IPSEC keine Verbindung bei bei Verwendung Gateway Group
-
Moin,
habe seit 2.4.1 das Problem, dass ich IPSEC mit RoadWarrior nur noch läuft, wenn ich bei P1 unter Interface nur eine IP eintrage. Ich kann zwar meine Gateway Group auswählen, nur leider kann sich der Client dann nicht verbinden.
found 1 matching config, but none allows XAuthInitPSK authentication using Aggressive Mode
Hat jemand ne Idee?
Danke
-
Hast du die IPSEC Authentication auf IP address o.ä. gestellt? Ohne etwas mehr zu deiner Konfiguration zu haben, kann kaum jemand die helfen, IPSec zu debuggen ;)
-
ist die Standardkonfiguration für IKE V1 aus dem Tutorial mit Mutual PSK und XAUTH, Aggressive mode. Als Identifier habe ich My IP address. Mich wundert, dass es funktioniert, wenn ich eine Carp WAN Adresse verwende. Wenn ich ein WAN Interface nehme, funktioniert es auch nicht. Sehr eigenartig.
Laut log habe ich ein
Phase 1 Main / Aggressive Mismatch
, was ich aber nicht glaube, da es ja mit der Carp WAN funktioniert.
-
Warum sollten auch eine WAN IP oder CARP WAN IP nicht funktionieren? Das ist doch verständlich. Aber eine GATEWAY Group besteht normalerweise ja aus zwei unterschiedlichen Gateways auf anderen WANs. Welche IP soll also dann "my IP" sein, wenn er theoretisch 2 zur Verfügung hat? Mich wundert eher, dass das vorher ging ;)
-
dachte, my ip bedeutet, dass er er die ip des clients als identifier nimmt und nicht die des interfaces (remote gateways)
-
Bei IPSec weisen sich beide Gegenstellen einander aus. Wenn beide auf "my IP" eingestellt sind, sagen sie also bspw. ihre eigene IP und das wird von der Gegenseite geprüft. Das kann aber auch ein fixer String oder anderer Identifier sein wie bspw. eine (D)DNS Adresse o.ä.
Gruß
-
so habe ich es auch verstanden. deshalb bin ich der meinung, dass das interface der fw auch auf die gateway group gestellt werden kann. je nachdem an welcher ip sich der client meldet, antwortet die fw einmal mit der einen mal mit der anderen ip adresse.
wie würde man sonst ipsec mit multi wan und roadwarrior konfigurieren?
danke.
-
Multi-WAN geht mit IPSec meines Wissens nur als Failover Lösung (also wenn ein WAN down ist), nicht also LoadBalancing (also egal welche Adresse). Das ist ja einer der Haken von IPSec RoadWarrior Setups gegenüber OpenVPN, was hier problemlos mit MultiWAN umgehen kann.
Gruß
-
mmh, hab mich bisher gesträubt openvpn zu nutzen. werds dann wohl implemtieren müssen. danke für die hilfe.
-
mmh, hab mich bisher gesträubt openvpn zu nutzen
gabs nen bestimmten Grund deshalb? Gerade für Roadwarrior finde ich OVPN wesentlich entspannter als IPSEC und gerade aus Hotels und Co, die oftmals stark Traffic blocken, klappen damit die Verbindungen häufiger als mit IPSec, gerade mit Proxies und Co dazwischen. Für den Fallback noch nen OpenVPN auf tcp/443 und schon gibts eigentlich für alle Eventualitäten eine Alternative :D
-
also nochmals danke. bin jetzt auf openvpn umgestiegen. damit funktioniert jetzt auch wieder dns auf ios geräten.
