PDA

View Full Version : site-to-site VPN



Amathar
2009-07-13, 08:47
Mal wieder ein site to site VPN Problem:
Eckbedingungen:
Hinter einer Watchguard x2500 OS 10.2.9 interessiert und das Netz: 192.168.16.0/24. Es gibt weitere Netze dort. Dementsprechend ist es auf der Checkpoint dieses Netz beim VPN Peer als manual definied VPN Domain eingetragen.
Die Gegenseite soll von besagtem Netz alles was kommt zur Checkpoint routen. Da man offenbar ein any in der Watchguard an der Stelle nicht eintragen kann, wird auf der Gegenseite alles vom Netz 192.168.16.0/24 mit der destination 0.0.0.0/0 in den Tunnel geschickt.
Fehler im CP log:

Number: 1227
Date: 13Jul2009
Time: 12:54:08
Product: VPN-1 Power/UTM
VPN Feature: IKE
Interface: daemon
Origin: gwras
Type: Log
Action: Key Install
Source: GKH_VPN_Peer (Peer_IP)
Destination: gwras (our_IP)
Encryption Scheme: IKE
VPN Peer Gateway: GKH_VPN_Peer (Peer_IP)
IKE Phase2 Message ID: 8b3cbd46
Community: GKH
Information: IKE: Quick Mode Received Notification from Peer: invalid id information
Subproduct: VPN

Das sieht irgendwie nach excryption Domain Problem aus, oder ?
Der Admin der Watchguard meinte ich solle mal die Peer_IP mit in das encryption Netz packen, hat aber nix gebracht.
Genutzte Protokolle:
Phase1: AES-256 / SHA-1 / DH: Group2
Phase2: AES-256 / SHA-1 / DH: Group2

Was könnte das Problem sein?

Danke

Peter

gavvys
2009-07-14, 02:03
could you please use english so that all can understand and you can good resolution.

pookicat
2009-07-21, 03:12
Hallo,

"IKE: Quick Mode Received Notification from Peer: invalid id information", das meint dass die proxy ID nicht die selben sind.

proxy ID sind am smartdashboard im "vpn domain" definiert.

Dann in der vpn community (tunnel management) muss man wählen :

one vpn tunnel per each pair of host.
local proxy id = source IP/32
remote proxy id = dest ip/32

one tunnel per subnet pair :
local proxy id = local subnet (wie im lokal vpn domain definiert)
remote proxy id = remote subnet (wie im remote gateway vpn domain definiert).

one vpn tunnel per gateway pair :
local proxy id = 0.0.0.0/0
remote proxy id = 0.0.0.0/0

Ich weiss nicht wie die proxy IDs am watchguard definiert sind, aber kannst du bitte probieren mit 0.0.0.0/0 als vpn domain für das checkpoint gateway, und 192.168.16.0/24 als vpn domain für das watchguard.

du muss auch "one tunnel per subnet pair" wählen.