https://wiki.securepoint.de/index.php?action=history&feed=atom&title=UTM%2FVPN%2FIPSec-Troubleshooting_v11.6UTM/VPN/IPSec-Troubleshooting v11.6 - Versionsgeschichte2026-06-03T05:18:11ZVersionsgeschichte dieser Seite in Securepoint WikiMediaWiki 1.43.5https://wiki.securepoint.de/index.php?title=UTM/VPN/IPSec-Troubleshooting_v11.6&diff=12157&oldid=prevPascalm am 18. April 2017 um 13:30 Uhr2017-04-18T13:30:34Z<p></p>
<table style="background-color: #fff; color: #202122;" data-mw="interface">
<col class="diff-marker" />
<col class="diff-content" />
<col class="diff-marker" />
<col class="diff-content" />
<tr class="diff-title" lang="de">
<td colspan="2" style="background-color: #fff; color: #202122; text-align: center;">← Nächstältere Version</td>
<td colspan="2" style="background-color: #fff; color: #202122; text-align: center;">Version vom 18. April 2017, 15:30 Uhr</td>
</tr><tr><td colspan="2" class="diff-lineno" id="mw-diff-left-l1">Zeile 1:</td>
<td colspan="2" class="diff-lineno">Zeile 1:</td></tr>
<tr><td colspan="2" class="diff-side-deleted"></td><td class="diff-marker" data-marker="+"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins style="font-weight: bold; text-decoration: none;">{{DISPLAYTITLE:IPSec Troubleshooting}}</ins></div></td></tr>
<tr><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>'''Meldung:'''</div></td><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>'''Meldung:'''</div></td></tr>
<tr><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>Es ist keine Meldung im Log des IPSec-Servers zu sehen.</div></td><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>Es ist keine Meldung im Log des IPSec-Servers zu sehen.</div></td></tr>
</table>Pascalmhttps://wiki.securepoint.de/index.php?title=UTM/VPN/IPSec-Troubleshooting_v11.6&diff=12156&oldid=prevPascalm: Die Seite wurde neu angelegt: „'''Meldung:''' Es ist keine Meldung im Log des IPSec-Servers zu sehen. Ursache: :Der Dienst ist nicht gestartet. :Das Paket erreicht die FW nicht. :Das Paket …“2017-04-18T13:30:11Z<p>Die Seite wurde neu angelegt: „'''Meldung:''' Es ist keine Meldung im Log des IPSec-Servers zu sehen. Ursache: :Der Dienst ist nicht gestartet. :Das Paket erreicht die FW nicht. :Das Paket …“</p>
<p><b>Neue Seite</b></p><div>'''Meldung:'''<br />
Es ist keine Meldung im Log des IPSec-Servers zu sehen.<br />
<br />
Ursache:<br />
:Der Dienst ist nicht gestartet.<br />
:Das Paket erreicht die FW nicht.<br />
:Das Paket wird von der FW verworfen. <br />
<br />
Lösung:<br />
:- Unter "Applikationen -> Dienste Status" prüfen, ob der Dienst "SERVICE_IPSEC" läuft.<br />
:- Im "Portfilter" eine Regel anlegen, die den Zugriff auf das Eingangs-Interface erlaubt.<br />
<br />
<br><br />
'''Meldung:'''<br />
IPSEC Server; "Name der Verbindung" #1: initiating Main Mode<br />
<br />
Info:<br />
:Dieser Log-Eintrag bedeutet, dass der IPSec Dienst versucht, eine Verbindung aufzubauen. Ist im Log kein weiterer Log-Eintrag des IPSec Dienstes zu sehen, kann davon ausgegangen werden, dass die Gegenstelle die Pakete verwirft oder die Pakete die Gegenstelle nicht erreichen.<br />
<br />
<br><br />
'''Meldung:'''<br />
Name der Verbindung"[1] 87.139.55.127 #6: responding to Main Mode from unknown peer IP-INITIATOR<br />
<br />
Info:<br />
:Der IPSec Dienst hat ein Phase1 Paket von einer Gegenstelle erhalten, zu der noch keine IPSec Verbindung besteht. <br />
<br />
<br><br />
'''Meldung:'''<br />
packet from INITIATOR-IP:500: initial Main Mode message received on Receptor-IP:500<br />
but no connection has been authorized with policy=PSK<br />
<br />
Fehler:<br />
:Überprüfen Sie die Gateway IP-Adressen und die Gateway IDs, diese unterscheiden sich in der Konfiguration. <br />
<br />
<div align="right">[[#top|<font size=1>zum Anfang</font>]]</div><br />
<br />
<br><br />
'''Meldung:'''<br />
IPSEC Server; "Name der Verbindung" #1: NAT-Traversal:Result using RFC 3947: peer is NATed<br />
<br />
Info:<br />
:Diese Meldung bedeutet, dass die Gegenstelle sich hinter einem NAT Gerät befindet.<br />
<br />
<br><br />
'''Meldung:'''<br />
IPSEC Server;"Name der Verbindung" #1: NAT-Traversal: Result using RFC 3947: i am NATed<br />
<br />
Info:<br />
:Der IPSec Dienst hat festgestellt, dass sich die Firewall selbst hinter einem NAT Gerät befindet. <br />
<br />
<br><br />
'''Meldung:'''<br />
IPSEC Server;packet from IP-Gegenstelle:500: ignoring informational payload, type NO_PROPOSAL_CHOSEN<br />
<br />
Ursache:<br />
:Die Einstellungen unter Phase1 stimmen nicht überein.<br />
<br />
Lösung:<br />
: Bitte gleichen Sie die Einstellungen in Phase1 beider FWs ab. <br />
<br />
<br><br />
'''Meldung:'''<br />
IPSEC Server;"Name der Verbindung" #1: ISAKMP SA established<br />
<br />
Info:<br />
:Die Aushandlung der Phase1 wurde erfolgreich abgeschlossen. <br />
<br />
<div align="right">[[#top|<font size=1>zum Anfang</font>]]</div><br />
<br />
<br><br />
'''Meldung:'''<br />
IPSEC Server;"Name der Verbindung" #2: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS+UP {using isakmp#1}<br />
<br />
Info:<br />
:Dieser Log-Eintrag bedeutet, dass der IPSec Dienst die Phase2 initiiert. <br />
<br />
<br><br />
'''Meldung:'''<br />
IPSEC Server;"Name der Verbindung" #2: sent QI2, IPsec SA established<br />
{ESP=>0x30b6fe24 <0xc2e2aabb NATOA=0.0.0.0}<br />
<br />
Info:<br />
:Die Phase2 der Verbindug wurde erfolgreich aufgebaut. Damit wurde der IPSec Tunnel erfolgreich aufgebaut. <br />
<br />
<br><br />
'''Meldung:''<br />
IPSEC Server; "Name der Verbindung" #1: ignoring informational payload, type INVALID_ID_INFORMATION<br />
<br />
Ursache:<br />
:Die Einstellungen unter Phase2 stimmen nicht überein. <br />
<br />
Lösung:<br />
: Die Einstellungen in Phase2 stimmen nicht mit denen der Gegenstelle überein. <br />
<br />
<br><br />
'''Meldung:'''<br />
"Name der Verbindung"[2] 87.139.55.127:4500 #1: cannot respond to IPsec SA request because no connection<br />
is known for 192.168.70.0/24===92.77.218.89:4500...87.139.55.127:4500[192.168.4.5]===192.168.5.0/24<br />
<br />
Ursache:<br />
:Die Einstellungen, Subnetze betreffend, sind nicht korrekt. <br />
<br />
Lösung:<br />
: Bitte überprüfen, ob auf beiden FWs die Subnetze übereinstimmen.<br />
<br />
<div align="right">[[#top|<font size=1>zum Anfang</font>]]</div><br />
<br />
'''Meldung:'''<br />
<pre><br />
no default route - cannot cope with %defaultroute!!!<br />
</pre><br />
Ursache:<br />
:Die default-Route kann vom IPSec-Dienst nicht bestimmt werden.<br />
: ''Beachten Sie'': Das Bestimmen der default-Route ist im Multipath-Betrieb nicht möglich.<br />
<br />
Lösung:<br />
: Setzen Sie in der Phase1 alle IPSec-Verbindungen<br />
: ''Lokales Gateway'' - auf das externe Interface/externe IP<br />
: ''Route over'' - tragen Sie die IP Ihres Routers/wählen Sie das pppx-Interface aus<br />
: ''Local Gateway ID'' - setzen Sie auf das externe Interface/externe IP</div>Pascalm