Hallo,
ich habe ein altes Zentral Gateway welchens ebenfalls auf Linux Basis lief, durch eine Virtuelle Endian ersetzt.
An dieser sind 3 Außenstellen angebunden die ebenfalls einen Router haben.
Zur Konfig der Endian.
1x Grünes Netz
2x Rotes Netz
- 1x Statischer Internet-Leitung und FestenIPs
- 1x Dynamischer DSL Leitung.
Im IPSec Menü sind 3 Tunnels erstellt die Authentifizierung erfolgt mittels PSK. Intierung erfolgt von beiden Seiten.
Nun zu meinen Problem.
3 von 3 VPN funktionierten Problemlos nach der Installation. Ich konnte pingen in beide Richtung und Sie waren Grün.
Nach ca. 24 Stunden Verabschiedete sich VPN1.
Obwohl die Verbindung aufgebaut war konnte ich nicht mehr ins entfernte netz pingen als auch vom entfernten netz zum zentral netz.
Also kein Traffic, Verbindung Grün, auch beide Seiten mal neugestartet, keinen Chance.
Nun nach 2 Wochen Verabschiedete sich der Traffic von 2. VPN, kein Ping / Zugriff aufs andere Netz in beide richtungen ob wohl VPN Grün.
Ich habe beide Gateways aus dem Entfernten Netz wieder aufs alte Zentral Gateway Verbunden (gleiche Einstellung wie das neue GW also gleiche PSK usw.) so das ich nur die Öffentliche IP für die intierung auf den Außenstellen Gateways ändern musste -> Verbunden und läuft.
Es ist 100% sicher das das Problem auf den Endian Seite liegt, scheinbar werden die IP Pakete nicht richtige geroutet ins IPSec Netz.
Warum nur funktionierte es nach der Einrichtung mehrere Tage / Wochen teilweise Problemlos und mit einmal nicht mehr.
Hier mal ein Logauszug auf des Außenstelle:
bremerstr_1 #1: received Vendor ID payload [strongSwan]
bremerstr_1 #1: ignoring Vendor ID payload [Cisco-Unity]
bremerstr_1 #1: received Vendor ID payload [XAUTH]
bremerstr_1 #1: received Vendor ID payload [Dead Peer Detection]
bremerstr_1 #1: received Vendor ID payload [RFC 3947]
bremerstr_1 #1: multiple ipsec.secrets entries with distinct secrets match endpoints: first secret used
GT__bremerstr_1 #1: enabling possible NAT-traversal with method 3
GT__bremerstr_1 #1: multiple ipsec.secrets entries with distinct secrets match endpoints: first secret used
GT__bremerstr_1 #1: NAT-Traversal: Result using RFC 3947: no NAT detected
GT__bremerstr_1 #1: Peer ID is ID_IPV4_ADDR: '62.159.xx.xxx'
GT__bremerstr_1 #1: ISAKMP SA established
GT__bremerstr_1 #2: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS+UP {using isakmp#1}
bremerstr_1 #2: Dead Peer Detection (RFC 3706) enabled
Auffällig sind folgende Pakete die von der zweiten PPOE Leitung aus der Endian kommen wenn ich ein Ping von den Endian auf das Entfernte Netz mache.
ACCEPT(rule:3) IN=ppp0 OUT= MAC= SRC=80.153.xxx.78 DST=80.153.xx.2 LEN=160 TOS=0x00 PREC=0x00 TTL=60 ID=18660 PROTO=ESP SPI=0xc4be48d6 MARK=0x1
Die IPSec Verbindung wurde jedoch über die Standleitung also ROT1 intiert und verbunden also routet die Endian ausgehen ESP Pakete über die falsche Leitung.
Hat irgendwer eine gute Idee für mich?