Gateway-to-Gateway IPSec VPN - Netwerken

dinsdag 13 juni 2006 08:48

Acties:

Verwijderd

Topicstarter

Ik heb een vraagje over een Gateway-to-Gateway IPSec VPN opstelling waar ik het antwoord niet voor kan vinden. Mijn vraag is of het mogelijk is dat deze VPN opstelling niet werkt als er op 1 of beide netwerken geen pc's achter de gateway aanwezig zijn of dat dit niets uit zou mogen maken?

Het is namelijk een test opstelling en ik heb even geen 2e PC om dit zelf te testen.

dinsdag 13 juni 2006 09:03

Acties:

Equator

Crew Council

#whisky #barista

Ja, dit moet gewoon werken.. Je geeft in je policy op dat er een range van ip adressen aan de andere kant van de tunnel zit. Dat die daar niet zijn / uitstaan moet niet uitmaken. Je IPsec gateway zelf heeft ook een IP adres in dat netwerk dus je kan de verbinding wel testen.

Maar goed, je had het toch gewoon kunnen proberen. Een Site 2 Site IPSec VPN is niet zo verschrikkelijk veel werk om te configuren..

Met welke software / hardware ga je dit doen

dinsdag 13 juni 2006 09:29

Acties:

Verwijderd

Topicstarter

Ik ben het aan het proberen met een Zyxel P-661HW en een Fortinet 50A, maar Phase 2 lijkt niet te werken. De Fortinet heeft trouwens een Publiek IP en staat achter een Cisco 827.

Ik krijg alleen in de Zyxel een log te zien mbt de VPN:
1 06/12/2006 16:45:20 Send:[HASH][DEL] ZyxelPubIP FortinetPubIP IKE
2 06/12/2006 16:45:10 Send:[HASH][DEL] ZyxelPubIP FortinetPubIP IKE
3 06/12/2006 16:44:50 Send:[HASH][DEL] ZyxelPubIP FortinetPubIP IKE
4 06/12/2006 16:44:44 Phase 1 IKE SA process done ZyxelPubIP FortinetPubIP IKE
5 06/12/2006 16:44:44 Send:[ID][HASH][NOTFY:INIT_CONTACT] ZyxelPubIP FortinetPubIP IKE
6 06/12/2006 16:44:44 Recv:[ID][HASH][NOTFY:INIT_CONTACT] FortinetPubIP ZyxelPubIP IKE
7 06/12/2006 16:44:44 Send:[KE][NONCE] ZyxelPubIP FortinetPubIP IKE
8 06/12/2006 16:44:43 Recv:[KE][NONCE] FortinetPubIP ZyxelPubIP IKE
9 06/12/2006 16:44:43 Send:[SA][VID] ZyxelPubIP FortinetPubIP IKE
10 06/12/2006 16:44:43 Recv:[SA][VID][VID][VID][VID][VID] FortinetPubIP ZyxelPubIP IKE
11 06/12/2006 16:44:43 Recv Main Mode request from [FortinetPubIP] FortinetPubIP ZyxelPubIP IKE
12 06/12/2006 16:44:43 Rule [1] Receiving IKE request FortinetPubIP ZyxelPubIP IKE
13 06/12/2006 16:44:31 Send:[HASH][NOTFY:PYLD_MALFORMED] ZyxelPubIP FortinetPubIP IKE
14 06/12/2006 16:44:30 Send:[KE][NONCE] ZyxelPubIP FortinetPubIP IKE
15 06/12/2006 16:44:30 Recv:[KE][NONCE] FortinetPubIP ZyxelPubIP IKE
16 06/12/2006 16:44:30 Send:[SA][VID] ZyxelPubIP FortinetPubIP IKE
17 06/12/2006 16:44:29 Recv:[SA][VID][VID][VID][VID][VID] FortinetPubIP ZyxelPubIP IKE
18 06/12/2006 16:44:29 Recv Main Mode request from [FortinetPubIP] FortinetPubIP ZyxelPubIP IKE
19 06/12/2006 16:44:29 Rule [1] Receiving IKE request FortinetPubIP ZyxelPubIP IKE
20 06/12/2006 16:44:20 Send:[HASH][DEL] ZyxelPubIP FortinetPubIP IKE
21 06/12/2006 16:44:15 Send:[HASH][NOTFY:PYLD_MALFORMED] ZyxelPubIP FortinetPubIP IKE
22 06/12/2006 16:44:15 Send:[KE][NONCE] ZyxelPubIP FortinetPubIP IKE
23 06/12/2006 16:44:15 Recv:[KE][NONCE] FortinetPubIP ZyxelPubIP IKE
24 06/12/2006 16:44:15 Send:[SA][VID] ZyxelPubIP FortinetPubIP IKE
25 06/12/2006 16:44:14 Recv:[SA][VID][VID][VID][VID][VID] FortinetPubIP ZyxelPubIP IKE
26 06/12/2006 16:44:14 Recv Main Mode request from [FortinetPubIP] FortinetPubIP ZyxelPubIP IKE
27 06/12/2006 16:44:14 Rule [1] Receiving IKE request FortinetPubIP ZyxelPubIP IKE
28 06/12/2006 16:44:10 Send:[HASH][DEL] ZyxelPubIP FortinetPubIP IKE
29 06/12/2006 16:44:00 Send:[HASH][NOTFY:PYLD_MALFORMED] ZyxelPubIP FortinetPubIP IKE
30 06/12/2006 16:44:00 Send:[KE][NONCE] ZyxelPubIP FortinetPubIP IKE
31 06/12/2006 16:44:00 Recv:[KE][NONCE] FortinetPubIP ZyxelPubIP IKE
32 06/12/2006 16:44:00 Send:[SA][VID] ZyxelPubIP FortinetPubIP IKE

dinsdag 13 juni 2006 09:40

Acties:

alt-92

ye olde farte

Of je phase2 wel of niet werkt heeft niks te maken met het wel of niet aanwezig zijn van hosts achter de VPN/firewall apparaten iig

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

dinsdag 13 juni 2006 09:51

Acties:

Equator

Crew Council

#whisky #barista

Heb je NAT Traversal geconfigureerd of niet. Zo ja, inclusief de juiste poortmapping (udp 4500)

[ Voor 12% gewijzigd door Equator op 13-06-2006 09:51 ]

dinsdag 13 juni 2006 09:57

Acties:

Verwijderd

Topicstarter

Ik heb geen NAT Traversal geconfigureerd want NAT staat uit op die Cisco.

dinsdag 13 juni 2006 10:21

Acties:

Equator

Crew Council

#whisky #barista

Ecuseer, my bad..

* Equator gromt iets van verschillende interpretatie van publieke ip adressen

Wat zijn je ESP Proposals, en zijn die op beide systemen gelijk

Ohja, en probeer eens op Agressive Mode i.p.v. Main mode

[ Voor 15% gewijzigd door Equator op 13-06-2006 10:21 ]

dinsdag 13 juni 2006 10:40

Acties:

Verwijderd

Topicstarter

Ik heb op beide DES en MD5, DH Group 1 en keylife 28800 gezet, nog niet echt over nagedacht wat ik precies wil hier maar het is even om te testen en aan alletwee de kanten hetzelfde.

Ik ben nu even een andere Zyxel ipv de Cisco aan het neerzetten om te kijken of dat het probleem misschien was of wat voor manier dan ook...

dinsdag 13 juni 2006 10:45

Acties:

alt-92

ye olde farte

Verwijderd schreef op dinsdag 13 juni 2006 @ 10:40:
Ik heb op beide DES en MD5, DH Group 1 en keylife 28800 gezet, nog niet echt over nagedacht wat ik precies wil hier maar het is even om te testen en aan alletwee de kanten hetzelfde.

Safe & snelst (minste proc belasting) zou zijn AES+SHA1 DH2.
Keylife van 28800 houdt in dat er 8 uur met dezelfde key wordt gewerkt.

DES en MD5 worden overigens sterk afgeraden om nu nog in te zetten.

Ik ben nu even een andere Zyxel ipv de Cisco aan het neerzetten om te kijken of dat het probleem misschien was of wat voor manier dan ook...

Wellicht nog een ACL op de cisco, maar daar kom je snel genoeg achter.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

dinsdag 13 juni 2006 12:08

Acties:

Verwijderd

Topicstarter

Ik krijg nog steeds dezelfde log, de Fortinet log kan ik nu ook bekijken (er stond een instelling fout), hier komt uiteindelijk te staan:

delete_phase1_sa Deleted an Isakmp SA on the tunnel to ZyxelPubIP:500

Bij agressive mode gebeurd hetzelfde.

Heeft iemand een idee wat er mis zou kunnen gaat?

dinsdag 13 juni 2006 13:01

Acties:

alt-92

ye olde farte

Tja, als er niet gereageerd wordt aan de andere kant wordt de SA weer verwijderd, dus zo vreemd is die melding niet.

Zonder de configs van beide kanten door te kunnen lopen kan niemand echt iets nuttigs zeggen vrees ik.
Loop alles nog een keer na, begin van de grond af opnieuw en reset die devices ook zo nu en dan eens

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

dinsdag 13 juni 2006 13:05

Acties:

Wim-Bart

Zie signature voor een baan.

BackSlash32 schreef op dinsdag 13 juni 2006 @ 10:45:
[...]
DES en MD5 worden overigens sterk afgeraden om nu nog in te zetten.
[...]

Waarom? SHA1 is tegenwoordig niet zo veilig meer, denk dat MD5+3DES goed te doen is.

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.

dinsdag 13 juni 2006 13:10

Acties:

alt-92

ye olde farte

MD5 is nog minder veilig..
SHA1-768 gaat prima hoor, als je je preshared niet te simpel houdt is dat stukken beter dan MD5.

3DES is geen 3voudig DES maar DES over DES.
DES zelf is 40bits, en wordt in encryptie termen als verouderd en te gemakkelijk te kraken gezien.
Daarnaast is 3DES voor de processor een veel hogere belasting (encryptie over encryptie) terwijl AES sterker en processortechnisch voordeliger is.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

woensdag 14 juni 2006 08:29

Acties:

Verwijderd

Topicstarter

Ik ben even in de war geraakt hier, als ik een Gateway-to-Gateway VPN maak, hoe bepaal ik dan welke gateway de connectie initieerd? Nu is het de fortinet altijd omdat die daarmee begint telkens als ik de vpn opties opnieuw opsla...

[ Voor 17% gewijzigd door Verwijderd op 14-06-2006 08:31 ]

woensdag 14 juni 2006 09:00

Acties:

Equator

Crew Council

#whisky #barista

Dat is meestal de kant die een pakketje binnenkrijgt wat een destination IP heeft welke correspondeerd met je in de IPSec tunnel opgegeven SPD.

Dus Dial on Demand zegmaar

woensdag 14 juni 2006 13:29

Acties:

Verwijderd

Topicstarter

Dat was meteen ook het probleem, zogauw er geen verkeer is begint phase 2 gewoon niet. Toen ik pingde naar een remote interne ip, liep alles opeens perfect en is de vpn actief. Wel vreemd dat dit niet gebeurd als ik in fortinet op het icoontje "bring up vpn" klik...

woensdag 14 juni 2006 14:09

Acties:

alt-92

ye olde farte

Zywalls doen dat wel, netscreens ook niet trouwens.
Maar daar kan je tenminste via ssh van de internal interface uit een ping sturen vanaf de remote site

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device