IPsec-Verbindung ohne Identifier?
-
Hallo liebe Community,
meine Aufgabe ist es zurzeit verschiedene Standorte meiner Firma via VPN zu verbinden. Solche Verbindungen bestehen bereits, jedoch soll der aktuelle Router durch einen pfSense ersetzt werden. Nun folgendes Problem:
Ich kann keine IPsec-Verbindung aufbauen, wenn die Gegenstelle in der Phase 1 keine Identifier (My Identifier/Peer Identifier) eingetragen hat. Der aktuelle Router von der Marke Lancom scheint diese Option nicht zu gebrauchen, denn er hält alle Tunnel ohne, dass diese Optionen eingetragen sind. Dort ist nur „Keine Identität“ ausgewählt.
Für Testzwecke habe ich den pfSense an ein anderes WAN gehängt, und versucht eine Verbindung zu dem Lancom-Router aufzubauen, auf den ich selbst Zugriff habe. Dort wurde dann nur ein Tunnel aufgebaut, sobald ich auf beiden Seiten die gleichen Identifier eingetragen habe (Jeweils die WAN-IP). Deswegen gehe ich davon aus, dass die Konfigurationen an sich stimmen bis auf die Identifier.
Besteht die Möglichkeit, wie bei dem Lancom-Router eine Verbindung aufzubauen, ohne Identifier? Denn leider kann ich nicht zu allen Großkunden laufen, und dort danach bitten. Zumal weiß ich nicht einmal ob dies wirklich zu 100% die Ursache ist.Hier die Logs vom pfSense:
Message
11[IKE] <27> IKE_SA (unnamed)[27] state change: CONNECTING => DESTROYING
14[CFG] vici client 57 connected
08[CFG] vici client 57 registered for: list-sa
14[CFG] vici client 57 requests: list-sas
08[CFG] vici client 57 disconnected
14[CFG] received stroke: terminate 'con10000'
14[CFG] no IKE_SA named 'con10000' found
08[CFG] received stroke: initiate 'con10000'
14[IKE] <con10000|28>queueing ISAKMP_VENDOR task
14[IKE] <con10000|28>queueing ISAKMP_CERT_PRE task
14[IKE] <con10000|28>queueing MAIN_MODE task
14[IKE] <con10000|28>queueing ISAKMP_CERT_POST task
14[IKE] <con10000|28>queueing ISAKMP_NATD task
14[IKE] <con10000|28>queueing QUICK_MODE task
14[IKE] <con10000|28>activating new tasks
14[IKE] <con10000|28>activating ISAKMP_VENDOR task
14[IKE] <con10000|28>activating ISAKMP_CERT_PRE task
14[IKE] <con10000|28>activating MAIN_MODE task
14[IKE] <con10000|28>activating ISAKMP_CERT_POST task
14[IKE] <con10000|28>activating ISAKMP_NATD task
14[IKE] <con10000|28>sending XAuth vendor ID
14[IKE] <con10000|28>sending DPD vendor ID
14[IKE] <con10000|28>sending FRAGMENTATION vendor ID
14[IKE] <con10000|28>sending NAT-T (RFC 3947) vendor ID
14[IKE] <con10000|28>sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID
14[IKE] <con10000|28>initiating Main Mode IKE_SA con10000[28] to xxx.xxx.xxx.xxx
14[IKE] <con10000|28>IKE_SA con10000[28] state change: CREATED => CONNECTING
14[CFG] <con10000|28>configured proposals: IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
14[ENC] <con10000|28>generating ID_PROT request 0 [ SA V V V V V ]
14[NET] <con10000|28>sending packet: from xxx.xxx.xxx.xxx[500] to xxx.xxx.xxx.xxx[500] (180 bytes)
05[CFG] vici client 58 connected
05[CFG] vici client 58 registered for: list-sa
12[CFG] vici client 58 requests: list-sas
05[CFG] vici client 58 disconnected
05[IKE] <con10000|28>sending retransmit 1 of request message ID 0, seq 1
05[NET] <con10000|28>sending packet: from xxx.xxx.xxx.xxx[500] to xxx.xxx.xxx.xxx[500] (180 bytes)
12[CFG] vici client 59 connected
12[CFG] vici client 59 registered for: list-sa
07[CFG] vici client 59 requests: list-sas
12[CFG] vici client 59 disconnected
12[IKE] <con10000|28>sending retransmit 2 of request message ID 0, seq 1
12[NET] <con10000|28>sending packet: from xxx.xxx.xxx.xxx[500] to xxx.xxx.xxx.xxx[500] (180 bytes)
07[CFG] vici client 60 connected
12[CFG] vici client 60 registered for: list-sa
07[CFG] vici client 60 requests: list-sas
07[CFG] vici client 60 disconnected
15[CFG] vici client 61 connected
15[CFG] vici client 61 registered for: list-sa
07[CFG] vici client 61 requests: list-sas
09[CFG] vici client 61 disconnectedUnd hier von der Lancom-Gegenstelle:
Info Disconnected from peer companyVDSL: 017 006
Fehler VPN: Error for peer companyVDSL: IFC-I-Connection-timeout-IKE-IPSECBin nur ein angehender Systemintegrator im ersten Jahr. Deswegen bitte ich um Gnade, sollte ich dumme Fehler nicht sehen. :D</con10000|28></con10000|28></con10000|28></con10000|28></con10000|28></con10000|28></con10000|28></con10000|28></con10000|28></con10000|28></con10000|28></con10000|28></con10000|28></con10000|28></con10000|28></con10000|28></con10000|28></con10000|28></con10000|28></con10000|28></con10000|28></con10000|28></con10000|28></con10000|28></con10000|28></con10000|28>