Hallo
Ich habe diese Tage von EFW 2.5.2 auf EFW 3.0.0 Community umgestellt und kann nun keine Eingehende PPTP- und IPSec-Verbindungen mehr aufbauen. Die PPTP-Verbindung geht auf eine dezidierte public IP ein und wird von EFW auf einen internen PPTP-Server vollständig (Any) forgewarded. Ich erhalte im Firewall-Log die folgende Meldungen:
hierbei sind
212.41.114.XX : Aussenstelle PPTP-Client
212.101.27.2XX : public IP des internen PPTP-Servers
10.80.2.10 : interne IP des internen PPTP-Server
14:12:58 PORTFWACCESS:ACCEPT:1 eth4 TCP 212.41.114.XX 22720 00:50:56:01:00:03 10.80.2.10 1723
14:12:56 BADTCP:DROP eth4 TCP 212.41.114.XX 22719 00:50:56:01:00:03 212.101.27.2XX 1723
Was ich nicht verstehe, warum die eine PPTP Initialisierung (14:12:58) auf 10.80.2.10 korrekt forgewarded wird und die andere (14:12:56) aufgrund von "BADTCP:DROP" abgelehnt wird. Hierbei zählt der PPTP-Client seine ausgehenden Port jeweils um ein hoch.
Ebenfalls seit dem Upgrade von EFW 2.5.2 auf EFW 3.0.0 funktionieren auch bisher funktionierenden IPSec-Tunnel (Site-To-Site) nicht mehr. Log für zwei unterschiedliche Tunnel:
2014-04-29 14:35:19 ipsec 06[JOB] deleting half open IKE_SA after timeout
2014-04-29 14:35:19 ipsec 09[IKE] ID_PROT request with message ID 0 processing failed
2014-04-29 14:35:19 ipsec: 09[NET] sending packet from 212.101.27.2XX[500] to 212.41.114.XX[500] (68 bytes)
2014-04-29 14:35:19 ipsec 09[ENC] generating INFORMATIONAL_V1 request 4112662390 [ HASH N(PLD_MAL) ]
2014-04-29 14:35:19 ipsec 09[IKE] message parsing failed
2014-04-29 14:35:19 ipsec 09[ENC] could not decrypt payloads
2014-04-29 14:35:19 ipsec 09[ENC] invalid ID_V1 payload length, decryption failed?
2014-04-29 14:35:19 ipsec: 09[NET] received packet from 212.41.114.XX[500] to 212.101.27.XX[500] (116 bytes)
2014-04-29 14:35:18 ipsec: 05[NET] sending packet from 212.101.27.2XX[500] to 212.41.114.XX[500] (196 bytes)
2014-04-29 14:35:18 ipsec 05[ENC] generating ID_PROT response 0 [ KE No ]
2014-04-29 14:35:18 ipsec 05[ENC] parsed ID_PROT request 0 [ KE No ]
2014-04-29 14:35:18 ipsec: 05[NET] received packet from 212.41.114.XX[500] to 212.101.27.2XX[500] (184 bytes)
2014-04-29 14:35:17 ipsec: 08[NET] sending packet from 212.101.27.2XX[500] to 212.41.114.XX[500] (132 bytes)
2014-04-29 14:35:17 ipsec 08[ENC] generating ID_PROT response 0 [ SA V V V ]
2014-04-29 14:35:17 ipsec 08[IKE] 212.41.114.53 is initiating a Main Mode IKE_SA
2014-04-29 14:35:17 ipsec: 08[ENC] received unknown vendor ID 62:50:27:74:9d:5a:b9:7f:56:16:c1:60:27:65:cf:48:0a:3b:7d:0b
2014-04-29 14:35:17 ipsec 08[ENC] parsed ID_PROT request 0 [ SA V ]
2014-04-29 14:35:17 ipsec: 08[NET] received packet from 212.41.114.XX[500] to 212.101.27.2XX[500] (108 bytes)
2014-04-29 14:35:08 ipsec: 14[NET] sending packet from 212.101.27.2XX[500] to 87.102.253.1XX[500] (40 bytes)
2014-04-29 14:35:08 ipsec 14[ENC] generating INFORMATIONAL_V1 request 1816533396 [ N(NO_PROP) ]
2014-04-29 14:35:08 ipsec 14[IKE] no IKE config found for 212.101.27.2XX...87.102.253.1XX, sending NO_PROPOSAL_CHOSENSowohl EFW 2.5.2 als auch EFW 3.0.0 laufen unter VMware ESXi 5.5.0 (alle aktuellsten Patches installiert). Gibt es einen guten Weg von EFW 3.0.0 auf 2.5.2 zurück zu wechseln?
Vielen Dank im Voraus und mit besten Grüssen,
Relume