. Habt ihr noch eine Idee wo das geblockt werden könnte.

    LG

    Mario

    Das gleiche Problem haben wir auch! Kann vom IPsec-Client zwar die Endian anpingen, aber nicht das Netztwerk dahinter. Habe schon zig Routen erstellt, Firewall-Regeln für VPN,System usw. Nichts!
    Der Shrew-Soft-Client bietet m.E. die besten Möglichkeiten einen freien IPsec-Client zu konfigurieren. Aber selbst mit dem geht es nicht.

    Ok - jetzt klappt es.
    Source NAT ist das Stichwort. Habe eine Portweiterleitung für die Client-IP auf das grüne Netzwerk gebaut. Jetzt gehts!
    :D