ICMP host unreachable - admin prohibited filter beim Aufbau einer VPN-Verbindung

29/10/2008 - 13:56 von Kai Garlipp | Report spam
Hallo,

ich versuche gerade eine L2TP-IPSec zu einem frisch mit CentOS 5.2 installierten
Root-Server zu installieren. ipsec verify zeigt mir keine Probleme an, auch der
IPSec-Tunnel wird m.E. richtig aufgebaut:

"roadwarrior-l2tp"[5] 84.139.160.61 #15: STATE_QUICK_R2: IPsec SA established
tunnel mode {ESP=>0x8b36ec06 <0x684d3dcb xfrm=ES_0-HMAC_MD5
NATOA2.168.178.22 NATD„.139.160.61:4500 DPD=none}

Aber danach passiert nichts mehr, l2tpd liefert mir einen timeout-Fehler.

Bei tcpdump bekomme bekomme ich dazu folgende Ausgabe (85.214.xx.yyy ist der
Server, 84.139.160.61 meine T-DSL-Einwahl-IP):

13:28:57.514960 IP 85.214.xx.yyy.l2tp > 84.139.160.61.l2tp:
l2tp:[TLS](4/0)Ns=0,Nr=1 *MSGTYPE(SCCRP) *PROTO_VER(1.0) *FRAMING_CAP(AS)
*BEARER_CAP() |...
13:28:57.515401 IP 85.214.xx.yyy.l2tp > 84.139.160.61.l2tp:
l2tp:[TLS](4/0)Ns=0,Nr=1 ZLB

13:28:57.577048 IP 84.139.160.61 > 85.214.xx.yyy: ICMP host 84.139.160.61
unreachable - admin prohibited filter, length 36
13:28:57.582046 IP 84.139.160.61 > 85.214.xx.yyy: ICMP host 84.139.160.61
unreachable - admin prohibited filter, length 36

13:28:58.504525 IP 84.139.160.61.ipsec-nat-t > 85.214.xx.yyy.ipsec-nat-t:
UDP-encap: ESP(spi=0x684d3dcb,seq=0x3), length 140

Was mache ich flasch, habe ich irgendwas auf dem Linux-Rechner nicht richtig
konfiguriert oder muß ich das Problem an einer ganz anderen Stelle suchen?

Bye Kai
 

Lesen sie die antworten

#1 Juergen P. Meier
29/10/2008 - 22:22 | Warnen spam
Kai Garlipp :
13:28:57.577048 IP 84.139.160.61 > 85.214.xx.yyy: ICMP host 84.139.160.61
unreachable - admin prohibited filter, length 36
13:28:57.582046 IP 84.139.160.61 > 85.214.xx.yyy: ICMP host 84.139.160.61
unreachable - admin prohibited filter, length 36

Was mache ich flasch, habe ich irgendwas auf dem Linux-Rechner nicht richtig
konfiguriert oder muß ich das Problem an einer ganz anderen Stelle suchen?



Du hast dir erfolgreich in die eigenen Fuesse geschossen.
Konfiguriere deinen Paketfilter auf 84.139.160.61 so, dass du die
IKE und IPSEC Pakete auch erlaubst.
Die ICMP Fehlermeldung ist doch Aussagekraeftig genug.

Juergen
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)

Ähnliche fragen