Beiträge von Meisen

Hallo Mitglieder,

wie ich schon an anderer Stelle im Forum geschrieben habe, bin ich Anfang der Woche auf Endian 3.0 umgestiegen. Die Daten aus der zuvor genutzten Version 2.5.1 habe ich alle von Hand neu eingegeben. Es läuft auch alles wie gewünscht bis auf meine VPN-Tunnel. Auch hier habe ich die Konfiguration identisch zur vorherigen EFW übernommen, wo die Tunnel dauerhaft stabil liefen.
Scheinbar gibt es ein Problem in der IKE PHASE1, wo ich ein "NO PROPOSAL CHOSEN" in Verbindung mit einem Timeout erhalte.
Auffällig ist, dass "VPN/IPSec" im Status auf "Gestoppt" steht, obwohl der IPSec-Prozess läuft. Ausserdem wird in die ipsec.conf eine IP-Adresse unter "leftnexthop" eingetragen, die nicht zu meiner roten IP passt.

Hat jemand erfolgreich einen VPN-Tunnel aufgebaut und kann hier evtl. nützliche Tipps geben?

Gruß
Meisen

Zitat von "robert.trapp"

[...]
Sobald ich auf Speichern Klicke zeigt er auch noch das richtige Zertifkat an.
Wenn ich jetzt die Seite neulade zeigt er wieder das Server Default Zertifikat an.
Ist das Normal?

Das war bei mir auch so. Zunächst wurde ein Zertifikat mit dem Namen der IP-Adresse der roten Schnitsstelle angelegt. Dann habe ich ein eigenes erstellt, das ich aber nicht auswählen konnte, bzw. sprang die Einstellung bei mir auch auch das Default-Zertifikat zurück.
Nach einem Neustart war dann sogar ein weiteres Zertifikat da, mit der localhost-IP (127.0.0.1). Jetzt verwende ich dieses und habe die anderen beiden wieder gelöscht. Funktioniert einwandfrei.

Gruß
Meisen

Also bei mir läuft der Proxy seit dem Umstieg auf 3.0 Anfang dieser Woche problemlos im transparenten Betrieb.
Allerdings habe ich alle Einstellungen neu eingegeben, da ich zuvor die 2.5.1 am laufen hatte und Endian eine Datenübernahme erst ab 2.5.2 empfiehlt.

Allerdings laufen meine IPSec-Verbindungen nicht mehr. Hat hier jemand einen Tunnel erfolgreich am laufen? OpenVPN hingegen läuft wie am Schnürchen.

Gruß
Meisen

Zitat von "Sirbuschi2003"

Also in der Übersicht sehe ich das 230 Mails über POP3 rein gekommen sind davon 40Spam wo Finde ich diese ?
Brauche dringend Eure Hilfe.

In der Quarantäne, sofern nicht anders definiert.

Unter -> Protokolle -> System gibt es den Abschnitt "IPSec". Dort sind alle relevanten Informationen abrufbar.

Sobald Snort aktiviert wird ist das System weder per http noch per ssh erreichbar.

Hallo heig,

den IKE-Error 0x2031 hatte ich anfangs auch, als ich einen VPN-Tunnel zwischen Endian und einer Fritzbox aufbauen wollte.
Meiner persönlichen Erfahrung nach liegt es daran, dass die Fritzbox mit der Dead Peer Detection nicht richtig umgehen kann und man diese auf der efw 2.5.1 nicht abschalten kann.
Ich habe mir damit beholfen, nach der Aktivierung der Verbindung per SSH die ipsec.conf auf der efw zu editieren und alle DPD-Einträge zu entfernen. Danach IPSEC neu gestartet und die Verbindung ist stabil.
Natürlich sollten auch die Verschlüsselungsprotokolle auf der Endian und in der Config der Fritzbox übereinstimmen.

Gruß
Meisen

VPN zwischen 2 efw's sollte eigentlich out-of-the-box funktionieren. Kniffliger wird's bei nicht-efw-Gegenstellen.

Was sagt denn das IPSec-Protokoll?

Gruß
Meisen

Hallo sandmann,

das liegt am clamd und wurde bereits hier https://www.efw-forum.de/www/forum/view…md&start=10 diskutiert.
Editiere die clamd.conf wie dort beschrieben und starte den clamd auf der Konsole neu, dann funktionieren auch die Downloads.
Aber Achtung: Nach einem Neustart der efw ist wieder alles beim Alten, es sei denn, Du baust die Änderung dauerhaft in die Vorlage ein.

Gruß
Meisen

Zitat von "Karsten"

Welche Logs wären denn interessant?

Na z.B. die von IPSec.

Ohne eine konkreten Hinweis, woran es scheitert, z.B. in Form von Log-Auszügen, ist es schwierig, Dir zu helfen.

Zitat von "Karsten"

Hallo,

hat denn niemand Ipsec auf der Endian am Laufen?

Müssen noch irgendwelche Firewall-Regel oder Routen angelegt werden, damit irgendein Datenfluss zustande kommt?

Gruß
Karsten

Also ich habe drei permanente VPN-Tunnel über IPSec und noch OpenVPN-Zugänge für Homeuser am Laufen. Das funktioniert alles out-of-the-box , ohne zusätzliche Regeln. Auch mit Nicht-Endian-Routern.

Gruß
Joachim

Bisschen mehr Info, was auf der jeweiligen Seite sonst so eingestellt ist, könnte nicht schaden.

Zitat von "Karsten"

Ich versuche also mit Hilfe des blauen Netzes zwei voneinander getrennte Netzwerke zu betreiben.

Ok, das mit den 2 unabhängigen Netzwerken habe ich verstanden. Warum nimmst Du nicht das orangene Netzwerk? Ist zwar als DMZ gedacht, entspricht aber im Ansatz Deinen Anforderungen.

Gruß
Meisen

Zitat von "Karsten"

[...]
Im blauen Netz befinden sich PCs, welche bei uns im Gebäude öffentlich zugänglich sind. Da diese blauen PCs unter
bestimmten Bedingungen Kontakt nach Grün benötigen, sollte dieser mittels OpenVPN hergestellt werden.

Wieso willst Du hier eine (zusätzliche) VPN-Verbindung herstellen? Die PCs befinden sich ja bereits im blauen Netz und somit auf der EFW. Was evtl. noch fehlt sind Regeln von Blau nach Grün.

Mit OpenVPN stellst Du einen Zugang von AUSSEN, sprich über's Internet her. Und das ist i.d.R. die rote Schnittstelle. Dass diese Variante funktioniert hast Du ja bereits erfolgreich getestet.

Gruß
Meisen

Also grundsätzlich sollte es funktionieren, wenn man es entsprechend der von Dir verlinkten Konfiguration einrichtet. Zumindest tut es das bei mir.

Hast Du mal bei deaktiviertem Port-Forwarding die Logs unter -> Protokolle - Proxy -> SMTP gecheckt? Dort sollten ggf. Hinweise zu finden sein, woran es scheitert.

Gruß
Meisen

Das Port-Forwarding hebelt die Einstellungen des SMTP-Proxy aus. Deine Informationen reichen nicht aus, um eine Antwort geben zu können. Hast Du denn die eingehenden Domains + Ziel-IP korrekt definiert?

Gruß
Meisen

Zitat von "oliver073"

Mar 7 11:41:46 pluto[10931] "vpnNameServer"[7] xx.yy.yy.xx #13: sending notification NO_PROPOSAL_CHOSEN to xx.yy.yy.xx:500

Fehler auf der Client-Seite:
07.03.12 11:41:47 Ike: NOTIFY : vpnNameClient : RECEIVED : NO_PROPOSAL_CHOSEN : 14

Das Interessante daran ist, dass mit den EXAKT gleichen Einstellungen die Verbindung mit der EFW 2.4.1 problemlos funktioniert. Es dürfte also an der Version 2.5.1 liegen.
Oliver

Das sieht so aus, als ob unterschiedliche oder mehrere Verschlüsselungsarten in der IKE Phase 1 gewählt wurden.
Standardmässig sind auf der Endian in den erweiterten Einstellungen mehrere Varianten voreingestellt (AES/3DES, bzw. SHA/MD5; DH2/5).
Ich habe bei all meinen Verbindungen 3DES und SHA für IKE und ESP und DH-Gruppe 2 auf beiden Seiten eingestellt und betreibe damit problemlos mehrere Tunnel.

Gruß
Meisen

Das ist in der Tat suspekt. Ich komme sowohl bei den OpenVPN-Verbindungen wie auch IPSec via IP auf die Weboberfläche.
Was sagen denn die Logfiles?

Ok, wenn der Tunnel funktioniert kann das schonmal nicht die Ursache sein.
Sprichst Du die Remote-EFW auch über den richtigen Port an? Defaultmässig wäre das 10443.

Gruß
Meisen