IPSec Site2Site - Denkfehler???

09/10/2007 - 20:08 von Heiko Bernd | Report spam
Hallo NG,

ich grübele seit einiger Zeit, wie ich in unserem Fall eine IPSec
Site-to-Site Verbindung von einem Hardware Router zu unserem zentralen ISA
Server herstellen kann. Meine Versuche sind bisher erfolglos (bisher
ISA2004, jetzt extra Upgrade auf ISA2006).

Die Fakten:
Die Konfiguration sieht genau so aus, wie in diesem Schaubild:
http://www.msisafaq.de/Anleitungen/...allPSK.htm
- wir setzen statt dem ISA2004 einen ISA2006 Std. Edition ein (W2k3 SP2 R2),
entspricht im Bild dem Standort München, im folgenden bei mir einfach
Zentrale genannt
- statt der Sonic Firewall haben wir einen LANCOM (T-Systems) Business LAN
R800+ (Firmware LCOS 7.22 = aktuellste), im folgenden Router der
Aussenstelle benannt
- der Router in der Zentrale ist ebenfalls ein LANCOM (T-Systems) Business
LAN R800+ (Firmware LCOS 7.22 = aktuellste)
- beide Router haben eine feste IP im Internet
- der ISA hat intern die IP: 10.10.0.1/16 und die externe Netzwerkkarte hat
die 192.168.10.2
- der Router in der Zentrale hat als interne IP: 192.168.10.1 und extern
eine: 217.xxx.yyy.zzz und macht logischerweise NAT, unterstützt
VPN-Passthrough und leitet auch die Ports UDP 4500, UDP 500 und Port 51 an
die IP 192.168.10.2 weiter.
- das LAN in der Aussenstelle hat den IP-Kreis 10.11.0.0/16, der Router
10.11.0.1

Das Problem, worüber ich grüble:

Am Router der Aussenstelle gibt man als Gateway (Ziel im Internet) die
öffentliche IP der Zentrale an, bei mir : 217.xxx.yyy.zzz (im Beispiel
172.16.1.251). Der ISA (ob 2004 oder 2006 ist egal) hat aber als externe
Schnittstelle nur die IP 192.168.10.2 und verwendet diese logischerweise
auch als VPN Tunnel Endpunkt. Kann deshalb bei mir nie eine VPN Verbindung
zustande kommen?

Am ISA sehe ich in der Protokollierung den Router "anrufen" auf den
UDP-Ports 500 und 4500 und nach 60sec wird die Verbinung abgebaut.
Was kann man da noch machen? Der Router meldet immer "invalid cookie", was
auch immer ich damit anfangen soll. Unten habe ich mal das komplette LOG des
Routers angehangen.

Danke für Ideen und Hilfe.

Heiko

LOG des Routers in der Aussenstelle:

Configuration has been uploaded successfully
[VPN-Status] 2007/09/24 08:33:50,580
VPN: installing ruleset generally

[VPN-Status] 2007/09/24 08:33:50,630
VPN: rulesets installed

[VPN-Status] 2007/09/24 08:34:03,840
VPN: connecting to ISA (217.xxx.yyy.zzz)

[VPN-Status] 2007/09/24 08:34:03,840
VPN: installing ruleset for ISA (217.xxx.yyy.zzz)

[VPN-Status] 2007/09/24 08:34:03,860
VPN: ruleset installed for ISA (217.xxx.yyy.zzz)

[VPN-Status] 2007/09/24 08:34:03,870
VPN: start IKE negotiation for ISA (217.xxx.yyy.zzz)

[VPN-Status] 2007/09/24 08:34:03,880
VPN: rulesets installed

[VPN-Status] 2007/09/24 08:34:03,880
IKE info: Phase-1 negotiation started for peer ISA rule isakmp-peer-ISA
using MAIN mode


[VPN-Status] 2007/09/24 08:34:03,970
IKE info: The remote server 217.xxx.yyy.zzz:500 peer ISA id <no_id> supports
NAT- in mode draft


[VPN-Status] 2007/09/24 08:34:03,970
IKE info: Phase-1 remote proposal 1 for peer ISA matched with local proposal
1


[VPN-Status] 2007/09/24 08:34:33,880
VPN: connection for ISA (217.xxx.yyy.zzz) timed out: no response

[VPN-Status] 2007/09/24 08:34:33,880
VPN: Error: IFC-I-Connection-timeout-IKE-IPSEC (0x1106) for ISA
(217.xxx.yyy.zzz)

[VPN-Status] 2007/09/24 08:34:33,880
VPN: disconnecting ISA (217.xxx.yyy.zzz)

[VPN-Status] 2007/09/24 08:34:33,880
VPN: Error: (unknown) (0x0117) for ISA (217.xxx.yyy.zzz)

[VPN-Status] 2007/09/24 08:34:33,890
VPN: ISA (217.xxx.yyy.zzz) disconnected

[VPN-Status] 2007/09/24 08:34:33,900
VPN: selecting next remote gateway using strategy eFirst for ISA
=> no remote gateway selected

[VPN-Status] 2007/09/24 08:34:33,900
VPN: selecting first remote gateway using strategy eFirst for ISA
=> CurrIdx=0, IpStr=>217.xxx.yyy.zzz<, IpAddr!7.xxx.yyy.zzz, IpTtl=0s

[VPN-Status] 2007/09/24 08:34:33,900
VPN: installing ruleset for ISA (217.xxx.yyy.zzz)

[VPN-Status] 2007/09/24 08:34:33,910
VPN: rulesets installed

[VPN-Status] 2007/09/24 08:34:34,580
IKE log: 083434 Default message_recv: invalid cookie(s) dea893878893df1d
552158
91dc1124f


[VPN-Status] 2007/09/24 08:34:34,580
IKE log: 083434 Default dropped message from 217.xxx.yyy.zzz port 500 due to
notification type INVALID_COOKIE


[VPN-Status] 2007/09/24 08:34:34,580
IKE info: dropped message from peer unknown 217.xxx.yyy.zzz port 500 due to
notification type INVALID_COOKIE
 

Lesen sie die antworten

#1 Christian Gröbner [MVP]
12/10/2007 - 12:30 | Warnen spam
Hallo Heiko,

Am Router der Aussenstelle gibt man als Gateway (Ziel im Internet) die
öffentliche IP der Zentrale an, bei mir : 217.xxx.yyy.zzz (im Beispiel
172.16.1.251). Der ISA (ob 2004 oder 2006 ist egal) hat aber als externe
Schnittstelle nur die IP 192.168.10.2 und verwendet diese logischerweise
auch als VPN Tunnel Endpunkt. Kann deshalb bei mir nie eine VPN Verbindung
zustande kommen?



Die Ziele der VPN-Tunnelendpunkte sind immer die öffentlichen IP-Adressen
der Router. Dass der ISA noch ein Netzwerk zwischen dem Router hat ist
hierbei nicht ausschlaggebend. In der Konfiguration der S2S-Verbindung im
ISA musst du die 192.168.10.2 angeben, weil das seine lokale IP ist. Der
Tunnelendpunkt in der Konfiguration ist aber die öffentliche IP des Routers
in der Außenstelle, wodurch der Tunnel wieder aufgebaut werden kann.

Wichtig für den Test der S2S-Verbindung ist, dass alle Proposals
übereinstimmen. Vielleicht verwendest du auch erstmal zum Test einen ganz
einfachen PSK wie z.B. 12345.

Gruß

Christian

Christian Gröbner
MVP ISA Server
Hilfe & Infos rund um den ISA Server: http://www.msisafaq.de !!!!

NEU !!! Das Handbuch zum ISA 2006 - http://www.msisafaq.de/buch/

"Heiko Bernd" schrieb im Newsbeitrag
news:%
Hallo NG,

ich grübele seit einiger Zeit, wie ich in unserem Fall eine IPSec
Site-to-Site Verbindung von einem Hardware Router zu unserem zentralen ISA
Server herstellen kann. Meine Versuche sind bisher erfolglos (bisher
ISA2004, jetzt extra Upgrade auf ISA2006).

Die Fakten:
Die Konfiguration sieht genau so aus, wie in diesem Schaubild:
http://www.msisafaq.de/Anleitungen/...allPSK.htm
- wir setzen statt dem ISA2004 einen ISA2006 Std. Edition ein (W2k3 SP2
R2), entspricht im Bild dem Standort München, im folgenden bei mir einfach
Zentrale genannt
- statt der Sonic Firewall haben wir einen LANCOM (T-Systems) Business LAN
R800+ (Firmware LCOS 7.22 = aktuellste), im folgenden Router der
Aussenstelle benannt
- der Router in der Zentrale ist ebenfalls ein LANCOM (T-Systems) Business
LAN R800+ (Firmware LCOS 7.22 = aktuellste)
- beide Router haben eine feste IP im Internet
- der ISA hat intern die IP: 10.10.0.1/16 und die externe Netzwerkkarte
hat die 192.168.10.2
- der Router in der Zentrale hat als interne IP: 192.168.10.1 und extern
eine: 217.xxx.yyy.zzz und macht logischerweise NAT, unterstützt
VPN-Passthrough und leitet auch die Ports UDP 4500, UDP 500 und Port 51 an
die IP 192.168.10.2 weiter.
- das LAN in der Aussenstelle hat den IP-Kreis 10.11.0.0/16, der Router
10.11.0.1

Das Problem, worüber ich grüble:

Am Router der Aussenstelle gibt man als Gateway (Ziel im Internet) die
öffentliche IP der Zentrale an, bei mir : 217.xxx.yyy.zzz (im Beispiel
172.16.1.251). Der ISA (ob 2004 oder 2006 ist egal) hat aber als externe
Schnittstelle nur die IP 192.168.10.2 und verwendet diese logischerweise
auch als VPN Tunnel Endpunkt. Kann deshalb bei mir nie eine VPN Verbindung
zustande kommen?

Am ISA sehe ich in der Protokollierung den Router "anrufen" auf den
UDP-Ports 500 und 4500 und nach 60sec wird die Verbinung abgebaut.
Was kann man da noch machen? Der Router meldet immer "invalid cookie", was
auch immer ich damit anfangen soll. Unten habe ich mal das komplette LOG
des Routers angehangen.

Danke für Ideen und Hilfe.

Heiko

LOG des Routers in der Aussenstelle:

Configuration has been uploaded successfully
[VPN-Status] 2007/09/24 08:33:50,580
VPN: installing ruleset generally

[VPN-Status] 2007/09/24 08:33:50,630
VPN: rulesets installed

[VPN-Status] 2007/09/24 08:34:03,840
VPN: connecting to ISA (217.xxx.yyy.zzz)

[VPN-Status] 2007/09/24 08:34:03,840
VPN: installing ruleset for ISA (217.xxx.yyy.zzz)

[VPN-Status] 2007/09/24 08:34:03,860
VPN: ruleset installed for ISA (217.xxx.yyy.zzz)

[VPN-Status] 2007/09/24 08:34:03,870
VPN: start IKE negotiation for ISA (217.xxx.yyy.zzz)

[VPN-Status] 2007/09/24 08:34:03,880
VPN: rulesets installed

[VPN-Status] 2007/09/24 08:34:03,880
IKE info: Phase-1 negotiation started for peer ISA rule isakmp-peer-ISA
using MAIN mode


[VPN-Status] 2007/09/24 08:34:03,970
IKE info: The remote server 217.xxx.yyy.zzz:500 peer ISA id <no_id>
supports NAT- in mode draft


[VPN-Status] 2007/09/24 08:34:03,970
IKE info: Phase-1 remote proposal 1 for peer ISA matched with local
proposal 1


[VPN-Status] 2007/09/24 08:34:33,880
VPN: connection for ISA (217.xxx.yyy.zzz) timed out: no response

[VPN-Status] 2007/09/24 08:34:33,880
VPN: Error: IFC-I-Connection-timeout-IKE-IPSEC (0x1106) for ISA
(217.xxx.yyy.zzz)

[VPN-Status] 2007/09/24 08:34:33,880
VPN: disconnecting ISA (217.xxx.yyy.zzz)

[VPN-Status] 2007/09/24 08:34:33,880
VPN: Error: (unknown) (0x0117) for ISA (217.xxx.yyy.zzz)

[VPN-Status] 2007/09/24 08:34:33,890
VPN: ISA (217.xxx.yyy.zzz) disconnected

[VPN-Status] 2007/09/24 08:34:33,900
VPN: selecting next remote gateway using strategy eFirst for ISA
=> no remote gateway selected

[VPN-Status] 2007/09/24 08:34:33,900
VPN: selecting first remote gateway using strategy eFirst for ISA
=> CurrIdx=0, IpStr=>217.xxx.yyy.zzz<, IpAddr!7.xxx.yyy.zzz,
IpTtl=0s

[VPN-Status] 2007/09/24 08:34:33,900
VPN: installing ruleset for ISA (217.xxx.yyy.zzz)

[VPN-Status] 2007/09/24 08:34:33,910
VPN: rulesets installed

[VPN-Status] 2007/09/24 08:34:34,580
IKE log: 083434 Default message_recv: invalid cookie(s) dea893878893df1d
552158
91dc1124f


[VPN-Status] 2007/09/24 08:34:34,580
IKE log: 083434 Default dropped message from 217.xxx.yyy.zzz port 500 due
to notification type INVALID_COOKIE


[VPN-Status] 2007/09/24 08:34:34,580
IKE info: dropped message from peer unknown 217.xxx.yyy.zzz port 500 due
to notification type INVALID_COOKIE

Ähnliche fragen