[Frage] Digitalisierungsbox VPN IPsec mit Windows ohne Zusatzsoftware

xrated

Mitglied
Mitglied seit
2 Jul 2012
Beiträge
786
Punkte für Reaktionen
1
Punkte
18
Ab Windows 7 ist ja ipsec mit ikev2 möglich, was auch die Digibox bietet. Windows bietet als Authentifizierung aber nur EAP/PEAP oder Zertifikate an.
In der Digibox scheint gar nichts mit Zertifikaten vorhanden zu sein, nur ein Preshared Key welcher widerrum nicht in Windows existiert. Ist das soweit richtig?
Also bleibt nur Shrewsoft, wenn man nicht den NCP Client verwenden will, richtig?

Und wie ist das eigentlich wenn man für die VPN Clients einen eigenen DHCP Range mit einem separaten Subnetz machen möchte? Da muss man wohl eine neue Schnittstelle anlegen, aber basierend auf welchem Interface? efm35-60 ?
 
Gegenfrage zum DHCP für VPN: Auf welchem Interface ist denn das normale LAN definiert?
 
interface en1-0 bzw. bridge br0 sollte das sein (default)

Edit: Bei DDNS soll man laut Bintec das "Telekom" Interface auswählen, also würde ich mal vermuten das man bei dem extra DHCP Range auch das "DTAG...." Interface auswählen muss? Kann man dann nur intern die VPN Verbindung nicht testen.

P.S. die GUI von der Telekom in diesem Windows Design ist wirklich schrecklich im Vergleich zur original Bintec. Und Handbuch viel zu oberflächlich.
 
Zuletzt bearbeitet:
Also ein wenig seltsam ist VPN ja schon. Wenn sich das Profil exportiert und im Bintec/NCP Secure Client einfügt geht alles normal. Versucht man die gleichen Einstellungen manuell im Client vorzunehmen dann kommt
ein Fehler das die Authentifizierung fehlschlägt.

Habe mal die komplette Config als ini exportiert und verglichen. Das einzige was anders ist, beim funktionierenden Profil:
BootProfile=0
IKEv2Auth=3
IkeIdType=2

Hier beim fehlerhaften Profil (keine Ahnung wo man das in der GUI einstellt):

BootProfile=1
IKEv2Auth=2
IkeIdType=3

IKEv2 wird ja eh nicht verwendet, also kann das doch nur IkeIdType sein?

Und mit dem Shrewsoft Client hatte ich auch Probleme, jetzt geht der auf einmal wieder.

Was ich auch nicht so prall fand, der hat die Remote Identity auf Digitalisierungsbox Smart.meinedomain.local gelegt weil als Hostname "Digitalisierungsbox Smart" hinterlegt ist. Muss die denn im via DNS auflösbar sein? Weil mit dem Leerzeichen funktioniert das nicht.

Und das Log mit dem manuell erstelltem Profil:
Code:
04.08.2016 17:13:03 - System: Setting NCP virtual adapter linkstatus=0,laststate=0.
04.08.2016 17:13:03 - Pthru: index=202,Protecting RAS adapter - 0
04.08.2016 17:13:03 - Pthru: index=203,Protecting RAS adapter - 0
04.08.2016 17:13:03 - Pthru: index=204,Protecting RAS adapter - 0
04.08.2016 17:13:03 - FW: Deleting pathfinder rules
04.08.2016 17:13:03 - FW: Deleting pathfinder rules
04.08.2016 17:13:03 - FW: Deleting pathfinder rules
04.08.2016 17:13:03 - FW: Deleting pathfinder rules
04.08.2016 17:13:04 - IPSec: Start building connection
04.08.2016 17:13:04 - IPSec: DNSREQ: resolving GW=<xxx.duckdns.org> over lan:
04.08.2016 17:13:05 - IPSec: DNSREQ resolved vpn ipadr=xx.xx.247.141,ipadr6=0.0.0.0
04.08.2016 17:13:05 - System: ikeusesocket=5437964
04.08.2016 17:13:05 - IpsDial: connection time interface choice,LocIpa=192.168.5.125,AdapterIndex=200
04.08.2016 17:13:05 - Ike: Outgoing connect request AGGRESSIVE mode - gateway=xx.xx.247.141 : test
04.08.2016 17:13:05 - Ike: XMIT_MSG1_AGGRESSIVE - test,vpngw=xx.xx.247.141:500
04.08.2016 17:13:05 - Ike: NOTIFY : test : RECEIVED : AUTHENTICATION_FAILED : 24
04.08.2016 17:13:08 - Ike: ConRef=17, retry timeout, resend to=xx.xx.247.141
04.08.2016 17:13:08 - Isakmp: re-sending packet to=xx.xx.247.141:500,size=593
04.08.2016 17:13:08 - Ike: NOTIFY : test : RECEIVED : AUTHENTICATION_FAILED : 24
04.08.2016 17:13:12 - Ike: ConRef=17, retry timeout, resend to=xx.xx.247.141
04.08.2016 17:13:12 - Isakmp: re-sending packet to=xx.xx.247.141:500,size=593
04.08.2016 17:13:12 - Ike: NOTIFY : test : RECEIVED : AUTHENTICATION_FAILED : 24
04.08.2016 17:13:16 - Ike: ConRef=17, retry timeout, resend to=xx.xx.247.141
04.08.2016 17:13:16 - Isakmp: re-sending packet to=xx.xx.247.141:500,size=593
04.08.2016 17:13:16 - Ike: NOTIFY : test : RECEIVED : AUTHENTICATION_FAILED : 24
04.08.2016 17:13:20 - ERROR - 4021: IKE(phase1) - Could not contact Gateway (No response) in state <Wait for Message 2 > - test.
04.08.2016 17:13:20 - Ike: phase1:name(test) - ERROR - retry timeout - max retries
04.08.2016 17:13:20 - IPSec: Disconnected from test on channel 1.
04.08.2016 17:13:20 - FW: Deleting pathfinder rules
04.08.2016 17:13:20 - FW: Deleting pathfinder rules
04.08.2016 17:13:20 - FW: Deleting pathfinder rules
04.08.2016 17:13:20 - FW: Deleting pathfinder rules
04.08.2016 17:13:20 - INFO - MONITOR: Disconnected
04.08.2016 17:13:20 - INFO - MONITOR: Media=LAN, Tx=0 Byte, Rx=0 Byte
 
Hallo xrated,

ich versuche schon seit einiger Zeit mit der Digitalisierungsbox und dem Shrewsoft Client eine VPN Verbindung hinzukriegen.

Könntest du mir deine Konfiguration der Digibox und des Shrewsoft Client zur verfügung stellen.
Würde mir sehr helfen.

Danke im Voraus für deine Mühe.

Gruß er2de2
[h=2]Digitalisierungsbox VPN IPsec[/h]
 

Zurzeit aktive Besucher

Statistik des Forums

Themen
244,695
Beiträge
2,216,692
Mitglieder
371,315
Neuestes Mitglied
jack-mack
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.