VPN-Troubleshooting Situationsplan
Contents
1. Der Encryption oder Hash Algorythmus stimmen nicht berein Phase 1 oder 2 Die Perfect Forward Secrecy stimmt nicht berein Der Negotiation Mode stimmt nicht berein INVALID_ID_INFO oder ERR_ID_INFO Die internen IP Adressen unter Local oder Remote stimmen nicht berein Der ID Typ der ffentlichen IP Adressen oder die Adressen selbst sind falsch eingetragen Received malformed message or negotiation no longer active PYLD_MALFORMED oder PAYLOAD_MALFORMED Die zwei Pre Shared Keys stimmen nicht berein Auf beiden Seiten muss der gleiche Key eingetragen sein Message not received Retransmitting IKE Retransmit Ist die VPN Rule auf active gesetzt Ist der IKE Port 500 in der Firewall offen Ist unter My IP der VPN Rule die ffentliche IP Adresse richtig eingetragen Nur ADSL Ist der PPPoE Link up Nailed Up Connection Failed to resolve Secure Gateway Ist der DynDNS Name korrekt unter Secure Gateway eingetragen Sind im LAN Teil DNS Server eingetragen 05 2005 MMO Copyright by ZyXEL nderungen vorbehalten Seite 3 6 ZyXEL VPN Troubleshooting FAQ Wof r ist die Einstellung NAT Traversal Sollte der VPN Client hinter einem NAT Router stehen der nicht VPN pass through unterst tzt muss dies aktiviert werden Die meisten aktuellen Router unterst tzen aber VPN pass through F r was ist die Einstellung DNS Server for IPSec VPN Dieser DNS Server ist f r die Namen2. ZyXEL VPN Troubleshooting Dieses Dokument beschreibt die h ufigsten Ursachen f r VPN Verbindungs probleme Situationsplan Das folgende Diagramm zeigt schematisch die verschiedenen Netzwerk Situationen Jedes der Netzwerke 1 bis 4 ist untereinander unabh ngig zu betrachten Es wird jeweils versucht eine Verbindung zum VPN Server herzustellen i Q Q 192 168 1 2 NSS Er Softremote a 192 168 8 1 lt gt iai 255 255 255 0 192 168 5 1 De NAT nn 255 255 255 0 on m glich Dynamische IP Nur eine gleichzeitig m glich Q Recv Hash notfy Err_ID_Info Bridge Firewall K Fixe IP Router m glich N a N Dynamische IP 192 168 5 2 255 255 255 0 S L eie 192 168 9 1 255 255 255 0 VPN Server a Q s Nf Bridge Nur eine gleichzeitig m glich N N Erster fliegt raus N nicht m glich Rout keine Antwort auf Ping S Firewall gt Outer gt 192 168 1 1 Fixe IP A 3 255 255 255 0 S amp 192 168 6 1 L S 255 255 255 0 192 168 6 2 A i Softremote 255 255 255 0 192 168 10 10 aa Softremote 255 255 255 0 05 2005 MMO Copyright by ZyXEL nderungen vorbehalten Seite 1 6 Situation 1 Verhalten Problem Logeintrag L sung Situation 2 Verhalten Problem Logeintrag L sung Situation 3 Verhalten Problem Logeintrag L sung Situation 4 Verhalten Problem Logeintrag L sung ZyXEL VPN Troubleshooting Es kann jeweils nur eines der Net
3. r Insert ipsec timer chk_input 2 x f r Exit und Save sys r Zywall 10 reboot 1815 Kein Ping ber VPN Tunnel Falls bei aufgebautem Tunnel siehe SA Monitor auf Ping keine Antwort folgt berpr fen Sie folgendes e Der Default Gateway bei den PCs muss die entsprechende ZyWALL im eigenen LAN sein e Auf den PCs muss jegliche Firewall Software deaktiviert oder entsprechend konfiguriert sein o Die Firewall von Bluewin darf nicht aktiv sein e Falls auf der ZyWALL unter SUA NAT alle Ports auf einen Server weitergeleitet werden muss der Port 500 separat auf die LAN Adresse der ZyWALL umgeleitet sein e Die DMZ IP Adresse der Ger te darf nicht im gleichen IP Range wie die Gegenstelle Default IP 192 168 2 1 sein 05 2005 MMO Copyright by ZyXEL nderungen vorbehalten Seite 5 6 ZyXEL VPN Troubleshooting 1911 Keine VPN Verbindung ber die Swisscom Unlimited Card mit VPN Client Bei der Verwendung einer VPN Verbindung ber die Swisscom Unlimited Card muss darauf geachtet werden dass beim VPN Server der Betriebsmodus NAT Traversal ausgew hlt ist Bei nicht aktiviertem NAT Traversal wird das Routing ber das UMTS GPRS GSM nicht einwandfrei durchgef hrt 1539 Kein Internetzugriff mehr sobald PC mit VPN Konfiguration im Netz Wenn sich der PC mit installiertem und konfiguriertem SoftRemoteLT im gleichen Subnet befindet auf welche sich auch eine VPN Verbindung bezieht muss entweder SoftRemoteLT manuel
4. l deaktivieren werden mit rechter Maustaste auf Icon und deaktivie ren oder in der Definition der entsprechenden VPN Verbindung von SoftRemote folgen der Eintrag gesetzt werden Only Connect Manually Mit dieser Einstellung muss die VPN Verbindung manuell aufgebaut werden 05 2005 MMO Copyright by ZyXEL nderungen vorbehalten Seite 6 6
5. saufl sung der PCs welche man per VPN sucht Ein Imhosts Eintrag ist nicht mehr n tig F r was ist die Einstellung Keep alive Normalerweise wird eine VPN Verbindung getrennt sobald f r zwei Minuten keine Daten bertragen wurden Mit dieser Einstellung bleibt der Tunnel bestehen K nnen zwei Netzwerke mit der gleichen Netz ID ber VPN verbunden werden Nein VPN arbeitet mit Routing und braucht somit zwei verschiede Netz IDs 05 2005 MMO Copyright by ZyXEL nderungen vorbehalten Seite 4 6 ZyXEL VPN Troubleshooting Knowledgebaseeintr ge Einige KB Eintr ge zu diesem Thema Sie finden weitere in unserer Knowledgebase 1710 Unterschiedliche SA Lifetime zwischen VPN Tunnelendpunkten Die VPN Tunnelpunkte k nnen unterschiedlich sein Der erste bei dem das SA Lifetime abgelaufen ist sendet ein delete SA request zum Peer Daraufhin wird der Tunnel neu aufgebaut 1544 VPN Verbindung nur bei aktivem Internetzugriff Damit die VPN Verbindung jederzeit von aussen ausfgebaut werden kann muss die Option Nailed Up Connection aktiviert werden Dieser Parameter ist jedoch nur vorhanden wenn die Firewall das PPPoE Protokoll unterst tzt 1847 VPN Zombie Tunnel Sie m ssen den chk_input Timer auf zwei Minuten einstellen Somit geht der SA wenn kein Incoming Traffic innerhalb von zwei Minuten kommt down Diese Einstellung verh lt sich wie ein idle timeout f r VPN Telnet Menu 24 8 sys edit autoexec net i f
6. zwerke einen VPN Tunnel zum VPN Server aufbauen Das zweite Netzwerk kann den Tunnel nicht aufbauen Die IP Adressen 192 168 5 1 und 192 168 5 2 Beide Netze haben die gleiche Netz ID Recv Hash Notfy ERR_ID_Info Eines der Netzwerke muss seine Netz ID ndern Zum Beispiel auf 192 168 11 0 VPN Tunnel wird nicht aufgebaut Die DMZ hat die gleiche Netz ID wie der VPN Server Keiner da die VPN Anfrage nicht bis zur VPN Firewall gelangt sondern direkt in der DMZ landet Die Netz ID der DMZ ndern Zum Beispiel auf 192 168 12 0 Der Tunnel wird zwar aufgebaut aber man bekommt keine Antwort vom Ziel Netz Auf der Serverseite ist ebenfalls ein Netz 192 168 10 0 bekannt Die ankommenden P ckchen werden ber einen anderen Router wie tergeleitet Keine Fehlermeldung Entweder die Client Netz ID ndern oder die gleichnamige Netz ID auf der Seite des VPN Servers Zum Beispiel auf 192 168 13 0 Einer der PCs kann ber den Softremote Client einen VPN Tunnel aufbauen Wird versucht mit dem zweiten PC eine weitere VPN Verbindung aufzubauen wird die erste Verbindung getrennt Das NAT des Routers Beide Clients arbeiten mit Port 500 Der Router kann aber nur eine Session mit dem gleichen Port offen halten Keine Fehlermeldung Eine Hardwarel sung welche das ganze Netzwerk unterst tzt 05 2005 MMO Copyright by ZyXEL nderungen vorbehalten Seite 2 6 ZyXEL VPN Troubleshooting Logeintr ge NO_PROPOSAL_CHOSEN
Download Pdf Manuals
Related Search