WCM Forum - ipSec Tunnelaufbau plötzlich nicht mehr möglich!

WCM Forum (http://www.wcm.at/forum/index.php)

- Netzwerke (http://www.wcm.at/forum/forumdisplay.php?f=32)

- - ipSec Tunnelaufbau plötzlich nicht mehr möglich! (http://www.wcm.at/forum/showthread.php?t=199536)

ipSec Tunnelaufbau plötzlich nicht mehr möglich!

Hallo! Bisher hat sich meine Kollegin aus dem Büro in Wien (UTA, zuvor Chello)zum Server in Salzburg (Inode) per ipSec-Client verbunden. Hat wunderbar geklappt und plötzlich, von einem Tag auf den anderen ging`s nicht mehr, der Tunnel konnte nicht mehr aufgebaut werden, übliche Fehlermeldung, dass man checken soll, ob der Empfänger online ist etc. Es geht aber interessanterweise nur von diesem Standort aus nicht mehr, von meinem Heimbüro (Aon)geht es nach wie vor ohne Probleme. Da der PC sowieso schon altersschwach war, hab ich vorige Woche einen neuen PC installiert, Software drauf, genau dasselbe, kein Tunnel möglich. Bei Inode sagen sie, es wurde nichts verändert an der Bintec-Firewall (am Server in Sbg.)usw., bei UTA wurde lt. Support-Auskunft ebenfalls nichts geändert, müßte gehen.
Haben den PC auch gescannt mit McAfee Antivirus, Spybot Search & destroy, usw. Hab auch probiert, den McAfee abzuschalten, nichts geändert.
Hat noch wer eine Idee, an was es liegen könnte?
Danke für Infos.
Beste Grüße Tolotos :confused:

liegt imho auf der uta seite, was anderes bleibt ja sonst nicht übrig, ausser du verwendest einen router. Check mal die performance des uta zugangs, vielleicht eine leitungsstörung die den tunnelaufbau verhindert. DSL modem wirst ja schon neu gestartet haben.

Es wird ein Siemens E 110 Router/modem verwendet. Neu gestartet wurde es, war gleich der erste Gedanke. Lt. UTA kein Problem an der Leitung und es hat ja auch geklappt die erste Zeit. Internetzugang ist kein Problem, geht einwandfrei und auch schnell genug.

windows interne firewall?

Windows Firewall komplett abgeschaltet, schon als die Schwierigkeiten begonnen haben.

dann würde ich auf den siemens tippen, hast ein normales dsl modem zum testen?

Die Siemens Santis / E110 Router der UTA sperren unter Umständen auch ausgehende UDP Verbindungen die für IPsec Verbindungen notwenig sind, wenn die router interne Firewall aktiviert wird bzw auf high security gestellt wird.

Mein Santis 20 Router z.B. hat folgende Regeln, der E110 ist moderner aber ähnlich.

Code:

Security Level          Low          Medium          High

Service         Port         In         Out         In         Out         In         Out

HTTP(tcp)         80         Yes         Yes         No         Yes         No         Yes

DNS(udp)         53         Yes         Yes         No         Yes         No         Yes

FTP(tcp)         21         Yes         Yes         No         Yes         No         Yes

Telnet(tcp)         23         Yes         Yes         No         Yes         No         Yes

ICMP         N/A         Yes         Yes         Yes         Yes         No         Yes

SMTP(tcp)         25         Yes         Yes         No         Yes         No         Yes

POP3(tcp)         110         Yes         Yes         No         Yes         No         Yes

Lotus Note(tcp/udp)         1352         YES         Yes         No         Yes         No         YES

HTTP-SSL(tcp)         443         Yes         Yes         No         Yes         No         Yes

News-NNTP(tcp)         119         Yes         Yes         No         Yes         No         No

Internet Locator Server(tcp)         389         Yes         Yes         Yes         Yes         No         No

User Location Server(tcp)         522         Yes         Yes         Yes         Yes         No         No

T.120(tcp)         1503         Yes         Yes         Yes         Yes         No         No

H.323 call setup(tcp)         1720         Yes         Yes         Yes         Yes         No         No

Audio call control(tcp)         1731         Yes         Yes         Yes         Yes         No         No

MSN Messager File Transfer(tcp)         6891-6900         Yes         Yes         Yes         Yes         No         No

Remote Messenger Remote Assistance(tcp)         3389         Yes         Yes         Yes         Yes         No         No

MSN Messenger Messaging(tcp)         1863         Yes         Yes         Yes         Yes         No         No

MSN Messenger Voice Comm(tcp/udp)         6901         Yes         Yes         Yes         Yes         No         No

Yahoo! Messenger Webcam(tcp)         5100         Yes         Yes         Yes         Yes         No         No

mIRC Client(tcp)         6667         No         Yes         No         Yes         No         No

CuSeeMe(tcp)         7648         No         Yes         No         Yes         No         No

RealAudio/Video(tcp/udp)         554         Yes         Yes         No         No         No         No

RealAudio/Video(tcp)         7070-7071         Yes         Yes         No         No         No         No

RealAudio/Video(udp)         6770-7170         Yes         Yes         No         No         No         No

MS Media Player(tcp/udp)         1755         Yes         Yes         No         No         No         No

UDP         10000-65535         No         Yes         No         Yes         No         No

PPTP(tcp/udp)         1723         Yes         Yes         Yes         Yes         No         No

GRE(47)         N/A         Yes         Yes         Yes         Yes         No         No

ESP(50)         N/A         Yes         Yes         Yes         Yes         No         No

AH(51)         N/A         Yes         Yes         Yes         Yes         No         No

IKE(udp)         500         Yes         Yes         Yes         Yes         No         No

ICQ(tcp)         5190         Yes         Yes         Yes         Yes         No         No

Würde im Router prinzipiell per Regel alle ausgehenden TCP/UDP Verbindungen zulassen um solche Probleme zu vermeiden. Verwende selbst seit Jahren IPsec über UTA und Siemens Router
Santis 20/E110 problemlos.

Das mit den Regeln liest sich gut, werde ich probieren. Mein Problem derzeit ist nur, dass meine Kollegin da absolut nix machen kann, das heißt, ich sollte per Remote Desktop ihren PC fernsteuern oder geht das auch anders, ich kenne ja die fixe IP sowie die IP, mit der ich den Siemens ansprechen kann, kann ich damit was anfangen?
Ich sitze ja in Salzburg und sie in Wien, ist immer ziemlich aufwendig, wenn da was zu ändern ist.

Wenn die Firewall am Router aktiviert ist, kommt man auch mit RDP nicht durch, wenn nicht aktiviert, sollte auch IPSec gehen. Allerdings sollte es nicht am Router liegen, wenn nichts an der Konfiguration geändert wurde! Router schon mal neu gestartet?

muss man beim siemens einstellungen nicht speichern damit sie einen reboot überstehen?

Bei vielen routern kann man einstellungen aktivieren, die dann auch sofort aktiv sind aber einen reboot erst überstehen wenn sie gespeichert sind.

Somit könnte es doch sein das die einstellungen die fürs vpn notwendig sind nicht gespeichert wurden und das teil hat so lange funktioniert bis es mal neu gestartet wurde und das wars dann.

hmmm.... Der Router wurde vom UTA-Mann aufgestellt/konfiguriert, danach ging (die erste Zeit) der Tunnel per ipSec, als er nicht mehr funktionierte, wurde der Router neu gestartet, verändert wurde ja eigentlich nichts, also dürfte es eigentlich auch nicht am Router liegen?

naja der konfiguriert das teil vergisst beim letzten mal zu speichern und das ding läuft tage, wochen, monate durch. Irgendwann gibts ein reset aus welchen grund auch immer (zb. stromausfall) und die letzten änderungen sind weg. Setzt natürlich voraus das das gerät diese funktion überhaupt hat, habs bisher nur bei bintec gesehen.

Theoretisch ist das so möglich.

Zitat:

Committing Changes to Permanent Storage
Whenever you change system settings, the changes are initially placed in temporary storage (called random access memory or RAM). Your changes are made effective when you submit them, but will be lost if the device is reset or turned off.
Follow these steps to commit changes to permanent storage.
1. Select Admin > Commit & Reboot. The Commit & Reboot page displays.
2. Click [Save]. (Disregard the selection in the Reboot Mode drop-down list; it does not affect the commit process.) The changes are saved to permanent storage.
When committing your changes, note that:
• If you change the LAN IP address information, you must commit the changes and then reboot the system to activate them.
• All other changes are activated when you commit them (no reboot is needed).

Handbuch für den E110 gibt es hier.

http://bilder.utanet.at/UTA/supportf...0_E%20_110.pdf

Hab jetzt nochmals mit mit der Business-Hotline von Inode Kontakt aufgenommen, es wurde genau getestet, was bei der versuchten Verbindungsherstellung per ipSec passiert, es kommt keine Anfrage beim Bintec-Router in der Zentrale in Sbg. an, also muß es definitiv am Siemens-Router des Zuganges in Wien liegen. Nun hab ich aber das Problem, dass ich per Remote-Dektop nicht zugreifen kann, das sperrt er anscheinend auch und meine Kollegin in Wien kann das am Router nicht freigeben. Hat jemand noch eine Idee, wie ich mit der bekannten fixen IP des Routers u. der bekannten IP des internen Netzes trotzdem den PC fernsteuern könnte, dann könnte ich auch auf den Router zugreifen und die Einstellungen kontrollieren ohne extra nach Wien zu fahren. Gruss Tolotos

... da wist wohl hinfahren müssen...

Ja, das glaub ich auch! Jedenfalls danke für Eure Beiträge!:-)

du installierst bei dir einen ssh server sie baut mittels putty einen ssh tunnel auf und dannach verwendest den listenmode von vnc um eine remotedesktop sitzung zu starten. Es ist durchaus möglich dies via telefonanleitung einem cooperationsbereiten dau zu erklären, habs selber schon mal gemacht um durch die firewall eines der größten spitäler zu kommen.

Damit kommst durch fast jede firewall, und schneller als mit der hin und rückfahrt bist damit allemal.

Hier mal eine howto die für dieses unterfangen ausreichen sollte:
http://pigtail.net/LRP/printsrv/cygwin-sshd.html

Aha, cooler Tip - danke!

Sayonara