CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg

Log ind eller opret profil

Du kan også logge ind via nedenstående tjenester

jacobf Nybegynder

09. maj 2003 - 17:16 Der er 7 kommentarer og
2 løsninger

VPN mellem Zywall 1 og Zywall 10W virker ikke

Hejsa eksperter...

Jeg sidder med et stort problem... Jeg kan ikke få en VPN-forbindelse til at køre mellem en Zywall 1 og en Zywall 10w

Lidt info:
LAN1 -> Zywall 1 -> Zyxel Prestige 642R ADSL Router -> Internet

LAN2 -> Zywall 10W -> Cisco 677 Adsl Router -> internet

Begge linier er CyberCity ( almindelig fast ip )
Jeg har åbnet for alle porte i Prestige 642R og henvist dem til Zywall 1 - det samme har jeg gjort i Cisco'en med " set nat entry add 10.0.0.2 1-65432* 212.242.xxx.xxx 1-65432* TCP og UDP
* = Kan ikk lige huske porten, men det var noget med 65 ;)

Efter dette er gjort har jeg sat en VPN-forbindelse op i Zywall 10w'en:

Name: privat
Key Management: IKE
Negotiation Mode Main

--------------------------------------------------------------------------------
Local :
Address Type: Range Address
IP Address Start: 10.0.2.1
End / Subnet Mask: 10.0.2.254

--------------------------------------------------------------------------------
Remote :
Address Type Single Address
IP Address Start 10.0.1.10

--------------------------------------------------------------------------------
Local ID Type: IP
Content: der står 0.0.0.0, men kan ikke ændres.
My IP Address: 212.242.xxx.xxx (WAN-ipen på Cisco routeren) (Zywall10w har WAN-ip: 10.0.0.2 da den sidder efter router)
Peer ID Type: IP
Content: der står 0.0.0.0, men kan ikke ændres.
Secure Gateway Addr: 212.242.xxx.xxx ( Igen WAN ip på router)
Encapsulation Mode Tunnel

--------------------------------------------------------------------------------
ESP
Encryption Algorithm: DES
Authentication Algorithm: SHA1
Pre-Shared Key: passwordet ( er ens på begge ZyWALL )

Sådan ser konfigurationen ud på Zywall 10W...
På Zywall 1'en ser den sådan ud:

Key Management: IKE
Negotiation Mode Main

--------------------------------------------------------------------------------
Local :
Address Type: Single Adress
IP Address Start: 10.0.1.10

--------------------------------------------------------------------------------
Remote :
Address Type: Range Address
IP Address Start: 10.0.2.1
End / Subnet Mask: 10.0.2.254

--------------------------------------------------------------------------------
Local ID Type: IP
Content: der står 0.0.0.0, men kan ikke ændres.
My IP Address: 212.242.xxx.xxx (WAN-ipen på Zyxel routeren) (Zywall1 har WAN-ip: 10.0.0.2 da den sidder efter router)
Peer ID Type: IP
Content: der står 0.0.0.0, men kan ikke ændres.
Secure Gateway Addr: 212.242.xxx.xxx ( Igen WAN ip på router - cisco 677)
Encapsulation Mode Tunnel

--------------------------------------------------------------------------------
ESP
Encryption Algorithm: DES
Authentication Algorithm: SHA1
Pre-Shared Key: passwordet ( er ens på begge ZyWALL )

Det var konfigurationen. Begge forbindelser står selvfølgelig som aktive...

Jeg kan ikke pinge maskinerne på kryds af internettet.
Desuden står der følgende i loggen ( på begge Zywall )

1xxx.xxx = Det netværk hvor Zywall 10w er placeret
yyy.yyy = Det netværk hvor Zywall 1 er placeret

1 05/09/2003 16:07:09 !! IKE Packet Retransmit 212.242.xxx.xxx 212.242.yyy.yyy IKE
2 05/09/2003 16:06:53 !! IKE Packet Retransmit 212.242.xxx.xxx 212.242.yyy.yyy IKE
3 05/09/2003 16:06:45 !! IKE Packet Retransmit 212.242.xxx.xxx 212.242.yyy.yyy IKE
4 05/09/2003 16:06:41 !! IKE Negotiation is in process 212.242.xxx.xxx 212.242.yyy.yyy IKE
5 05/09/2003 16:06:41 Send:[SA] 212.242.xxx.xxx 212.242.yyy.yyy IKE
6 05/09/2003 16:06:41 Send Main Mode request to <212.242.yyy.yyy> 212.242.xxx.xxx 212.242.yyy.yyy IKE

Jeg læste lidt om at man skulle åbne for port 500 udp i firewallen.
Denne port var allerede tilstede under denne kategori i Zywall 10W : Wan to Wan/zywall
Jeg tilføjede den så under wan to lan

Den fandtes slet ikke på Zywall 1'en - derfor tilføjede jeg den som en SUA/NAT entry og forwardede den til 10.0.1.10 ( den computer der skal have adgang.)

Jeg aner snart ikke mine levende råd

Mvh Jacob

PS : Jeg ved jeg har sat mange point på højkant, men jeg håber at jeg får løst problemet hurtigst muligt...

Synes godt om

bufferzone Praktikant

09. maj 2003 - 19:32 #1

Jeg skyder lidt løst og fast.

Har du givet tilladelser til den eksterne forbindelse i begge ender.

Hvordan ser IP ranget ud i hver ende, er IP setuppet således ta de to net kan se hinnanden, VPN skal jo betragtes som om de to net var forbundet, så IP setuppet skal spille som om de var forbundet gennem en switch

De subnetmasker du opgiver ser meget underlige ud, er du sikker på at de er rigtige

Synes godt om

skovhulen Nybegynder

09. maj 2003 - 20:07 #2

Hej

Jeg ved hvad der er galt.
Jeg sender dig i løbet af weekendten hvad du kan gøre

Med venlig hilsen

Poul Hansen

Synes godt om

jacobf Nybegynder

09. maj 2003 - 20:15 #3

Først til Bufferzone :

>Har du givet tilladelser til den eksterne forbindelse i begge ender.
Der er ikke blokeret for udgående trafik på nogle af Zywall'sne - hvis det er hvad du mener :)

>Hvordan ser IP ranget ud i hver ende, er IP setuppet således ta de to net kan >se hinnanden, VPN skal jo betragtes som om de to net var forbundet, så IP >setuppet skal spille som om de var forbundet gennem en switch

Ip-range på det ene net er: 10.0.1.xxx
Ip-range på det andet net er: 10.0.2.xxx
De kører med Subnet 255.255.255.0

>De subnetmasker du opgiver ser meget underlige ud, er du sikker på at de er >rigtige
Det var mig der kopierede det forkerte ind... Den skal ikke bruge Subnetmask, kun IP-adressen...

Skovhulen:
Jamen det lyder ganske interessant.. Glæder mig til at høre fra dig :)

Jeg har lige opdaget at jeg IKKE kan telnette til den ene router ( Cisco 677 )
Flere af mine venner har en sådan router, hvilke jeg fint kan telnette til. Men ligepræcis denne router kan jeg intet gøre ved. Jeg kan ikke engang pinge IP'en - og ja, jeg er sikker på det er den rigtigt IP ;)
Kan det være der problemet ligger ?

// Jacob

Synes godt om

bufferzone Praktikant

09. maj 2003 - 22:16 #4

Det kan det sagtens.

Mht tilladelsen, skal der, som jeg husker det specefikt gives tilladelse til at eksterne forbindelser må etableres, vist nok i zywallen, men jeg kan huske forkert

Synes godt om

jacobf Nybegynder

10. maj 2003 - 00:01 #5

Angående det med at jeg ikke kan pinge routeren.. Nogen idéer til hvordan det løses ???

Det er en ganske almindelige CyberCity ADSL forbindelse...

Mvh Jacob

Synes godt om

jacobf Nybegynder

10. maj 2003 - 09:22 #6

Nu prøver jeg i første omgang at geninstallere Cisco routeren... Det kan ikke være rigtigt at jeg netop ikke kan pinge/telnette den, men alle de andre Cisco 677 jeg "har adgang" til...
Det virker temmelig skummelt...

Efterfølgende vender jeg lige tilbage.. Kan jo være det løser hele problemet... Eller også gør det ikke. :-<

// Jacob

Synes godt om

jacobf Nybegynder

10. maj 2003 - 17:20 #7

Så har jeg nyt i sagen...

Jeg tog kontakt til CyberCity support i dag for at høre om de havde en løsning på Ping-problemet...
Supporteren mente der lå nogle NAT-entries tilbage i routeren som blokerede det hele.
Lyder jo meget godt, men sagen er den at jeg tog routeren hjem på min egen forbindelse og testede den... Her virkede det hele, og folk kunne pinge mig på nettet. Kan dette have noget med routeren at gøre ? Jeg har intet ændret ud over brugernavn og password...
Nu tager jeg kontakt til dem igen mandag for at fortælle det med at den virker fint privat.
Supporteren insisterede på at sende mig et MGMT ( blåt kabel ) til ciscoen og så skulle jeg lave en nulstilling af den.

Så kom vi ind på VPN.
Jeg blev fortalt at jeg SKULLE abonnere på GlobalIP for at få VPN til at virke...
Kan det passe ?? Jeg har 2 stk privat ADSL forbindelser.

Lige lidt fra min side. :D

// Jacob

Synes godt om

jacobf Nybegynder

27. juni 2003 - 23:20 #8

Undskyld den lange svartid fra min side..

Min VPN forbindelse har virket fint lige siden jeg fik Global IP på forbindelsen med min Cisco 677 router...

Jeg ved ikke helt hvordan jeg takler pointsne - jeg vil gerne give dig nogle point for din indsats bufferzone :) Er 50 i orden ?
Mvh Jacob

Synes godt om

jacobf Nybegynder

13. januar 2004 - 16:00 #9

Lukketid

Synes godt om

Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Følg dette spørgsmål

Opret Preview

Se alle it-kurser fra Computerworld Kurser

IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Se alle it-kurser

Flere spørgsmål fra LAN/WAN kategorien

Titel	Indlæg	Oprettet	Seneste aktivitet
Netværk pauser/lacker i op mod 30 sek Af __Allan__ i LAN/WAN	1	23/08/202405:18	23/08/202413:19
Alternativ til DS video station. Af johnnylassen i LAN/WAN	4	19/08/202409:02	19/08/202409:54
Små afbrydelser i lyden fra YouSee musik Af ErikHg i LAN/WAN	6	08/08/202421:17	10/08/202421:12
Kan ikke fildele fra PC til PC Af gertLundberg i LAN/WAN	22	27/07/202418:09	15/08/202415:01
kendskab til Telenor fiber Af Marting i LAN/WAN	8	30/06/202420:00	19/08/202415:32

Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten

Seneste artiklerRSS