Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien

[NetASQ] IPSEC vpn tunnel

Pagina: 1
Acties:

  • nagasy
  • Registratie: Mei 2008
  • Laatst online: 29-11-2024

nagasy

Duck Duck Duck Goose

Topicstarter
Een goeiendag,

Ik zit sinds twee weken in een nieuwe omgeving.
We maken veelvuldig gebruik van IPSEC tunnels naar klanten toe.
Sinds dinsdag is er een tunnel die niet opkomt in de netasq.
het is nog versie 8 die draait als firmware.
volgende zaken heb ik reeds gedaan.

- tunnel heractiveren.
- de manual afgehaald van netasq V8 en deze doorlezen.
- netASQ logs nagekeken en gezien dat de laatste succesvolle tunnelafhandeling gebeurde 18/08 om 16u.
- Filtering nagekeken. Implicit vpn services staan aangevinkt + ze zijn ook expliciet vermeld in de filter policy.
- ssh op de firewall en geprobeerd te pingen naar de andere firewall.
- telnet van vaste pc op poort 500 en 50. samen met nog andere om te zien of de firewall iets laat weten.
- realtime event viewer gebruikt om te zien of de tunnel opgebouw wordt, alleen krijg ik zelf geen melding van fase 1 die niet kan opgebouwd worden.

ik vind het vooral bizar dat fase 1 niet opkomt. Welke redenen kan dit teweegbrengen?
De klant zit in frankrijk en reeds gevraagd wat hun extern ip is. Alle objecten kloppen nog steeds in de firewall en er zijn geen aanpassingen geweest op onze FW sinds ik hier toegekomen ben.

Ik zit dus tamelijk vast en hulp wordt ten zeerste geapprecieerd.

Groeten

[ Voor 9% gewijzigd door nagasy op 20-08-2015 16:27 ]

Battle.net: NagaByrd#2844


  • tabee
  • Registratie: November 2012
  • Laatst online: 05-11 11:48
Al nagegaan of de klant wijzigingen heeft gedaan aan hun firewall?

Realiteit is een hallucinatie die optreedt bij gebrek aan alcohol.


  • nagasy
  • Registratie: Mei 2008
  • Laatst online: 29-11-2024

nagasy

Duck Duck Duck Goose

Topicstarter
tabee schreef op vrijdag 21 augustus 2015 @ 10:46:
Al nagegaan of de klant wijzigingen heeft gedaan aan hun firewall?
De klant vrijdag nog aan de lijn gehad.
Er zijn geen wijzigingen zover ik weet.
Firewall en server na de tunnel is voorzien van hetzelfde IP-adres.

Vrijdag nog keep alive opgezet om de tunnel op te zetten. Fase 1 & 2 komen perfect op.

Vereiste van de klant is wel dat er NAT is.
End point to end point zit er dus NAT tussen.
Ik gok dat het daar ergens fout gaat, maar ik kijk er mogelijk over.
Naar filtering toe staat alles van IPSEC/... open voor beide partijen.

Battle.net: NagaByrd#2844


  • johnkeates
  • Registratie: Februari 2008
  • Laatst online: 04-07 16:30
Als P1 niet eens op komt is er gewoon geen verbinding. Wat zie je in je netstat/pf table/jouw equivalent? En is er een soort van tcpdump of port mirror faciliteit? Dan kan je gewoon even cappen en kijken wat er gebeurt, want dit is gokken zo.

  • nagasy
  • Registratie: Mei 2008
  • Laatst online: 29-11-2024

nagasy

Duck Duck Duck Goose

Topicstarter
Probleem is uiteindelijk opgelost.

De tunnel kwam effectief op en kon ik ook monitoren.
Alleen ging er geen verkeer over de tunnel.
Er werd dus NAT before Tunneling toegepast.
Op de NetASQ blijkbaar een verborgen optie waardoor je een extra regel moet voorzien voor IPSEC verkeer.

@johnkeates: tcpdump toont eigenlijk niet of je verkeer geencrypteerd over de tunnel gaat. Want er waren geen packet drops.

Maar dus een geval van verouderde firmware en specifieke instellingen voor IPSEC.

Battle.net: NagaByrd#2844