Wechseln zu:Navigation, Suche
Wiki
Keine Bearbeitungszusammenfassung
Zeile 10: Zeile 10:


Lösung:
Lösung:
:- Unter "Applikationen -> Dineste Status" prüfen ob der Dienst "SERVICE_IPSEC" läuft.
:- Unter "Applikationen -> Dienste Status" prüfen, ob der Dienst "SERVICE_IPSEC" läuft.
:- Im "Portfilter" eine Regel anlegen die den Zugriff auf das  Eingangs-Interface erlaubt.
:- Im "Portfilter" eine Regel anlegen, die den Zugriff auf das  Eingangs-Interface erlaubt.


<br>
<br>
Zeile 18: Zeile 18:


Info:
Info:
:Dieser Log Eintrag bedeutet, dass der IPSec Dienst versucht eine Verbindung aufzubauen. Ist im Log kein weiterer Log Eintrag des IPSec Dienstes zu sehen, kann davon ausgegangen werden, dass die Gegenstelle die Pakete verwirft oder die Pakete die Gegenstelle nicht erreichen.
:Dieser Log-Eintrag bedeutet, dass der IPSec Dienst versucht, eine Verbindung aufzubauen. Ist im Log kein weiterer Log-Eintrag des IPSec Dienstes zu sehen, kann davon ausgegangen werden, dass die Gegenstelle die Pakete verwirft oder die Pakete die Gegenstelle nicht erreichen.


<br>
<br>

Version vom 21. Juli 2011, 11:56 Uhr

IPSec Log Meldungen

Meldung: Es ist keine Meldung im Log des IPSec-Servers zu sehen.

Ursache:

Der Dienst ist nicht gestartet.
Das Paket erreicht die FW nicht.
Das Paket wird von der FW verworfen.

Lösung:

- Unter "Applikationen -> Dienste Status" prüfen, ob der Dienst "SERVICE_IPSEC" läuft.
- Im "Portfilter" eine Regel anlegen, die den Zugriff auf das Eingangs-Interface erlaubt.


Meldung:

IPSEC Server; "Name der Verbindung" #1: initiating Main Mode

Info:

Dieser Log-Eintrag bedeutet, dass der IPSec Dienst versucht, eine Verbindung aufzubauen. Ist im Log kein weiterer Log-Eintrag des IPSec Dienstes zu sehen, kann davon ausgegangen werden, dass die Gegenstelle die Pakete verwirft oder die Pakete die Gegenstelle nicht erreichen.


Meldung:

Name der Verbindung"[1] 87.139.55.127 #6: responding to Main Mode from unknown peer IP-INITIATOR

Info:

Der IPSec Dienst hat ein Phase1 Paket erhalten von einer Gegenstelle zu der noch keine IPSec Verbindung besteht.


Meldung:

packet from INITIATOR-IP:500: initial Main Mode message received on Receptor-IP:500
but no connection has been authorized with policy=PSK

Fehler:

Überprüfen Sie die Gateway IP-Adressen und die Gateway IDs, diese unterscheiden sich in der Konfiguration.


Meldung:

IPSEC Server; "Name der Verbindung" #1: NAT-Traversal:Result using RFC 3947: peer is NATed

Info:

Diese Meldung bedeutet, dass die Gegenstelle sich hinter einem NAT Gerät befindet.


Meldung:

IPSEC Server;"Name der Verbindung" #1: NAT-Traversal: Result using RFC 3947: i am NATed

Info:

Der IPSec Dienst hat festgestellt, dass sich die Firewall selbst hinter einem NAT Gerät befindet.


Meldung:

IPSEC Server;packet from IP-Gegenstelle:500: ignoring informational payload, type NO_PROPOSAL_CHOSEN

Ursache:

Die Einstellungen unter Phase1 stimmen nicht überein.

Lösung:

- Bitte gleichen Sie die Einstellungen in Phase1 beider FWs ab.


Meldung:

IPSEC Server;"Name der Verbindung" #1: ISAKMP SA established

Info:

Die Aushandlung der Phase1 wurde erfolgreich abgeschlossen.


Meldung:

IPSEC Server;"Name der Verbindung" #2: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS+UP {using isakmp#1}

Info:

Dieser Log Eintrag bedeutet, dass der IPSec Dienst die Phase2 initiiert.


Meldung:

IPSEC Server;"Name der Verbindung" #2: sent QI2, IPsec SA established
{ESP=>0x30b6fe24 <0xc2e2aabb NATOA=0.0.0.0}

Info:

Die Phase2 der Verbindug wurde erfolgreich aufgebaut. Damit wurde der IPSec Tunnel erfolgreich aufgebaut.


'Meldung:

IPSEC Server; "Name der Verbindung" #1: ignoring informational payload, type INVALID_ID_INFORMATION

Ursache:

Die Einstellungen unter Phase2 stimmen nicht überein.

Lösung:

- Die Einstellungen in Phase2 stimmen nicht mit denen der Gegenstelle überein.


Meldung:

"Name der Verbindung"[2] 87.139.55.127:4500 #1: cannot respond to IPsec SA request because no connection
is known for 192.168.70.0/24===92.77.218.89:4500...87.139.55.127:4500[192.168.4.5]===192.168.5.0/24

Ursache:

Die Einstellungen die Subnetze betreffend sind nicht korrekt.

Lösung:

- Bitte überprüfen ob auf beiden FWs die Subnetz übereinstimmen.

Meldung:

no default route - cannot cope with %defaultroute!!!

Ursache:

Die default-Route kann vom IPSec-Dienst nicht bestimmt werden.
Beachten Sie: Das bestimmen der default-Route ist im Multipath-Betrieb nicht möglich.

Lösung:

Setzen Sie in der Phase1 aller IPSec-Verbindungen
Lokales Gateway - auf das externe Interface/externe IP
Route over - tragen Sie die IP ihres Router/wählen Sie das pppx-Interface aus
Local Gateway ID - setzen Sie auf das externe Interface/externe IP