cc-frauenstein
Goto Top

IPCOP in VirtualBox - VPN over IPSEC to Fritzbox 7490

Hallo zusammen

Ich versuche seit Tagen ein VPN tunnel aufzubauen was mach ich falsch ?


Rechenzentrum:
Rootserver und VirtualBox Host = X.X.X.149
VirtualBox(IPCOP) = X.X.X.10
Routen sind Okay alles anpingbar auch die aussenfiliale.


Filiale:
Fritzbox 7490


hier mal das Log aus der /var/log/message:
NVNVPN01" #1: max number of retransmissions (2) reached STATE_MAIN_I3. Possible authentication failure: no acceptable response to our first encrypted message
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: "NVNVPN01" #1: starting keying attempt 2 of an unlimited number
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: "NVNVPN01" #2: initiating Main Mode to replace #1
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: "NVNVPN01" #2: received Vendor ID payload [XAUTH]
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: "NVNVPN01" #2: received Vendor ID payload [Dead Peer Detection]
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: "NVNVPN01" #2: received Vendor ID payload [RFC 3947] method set to=115
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: "NVNVPN01" #2: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03] meth=108, but already using method 115
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: "NVNVPN01" #2: ignoring unknown Vendor ID payload [a2226fc364500f5634ff77db3b74f41b]
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: "NVNVPN01" #2: enabling possible NAT-traversal with method RFC 3947 (NAT-Traversal)
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: "NVNVPN01" #2: transition from state STATE_MAIN_I1 to state STATE_MAIN_I2
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: "NVNVPN01" #2: STATE_MAIN_I2: sent MI2, expecting MR2
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: "NVNVPN01" #2: NAT-Traversal: Result using draft-ietf-ipsec-nat-t-ike (MacOS X): no NAT detected
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: "NVNVPN01" #2: transition from state STATE_MAIN_I2 to state STATE_MAIN_I3
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: "NVNVPN01" #2: STATE_MAIN_I3: sent MI3, expecting MR3
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: "NVNVPN01" #2: next payload type of ISAKMP Hash Payload has an unknown value: 126
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: "NVNVPN01" #2: malformed payload in packet
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: | payload malformed after IV
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: | fa 81 52 07 c4 15 0b 2a fe 7d a8 fe e8 b1 31 e0
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: "NVNVPN01" #2: sending notification PAYLOAD_MALFORMED to 217.224.7.231:500

Content-Key: 293903

Url: https://administrator.de/contentid/293903

Ausgedruckt am: 28.03.2024 um 19:03 Uhr

Mitglied: 119944
119944 22.01.2016 um 17:31:06 Uhr
Goto Top
Moin,

die Konfigurationsparameter sind auf beiden Seiten abgesehen von den Subnetzen gleich? Was steht im Log der Fritzbox?

Mal nebenbei solltest du dir für deine Firewall eine aktueller Platform (z.B. PfSense)suchen...

Letztes Update vor einem Jahr klingt nicht gerade nach einem aktuellen System, da vorallem im Strongswan und OpenSSL doch immer mal Sicherheitslücken stecken. Achja Pluto ist auch seit ca. 3,5 Jahren nichtmal mehr im Strongswan Code enthalten...
https://www.strongswan.org/blog/2012/06/20/bye-bye-pluto.html

Rootserver und VirtualBox Host = X.X.X.149
Warum man VirtualBox verwendet werde ich auch nie verstehen, wenn es doch bessere Alternativen gibt...
Ist doch vermutlich ein Linux Server oder? Schonmal KVM angeschaut? Oder unter Windows Hyper-V?

VG
Val
Mitglied: aqui
aqui 22.01.2016 aktualisiert um 19:06:25 Uhr
Goto Top
Ansonsten findest du grundlegende Infos zum Thema IPsec hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software

Knackpunkt ist "#2: malformed payload in packet" Damit stirbt deine Phase 1 bei IPsec ! Kann das sein das du ein MTU oder MSS Problem hast ?
Oder kann das sein das du mit einem L2TP Client auf native IPsec gehst oder umgekehrt ?
Das geht natürlich dann in die Hose, klar ! Die FritzBox kann nur native IPsec !

IPCop ist so oder so ein Krampf von der Konfig her. Kopier dir eine pfSense in die VM und mach das damit. Im oben genannten Tutorial findest du eine lauffähige Konfig von pfSense zu FritzBox. Die rennt fehlerlos.
Mitglied: cc-frauenstein
cc-frauenstein 23.01.2016 um 12:34:39 Uhr
Goto Top
JA die kosten alle Geld ich will kosten einsparen nur das mit der Komprimierung kann in Zukunft weh tun face-sad
Es gibt ja auch /phpvirtualbox und ich habe noch gute scripts zu matuostart die ich damls geschrieben habe.

Oka ich werde mir PFSense anschauen danke für den Tip face-smile Das gibt wieder Hoffnung face-smile
Mitglied: aqui
Lösung aqui 23.01.2016, aktualisiert am 31.01.2016 um 16:00:39 Uhr
Goto Top
JA die kosten alle Geld
Was kostet Geld ?? Ist jetzt unverständlich ...??
ich will kosten einsparen nur das mit der Komprimierung kann in Zukunft weh tun
Bahnhof ?? Was sollen uns diese kryptischen Sätze oder Gedanken sagen ????
Das gibt wieder Hoffnung
Und funktioniert sogar sicher ! face-wink
Mitglied: cc-frauenstein
cc-frauenstein 31.01.2016 um 16:12:17 Uhr
Goto Top
VPN Gateways und Firewalls ;)

So pfSense geht ab face-smile sofortiger VPN aufbau alles top Danke face-smile


Weis jemand Wie man ein AD DC an die pfSense hängt ?
pfSens + TinyDNS Server < ----- Debian + Samba 4 (Host anfragen functionieren nicht)


Error:
/usr/sbin/samba_dnsupdate: Traceback (most recent call last):
/usr/sbin/samba_dnsupdate: File "/usr/sbin/samba_dnsupdate", line 612, in <module>
/usr/sbin/samba_dnsupdate: get_credentials(lp)
/usr/sbin/samba_dnsupdate: File "/usr/sbin/samba_dnsupdate", line 125, in get_credentials
/usr/sbin/samba_dnsupdate: raise e
/usr/sbin/samba_dnsupdate: RuntimeError: kinit for NVN-CC-UBS$@NVN-GROUP.DE failed (Cannot contact any KDC for requested realm)
/usr/sbin/samba_dnsupdate:


Einstellungen:
pfSense:
DNS Forwoarder active (Require domain= on, )
hostoverrides->nvn-cc-ubs nvn-group.de 192.168.3.11
Domäinoverrides _> nvn-group.de 127.0.0.1


TinyDNS Server auch ()
Records =:
NVN-GROUP.DE SOA 192.168.3.11
NVN-GROUP.DE SOA 8.8.8.8

IpAdress = 127.0.0.1
Responseip = 192.168.3

Netwerl = LAN

ZoneTransfers:
192.168.3.11 NVN-CC-UBS


Debian:
NVN-CC-UBS:/home/afrauenstein# cat /etc/hosts
127.0.0.1 localhost
127.0.0.1 NVN-CC-UBS.NVN-GROUP.DE NVN-CC-UBS
127.0.0.1 NVN-GROUP.DE

  1. The following lines are desirable for IPv6 capable hosts
::1 localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters


NVN-CC-UBS:/home/afrauenstein# cat /etc/resolv.conf
domain NVN-GROUP.DE
nameserver 192.168.3.1
search NVN-GROUP.DE


NVN-CC-UBS:/home/afrauenstein# host -l NVN-GROUP.DE
Host NVN-GROUP.DE not found: 9(NOTAUTH)
; Transfer failed.