Hallo! Eine kurze Frage hätte ich noch weil der VPN Zugriff von außen nicht funktioniert:
Muss für jedes Portforwarding auch eine Firewall Regel erstellt werden oder nicht?
herrhund hat geschrieben:Hallo! Eine kurze Frage hätte ich noch weil der VPN Zugriff von außen nicht funktioniert:
Muss für jedes Portforwarding auch eine Firewall Regel erstellt werden oder nicht?
support zyxel.de schrieb:
Sehr geehrter Herr ...,
leider muss ich Ihnen mitteilen, dass wir keine neuen Feature Request für dieses Modell mehr aufnehmen können.
Ein GRE ALG kann nicht unterstützt werden, die DMZ leitet nur TCP und UDP weitern.
Vielen Dank für Ihr Verständnis.
Mit freundlichen Gruessen,
...
> iptables -nvL --line-numbers
Chain INPUT (policy ACCEPT 16029 packets, 2148K bytes)
num pkts bytes target prot opt in out source destination
...
2 0 0 ACCEPT icmp -- pppoa2 * 0.0.0.0/0 0.0.0.0/0
3 543 156K ACCEPT all -- pppoa2 * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
...
...
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
...
2 0 0 ACCEPT icmp -- pppoa2 * 0.0.0.0/0 0.0.0.0/0
...
...
5 0 0 ACCEPT all -- pppoa2 * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
...
Config für den User
policies {
name = "meindyndnshost.org";
connect_on_channelup = no;
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
virtualip = 10.10.0.50;
remoteip = 0.0.0.0;
remotehostname = "meindyndnshost.org";
localid {
user_fqdn = "meinemailadresse";
}
mode = mode_aggressive;
phase1ss = "all/all/all";
keytype = keytype_pre_shared;
key = "xxxxx";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipaddr = 10.10.0.50;
}
phase2remoteid {
ipnet {
ipaddr = 10.10.0.0;
mask = 255.255.0.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 10.10.0.0 255.255.0.0";
wakeupremote = no;
}
Serverconfig
vpncfg {
connections {
enabled = yes;
conn_type = conntype_user;
name = "meinemailadresse";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 10.10.0.50;
remoteid {
user_fqdn = "meinemailadresse";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = xxxxxxx";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 10.10.0.0;
mask = 255.255.0.0;
}
}
phase2remoteid {
ipaddr = 10.10.0.50;
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist =
"permit ip 10.10.0.0 255.255.0.0 10.10.0.50 255.255.255.255";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
================================================
80.xx.xx.xx ->195.xx.xx.xx: [6/6] <- recv ID|AUTH, initiator, main mode
phase 1 SA established
-> initiator([email protected]), responder(wo.a.com)
-> src(80.xx.xx.xx) dst(195.xx.xx.xx)
80.xx.xx.xx ->195.xx.xx.xx: [1/3] -> sent HASH|SA|NONCE, initiator, quick mode
================================================
sent message id: 55 len: 156
ICOOKIE : 0x17C56A3AA5C0889A
RCOOKIE : 0x06BA75F4947C4313
NEXT PAYLOAD : HASH
VERSION MAJOR : 1
VERSION MINOR : 0
EXCHANGE TYPE : QUICK_MODE
FLAGS : [ ENC ]
MESSAGE ID : 0xCE569AA2
LENGTH : 156
------------------------------------------------
-> PAYLOAD HASH
-> NEXT PAYLOAD : SA
-> LENGTH : 24
-> HASH DATA
------------------------------------------------
-> PAYLOAD SA
-> NEXT PAYLOAD : NONCE
-> LENGTH : 56
-> DOI : IPSEC
-> SITUATION : 0x0001 [ SIT_IDENTITY_ONLY ]
---> PAYLOAD PROPOSAL
---> NEXT PAYLOAD : NONE
---> LENGTH : 44
---> PROPOSAL NUMBER : 1
---> PROTOCOL : IPSEC_ESP
---> SPI SIZE : 4
---> #TRANSFORMS : 1
-----> PAYLOAD TRANSFORM
-----> NEXT PAYLOAD : NONE
-----> LENGTH : 32
-----> TRANSFORM NUMBER : 1
-----> TRANSFORM ID: AES (12)
--------> SA_LIFE_TYPE (1) : SECONDS (1)
--------> SA_LIFE_DURATION (2) : 86400 seconds
--------> ENCAPSULATION_MODE (4) : TUNNEL (1)
--------> AUTHENTICATION_ALGORITHM (5) : HMAC-SHA1 (2)
--------> KEY_LENGTH (6) : 128 bits
------------------------------------------------
-> PAYLOAD NONCE
-> NEXT PAYLOAD : ID
-> LENGTH : 20
-> NONCE DATA
------------------------------------------------
-> PAYLOAD ID
-> NEXT PAYLOAD : ID
-> LENGTH : 12
-> ID TYPE : IPV4_ADDR
-> PROTOCOL ID : 0
-> PORT : 0
-> ADDRESS : 10.0.1.139
------------------------------------------------
-> PAYLOAD ID
-> NEXT PAYLOAD : NONE
-> LENGTH : 16
-> ID TYPE : IPV4_ADDR_SUBNET
-> PROTOCOL ID : 0
-> PORT : 0
-> ADDRESS : 10.0.1.0/24
================================================
================================================
Last message (id 55) retransmitted
================================================
================================================
Last message (id 55) retransmitted
================================================
================================================
Last message (id 55) retransmitted
================================================
giving up on sending message 55
> syslog dump
==== Dump of Syslog ====
...
...
Oct 15 10:43:42 | daemon.info racoon: INFO: ISAKMP-SA established 195.xx.xx.xx[500]-80.xx.xx.xx[500] spi:17c56a3aa5c0889a:06ba75f4947c4313
Oct 15 10:43:42 | daemon.info racoon: INFO: respond new phase 2 negotiation: 195.xx.xx.xx[500]<=>80.xx.xx.xx[500]
Oct 15 10:43:42 | daemon.info racoon: ERROR: failed to get sainfo.
Oct 15 10:43:42 | daemon.info racoon: ERROR: failed to get sainfo.
Oct 15 10:43:42 | daemon.info racoon: ERROR: failed to pre-process packet.
Zurück zu TECHNIK, NETZWERK & HARDWARE
Mitglieder in diesem Forum: DotNetDotCom [Crawler] und 29 Gäste