VPN Tracker und Zywall 35

[dalle]

Hallo zusammen!

habe schon länger das Froum hier beobachtet jedoch eher passiv. Doch nun habe ich selber ein Problem und zwar will ich ein Host to Network VPN herstelle zwischen einem macbook mit VPN Tracker Standard und einer Zyxel Zywall 35.

Hier erstmal die Konfiguration der Zywall: (natürlich ist unter My Adress und Pre-Shared Key etwas eingetragen)

---gelöscht

und

---gelöscht

Hier noch die Konfiguration des VPN-Tracker:

---gelöscht

Nun nach meiner Meihnung ist alles korrekt eingerichtet. Dennoch bricht er bei Phase 2 den Verbindungsaufbau ab und zeigt folgende Fehlermeldung im Log:

2007-05-15 21:30:09: ERROR: isakmp_quick.c:433:quick_i2recv(): received mismatching ID.
2007-05-15 21:30:09: ERROR: isakmp.c:951:quick_main(): failed to pre-process packet.
2007-05-15 21:30:09: ERROR: isakmp.c:767:isakmp_main(): phase2 negotiation failed.

google hat mir bis jetzt noch nicht weitergeholfen!

Grüsse aus der Schweiz!

dalle

 

[ezi0n]

hm also was du bei VPN nicht machen darfst sind 1. falsche subnetze bilden und 2. falsche subnetze dann auch noch in der VPN policy wählen sprich 10.10.10.0 / 255.0.0.0 is strikt falsch entweder 10.0.0.0/8 oder 10.10.10.0/24 aber mismatch geht da schon mal nicht.

zudem frag ich mich wie du den tunnel aufbauen willst, die Zyxel hat ne feste IP, dein Client auch? Wenn nein darfst du kein Main Mode nehmen sondern musst aggressive mode nehmen,dann kann ID aber nicht IP sein sondern email oder certificate ... aber als erstes Netz korrigieren ..

EDIT: 3DES und HMAC-MD5 kannst du auch abschalten, da du ihm nur EPS-TUNNEL-HMAC-SHA1 anbietest auf gateway seite in phase2 wie ich das sehe - hintergrund einige GWs lehnen beim handshake beim ersten fehlversuch gleich wieder ab.

EDIT2: jetzt kommst du

 

[dalle]

Re:

hmm also die Subnetzmaske habe ich bei der Zywall nicht selber eingegeben sondern die wurde aut. generiert..auch bei allen sonstigen Servern wird die 255.0.0.0 aut. generiert??
sry meine IP-Kentnisse sind nicht so Grundlegend!

ahokey das mit agressive-mode werde ich versuchen.

mit 3DES und HMAC-MD5 schalte ich auch noch ab. Wurde eben per default vom vpn-tracker so konfiguriert. Wusste nicht, dass die zyxel bereits beim ersten Fehlversuch währendem handshake bereit abbricht!

 

[ezi0n]

tja die wird dir bei VPN aber nen problem machen .. denn in deiner konfiguration sagst du also rein theoretsich:

10.10.10.0, wie ich dich in der konfiguration verstehe ist das netz auf das du zugreifen willst
255.0.0.0 ist aber die netzmaske für 10.0.0.0 also heisst das im klartext für den IPsec filter:

zB nen ping auf 10.1.1.1 nicht zu verschlüsseln ABER da die subnetzmaske 255.0.0.0 doch crypten eigtl - wie gesagt rein theoretisch, das paket verreckt normal sowieso im filter

selbiges gilt für ARPs und sonstiges da dein Netz ja 10.0.0.0-10.255.255.255 laut subnetzmaske ist, aber der tunnel filter sagt 10.10.10.0 - das kollidiert sofort im filter - das ist das problem mit supernetting etc. funktioniert bei VPNs nicht.

schau dir bei IETF.org mal rfc 2409-2413 müsste es sein glaub ich, da ist alles über den handshake und vorraussetzungen definiert .. aber wie gesagt 10.1.1.1 ist laut deinem subnetz bestandteil des netzes das du erreichen willst, aber laut host-ipaddr-definition nicht - kollision ist das ergebnis - also am besten gleich von anfang an - richtig und sauber machen, dann fällt das troubleshooting im nachhinein viel einfacher ..

generell würd ich erstmal mit IKE AGGR-DES-MD5-DH1 und dann ESP-TUNNEL-DES-HMAC-MD5 testen - ist das kleinste gemeinsame .. eigtl wäre es IKE-MAIN-DES-MD5 geht aber nur wenn beide seiten feste IP-addr haben ...

also in deinem fall:
ANY -> 10.0.0.0/8 oder ANY-> 10.10.10.0/24
dann
IKE(P1) AGGR-DES-MD5-DH1 und IPsec (P2) ESP-TUNNEL-DES-HMAC-MD5
authentication: email oder certificate

alternativ mit fixen IPs gehts wie folgt:
IP -> 10.0.0.0/8 oder IP-> 10.10.10.0/24
IKE(P1) MAIN-DES-MD5-DH1 und IPsec (P2) ESP-TUNNEL-DES-HMAC-MD5
authentication: ip, fqdn oder certificate

dann funktionierts auch mit der gegenseite

 

[dalle]

danke für diese ausführliche Antwort!

wie ich sehe muss ich mich wohl erst nochmals über die Grundlagen von IPsec Gedanken mache/verstehen.
Deine Ausführungen kann ich sehr wohl verstehen/nachvollziehen wusste ich jedoch im Vorfeld nicht.
Werde mich demnach noch ein wenig schlau machen und dann das ganze aus eigener Kraft/Wissen zum laufen zu bringen. Sonst meld ich mich wieder

danke und Gruss

Edit: Irgendwelche Fachliteratur zu empfehlen?

 

[ezi0n]

wie gesagt die rfc sind schon das richtige, aber halt trocken und harter stoff .. da lässt sich kurz einfacher erklären wenn sich jemand damit auskennt da man schnell vergleiche und verständnis probleme mit beispielen füllen kann siehe zB mein ping ..

ipsec muss man heute nicht mehr unbedingt verstehen nur in der selben zeit denken, es gab kein supernetting etc. sollte es in einem guten lan auch nicht geben aber gut das ist ne andere sache ... dann kann man mit try and error und einfach klick und gut ist das zum laufen bekommen ... siehe WLANs heute ...

fachliteratur generell
"applied crypto" bruce schneier aka "angewandte krpytographie" eigentlich die bibel zu verschlüsselung bzw die ROTE bibel original war in rot, kann sein dass sie das heute nicht mehr ist ..

was auch nicht unbedingt schlecht ist "virtuelle private netze" Von Manfred Lipp Addison Wesley wars glaub ich .. alles schon nen paar tage her

dennoch gutes gelingen und an die urpsrünglichen regeln halten und schon funktioniert das mit dem verschlüsseltem tunnel ... nur dann halt später die stärke sowei nach oben drehen wie es geht ... nen DES tunnel stellt heute kein problem mehr da, ist eigtl nur noch für testzwecke implementiert .. nen guter tunnel wäre EPS-Tunnel-AES-HMAC-SHA. Hintergrund AES gibt es bisher keine bekannten "schwachstellen" bzw möglichkeiten einen AES tunnel zu öffnen .. war es früher bei 3DES 10^17 tage ungefär sieht das selbst heute ganz anders aus ... aber auch immer ne frage wofür du es einsetzen willst. im professionellen bereich kommst du um AES nicht umher da die verbindungen ja doch sehr sensibel sind was die transportierten daten angeht ...

wenn du zB nur TCP protokolle tunneln willst sagen wie mal SMTP oder HTTP etc. kannst du auch SSH tunnel nehmen, IPSec ist letztlich nichts anderes als ne weiter entwicklung, da SSH nur TCP protokolle tunneln kann .. naja sagen wir mal lieber so, man könnte es so verstehen - sonst heissts noch ich hätte das so behauptet also viel glück!

EDIT: und die jungs von equinux sind auch gut, also support technisch und auch so ganz lustige typen, war schon so einige male dort für interop test, glaub da kann man auch anrufen wenns nicht tut! da fällt mir ein sollte mal schauen welche version aktuell ist und mal testen ... auch schon länger nicht mehr getan ..

 

[dalle]

Nun dann weiss ich nun, was ich wiedermal auf meine to do leseliste packen kann:-D

Nun klär hätte ich es irgendwann hinbekommen mit probieren und viiiielen Error-Messages. Doch bin ich einer der gerne weiss womit er es zu tun hat und nicht irgendwas rumklickt und plötzlich funktionierts.
Auch wenn die Grundlagen meistens Öde und einem Langweilig erscheinen finde ich es immer wie wichtiger dass man die Grundlegenden Grundlagen beherscht. Ich komme selber aus dem Windows Bereich Schwerpunkt Windows Server und der Quatsch. Und wenn ich teilweise die aufgesetzten SBS Netzwerke von irgendwelchen Hilf-Admins sehe wird mir einfach nur schlecht!
Nun das ganze wird momentan nur privat für mich eingesetzt daher ist der Sicherheits-Aspekt nicht so wichtig. Dennoch will ich wissen was ich da konfiguriert habe und wie es funktioniert.

 

[Jackobli]

Darf ich mich da anhängen?
Habe die 30 Tage-Testversion von VPN-Tracker mit einer ZyWall 5... Ich kriege die Verbindung her, kann aber trotzdem nicht auf mein Netz zugreifen.
Kein Ping geht durch.
Habe selbes Verhalten mit Checkpoint VPN-1 ins Firmennetz.
Mein Mac ist ein iBook G4 mit 10.4.9.
Könnte eine Einstellung bei mir lokal ein Problem machen?