Forums Neueste Beiträge
 

ISA 2006 DLINK

06/03/2008 - 12:58 von Pfannschmidt, Norman | Report spam
HeyHo NG!

Ich bin gerade verzweifelt dabei eine Site-2-Site VPN zwischen dem ISA 2006
und einem DLINK Router (DI-804HV) herzustellen.
Hier erstmal meine Testumgebung:

ISA:

Intern: 192.168.111.0 /24
Extern: 1.2.3.4 /24
Default Gateway: 1.2.3.5

DLINK:

Intern: 192.168.0.0 /24
Extern: 1.2.3.5 /24
Default Gateway: 1.2.3.4

Ist kein VPN eingerichtet. können sich alle Rechner pingen. Das sollte also
bedeuten, dass die Verbindung auf IP-Ebene einwandfrei hergestellt ist.

Hier noch die S-2-S Einstellungen auf dem ISA:
Lokaler Tunnelendpunkt: 1.2.3.5
Remotetunnelendpunkt: 1.2.3.4

IKE-Phase I-Parameter:
Modus: Hauptmodus
Verschlüsselung: 3DES
Integritàt: SHA1
Diffie-Hellman-Gruppe: Gruppe 2 (1024 Bit)
Authentifizierungsmethode: Vorinstallierter Schlüssel (test123)
Sicherheitsassoziationsgültigkeitsdauer: 3600 Sekunden


IKE-Phase II-Parameter:
Modus: ESP-Tunnelmodus
Verschlüsselung: 3DES
Integritàt: SHA1
Perfect Forward Secrecy: AUS
Diffie-Hellman-Gruppe: Gruppe 2 (1024 Bit)
Zeit für die neue Schlüsselerstellung: EIN
Sicherheitsassoziationsgültigkeitsdauer: 3600 Sekunden

KB für die neue Schlüsselerstellung: AUS

Stelle ich das alles auf dem DLINK ein, so sagt mir der ISA, dass ein
IKE-Client Paket ankommt. Bei "Sitzungen" steht der VPN-Standort auch als
"aktiv". Schaue ich jedoch beim DLINK nach, so steht beim VPN Status immer
"Establishing".
Hier noch ein Auszug aus dem Log vom DLINK:

Donnerstag Màrz 06, 2008 12:50:31 Send IKE M1(INIT) : 1.2.3.5 --> 1.2.3.4
Donnerstag Màrz 06, 2008 12:50:31 Receive IKE M2(RESP) : 1.2.3.4 --> 1.2.3.5
Donnerstag Màrz 06, 2008 12:50:31 Try to match with ENC:3DES AUTH:PSK
HASH:SHA1 Group:Group2
Donnerstag Màrz 06, 2008 12:50:31 Send IKE M3(KEYINIT) : 1.2.3.5 --> 1.2.3.4
Donnerstag Màrz 06, 2008 12:50:31 Receive IKE M4(KEYRESP) : 1.2.3.4 -->
1.2.3.5
Donnerstag Màrz 06, 2008 12:50:32 Send IKE M5(IDINIT) : 1.2.3.5 --> 1.2.3.4
Donnerstag Màrz 06, 2008 12:50:32 Receive IKE M6(IDRESP) : 1.2.3.4 -->
1.2.3.5
Donnerstag Màrz 06, 2008 12:50:32 IKE Phase1 (ISAKMP SA) established :
1.2.3.4 <-> 1.2.3.5
Donnerstag Màrz 06, 2008 12:50:32 Send IKE Q1(QINIT) : 192.168.0.0 -->
192.168.111.0
Donnerstag Màrz 06, 2008 12:50:32 Receive IKE INFO : 1.2.3.4 --> 1.2.3.5
Donnerstag Màrz 06, 2008 12:50:37 IKED re-TX : QINIT to 1.2.3.4
Donnerstag Màrz 06, 2008 12:50:42 IKED re-TX : QINIT to 1.2.3.4
Donnerstag Màrz 06, 2008 12:50:52 IKED re-TX : QINIT to 1.2.3.4
Donnerstag Màrz 06, 2008 12:51:02 IKED re-TX : QINIT to 1.2.3.4
Donnerstag Màrz 06, 2008 12:51:22 IKED re-TX : QINIT to 1.2.3.4
Donnerstag Màrz 06, 2008 12:51:23 Send IKE (INFO) : delete
[192.168.0.0|1.2.3.5]-->[1.2.3.4|192.168.111.0] phase 2
Donnerstag Màrz 06, 2008 12:51:23 IKE phase2 (IPSec SA) remove : 192.168.0.0
<-> 192.168.111.0
Donnerstag Màrz 06, 2008 12:51:23 inbound SPI = 0xb0000010, outbound SPI =
0x0
Donnerstag Màrz 06, 2008 12:51:23 Send IKE Q1(QINIT) : 192.168.0.0 -->
192.168.111.0
Donnerstag Màrz 06, 2008 12:51:23 Send IKE Q1(QINIT) : 192.168.0.0 -->
192.168.111.0
Donnerstag Màrz 06, 2008 12:51:23 Receive IKE INFO : 1.2.3.4 --> 1.2.3.5
Donnerstag Màrz 06, 2008 12:51:28 IKED re-TX : QINIT to 1.2.3.4
Donnerstag Màrz 06, 2008 12:51:33 IKED re-TX : QINIT to 1.2.3.4
Donnerstag Màrz 06, 2008 12:51:43 IKED re-TX : QINIT to 1.2.3.4
Donnerstag Màrz 06, 2008 12:51:53 IKED re-TX : QINIT to 1.2.3.4
Donnerstag Màrz 06, 2008 12:52:13 IKED re-TX : QINIT to 1.2.3.4
Donnerstag Màrz 06, 2008 12:52:14 Send IKE (INFO) : delete
[192.168.0.0|1.2.3.5]-->[1.2.3.4|192.168.111.0] phase 2
Donnerstag Màrz 06, 2008 12:52:14 IKE phase2 (IPSec SA) remove : 192.168.0.0
<-> 192.168.111.0
Donnerstag Màrz 06, 2008 12:52:14 inbound SPI = 0xb2000010, outbound SPI =
0x0
Donnerstag Màrz 06, 2008 12:52:14 Send IKE Q1(QINIT) : 192.168.0.0 -->
192.168.111.0
Donnerstag Màrz 06, 2008 12:52:14 Receive IKE INFO : 1.2.3.4 --> 1.2.3.5
Donnerstag Màrz 06, 2008 12:52:19 IKED re-TX : QINIT to 1.2.3.4
Donnerstag Màrz 06, 2008 12:52:24 IKED re-TX : QINIT to 1.2.3.4
Donnerstag Màrz 06, 2008 12:52:34 IKED re-TX : QINIT to 1.2.3.4


In dieser letzten Schleife verfàllt er immer wieder.
Für mich sieht es so aus, als wàre Phase 1 erfolgreich abgeschlossen, der
PSK ist ausgetauscht und er kann die Verschlüsselung nicht aufbauen.
Ich habe schon nach einer neuen Firmware gesucht, jedoch ist die Firmware
auf dem Geràt neuer, als die auf der DLINK Homepage. Es gibt lediglich eine
Version für Nordamerika auf der amerikanischen HP, jedoch wird diese nicht
mit dem deutschen Geràt funktionieren.


Ich hoffe wirklich auf Eure Hilfe, da ich am Ende von meinem Latein bin. ;-)


Mit freundlichen Grüßen,
Norman.


PS: Den Artikel auf isaserver.org
(http://www.isaserver.org/articles/2...dlink.html) habe ich bereits
mehrmals abgearbeitet. Könnte es an den Unterschieden zwischen meinem ISA06
und dem beschrieben ISA04 liegen?
 

Lesen sie die antworten

#1 Jens Baier
06/03/2008 - 13:57 | Warnen spam
Hi,

Stelle ich das alles auf dem DLINK ein, so sagt mir der ISA, dass ein
IKE-Client Paket ankommt. Bei "Sitzungen" steht der VPN-Standort auch als
"aktiv". Schaue ich jedoch beim DLINK nach, so steht beim VPN Status immer
"Establishing".



hast Du die Phase II Einstellungen auf beiden Seiten identisch?

In dieser letzten Schleife verfàllt er immer wieder.
Für mich sieht es so aus, als wàre Phase 1 erfolgreich abgeschlossen, der
PSK ist ausgetauscht und er kann die Verschlüsselung nicht aufbauen.



ACK, sehe ich auch so aus dem Log

(http://www.isaserver.org/articles/2...dlink.html) habe ich bereits
mehrmals abgearbeitet. Könnte es an den Unterschieden zwischen meinem
ISA06 und dem beschrieben ISA04 liegen?



nein, denke ich nicht. In dem Bereich hat sich nicht soviel getan.

Gruss Jens
www.nt-faq.de

Ähnliche fragen