• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Brauche hilfe IPSEC/VPN Verbindung zu Bintec Hardware Router

OP
L

Lightmans

Newbie
ICH HABES ES GESCHAFFTT !!!!!

Code: 
root@ubuntu64:/home/harald#  ipsec setup status
IPsec running  - pluto pid: 6514
pluto pid 6514
1 tunnels up

Code: 
ay 16 22:11:50 ubuntu64 pluto[6514]: "bintec" #1: received Delete SA payload: replace IPSEC State #7 in 10 seconds
May 16 22:11:50 ubuntu64 pluto[6514]: "bintec" #1: received and ignored informational message
May 16 22:12:00 ubuntu64 pluto[6514]: "bintec" #8: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS+UP+AGGRESSIVE to replace #7 {using isakmp#1}
May 16 22:12:00 ubuntu64 pluto[6514]: "bintec" #8: transition from state STATE_QUICK_I1 to state STATE_QUICK_I2
May 16 22:12:00 ubuntu64 pluto[6514]: "bintec" #8: STATE_QUICK_I2: sent QI2, IPsec SA established {ESP=>0x40c4b981 <0x7e725b69 xfrm=3DES_0-HMAC_MD5 NATD=none DPD=none}
May 16 22:12:25 ubuntu64 pluto[6514]: "bintec" #1: received Delete SA payload: replace IPSEC State #8 in 10 seconds
May 16 22:12:25 ubuntu64 pluto[6514]: "bintec" #1: received and ignored informational message


Aber nun habe ich das Problem das ich den Server nicht an pingen kann weil mir das NAT oder Routing fehlt...
Könnt ihr mir dabei helfen? Die ip des Servers ist 172.13.0.18
Erstmal meine infos:

Code: 
root@ubuntu64:/home/harald# ifconfig 
lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:1642 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1642 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:246674 (240.8 KB)  TX bytes:246674 (240.8 KB)

wlan0     Link encap:Ethernet  HWaddr 00:13:46:b0:90:d3  
          inet addr:88.152.133.217  Bcast:88.152.135.255  Mask:255.255.248.0
          inet6 addr: fe80::213:46ff:feb0:90d3/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:5880 errors:2 dropped:0 overruns:0 frame:0
          TX packets:2787 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:1228474 (1.1 MB)  TX bytes:362024 (353.5 KB)
          Interrupt:19 Base address:0xe000 

root@ubuntu64:/home/harald# cat /etc/ipsec.conf

config setup
	nhelpers=1
	nat_traversal=yes
	
# Add connections here

conn bintec
	left=xxxgeheimeipbintecxxx
	leftsubnet=172.13.0.0/23
	leftid=@name
	right=88.152.133.217
	rightsubnet=172.13.2.111/32
	rightid=email@domain.de
	authby=secret
	ike=3des-md5-modp1024
	ikelifetime=28800s
	esp=3des-md5
	keylife=3600s
	auto=start
	pfsgroup=modp1024
	aggrmode=yes	
	compress=no

# sample VPN connections, see /etc/ipsec.d/examples/

#Disable Opportunistic Encryption
include /etc/ipsec.d/examples/no_oe.conf
 
J

jengelh

Guru
Lightmans schrieb:
Aber nun habe ich das Problem das ich den Server nicht an pingen kann weil mir das NAT oder Routing fehlt...
Könnt ihr mir dabei helfen? Die ip des Servers ist 172.13.0.18
conn bintec
left=xxxgeheimeipbintecxxx
leftsubnet=172.13.0.0/23
leftid=@name
right=88.152.133.217
rightsubnet=172.13.2.111/32
Zum Vergrößern anklicken....
Na das kann ja soo nicht gehen. Für den Bintec gelten praktisch folgende Routen:
intern 172.13.0.0/23
ipsec0 172.13.2.111/32
Das ist ja schön und gut, aber ein Host aus dem /23er-Netz hat sicher keine Route mit Bintec-Gateway für 172.13.2.111. Die suchen sich im lokalen Netzwerk den .2.111 - und der ist natürlich nicht da, somit kommen gehen die Ping-Replies ins Leere.
Eigentlich brauchst du rightsubnet= gar nicht.
 
OP
L

Lightmans

Newbie
Keiner der mir sagen kann warum ich den Server pingen kann?
Oder lust hat mir beim routen oder natten zuhelfen?
Kommt jungs, wir haben es fast geschafft :)

Gruss Lightmans
 
OP
L

Lightmans

Newbie
Das habe ich schon ausprobiert und auskomentiert,
aber dann funktioniert die Verbindung gar nicht...

Wenn ich in meinem Crash kurs über ipsec alles verstanden habe dann sind diese daten auch bestandteile des keys... oder?
 
OP
L

Lightmans

Newbie
Hallo,
habe ich auch schon versucht... aber das funktioniert auch nicht..
Dann bekomme ich die FM vom router NO_PROPOSIAL_CHOOSEN

Es ist zwingend nötig die ip 172.13.2.111/32 anzugeben, sonst funktioniert es nicht ... der Bintec gibt den Tunnel nur Frei wenn er diese Ip als gegenstelle bekommt. Weil diese IP auf meine ID_FQDN gebunden ist.

Mann muss also irgend ein routing oder natting machen, vermute ich. Aber ich bin kein Netzwerkspezialist der sowas gut kann. Ich bin ja schon froh das ich soweit gekommen bin. :)

Gruss
Lightmans
 
OP
L

Lightmans

Newbie
Problem ist erledigt, nach dem ich ein 2-3 Stunden session mit unseren Admins hatte...
Haben wir festgestellt das eine rückroute in der firewall fehlte...
Funktioniert also jetzt !!!

Gruss
Lightmans
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben