Zeile 117: | Zeile 117: | ||
Lösung: | Lösung: | ||
: Setzen Sie in der Phase1 | : Setzen Sie in der Phase1 alle IPSec-Verbindungen | ||
: ''Lokales Gateway'' - auf das externe Interface/externe IP | : ''Lokales Gateway'' - auf das externe Interface/externe IP | ||
: ''Route over'' - tragen Sie die IP Ihres Routers/wählen Sie das pppx-Interface aus | : ''Route over'' - tragen Sie die IP Ihres Routers/wählen Sie das pppx-Interface aus | ||
: ''Local Gateway ID'' - setzen Sie auf das externe Interface/externe IP | : ''Local Gateway ID'' - setzen Sie auf das externe Interface/externe IP |
Version vom 21. Juli 2011, 12:09 Uhr
IPSec Log Meldungen
Meldung: Es ist keine Meldung im Log des IPSec-Servers zu sehen.
Ursache:
- Der Dienst ist nicht gestartet.
- Das Paket erreicht die FW nicht.
- Das Paket wird von der FW verworfen.
Lösung:
- - Unter "Applikationen -> Dienste Status" prüfen, ob der Dienst "SERVICE_IPSEC" läuft.
- - Im "Portfilter" eine Regel anlegen, die den Zugriff auf das Eingangs-Interface erlaubt.
Meldung:
IPSEC Server; "Name der Verbindung" #1: initiating Main Mode
Info:
- Dieser Log-Eintrag bedeutet, dass der IPSec Dienst versucht, eine Verbindung aufzubauen. Ist im Log kein weiterer Log-Eintrag des IPSec Dienstes zu sehen, kann davon ausgegangen werden, dass die Gegenstelle die Pakete verwirft oder die Pakete die Gegenstelle nicht erreichen.
Meldung:
Name der Verbindung"[1] 87.139.55.127 #6: responding to Main Mode from unknown peer IP-INITIATOR
Info:
- Der IPSec Dienst hat ein Phase1 Paket von einer Gegenstelle erhalten, zu der noch keine IPSec Verbindung besteht.
Meldung:
packet from INITIATOR-IP:500: initial Main Mode message received on Receptor-IP:500 but no connection has been authorized with policy=PSK
Fehler:
- Überprüfen Sie die Gateway IP-Adressen und die Gateway IDs, diese unterscheiden sich in der Konfiguration.
Meldung:
IPSEC Server; "Name der Verbindung" #1: NAT-Traversal:Result using RFC 3947: peer is NATed
Info:
- Diese Meldung bedeutet, dass die Gegenstelle sich hinter einem NAT Gerät befindet.
Meldung:
IPSEC Server;"Name der Verbindung" #1: NAT-Traversal: Result using RFC 3947: i am NATed
Info:
- Der IPSec Dienst hat festgestellt, dass sich die Firewall selbst hinter einem NAT Gerät befindet.
Meldung:
IPSEC Server;packet from IP-Gegenstelle:500: ignoring informational payload, type NO_PROPOSAL_CHOSEN
Ursache:
- Die Einstellungen unter Phase1 stimmen nicht überein.
Lösung:
- Bitte gleichen Sie die Einstellungen in Phase1 beider FWs ab.
Meldung:
IPSEC Server;"Name der Verbindung" #1: ISAKMP SA established
Info:
- Die Aushandlung der Phase1 wurde erfolgreich abgeschlossen.
Meldung:
IPSEC Server;"Name der Verbindung" #2: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS+UP {using isakmp#1}
Info:
- Dieser Log-Eintrag bedeutet, dass der IPSec Dienst die Phase2 initiiert.
Meldung:
IPSEC Server;"Name der Verbindung" #2: sent QI2, IPsec SA established {ESP=>0x30b6fe24 <0xc2e2aabb NATOA=0.0.0.0}
Info:
- Die Phase2 der Verbindug wurde erfolgreich aufgebaut. Damit wurde der IPSec Tunnel erfolgreich aufgebaut.
'Meldung:
IPSEC Server; "Name der Verbindung" #1: ignoring informational payload, type INVALID_ID_INFORMATION
Ursache:
- Die Einstellungen unter Phase2 stimmen nicht überein.
Lösung:
- Die Einstellungen in Phase2 stimmen nicht mit denen der Gegenstelle überein.
Meldung:
"Name der Verbindung"[2] 87.139.55.127:4500 #1: cannot respond to IPsec SA request because no connection is known for 192.168.70.0/24===92.77.218.89:4500...87.139.55.127:4500[192.168.4.5]===192.168.5.0/24
Ursache:
- Die Einstellungen, die Subnetze betreffen, sind nicht korrekt.
Lösung:
- Bitte überprüfen, ob auf beiden FWs die Subnetze übereinstimmen.
Meldung:
no default route - cannot cope with %defaultroute!!!
Ursache:
- Die default-Route kann vom IPSec-Dienst nicht bestimmt werden.
- Beachten Sie: Das Bestimmen der default-Route ist im Multipath-Betrieb nicht möglich.
Lösung:
- Setzen Sie in der Phase1 alle IPSec-Verbindungen
- Lokales Gateway - auf das externe Interface/externe IP
- Route over - tragen Sie die IP Ihres Routers/wählen Sie das pppx-Interface aus
- Local Gateway ID - setzen Sie auf das externe Interface/externe IP