IPSec mit einer Watchguard Peak6000

Gnoesch
Posts: 24
Joined: June 9th, 2009, 5:55 pm

IPSec mit einer Watchguard Peak6000

Post by Gnoesch » June 11th, 2009, 10:36 am

Hallo zusammen,

ich bekomme auch immer eine Fehlermeldung:"address family inconsistency in this connection=2 host=2/nexthop=0"
Weiß jemand was damit anzufangen? Auf der einen Seite steht eine Watchguard Peak6000!
Ein VPN-Tunnel zu einem Netgear-GW funktioniert ohne Probleme!

Hier meine IPSec.conf

version 2

config setup
        interfaces="%defaultroute "
        klipsdebug="none"
        plutodebug="crypt "
        uniqueids=yes
        nat_traversal=yes
        virtual_private=%v4:10.0.0.0/8,%v4:172.16.0.0/12,%v4:192.168.0.0/16,%v4:!192.168.58.0/255.255.2
55.0,%v4:!192.168.11.0/255.255.255.0,%v4:!132.0.0.0/16

conn %default
        keyingtries=0
        disablearrivalcheck=no

        conn gfkl
        left=ohlow.mine.nu
        leftnexthop=%defaultroute
        leftsubnet=192.168.58.0/24
        right=195.182.11.x
        rightsubnet=132.0.0.0/16
        rightnexthop=%defaultroute
        leftid="@ohlow.mine.nu"
        ike=3des-sha-modp1024!
        esp=3des-sha1!
        ikelifetime=8h
        keylife=24h
        aggrmode=yes
        dpddelay=30
        dpdtimeout=120
        dpdaction=restart
        pfs=yes
        authby=secret
        auto=start


Wäre cool wenn mir jemand helfen könnte!

Gruß Fred

User avatar
MichaelTremer
Core Developer
Core Developer
Posts: 5799
Joined: August 11th, 2005, 9:02 am

IPSec mit einer Watchguard Peak6000

Post by MichaelTremer » June 11th, 2009, 10:41 am

Ich würde vermuten, dass da IPv6 Pakete kommen.

Gibt es da eine Option an dem entfernten Gerät das auszuschalten?!

Michael
Support the project with our Donation Challenge!

Get Commercial Support for IPFire and more from Lightning Wire Labs!

Image

Gnoesch
Posts: 24
Joined: June 9th, 2009, 5:55 pm

Re: IPSec mit einer Watchguard Peak6000

Post by Gnoesch » June 11th, 2009, 11:35 am

Hi,

nein es liegen keine IPv6 Pakete vor! Ich find das wirklich sehr seltsam! Kann es sein, dass das RemoteNetz ein öffentliches IP-Netz ist und kein privates Netz? Allerdings kann ich das nicht ändern, da dass unser Netzwerk in der Firma ist!

Gruß Fred

User avatar
MichaelTremer
Core Developer
Core Developer
Posts: 5799
Joined: August 11th, 2005, 9:02 am

Re: IPSec mit einer Watchguard Peak6000

Post by MichaelTremer » June 11th, 2009, 11:42 am

Ein öffentliches Netz sollte da kein Problem sein.

Hast du noch mehr Logmeldungen?!
Support the project with our Donation Challenge!

Get Commercial Support for IPFire and more from Lightning Wire Labs!

Image

Gnoesch
Posts: 24
Joined: June 9th, 2009, 5:55 pm

Re: IPSec mit einer Watchguard Peak6000

Post by Gnoesch » June 11th, 2009, 11:50 am

Hi,

erstmal danke, dass du dich so spontan meinem Problem annimmst.....

Also die Logs, die hauptsächlich auftauchen sind diese:

13:48:11 pluto[16970]:  packet from 195.182.11.10:500: initial Aggressive Mode message from 195.182.11.1 0 but no (wildcard) connection has been configured with policy=PSK


und dann gibt es noch diesen Logeintrag

13:48:11 pluto[16970]:  | *received 240 bytes from 195.182.11.10:500 on ppp0 (port=500)

dieser kommt allerdings durch das Debugging, von Crypt!

Gruß Fred

User avatar
MichaelTremer
Core Developer
Core Developer
Posts: 5799
Joined: August 11th, 2005, 9:02 am

Re: IPSec mit einer Watchguard Peak6000

Post by MichaelTremer » June 11th, 2009, 11:55 am

Hast du den Aggressive-Mode an?! Das sollte man vermeiden, denn da wird das Passwort im Klartext übertragen.

Hast mal das System neugestartet?
Support the project with our Donation Challenge!

Get Commercial Support for IPFire and more from Lightning Wire Labs!

Image

Gnoesch
Posts: 24
Joined: June 9th, 2009, 5:55 pm

Re: IPSec mit einer Watchguard Peak6000

Post by Gnoesch » June 11th, 2009, 12:13 pm

HI,

ja der Aggressiv Mode ist eingeschaltet, weil die Watchguard die Modus benötigt, wenn man dynamische IP-Adressen benutzt! Ich bin mir über die Übermittlung des PSK im Klartext bewußt!
Ein Reboot des Systems hilft nicht! ICh probiere schon seit gestern aus die Verbindung zu implementieren! Aber immer kommt dieser Wildacrdfehler! Das irritiert mich halt! Es scheint ja so, dass der IpFire nicht mit der Anfrage der Watchguard umgehen kann....

Gruß Fred
Last edited by Gnoesch on June 11th, 2009, 12:16 pm, edited 1 time in total.

User avatar
MichaelTremer
Core Developer
Core Developer
Posts: 5799
Joined: August 11th, 2005, 9:02 am

Re: IPSec mit einer Watchguard Peak6000

Post by MichaelTremer » June 11th, 2009, 12:21 pm

Nach der Meldung oben scheint es ja irgendwie eine falsche Source-IP zu sein.

Hast du im Feld "Public IP or FQDN for RED interface or <%defaultroute>" in der IPSec vielleicht eine falsche Adresse? oder vielleicht in der Einstellungsseite?!

Michael
Support the project with our Donation Challenge!

Get Commercial Support for IPFire and more from Lightning Wire Labs!

Image

Gnoesch
Posts: 24
Joined: June 9th, 2009, 5:55 pm

Re: IPSec mit einer Watchguard Peak6000

Post by Gnoesch » June 11th, 2009, 12:27 pm

Hi,

ich hab meinen dyn FQDN im Feld " Public IP or FQDN...." eingetragen! Natürlich ist es auf der Einstellungsseite genauso eingerichtet!
Mit defaultroute funktioniert es auch nicht! Was mich irritiert ist einfach, dass der IpFire nichts mit dem IKE Paket von der 195.182.11.10 anfangen!
Obwohl er die Ip-Adresse von der IpSec.conf er kennen sollte....

Gruß Fred

Gnoesch
Posts: 24
Joined: June 9th, 2009, 5:55 pm

Re: IPSec mit einer Watchguard Peak6000

Post by Gnoesch » June 11th, 2009, 1:45 pm

Diese Logs kommen mir auch ein wenig seltsam vor!

15:44:14 pluto[10859]: packet from 195.182.11.10:500: initial Aggressive Mode message from 195.182.11.1 0 but no (wildcard) connection has been configured with policy=PSK
15:44:13 pluto[10859]: loading secrets from "/etc/ipsec.secrets"
15:44:13 pluto[10859]: adding interface ipsec0/ppp0 87.156.197.3:4500
15:44:13 pluto[10859]: adding interface ipsec0/ppp0 87.156.197.3:500
15:44:13 pluto[10859]: listening for IKE messages
15:44:13 pluto[10859]: Changing back to directory '/etc/rc.d/init.d' failed - (2 No such file or direct ory)
15:44:13 pluto[10859]: Changing back to directory '/etc/rc.d/init.d' failed - (2 No such file or direct ory)
15:44:13 pluto[10859]: Warning: empty directory
15:44:13 pluto[10859]: Changing to directory '/etc/ipsec.d/crls'
15:44:13 pluto[10859]: Changed path to directory '/etc/ipsec.d/ocspcerts'
15:44:12 pluto[10859]: Changed path to directory '/etc/ipsec.d/aacerts'
15:44:12 pluto[10859]: Changed path to directory '/etc/ipsec.d/cacerts'
15:44:12 pluto[10859]: Using KLIPS IPsec interface code on 2.6.25.19-ipfire
Last edited by Gnoesch on June 11th, 2009, 1:48 pm, edited 1 time in total.

User avatar
Maniacikarus
Core Developer
Core Developer
Posts: 6210
Joined: February 24th, 2006, 10:35 am
Location: Nürnberg
Contact:

Re: IPSec mit einer Watchguard Peak6000

Post by Maniacikarus » June 11th, 2009, 4:39 pm

Ich bin mir nicht mehr sicher aber ähnliches hatte ich glaube schonmal als die Subnetze auf beiden Seite gleich konfiguriert waren, was dann zu Verwirrungen führte weil er dann die Netze nicht binden konnte, dh auf beiden seiten eindeutige unabhängige Subnetze für grün/blau, vielleicht ist es das ja.
Image

Gnoesch
Posts: 24
Joined: June 9th, 2009, 5:55 pm

Re: IPSec mit einer Watchguard Peak6000

Post by Gnoesch » June 11th, 2009, 4:55 pm

Hi,

danke für die Idee! Aber das ist es nicht! Auf der einen Seite ist ein private C-NEtz und auf der anderen Seite ist ein publi B- Netz!
Daran kann es also auch nicht liegen! Ich verstehe mittlerweile nicht mehr woran es liegen kann!
Kann es evtl. sein dass es ein Problem in der default Conn sein?
Ich weiß nicht....

Danke und Gruß Fred

weedy81

Re: IPSec mit einer Watchguard Peak6000

Post by weedy81 » June 12th, 2009, 5:22 am

Gnoesch wrote:Hallo zusammen,

ich bekomme auch immer eine Fehlermeldung:"address family inconsistency in this connection=2 host=2/nexthop=0"
Weiß jemand was damit anzufangen? Auf der einen Seite steht eine Watchguard Peak6000!
Ein VPN-Tunnel zu einem Netgear-GW funktioniert ohne Probleme!

Hier meine IPSec.conf

version 2

config setup
        interfaces="%defaultroute "
        klipsdebug="none"
        plutodebug="crypt "
        uniqueids=yes
        nat_traversal=yes
        virtual_private=%v4:10.0.0.0/8,%v4:172.16.0.0/12,%v4:192.168.0.0/16,%v4:!192.168.58.0/255.255.2
55.0,%v4:!192.168.11.0/255.255.255.0,%v4:!132.0.0.0/16

conn %default
        keyingtries=0
        disablearrivalcheck=no

        conn gfkl
        left=ohlow.mine.nu
        leftnexthop=%defaultroute
        leftsubnet=192.168.58.0/24
        right=195.182.11.x
        rightsubnet=132.0.0.0/16
        rightnexthop=%defaultroute
        leftid="@ohlow.mine.nu"
        ike=3des-sha-modp1024!
        esp=3des-sha1!
        ikelifetime=8h
        keylife=24h
        aggrmode=yes
        dpddelay=30
        dpdtimeout=120
        dpdaction=restart
        pfs=yes
        authby=secret
        auto=start


Wäre cool wenn mir jemand helfen könnte!

Gruß Fred


hallo fred ;)

das einzige was mir direkt auffällt wenn ich deine config mit meiner vergleiche ist halt das bei
"right=" die ip adresse nicht komplett ausgeschrieben ist sondern mit einem x am ende.. weiß nicht ob du
das extra fürs forum gemacht hast, wenn nicht würd ich das mal ändern ..
und du hast nur "leftid" aber nicht "rightid" in der config.
hoffe ich konnte helfen ..anbei mal ne etwas abgeänderte version meiner config die funzt..allerdings ohne
agressive mode... wo ich an deiner stelle auch noch mal testen würde obs nicht doch irgentwie ohne geht :P


Code: Select all

conn xxxxx
        left=meindyndns.org
        leftnexthop=%defaultroute
        leftsubnet=192.168.2.0/255.255.255.0
        right=seindyndns.org
        rightsubnet=192.168.1.0/255.255.255.0
        rightnexthop=%defaultroute
        leftid="@ich"
        rightid="@er"
        ike=aes128-sha-modp1536,aes128-sha-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha-modp1536,3des-sha-modp1024,3des
-md5-modp1536,3des-md5-modp1024
        esp=aes128-sha1,aes128-md5,3des-sha1,3des-md5
        ikelifetime=1h
        keylife=8h
        dpddelay=30
        dpdtimeout=120
        dpdaction=restart
        pfs=yes
        authby=secret
        auto=start



mfg

Gnoesch
Posts: 24
Joined: June 9th, 2009, 5:55 pm

Re: IPSec mit einer Watchguard Peak6000

Post by Gnoesch » June 12th, 2009, 8:25 am

Hi weedy,

das mit dem x war für das Forum gewollt! Die rightid fehlt, das stimmt! Aber auch mit eingetragener ID scheitert der Tunnel!
Was seltsam ist!
Ich haba gestern anstatt der Ip-Adresse bei Remote Host einen FQDN eingetragen, dann taucht der Fehler nicht mehr auf! Anscheinend, kann er mit der 195.182.11.10 als Remote Host nicht umgehen... Ist jetzt so eine wage Vermutung...

Gruß Fred

User avatar
Maniacikarus
Core Developer
Core Developer
Posts: 6210
Joined: February 24th, 2006, 10:35 am
Location: Nürnberg
Contact:

Re: IPSec mit einer Watchguard Peak6000

Post by Maniacikarus » June 12th, 2009, 8:55 am

Das ist auch etwas komisch

        right=195.182.11.x
        rightsubnet=132.0.0.0/16

ich kanns leider gerade nicht bei mir nachschauen, schaut ihr anderen bitte mal in eurer conf nach, wie der das reinschreibt
Image

Post Reply