birdyb
Jun 16, 2020, updated at 11:31:34 (UTC)
view1790
view5
0
Goto Top

Shrew: Verbindung zu Checkpoint mit Zertifikat

GermansolvedQuestionNetworking BasicsNetworks
Hallo zusammen,

ich möchte mich gerne per shrew mit einem IPSec-VPN verbinden, welches von einer Checkpoint terminiert wird. Dazu habe ich eine .p12-Datei nebst zugehörigem Passwort erhalten und die IP-Adresse des Endpunktes. Mit dem Checkpoint-Client kann ich nur mit diesen Informationen die Verbindung auch einrichten. Bei Shrew gelingt mir dies nicht. Ich weiß ehrlichgesagt auch nicht, welche Auth-Methode hier die richtige ist. Alles was noch ein X-Auth hat fällt ja weg, da ich keinen zusätzlichen Benutzernamen/Passwort habe und bei "Mutual RSA" möchte Shrew gerne drei Zertifikatsdateien haben.

Was ich schon probiert habe :
Bei Mutual RSA in allen Feldern die .p12 angeben. Das führt zu folgender Meldung:
config loaded for site '<IP-Adresse ersetzt>'  
attached to key daemon ...
peer configured
iskamp proposal configured
esp proposal configured
client configured
local id configured
remote id configured
server cert configured
client cert configured
client key configured
bringing up tunnel ...
negotiation timout occurred
tunnel disabled
detached from key daemon

Also scheint irgendetwas noch zu fehlen. Ich habe leider bisher nur sehr wenig Berührungspunkte mit IPSec gehabt und wäre für eure Unterstützung sehr dankbar.

Viele Grüße
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 579509

Url: https://administrator.de/contentid/579509

Printed on: April 23, 2024 at 14:04 o'clock

5 Comments
Latest comment
Goto Top
Member: goscho
Solution goscho Jun 16, 2020 updated at 12:15:19 (UTC)
Goto Top
Mahlzeit,

mit den Shrew-Client installiert sich das Trace Utility.
Starte dieses vor dem Verbindungsaufbau und dann kannst du sehen, was schief läuft.

Schau, dass die IKE und IPSEC Einstellungen (Phase 1 und Phase 2) im Shrew-Client passend zu den Servereinstellungen konfiguriert wurden.

Edit:

Habe nochmal für dich gegoogelt und folgende Anleitung gefunden:

Shrew Soft - Howto Checkpoint

Besonders der Teil mit dem umwandeln des Zertifikats sollte für dich relevant sein.
Member: BirdyB
BirdyB Jun 16, 2020 updated at 12:40:17 (UTC)
Goto Top
Mahlzeit,

vielen Dank für den Hinweis. Jetzt bin ich schonmal ein kleines Stück weiter. Folgende Meldungen kommen mir da suspekt vor:
20/06/16 14:20:52 !! : peer violates RFC, transform number mismatch ( 1 != 7 )
received peer INVALID-ID-INFORMATION notification

Irgendwie kann ich damit nicht besonders viel anfangen...

EDIT:
Ich habe das Logfile nochmal genauer durchgearbeitet und ein paar nicht passende Einstellungen gefunden. Diese habe ich dann nochmal abgeglichen.
Jetzt scheint es irgendwo hier Probleme zu geben:
20/06/16 14:37:11 ii : received peer unknown notification
...
20/06/16 14:37:16 -> : resend 1 phase1 packet(s) [0/2]
...
20/06/16 14:37:31 ii : resend limit exceeded for phase1 exchange
Member: goscho
Solution goscho Jun 16, 2020 at 15:17:44 (UTC)
Goto Top
Hast du das Zertifikat so umgewandelt, wie es im Link steht?

Hast du die Einstellungen im Shrew-Client so vorgenommen, wie es im Link steht?
Member: BirdyB
BirdyB Jun 17, 2020 at 14:01:11 (UTC)
Goto Top
Hi goscho,

ich habe alles geprüft und es hat nicht funktioniert.
Dann habe ich es nochmal neu gemacht und es hat funktioniert. Vielleicht waren es auch die Tomaten auf meinen Augen.

Vielen Dank für die Hilfe!
Member: goscho
goscho Jun 18, 2020 at 13:17:31 (UTC)
Goto Top
Hauptsache es geht jetzt. face-smile
GermansolvedQuestionNetworking BasicsNetworks
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 5 CommentsjstrickerWireguard VPN on UDM Pro behind Fritzbox - Handshake did not completejstricker - 3 CommentsAlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 CommentsDaniEnd of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment