Beiträge von Stefan47110815

Stefan47110815

Hallo,

gestern hab ich was entdeckt. Ich habe 5 IPSEC-VPN's. Diese sehen folgendermaßen aus:

1.) MobileZugang L2TP (PSK)
2.) SteinerSoft Net (PSK)
3.) Warngau Net (PSK)
4.) Buchenberg Net (PSK)
5.) StephanPatzer Net (PSK)

VPN Warngau hat auf der gegenseite eine feste IP und der Verbindungsaufbau funktioniert.
MobileZugang ist für iPads und iPhone und die Einwahl funktioniert auch.
Die anderen 3 VPN besitzen eine NO-IP Domain und der Verbindungsaufbau bleibt immer bei "Verbindung wird aufgebaut".

Nun habe ich mal Testweise den Presharekey der Verbindung SteinerSoft in den MobileZugang eingetragen und die Verbindung SteinerSoft neu gestartet. Und siehe da, die Verbindung wurde aufgebaut und funktionierte.

Das gleiche nochmal mit Buchenberg gemacht und auch dort funktionierte die Verbindung.

Habe dies gleich dem Support von Endian mitgeteilt und die haben Screenshots gemacht und werden es dem Second Level Support in Italien übergeben.

Ich habe nun den Presharekey in den Fritz!Boxen SteinerSoft, Buchenberg und StephanPatzer mit dem des MobilZugang ausgetauscht und seit heute morgen laufen die Verbindungen wie in der 2.5er Version.

Bin mal gespannt, was da in Italien raus kommt.

Tschau
Stefan

Stefan47110815

Hallo,

in der ipsec.conf.tmpl gibt es keinen Eintrag mit leftsourceip. Hier mal der Ausschnitt aus der ipsec.conf.tmpl:

Code

conn $conn.name
##    dpdaction=$conn.dpd_action
  #if $conn.interface == 'GREEN'
    left=$GREEN_ADDRESS
  #end if
  #if $conn.interface == 'BLUE'
    left=$BLUE_ADDRESS
  #end if
  #if $conn.interface == 'ORANGE'
    left=$ORANGE_ADDRESS
  #end if
  #if $conn.interface.startswith('UPLINK:')
    left=$conn.uplink.IP
##    leftnexthop=$conn.uplink.GATEWAY
  #end if
  #if $conn.connection_type == 'l2tp'
    leftprotoport=17/1701
    rightprotoport=17/%any
  #else
    leftsubnet=$colon.join($conn.local_subnet)
  #end if
  #if $conn.modeconfig == 'push'
    modeconfig=push
  #end if
    right=$conn.remote_address
  #if $conn.connection_type == 'net'
    rightsubnet=$colon.join($conn.remote_subnet)
  #else
    rightsubnet=0.0.0.0/0
    #if $conn.connection_type != 'l2tp'
    rightsourceip=${VIRTUAL_IP_POOL}
    #end if
  #end if
  #if $conn.auth_type == 'cert'
    leftcert=${CERT_FILENAME}
    #if $conn.cert_name != '%auth-dn' and $conn.remote_peerid.find("*") < 0
       #if $conn.cert_filename == ''
    rightcert=${conn.name}cert.pem
       #else
    rightcert=${conn.cert_filename}
       #end if
    #end if
    authby=pubkey
    leftsigkey=%cert
    #if $conn.remote_peerid.find("*") < 0
    rightsigkey=%cert
    #end if
    #if $conn.connection_type == 'xauth':
    rightauth2=xauth
    #end if
  #elif $conn.auth_type == 'hybrid':
    leftauth=pubkey
    rightauth=xauth-pam
    leftcert=${CERT_FILENAME}
    leftsigkey=%cert
  #else
    leftauth=psk
    rightauth=psk
    #if $conn.connection_type == 'xauth':
    rightauth2=xauth-pam
    #end if
  #end if
  #if $conn.local_peerid != ''
    leftid="$conn.local_peerid"
  #else
    #if $conn.auth_type != 'cert'
      #if $conn.interface == 'GREEN'
    leftid=$GREEN_ADDRESS
      #elif $conn.interface == 'BLUE'
    leftid=$BLUE_ADDRESS
      #elif $conn.interface == 'ORANGE'
    leftid=$ORANGE_ADDRESS
      #elif $conn.interface.startswith('UPLINK:')
    leftid=$conn.uplink.IP
      #end if
    #end if
  #end if
  #if $conn.remote_peerid != ''
    rightid="$conn.remote_peerid"
  #else
    #if $conn.auth_type != 'cert' and $conn.remote_address != '%any'
    rightid=$conn.remote_address
    #end if
  #end if
  #if $conn.ike_lifetime
    ikelifetime=${conn.ike_lifetime}h
  #end if
  #if $conn.esp_keylife
    keylife=${conn.esp_keylife}h
  #end if
  #if $conn.compression == 'on'
    compress=yes
  #end if
  #if $ike
    ike=$colon.join($ike)
  #end if
  #if $esp
    esp=$colon.join($esp)
  #end if
  #if $conn.connection_type == 'net'
    auto=$conn.auto
  #else
    auto=add
  #end if
  #if $conn.ike_version == ''
    keyexchange=ike
  #else
    keyexchange=ikev${conn.ike_version}
  #end if
#end for

Alles anzeigen

Und das macht er dann draus:

Code

conn SteinerSoft
    left=80.153.177.222
    leftsubnet=192.168.178.0/24
    modeconfig=push
    right=steinersoft.ddns.net
    rightsubnet=192.168.32.0/24
    leftauth=psk
    rightauth=psk
    leftid="@patzer"
    rightid="@steinersoft"
    ikelifetime=1h
    keylife=8h
    ike=3des-sha1-modp1024
    esp=3des-sha1-modp1024
    auto=start
    keyexchange=ikev1

Alles anzeigen

Tschau,
Stefan

Stefan47110815

Hallo,

welche Einträge meinst du? dpdaction & leftnexthop? Diese habe ich auskommentiert und werden nicht in die ipsec.conf geschrieben.

Tschau
Stefan

Stefan47110815

Hallo,

hab mal ein Auszug aus dem Systemprotokoll hier dran gehängt.

Stefan47110815

Hallo,

ich habe nun nochmal die Einstellung aus dem Beitrag in die Endian und die Fritz!Box übernommen, aber das gleiche Ergebnis. Der VPN-Tunnel wird nicht aufgebaut, der Status bleibt bei "Verbindung wird hergestellt" stehen.

Tschau,
Stefan

Stefan47110815

Hallo,

nach regem E-Mail Verkehr mit dem Endian Support bekam ich dort folgende Antwort:

Zitat

Hallo Herr Steiner,

ich habe grade die Antwort vom Second Level Support bekommen.
Dabei handelt es sich nicht um einen Bug, oder eine Fehlkonfiguration Ihrerseits, sondern lediglich um ein Feature Request.
Die IPsec VPN der Endian unterstützt derzeit einfach keine DynDNS-Domain als Ziel-Adresse.

Mit freundlichen Grüßen, Best Regards

Neue Version, ein Feature das in der Vorgängerversion funktionierte, ist auf einmal ein Feature Request. :cry:

Stefan

Stefan47110815

Hallo,

seit dem Update der Endian von 2.5 auf 3.0 funktioniert der Tunnelaufbau zwischen der Endian und Fritz!Boxen mit dynamischen IPs nicht mehr. Die Endian sagt als, die Verbindung wird hergestellt, aber nichts passiert. In der Fritz!Box in der Übersicht steht auch VPN wird aufgebaut.

In der Endian mit Version 2.5 hat dies funktioniert.

Mit freundlichen Grüßen
Stefan Steiner

Beiträge von Stefan47110815

Verbindung Endian <--> Fritz!Box mit DynDNS

Verbindung Endian <--> Fritz!Box mit DynDNS

Verbindung Endian <--> Fritz!Box mit DynDNS

Verbindung Endian <--> Fritz!Box mit DynDNS

Verbindung Endian <--> Fritz!Box mit DynDNS

Verbindung Endian <--> Fritz!Box mit DynDNS

Verbindung Endian <--> Fritz!Box mit DynDNS