Re: Connection Probleme mit VPN
Hallo auch:
Am Dienstag, 24. Juni 2003 10:47 schrieb t.sellmer@amro.de:
Hi, wir sind dabei ein VPN Netz zu installieren und stießen auf ein Connection Problem. Folgende Situation beschäftigt uns die Tage: Win Client -> Linux Gateway 1 (ipchains FW) -> Linux Gateway 2 (ipchains FW) -> Cisco 1750 VPN Server (Radius Auth over Pam/Ldap) Die Anmeldung des Win Clients über Proto udp und Port 500 Isakmp (ebenso über Proto udp Port 10000 IPSec over udp) erfolgt problemlos an der Cisco. Allerdings bricht der Secure Channel bei Datentransfer (Ping) sofort und immer ab. Ob Ipchains auf den Linux Gateways aktiv ist oder nicht spielt dabei keine Rolle. Bei Direktverbindung (im selben LAN) Win Client -> Cisco 1750 VPN Server (Radius Auth over Pam/Ldap) gibt es keine Probleme. Wir suchen immo die Fehlerquellen an den Linuxroutern. Ipchains kennt Proto 50+51 nicht. Welche Protokolle fehlen im Kernel oder was ist generell falsch. Falls Infos fehlen bitte einfach kontakten.
Bin leider kein VPN-Experte, hab aber auch mal ein VPN-Netz mit Linuxen aufgebaut. Da brach auch beim Datentransfer alles zusammen, während es unter Windows problemlos lief. Grund war die falsche MTU-Size auf Linux. Dort ist
1500 Standard, packt man da Verschlüsselung drauf wars das und Ende. Weiß nicht, ob euch das auch euer Problem ist, aber könnt euch ja mal in die Richtung "Verkleinerung MTU-Size" schlau machen.
Bernd
Dies wäre eine Möglichkeit, welches wir umgehend prüfen werden.
Du kannst kein full featured IPSec über geNATete Verbindungen fahren!
Wie bereits geschrieben haben wir es mit Ipchains (FW inkl. NAT an einem Gateway) probiert und auch ohne :) NAT spielte in diesem Falle keine Rolle, da auch im deaktiviertem Zustand kein Datentransfer über den Secure Channel zustande kam.
Ist es euch denn unmoeglich, ein VPN zwischen den beiden Linux-Gateways aufzubauen? Dann waere die Situation naemlich wieder wie im LAN.
Dieses haben wir bislang noch nicht getestet, da es für unsere Zwecke eigentlich nicht benötig wird. Es kommt mir so vor, als würden die Pakete nach dem erfolgreichem Aufbau des Secure Channels einfach nicht mehr geroutet, obwohl auf allen Gateways die IPChains Regeln deaktiviert waren. Ich warte immo noch auf die Auswertung vom Cisco Debugging. Viele Grüße und Danke an alle Tips :D Thomas-Ralf Sellmer
participants (1)
-
t.sellmer@amro.de