vpn zyxel zywall10 + zyxel zywall2
 

Versuche schon verzweifelt seit Tagen ein VPN Verbindung mit zyxel zywall 10 zu zyxel zywall 2 herzustellen. I seh keine Fehlkonfiguration und die LOGS sagen nix.....

Hier die Konfiguration der zywall 10:

Active : hakerl gesetzt
Key Management: IKE
Negotiation Mode: Main
Local Address Type: Subnet Address
IP Address Start: 10.45.94.0
IP Address Ende: 255.255.255.0
My IP Address: öffentliche IP
Secure Gateway Address: öffentliche IP der zywall 2
Encapsulation Mode: Tunnel
ESP, 3DES, SHA1 sind aktiviert
Preshared Key: 20 stellig bestehend aus Zahlen und Buchstaben, wie bei zywall2

Phase1
Negotiation Mode: Main
Encryption Algorithm: DES
Authetiaction Algorithm: MD5
SA Live Time Seconds: 28800
Key Group: DH1

Phase1
Active Protocol: ESP
Encryption Algorithm: 3DES
Authetiaction Algorithm: SHA1
SA Live Time Seconds: 28800
Encapsulation: Tunnel
Perfect Forward Secrey (PFS): DH1

Konfiguration der Zywall 2:

Active: hakerl gesetzt
Keep Alive: kein hakerl
NAT Traversal: kein hakerl
IPsec Keying Mode: IKE
Protocol Number: 0
Enable Replay Detection: No
Local Address: 192.168.1.1
Local Port Start: 0
Local Port End: 0
My IP Address: öffentliche IP Adresse der lokalen zywall (auch mit 0.0.0.0) versucht
Local ID Type: IP
Local Content: gleicher Eintrag wie bei My IP Address
Secure Gateway Address: öffentliche IP von zywall 10
Peer ID Type: IP
Peer Content: gleicher Eintrag wie bei Secure Gateway Address

IKE Phase1:
Negotiation Mode: Main
Encryption Algorithm: DES
Authentiation Algorithm: MD5
SA Life Time: 28800
Key Group: DH1
Pre Shared Key: 20 stellig bestehend aus Zahlen und Buchstaben, ident mit zywall10

IKE Phase2:
Encapsulation Mode: Tunnel
IPsec Protocol: ESP
Encryption Algortihm: 3DES
Authentication Algorithm: SHA1
SA Life Time: 28800
Perfect Forward Secrecy (PFS): DH1

Firmware bei Zywall2 ist aktuell, bei zywall10 V3.50.

Woran kann es noch scheitern?:heul:

Kann mir keiner helfen? :heul:

sagen die logs DIR nichts oder werden überhaupt keine generiert? Deine einstellungen sind ok, hab selber ein paar zywalls mit den selben einstellungen am laufen. Kanns sein das du die relevanten ports in der firewall blockst?

@LouCypher

Es werden keine LOGs generiert. Habe nur IPSEC_TUNNEL(ESP:0) Port offen. Ist das zuwenig?

glaub du brauchst noch auf "wan to wan / zywall" IKE auf UDP 500 . Ich lasse auf der ip adresse vom anderen vpn gateway alles durch daher kann ichs dir nicht genau sagen. Deaktiver mal auf beiden zywall testweise die firewall dann weisst wenigstens ob deine vpn oder deine firewall einstellungen schuld sind.

wan to wan / zywall" IKE auf UDP 500 war schon eingestellt. Hab nun Firewall deaktiviert und es funktioniert nicht, auch keine LOGS werden generiert. Was ich nicht kapiere konnte ich auf den zywall2, wo der Firewall deaktiviert war nicht anpingen, jedoch telnet xxx.xxx.xxx.xxx 3389 konnte ich hinein.

:confused:

in den log settings musst angeben was er loggen soll. Würd mal auf der zywall 10 ein firmware upgrade machen, bei der 3.50'er gabs irgendwelche probleme mit dem vpn zeug.

Ja, bei zywall 2 ist eingestellt, dass er ipsec auch loggen soll, zywall10 loggt alles, trotzdem kein einziges Log von ipsec oder vpn…. Ich werde bei zywall10 mal ein update machen. Ist das Richtig, dass ich mittels Refresh ein VPN Verbindung aufbaue, da wenn ich auf Refresh klicke flackert die Seite und nichts geschieht...? Leider gibt es im google sehr wenige Dokumentationen über Zyxel Zywalls ….

nein bei der zywall kannst das vpn nicht manuel aufbauen, erst wenn ein client auf den vpn bereich zugreift wird das vpn automatisch aufgebaut.

Muss ich also bei einem Rechner hinter den zywall ein VPN Client im Windows installieren? Welche Möglichkeiten gibt es noch? :confused:

Die zywalls bauen miteinander ein vpn auf, die pcs brauchen gar nichts.

CODE]erst wenn ein client auf den vpn bereich zugreift wird das vpn automatisch aufgebaut.[/code]

ich kapier nicht ganz, ich habe auf beiden zywalls ein vpn Zertifikat erstellt.... was versteht man in diesen Bereich unter client? Ich dachte die VPN Software?

hi, nosterer,

bin mit einem ähnlichen vorhaben - zywall 1 mit dyn. ip zu zywall 10 mit fixer ip - gescheitert.

eine große hilfe war mir allerdings http://www2.studerus.ch/knowledgebase.cfm. hier findest du gute anleitungen. such einfach nach vpn bzw. zywall2/zywall 10.

ich habe unter anderem eine anleitung für eine test-vpn zu studerus gefunden, die sogar funktioniert hat.

vielleicht hilfts dir ja weiter.

lg und viel geduld bei deinem vorhaben ;)

@LouCypher Ich vermute, dass du Client bei einen zywall meinst und server bei einem anderen zywall. Stimmt´s? Eigentlich kann man bei meiner konfigruation, da beide zywalls mit staatischer ip adressen konfiguriert sind nicht als server und client unterscheiden....oder sagen wir zywakll 10 ist a server und zywall 2 ist a client.

@ dreamer Ich habe schon einige anleitungen von Studeruns Telecom gelesen, eigentlich habe ich auf beiden zywalls eine öffentliche staatische IP Adresse, hier hänge ich eine Anleitung an, die ich jetzt nicht mehr im Internet finde. Das habe ich schon versucht und funktioniert auch nicht... Leider hat nur Studerus Telecom Dokumentationen im google zur verfügung.

mit client hab ich eingentlich einen der pcs dahinter gemeintund dass das vpn vom zyxel erst dann aufgebaut wird wenn ein pc dahinter auf das subnetz des vpn partners zugreift. Die zyxels sind genau genommen vpn gateways also gleichzeitig client und server.

Ok, jetzt kapier ich ´s! :) Also, die beiden Regeln die ich erstellt habe müssten passen, beide sind aktiv.

Wie du mir erklärt hast könnte ich über vpn ins Remote Netz pingen? So sehe ich ob es funktioniert, leider kam von beiden Seiten keine Antwort.

Jetzt sagen die Logs bei zywall 10 was, nachdem ich bei zywall 2 den Haken bei Allow Through IPSec Tunnel herausgenommen habe.

Die Logs: Send Main Mode request to <IP Adresse der zywall 2>
Send:<SA>
!! IKE Negotiation is in process
!! IKE Paket Retransmit

Bei zywall 2 keine Logs von IKE oder VPN. Funktionier nicht ...

Jetzt sieht es besser aus :) !

Habe bei zywall 2 FW update gemacht und das hat geholfen, obwohl ich von Version 3.6 auf 3.62 geupdatet habe.

Jetzt sehe ich auf beiden Seiten im SA dass, sich die Verbindung aufgebaut hat. Wenn ich ins Gegennetz pinge, bekomme ich keine Antwort. Manchmal bekomme ich Antwort mit der IP Adresse von IPS Zielhost nicht erreichbar.

Kann mir jemand gute Tips geben, wie ich einfach die vpn Verbindung testen kann?

ich hatte auch schon im Explorerleiste //<servername> eingegeben, obwohl Allow Through IPSec Tunnel aktiviert ist?

noch immer nicht soweit...
 

VPN funktioniert eigentlich noch immer nicht richtig. Bitte helft mir, da ich schon an vielen versuchen gescheitert bin, fällt mir kaum was ein... Ich zeige die Logs und ihr gebt mir bitte Tips an was es liegen könnte....

die Logs von Zywall2....

die Logs von Zywall10....

schick mal einen screenshot von den advanced settings beider zywalls (ohne key halt ;) )

Welche IP kann ich bei Zywall2 bei DNS Server for VPN (IP Sec) eingeben?

in den phase 2 einstellungen hast einmal DH1 und einmal NONE bei PFS, beides auf DH1 ausserdem hast auf der ersten seite 3des ausgewählt und in den advanced settings unter phase2 nur DES. Bei phase one passt DES die pahse 1 einstellungen sind ok.

Hallo LouCypher!

Danke, dass du mir geholfen hast! Die Fehler, die du mir genannt hast, waren meine Schlampigkeitsfehler, jedoch wurde ich immer durchs immer wieder herumprobieren unkonzentrierter. Als ich gestern noch die Fehler, die du mir genannt hast ausgebessert hatte, funktionierte es noch nicht.

Ich habe heute die Regeln auf beide Seiten noch mal erstellt (die alten Regeln sind nicht aktiv), die einzige Änderung ist, dass ich nur DES versuche.

Hier nochmal genau die Konfigruation:

Zywall2:

Key: IKE
Negotiation Mode: Main
Local Client to site: 192.168.1.20 (IP hinter Zywall2)
Remote Starting IP 10.45.94.11 (IP hinter Zywall10)
DNS Server (for IPSec VPN): 0.0.0.0
Authetiation Methode: PreShared Key: (key besteht aus 20 Zeichen mit Gross und Kleinbuchstaben sowie Zahlen)
My IP Adress: Satische IP der Zywall2
ESP: aktiviert
DES
SHA1

Zywall10:

Key: IKE
Negotiation Mode: Main
Single Adress: 10.45.94.11 (IP hinter Zywall 10)
Remote : 192.168.1.20 (ip hinter Zywall2)
My IP Adress: Statische IP der Zywall10
Content Secure Gateway Adress: Statische IP der zywall0
ESP: aktiv
DES
SHA1

Phase1 (bei beiden Zywalls gleich)

Main
DES
MD5
28800
DH1

Phase2 (bei beiden Zywalls gleich)

ESP
DES
SHA1
28800
Tunnel
DH1

Bei Local ID Type habe ich IP gewählt. Bei My IP Adress habe ich auf beiden Seiten auch mit 0.0.0.0 versucht.
Die VPN Verbindung habe ich durchs Pingen, an gegenüberliegende Clients versucht, die IP, die im VPN Rule eingetragen sind wurden verwendet, dadurch bekomme ich auch die Logs...
Jetzt habe ich wieder Screenhot von den aktuellen Logs gemacht ....

Local ID Type: IP
Content: LEER LASSEN
My IP Address: 0.0.0.0
Peer IP Type IP
Content: IP vom VPN Partner NICHT DIE EIGENE
Secure Gateway Address: IP vom VPN Partner NICHT DIE EIGENE
Encapsulation Mode: Tunnel



Wenns dann nicht geht fällt mir auch nichts mehr ein. Was der VPN DNS eintrag bedeutet weis ich nicht, den gibts bei mir nicht.

Leider funktioniert es nicht. Ich habe nur die local IP (My IP) entfernt und bei Local IP den Content IP leer gelassen. Alles andere war schon....


Trotzdem Danke, dass du mir geholfen hast! :)

Ich werde demnächst bei einem Bekannten probieren, der auch an Kabelinternet hängt, vielleicht liegt es doch an ADSL....

bitte, schreib wenn du eine lösung gefunden hast.

natürlich, kann aber auch Monate dauern, hoffentlich nicht .....

Wenn dir was einfällt, schreib mir bitte ....

Fehler schon entdeckt!
 

Hallo LouCypher!

Ich habe es nun schon geschafft! Danke dass du mir geholfen hast!

Der Fehler war, dass die IKE Port nicht ganz offen war, man muss bei WAN/LAN und WAN/WAN/Zywall den Port 500 offen haben. Das ist vermutlich noch zuwenig, da man die Ports auch auf den Router weiterleiten muss...

Kannst du problemlos vom Remote Netz im Explorer die Rechner mit z. B. \\server aufrufen, obwohl die option Allow Through IPSec Tunnel aktiviert ist?

Naja, i muss es mir halt noch ganau ansehen... Wahrscheinlich muss ich mich an der Domäne anmelden...

gratuliere :D

\\server ist kein problem, nur das browsen über die netzwerkumgebung, ich seh die domäne zwar aber kann nicht zugreifen.