/ Forside / Teknologi / Netværk / TCP/IP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
TCP/IP
#NavnPoint
Per.Frede.. 4668
BjarneD 4017
severino 2804
pallebhan.. 1680
EXTERMINA.. 1525
xou 1455
strarup 1430
Manse9933 1419
o.v.n. 1400
10  Fijala 1204
IPSec VPN virker ikke med ADSL router
Fra : Jesper Frank Nemholt


Dato : 18-12-03 20:42

Hej!

Har et mindre problem med en Efficient Networks SpeedStream 5600 ADSL
router.

Forbinder med Cisco VPN Client til en VPN server. Opsaetningen er laast, med
"Allow IPSec over TCP (NAT/PAT)" slaaet til.
Fra en tilfaeldig RAS forbindelser til internet virker dette OK.

Fra en maskine bag omtalte ADSL router gaar det galt. Jeg har proevet at
forwarde 500/udp, men det har ingen effekt, og burde saa vidt jeg kan se paa
Eficient's support side heller ikke vaere noedvendigt da routeren skulle
supportere IPSec passthrough (
http://kb.efficient.com/display/1/kb/article.asp?aid=22238&s= ).

10.0.3.27 er den lokale maskine. 10.0.3.1 er ADSL routeren.
Her er tcpdump :

20:20:02.071207 10.0.3.27.isakmp > 196.3.50.41.isakmp: isakmp: phase 1 I
agg: [|sa]
20:20:02.375876 196.3.50.41.isakmp > 10.0.3.27.isakmp: isakmp: phase 1 R
agg: [|sa]
20:20:02.384946 10.0.3.27.4500 > 196.3.50.41.4500: udp 136
20:20:02.505224 196.3.50.41.4500 > 10.0.3.27.4500: udp 88
20:20:02.505991 10.0.3.27.4500 > 196.3.50.41.4500: udp 88
20:20:02.516757 10.0.3.27.isakmp > rbavg003.bas.roche.com.isakmp: isakmp:
phase 1 I agg: [|sa]
20:20:02.517510 10.0.3.1 > 10.0.3.27: icmp: host rbavg003.bas.roche.com
unreachable
20:20:07.525535 10.0.3.27.isakmp > 194.120.88.100.isakmp: isakmp: phase 1 I
agg: [|sa]
20:20:07.526270 10.0.3.1 > 10.0.3.27: icmp: host 194.120.88.100 unreachable

Jeg er ikke lige IPSec eller netvaerks-guru, saa er der nogen der har en idé
til hvad der gaar galt ?

/Jesper



 
 
Steen Suder, privat (18-12-2003)
Kommentar
Fra : Steen Suder, privat


Dato : 18-12-03 21:41

Jesper Frank Nemholt wrote:
> Hej!
>
> Har et mindre problem med en Efficient Networks SpeedStream 5600 ADSL
> router.
>
> Forbinder med Cisco VPN Client til en VPN server. Opsaetningen er laast, med
> "Allow IPSec over TCP (NAT/PAT)" slaaet til.
> Fra en tilfaeldig RAS forbindelser til internet virker dette OK.
>
> Fra en maskine bag omtalte ADSL router gaar det galt. Jeg har proevet at
> forwarde 500/udp, men det har ingen effekt, og burde saa vidt jeg kan se paa
> Eficient's support side heller ikke vaere noedvendigt da routeren skulle
> supportere IPSec passthrough (
> http://kb.efficient.com/display/1/kb/article.asp?aid=22238&s= ).
>
> 10.0.3.27 er den lokale maskine. 10.0.3.1 er ADSL routeren.
> Her er tcpdump :
>
> 20:20:02.071207 10.0.3.27.isakmp > 196.3.50.41.isakmp: isakmp: phase 1 I
> agg: [|sa]
> 20:20:02.375876 196.3.50.41.isakmp > 10.0.3.27.isakmp: isakmp: phase 1 R
> agg: [|sa]
> 20:20:02.384946 10.0.3.27.4500 > 196.3.50.41.4500: udp 136
> 20:20:02.505224 196.3.50.41.4500 > 10.0.3.27.4500: udp 88
> 20:20:02.505991 10.0.3.27.4500 > 196.3.50.41.4500: udp 88
> 20:20:02.516757 10.0.3.27.isakmp > rbavg003.bas.roche.com.isakmp: isakmp:
> phase 1 I agg: [|sa]
> 20:20:02.517510 10.0.3.1 > 10.0.3.27: icmp: host rbavg003.bas.roche.com
> unreachable
> 20:20:07.525535 10.0.3.27.isakmp > 194.120.88.100.isakmp: isakmp: phase 1 I
> agg: [|sa]
> 20:20:07.526270 10.0.3.1 > 10.0.3.27: icmp: host 194.120.88.100 unreachable
>
> Jeg er ikke lige IPSec eller netvaerks-guru, saa er der nogen der har en idé
> til hvad der gaar galt ?

Sådan helt nede på jorden, så hæfter jeg mig ved at at der er flere
hosts der er "unreachable". Du skal kunne nå din remote VPN-host på alm.
vis før VPN vil virke.

--
Mvh. / Best regards,
Steen Suder      <http://www.suder.dk/>
ICQ UIN         4133803


Jesper Frank Nemholt (19-12-2003)
Kommentar
Fra : Jesper Frank Nemholt


Dato : 19-12-03 00:37


"Steen Suder, privat" <sfs_news_spam@suder.dk> wrote in message
news:3fe210c0$0$268$bc7fd3c@news.sonofon.dk...
> Jesper Frank Nemholt wrote:
> > Hej!
> >
[clip]
>
> Sådan helt nede på jorden, så hæfter jeg mig ved at at der er flere
> hosts der er "unreachable". Du skal kunne nå din remote VPN-host på alm.
> vis før VPN vil virke.

De kan godt naas, ihvertfald med ping.
ICMP fejlene er muligvis relateret til at routeren ikke kan finde ud af at
sende ICMP tilbage ved f.eks. traceroute naar det sker bag ved NAT.

/Jesper



Jesper Frank Nemholt (19-12-2003)
Kommentar
Fra : Jesper Frank Nemholt


Dato : 19-12-03 18:23

"Jesper Frank Nemholt" <jfn@dassic.com> wrote in message
news:brtdqa$cea$1@sunsite.dk...
>
> "Steen Suder, privat" <sfs_news_spam@suder.dk> wrote in message
> news:3fe210c0$0$268$bc7fd3c@news.sonofon.dk...
> > Jesper Frank Nemholt wrote:
> > > Hej!
> > >
> [clip]
> >
> > Sådan helt nede på jorden, så hæfter jeg mig ved at at der er flere
> > hosts der er "unreachable". Du skal kunne nå din remote VPN-host på alm.
> > vis før VPN vil virke.
>
> De kan godt naas, ihvertfald med ping.
> ICMP fejlene er muligvis relateret til at routeren ikke kan finde ud af at
> sende ICMP tilbage ved f.eks. traceroute naar det sker bag ved NAT.

Naa jeg fik de loest. Det ser ud til at det var omdirrigeringen paa access
punktet der fik routeren til at misforstaa et eller andet.
Jeg tog istedet en specifik access IP der ikke lavede load-balancing og saa
virkede det, omend kun med port 500/udp forwardet til klienten.

/Jesper



Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408849
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste