IPCop-Forum.de

www.ipcop-forum.de


IPCop-Community
CL-Systems
Home Home   Doku Doku   Links Links   Downloads Downloads
UnIPCop Der (Un)IPCop   IFS IPCop-ForumSpy
CopTime CopTime   Galerie IPCop-Galerie   IPCop Userkarte Userkarte
Aktuelle Zeit: 22.10.2017, 03:07

Alle Zeiten sind UTC+02:00




Ein neues Thema erstellen  Auf das Thema antworten  [ 2 Beiträge ] 
Autor Nachricht
BeitragVerfasst: 29.03.2017, 19:52 
Offline
Apprentice
Themenstarter
Apprentice

Registriert: 06.06.2016
Beiträge: 12
Hallöchen Miteinander,

das Thema basiert auf der Idee von "damals" - wo es ebenfalls nicht mit dem Ping klappte.
viewtopic.php?f=60&t=32625

Der Unterschied jetzt ist aber hier, dass sich die Voraussetzungen verbessert haben.
Ich hab jetzt auf der einen Seite den statischen Server mit fester IP Adresse und offenen IPSec Ports.
Und auf der anderen Seite einen festen Telekom DSL Anschluss. (Kein LTE oder so etwas)
Dort ebenfalls mit funktionierenden Portfreigaben.

Sprich einfach gesagt: Der Server kann eine Verbindung zur Fritz!Box aufbauen und andersrum.

Problem leider jetzt auch wieder... Kein Ping möglich.
Dabei klappt ein VPN zwischen 2 Fritz!Boxen auch wunderbar mit Ping und allem - nur hier scheitert es wieder.

Erst einmal zur Fritz!Box Konfiguration.
Code:
vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "server.example.org";
                always_renew = yes;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "server.example.org";
                localid {
                        fqdn = "rlsssgy5zyx271fb.myfritz.net";
                }
                remoteid {
                        fqdn = "server.example.org";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "wvqlfJt4wnWmTWNWT4IChikS6cMMErcdcR";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.168.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 172.16.0.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 172.16.0.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF


Keine Panik, ist alles zensiert :wink:

So da war's das dann ja auch schon. - Relativ einfach :yeah:

Bei dem IPCop ist es eigentlich auch total einfach, wenn es denn klappen würde.

Öffentliche IP oder FQDN für das ROTE Interface oder <%defaultroute>: %defaultroute
Verzögerung bevor VPN gestartet wird (in Sekunden): 60
Netz-zu-Netz-VPN neu starten, falls sich die Remote-IP-Adresse ändert (DynDNS). DPD (Dead-Peer-Detection) hilft in diesem Fall: JA

Verbindung angelegt:
Host-IP-Adresse: RED (%defaultroute)
Lokales Subnetz: 172.16.1.0/255.255.255.0
Lokale ID: @server.example.org

Remote Host/IP: rlsssgy5zyx271fb.myfritz.net
Remote Subnetz: 192.168.168.0/255.255.255.0
Remote-ID: @rlsssgy5zyx271fb.myfritz.net

Aktion für Dead-Peer-Detection: restart
Aktion wenn IPsec gestartet wird: start

Verwenden Sie einen pre-shared Schlüssel (PSK): wvqlfJt4wnWmTWNWT4IChikS6cMMErcdcR

Bei "Erweitert" finden wir dann folgendes.

IKE-Verschlüsselung: AES (256 bit) & 3DES
IKE-Integrität: SHA & MD5
IKE-Gruppentyp: MODP-1536
IKE-Lebensdauer: 1 Stunde

ESP-Verschlüsselung: AES (256 bit) & 3DES
ESP-Integrität: SHA & MD5
Lebensdauer des ESP-Schlüssels: 8 Stunden

IKE+ESP: Verwenden Sie nur die vorgeschlagenen Einstellungen.: Nein
IKE-Aggressive-Mode zugelassen.: Nein
Perfect Forward Secrecy (PFS): Ja
Datennutzlastkompression aushandeln: Nein


Wenn der Tunnel laut IPCop "offen" ist kommt folgendes.

$ ip xfrm policy
Code:
src 172.16.1.0/24 dst 192.168.168.0/24
        dir out priority 2344
        tmpl src <IP vom Server> dst <IP vom Client>
                proto esp reqid 16389 mode tunnel
src 192.168.168.0/24 dst 172.16.1.0/24
        dir fwd priority 2344
        tmpl src <IP vom Client> dst <IP vom Server>
                proto esp reqid 16389 mode tunnel
src 192.168.168.0/24 dst 172.16.1.0/24
        dir in priority 2344
        tmpl src <IP vom Client> dst <IP vom Server>
                proto esp reqid 16389 mode tunnel
src 0.0.0.0/0 dst 0.0.0.0/0
        socket out priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        socket in priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        socket out priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        socket in priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        socket out priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        socket in priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        socket out priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        socket in priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        socket out priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        socket in priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        socket out priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        socket in priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        socket out priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        socket in priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        socket out priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        socket in priority 0


$ ipsec verify
Code:
Checking your system to see if IPsec got installed and started correctly:
Version check and ipsec on-path                                 [OK]
Linux Openswan U2.6.41/K3.4-3 (netkey)
Checking for IPsec support in kernel                            [OK]
 SAref kernel support                                           [N/A]
 NETKEY:  Testing XFRM related proc values                      [OK]
        [OK]
        [OK]
Checking that pluto is running                                  [OK]
 Pluto listening for IKE on udp 500                             [OK]
 Pluto listening for NAT-T on udp 4500                          [OK]
Two or more interfaces found, checking IP forwarding            [FAILED]
Checking NAT and MASQUERADEing                                  [OK]
Checking for 'ip' command                                       [OK]
Checking /bin/sh is not /bin/dash                               [OK]
Checking for 'iptables' command                                 [OK]
Opportunistic Encryption Support                                [DISABLED]


$ route
Code:
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         static.225.20.7 0.0.0.0         UG    0      0        0 wan-1
10.45.158.0     10.45.158.2     255.255.255.0   UG    0      0        0 tun0
10.45.158.2     *               255.255.255.255 UH    0      0        0 tun0
123.45.67.224   *               255.255.255.248 U     0      0        0 wan-1
172.16.1.0      *               255.255.255.0   U     0      0        0 lan-1


$ ipsec auto --status
Code:
000 using kernel interface: netkey
000 interface lo/lo 127.0.0.1
000 interface lo/lo 127.0.0.1
000 interface wan-1/wan-1 123.45.67.230
000 interface wan-1/wan-1 123.45.67.230
000 interface lan-1/lan-1 172.16.1.254
000 interface lan-1/lan-1 172.16.1.254
000 interface tun0/tun0 10.45.158.1
000 interface tun0/tun0 10.45.158.1
000 %myid = (none)
000 debug none
000
000 virtual_private (%priv):
000 - allowed 3 subnets: 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16
000 - disallowed 2 subnets: 172.16.1.0/24, 192.168.168.0/24
000
000 algorithm ESP encrypt: id=2, name=ESP_DES, ivlen=8, keysizemin=64, keysizemax=64
000 algorithm ESP encrypt: id=3, name=ESP_3DES, ivlen=8, keysizemin=192, keysizemax=192
000 algorithm ESP encrypt: id=6, name=ESP_CAST, ivlen=8, keysizemin=40, keysizemax=128
000 algorithm ESP encrypt: id=7, name=ESP_BLOWFISH, ivlen=8, keysizemin=40, keysizemax=448
000 algorithm ESP encrypt: id=11, name=ESP_NULL, ivlen=0, keysizemin=0, keysizemax=0
000 algorithm ESP encrypt: id=12, name=ESP_AES, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=13, name=ESP_AES_CTR, ivlen=8, keysizemin=160, keysizemax=288
000 algorithm ESP encrypt: id=14, name=ESP_AES_CCM_A, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=15, name=ESP_AES_CCM_B, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=16, name=ESP_AES_CCM_C, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=18, name=ESP_AES_GCM_A, ivlen=8, keysizemin=160, keysizemax=288
000 algorithm ESP encrypt: id=19, name=ESP_AES_GCM_B, ivlen=12, keysizemin=160, keysizemax=288
000 algorithm ESP encrypt: id=20, name=ESP_AES_GCM_C, ivlen=16, keysizemin=160, keysizemax=288
000 algorithm ESP encrypt: id=253, name=ESP_TWOFISH, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP auth attr: id=1, name=AUTH_ALGORITHM_HMAC_MD5, keysizemin=128, keysizemax=128
000 algorithm ESP auth attr: id=2, name=AUTH_ALGORITHM_HMAC_SHA1, keysizemin=160, keysizemax=160
000 algorithm ESP auth attr: id=5, name=AUTH_ALGORITHM_HMAC_SHA2_256, keysizemin=256, keysizemax=256
000 algorithm ESP auth attr: id=6, name=AUTH_ALGORITHM_HMAC_SHA2_384, keysizemin=384, keysizemax=384
000 algorithm ESP auth attr: id=7, name=AUTH_ALGORITHM_HMAC_SHA2_512, keysizemin=512, keysizemax=512
000 algorithm ESP auth attr: id=9, name=AUTH_ALGORITHM_AES_CBC, keysizemin=128, keysizemax=128
000 algorithm ESP auth attr: id=251, name=AUTH_ALGORITHM_NULL_KAME, keysizemin=0, keysizemax=0
000
000 algorithm IKE encrypt: id=0, name=(null), blocksize=16, keydeflen=131
000 algorithm IKE encrypt: id=5, name=OAKLEY_3DES_CBC, blocksize=8, keydeflen=192
000 algorithm IKE encrypt: id=7, name=OAKLEY_AES_CBC, blocksize=16, keydeflen=128
000 algorithm IKE hash: id=1, name=OAKLEY_MD5, hashsize=16
000 algorithm IKE hash: id=2, name=OAKLEY_SHA1, hashsize=20
000 algorithm IKE hash: id=4, name=OAKLEY_SHA2_256, hashsize=32
000 algorithm IKE hash: id=6, name=OAKLEY_SHA2_512, hashsize=64
000 algorithm IKE dh group: id=2, name=OAKLEY_GROUP_MODP1024, bits=1024
000 algorithm IKE dh group: id=5, name=OAKLEY_GROUP_MODP1536, bits=1536
000 algorithm IKE dh group: id=14, name=OAKLEY_GROUP_MODP2048, bits=2048
000 algorithm IKE dh group: id=15, name=OAKLEY_GROUP_MODP3072, bits=3072
000 algorithm IKE dh group: id=16, name=OAKLEY_GROUP_MODP4096, bits=4096
000 algorithm IKE dh group: id=17, name=OAKLEY_GROUP_MODP6144, bits=6144
000 algorithm IKE dh group: id=18, name=OAKLEY_GROUP_MODP8192, bits=8192
000 algorithm IKE dh group: id=22, name=OAKLEY_GROUP_DH22, bits=1024
000 algorithm IKE dh group: id=23, name=OAKLEY_GROUP_DH23, bits=2048
000 algorithm IKE dh group: id=24, name=OAKLEY_GROUP_DH24, bits=2048
000
000 stats db_ops: {curr_cnt, total_cnt, maxsz} :context={0,4,36} trans={0,4,1176} attrs={0,4,1568}
000
000 "Vereinsnetz": 172.16.1.0/24===123.45.67.230<server.example.org>[@server.example.org]...69.194.174.158<rlsssgy5zyx271fb.myfritz.net>[@rlsssgy5zyx271fb.myfritz.net]===192.168.168.0/24; erouted; eroute owner: #4
000 "Vereinsnetz":     myip=unset; hisip=unset; myup=/usr/local/bin/ipsecupdown.sh;
000 "Vereinsnetz":   ike_life: 3600s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0
000 "Vereinsnetz":   policy: PSK+ENCRYPT+TUNNEL+PFS+UP+IKEv2ALLOW+SAREFTRACK+lKOD+rKOD; prio: 24,24; interface: wan-1;
000 "Vereinsnetz":   dpd: action:restart; delay:30; timeout:120;
000 "Vereinsnetz":   newest ISAKMP SA: #3; newest IPsec SA: #4;
000 "Vereinsnetz":   IKE algorithms wanted: AES_CBC(7)_256-SHA1(2)_000-MODP1536(5), AES_CBC(7)_256-SHA1(2)_000-MODP1024(2), AES_CBC(7)_256-MD5(1)_000-MODP1536(5), AES_CBC(7)_256-MD5(1)_000-MODP1024(2), 3DES_CBC(5)_000-SHA1(2)_000-MODP1536(5), 3DES_CBC(5)_000-SHA1(2)_000-MODP1024(2), 3DES_CBC(5)_000-MD5(1)_000-MODP1536(5), 3DES_CBC(5)_000-MD5(1)_000-MODP1024(2); flags=-strict
000 "Vereinsnetz":   IKE algorithms found:  AES_CBC(7)_256-SHA1(2)_160-MODP1536(5)AES_CBC(7)_256-SHA1(2)_160-MODP1024(2)AES_CBC(7)_256-MD5(1)_128-MODP1536(5)AES_CBC(7)_256-MD5(1)_128-MODP1024(2)3DES_CBC(5)_192-SHA1(2)_160-MODP1536(5)3DES_CBC(5)_192-SHA1(2)_160-MODP1024(2)3DES_CBC(5)_192-MD5(1)_128-MODP1536(5)3DES_CBC(5)_192-MD5(1)_128-MODP1024(2)
000 "Vereinsnetz":   IKE algorithm newest: AES_CBC_256-SHA1-MODP1024
000 "Vereinsnetz":   ESP algorithms wanted: AES(12)_256-SHA1(2)_000, AES(12)_256-MD5(1)_000, 3DES(3)_000-SHA1(2)_000, 3DES(3)_000-MD5(1)_000; flags=-strict
000 "Vereinsnetz":   ESP algorithms loaded: AES(12)_256-SHA1(2)_160, AES(12)_256-MD5(1)_128, 3DES(3)_192-SHA1(2)_160, 3DES(3)_192-MD5(1)_128
000 "Vereinsnetz":   ESP algorithm newest: AES_256-HMAC_SHA1; pfsgroup=<Phase1>
000
000 #4: "Vereinsnetz":500 STATE_QUICK_I2 (sent QI2, IPsec SA established); EVENT_SA_REPLACE in 26769s; newest IPSEC; eroute owner; isakmp#3; idle; import:admin initiate
000 #4: "Vereinsnetz" esp.267baa11@69.194.174.158 esp.10b0d7e@123.45.67.230 tun.0@69.194.174.158 tun.0@123.45.67.230 ref=0 refhim=4294901761
000 #3: "Vereinsnetz":500 STATE_MAIN_I4 (ISAKMP SA established); EVENT_SA_REPLACE in 1792s; newest ISAKMP; lastdpd=19s(seq in:6162 out:0); idle; import:admin initiate
000




Vielleicht hat jemand von euch eine Idee :super:


Nach oben
   
BeitragVerfasst: 09.08.2017, 11:23 
Offline
Apprentice
Apprentice

Registriert: 06.06.2013
Beiträge: 10
Hallo Zusammen!

Ich möchte hier mal das selbe Problem schildern.
Die VPN Verbindung zwischen IPCOP und Fritzbox ist aktiv und grün, jedoch bekomme ich auch keine Antwort auf Ping anfragen Net2Net.

Würde mich über Vorschläge freuen.

Danke euch!


Nach oben
   
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen  Auf das Thema antworten  [ 2 Beiträge ] 

Alle Zeiten sind UTC+02:00


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast


Du darfst keine neuen Themen in diesem Forum erstellen.
Du darfst keine Antworten zu Themen in diesem Forum erstellen.
Du darfst deine Beiträge in diesem Forum nicht ändern.
Du darfst deine Beiträge in diesem Forum nicht löschen.

Suche nach:
Gehe zu Forum:  
cron
Powered by phpBB® Forum Software © phpBB Limited
Deutsche Übersetzung durch phpBB.de