IPSec Troubleshooting

Aus Securepoint Wiki
Wechseln zu:Navigation, Suche

Meldung: Es ist keine Meldung im Log des IPSec-Servers zu sehen.

Ursache:

Der Dienst ist nicht gestartet.
Das Paket erreicht die FW nicht.
Das Paket wird von der FW verworfen.

Lösung:

- Unter "Applikationen -> Dienste Status" prüfen, ob der Dienst "SERVICE_IPSEC" läuft.
- Im "Portfilter" eine Regel anlegen, die den Zugriff auf das Eingangs-Interface erlaubt.


Meldung:

IPSEC Server; "Name der Verbindung" #1: initiating Main Mode

Info:

Dieser Log-Eintrag bedeutet, dass der IPSec Dienst versucht, eine Verbindung aufzubauen. Ist im Log kein weiterer Log-Eintrag des IPSec Dienstes zu sehen, kann davon ausgegangen werden, dass die Gegenstelle die Pakete verwirft oder die Pakete die Gegenstelle nicht erreichen.


Meldung:

Name der Verbindung"[1] 87.139.55.127 #6: responding to Main Mode from unknown peer IP-INITIATOR

Info:

Der IPSec Dienst hat ein Phase1 Paket von einer Gegenstelle erhalten, zu der noch keine IPSec Verbindung besteht.


Meldung:

packet from INITIATOR-IP:500: initial Main Mode message received on Receptor-IP:500
but no connection has been authorized with policy=PSK

Fehler:

Überprüfen Sie die Gateway IP-Adressen und die Gateway IDs, diese unterscheiden sich in der Konfiguration.


Meldung:

IPSEC Server; "Name der Verbindung" #1: NAT-Traversal:Result using RFC 3947: peer is NATed

Info:

Diese Meldung bedeutet, dass die Gegenstelle sich hinter einem NAT Gerät befindet.


Meldung:

IPSEC Server;"Name der Verbindung" #1: NAT-Traversal: Result using RFC 3947: i am NATed

Info:

Der IPSec Dienst hat festgestellt, dass sich die Firewall selbst hinter einem NAT Gerät befindet.


Meldung:

IPSEC Server;packet from IP-Gegenstelle:500: ignoring informational payload, type NO_PROPOSAL_CHOSEN

Ursache:

Die Einstellungen unter Phase1 stimmen nicht überein.

Lösung:

Bitte gleichen Sie die Einstellungen in Phase1 beider FWs ab.


Meldung:

IPSEC Server;"Name der Verbindung" #1: ISAKMP SA established

Info:

Die Aushandlung der Phase1 wurde erfolgreich abgeschlossen.


Meldung:

IPSEC Server;"Name der Verbindung" #2: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS+UP {using isakmp#1}

Info:

Dieser Log-Eintrag bedeutet, dass der IPSec Dienst die Phase2 initiiert.


Meldung:

IPSEC Server;"Name der Verbindung" #2: sent QI2, IPsec SA established
{ESP=>0x30b6fe24 <0xc2e2aabb NATOA=0.0.0.0}

Info:

Die Phase2 der Verbindug wurde erfolgreich aufgebaut. Damit wurde der IPSec Tunnel erfolgreich aufgebaut.


'Meldung:

IPSEC Server; "Name der Verbindung" #1: ignoring informational payload, type INVALID_ID_INFORMATION

Ursache:

Die Einstellungen unter Phase2 stimmen nicht überein.

Lösung:

Die Einstellungen in Phase2 stimmen nicht mit denen der Gegenstelle überein.


Meldung:

"Name der Verbindung"[2] 87.139.55.127:4500 #1: cannot respond to IPsec SA request because no connection
is known for 192.168.70.0/24===92.77.218.89:4500...87.139.55.127:4500[192.168.4.5]===192.168.5.0/24

Ursache:

Die Einstellungen, Subnetze betreffend, sind nicht korrekt.

Lösung:

Bitte überprüfen, ob auf beiden FWs die Subnetze übereinstimmen.

Meldung:

no default route - cannot cope with %defaultroute!!!

Ursache:

Die default-Route kann vom IPSec-Dienst nicht bestimmt werden.
Beachten Sie: Das Bestimmen der default-Route ist im Multipath-Betrieb nicht möglich.

Lösung:

Setzen Sie in der Phase1 alle IPSec-Verbindungen
Lokales Gateway - auf das externe Interface/externe IP
Route over - tragen Sie die IP Ihres Routers/wählen Sie das pppx-Interface aus
Local Gateway ID - setzen Sie auf das externe Interface/externe IP