Avatar billede delbing Nybegynder
17. marts 2003 - 16:37 Der er 8 kommentarer

IPSec tunnel mellem SMC Barricade plus

Jeg prøver at lave en IPSec tunnel mellem to SMC Barricade Plus routere (SMC7004FW). Du er selvfølgelig velkommen til at give forslag selvom du ikke kender den pågældende router.


Netværk 0 har LAN IP-adresser på formen 192.168.0.x
Netværk 1 har LAN IP-adresser på formen 192.168.1.x

Begge routeres status viser IPSec: enabled

Begge router har en tunnel stående med tilsyneladende rigtige oplysninger under Enabled Tunnel Status - nu mangler jeg bare Status: connected!

IPSec opsætning på router på netværk 0
Protocol mode: Tunnel mode
Local secure group: 192.168.0.0
Remote secure gateway: netværk 1's WAN IP
Remote secure group: 192.168.1.0
Alle netværksmasker: 255.255.255.0
Authentivation og encryption er sat til none (for at fjerne en mulig fejlkilde)

Netværk 1's router er tilsvarende sat op.

Jeg har prøvet forskellige indstillinger for Key Management som giver forskellige fejl:

Med IKE key management dukker en connect knap op ved tunnellen under Enabled Tunnel Status. Når jeg trykker på den skifter Status til "in negotiating" (typisk asiatisk oversættelse?) - ved refresh efter et minuts tid er Status tilbage til "not connected". Der dukker intet op i security loggen på nogen af routerne.

Med manual key management er Status "---" og der er ingen connect knap.

Jeg kan få routerne til at køre en PPTP klient/server VPN tunnel, så man skulle tro det på en eller anden måde var noget IPSec-specifikt.
Avatar billede larildsen Nybegynder
17. marts 2003 - 16:44 #1
Du skriver ikke, hvorledes dine routere er forbundet til internet.
Sidder de bagved en anden router, der lave adresse konvertering eller lignende ?
Avatar billede delbing Nybegynder
17. marts 2003 - 16:53 #2
Routernes WAN port er direkte forbundet til ADSL modemet, ellers er der intet mellem router og internet.

Jeg checker lige med ham i den anden ende, hvis han stadig har sin gamle router (inkl. firewall) siddende bliver han ikke populær... (men jeg tror det nu ikke, så ville PPTP tunnellerne vel ikke virke?)
Avatar billede larildsen Nybegynder
17. marts 2003 - 16:56 #3
Det er faktisk muligt at få PPTP tunneller til at virke via en NAT'et forbindelse, men det er multi-mega-svært (som regel umuligt) at få IPSec til at virke på NET'ede forbindelser
Avatar billede delbing Nybegynder
17. marts 2003 - 17:04 #4
Routeren har NAT, men når jeg slår IPSec til på samme router så burde det vel ikke være et problem?
Avatar billede larildsen Nybegynder
17. marts 2003 - 17:12 #5
Den router der skaber IPSec tunnellen må gerne (skal) have NAT, men der må ikke være andre enheder der NAT'er selve tunnellen, idet endpoint adressen indgår som en del af det krypterede payload.
Avatar billede delbing Nybegynder
17. marts 2003 - 18:26 #6
Den skal jeg lige have en gang til
Det ser sådan ud:

Router 0 <-> Internet <-> Router 1

Routerne giver virker som internetadgang (som de ganske givet NAT'er), firewall, DHCP server, etc., og der skulle så også gerne være en IPSec VPN tunnel mellem dem også. Som jeg forstår det bliver tunnellen IKKE nattet. Men det med "endpoint adressen indgår som en del af det krypterede payload" er jeg ikke helt sikker på jeg forstår - er det ikke først når jeg skal til at sende data gennem tunnellen at det er aktuelt, på nuværende tidspunkt er der jo slet ikke forbindelse?
Avatar billede larildsen Nybegynder
18. marts 2003 - 09:18 #7
Jeg har lige bladret lidt i SMC's dokumentation.
De nævner at SPI der skal sættes på tunnel konfigurationen, og som skal være ens i begge ender af tunnellen
Avatar billede delbing Nybegynder
18. marts 2003 - 13:53 #8
SPI var ens.
SMC har pt kun dokumententation for en gammel version af firmware, jeg har opdateret den og nogle af tingene ser lidt anderledes ud nu.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester