L2TP over IPSec VPN Konfiguration
Guten Morgen!
Ich betreibe zwei ZyWall310 VPN in verschiedenen Netzen. Ich scheitere konsequent an der Einrichtung eines L2TP VPN. Eigentlich nicht so kompliziert, aber ich brauch Unterstützung.
Gateway und Connection sind eingerichtet, sowohl mittels Quick Setup als auch komplett manuell. Security Policies sind aktiv (WAN to Device, VPN Outgoing do Device, VPN Outgoing to LAN).
Scheitern tut es allerdings bei der Aushandlung des Tunnels, also meines Erachtens nach vor den Policies. Laut IKE Log hapert es an Phase 2. Denn ich komme bis "Phase 1 IKE process done".
Dann jedoch:
Tunnel [Default_L2TP_VPN_Connection] Phase 2 proposal mismatch
[SA] No proposal chosen.
Sowohl in Phase 1 als auch in Phase 2 habe ich folgende Verschlüsselungseinstellungen:
SA Lifetime 86400, Protokoll ESP, Encapsulation Transport, 3DES (SHA1), 3DES (MD5), DES (SHA1), Perfect Forward Secrecy: DH2
Hat jemand einen Rat?
Besten Gruß!
Christian
Kleiner Nachtrag: Ich möchte mit L2TP ein Client-to-Site VPN einrichten und KEIN Site-to-Site zwischen den ZyWALLs.
All Replies
-
Hallo @Christian78!
Hast du den Wizard genutzt um das L2TP zu erstellen? Dieser wählt schon gute Proposals für alle Clientsysteme von MacOSX bis Android, etc. (Edit: OK, den Proposals nach hast du den genutzt).
Kniffliger wird es, wenn dein WAN Interface nicht direkt die Public Internet IP hat, sondern ein Router noch davor ist. Dann bitte als Local Policy für L2TP Phase 2 die Public Internet IP, statt der WAN Interface IP der USG nutzen.
(Wenn deine IP dazu noch dynamisch ist, sag Bescheid, da gibt es noch einen weiteren Kniff.)
Beim Windows Client dann diesen Key importieren:
Ich denke mit den zwei Tipps solltest du einen entscheidenden Schritt weiterkommen.
Sonst sag Bescheid!
Beste Grüße
Lukas
0 -
Hallo Lukas,
vielen Dank für Deine Antwort!
Die ZyWALL befindet sich nicht hinter einem weiteren Router. Das WAN-Interface hat die Public IP. Meine WAN-IP ist statisch, der WAN-Port dementsprechend konfiguriert.
Besten Gruß,
Christian
0 -
Bin mir nicht sicher, ob der Aufbau der VPN noch vor den Security Policies schief geht oder nicht. Vermute aber, dass lange bevor eine Policy greifen könnte, schon etwas schief läuft. Da die ZyWALL direkt am ISP hängt, ohne Router davor, ist davor auch nichts blockiert.
In den Security Policies habe ich die "Default WAN to Device" zugelassen, da sind sämtliche Dienste wie IKE, HA, GRE, NATT, ESP, VRRP zugelassen.
Des Weiteren eine aktive Policy für "IPSec VPN to any (excluding ZyWALL)" und eine aktive für "IPSec VPN to ZyWALL". Nur eine Usergruppe L2TP-User habe ich zugelassen in den Policies, der VPN User ist in der Gruppe drin.
IP-Adressen für L2TP-User sind auch eingerichtet, befinden sich auch außerhalb der Range sämtlicher sonstiger LANs.
Eine Policy Route ist auch aktiv, Tunnel, für L2TP, next hop: System Default WAN Trunk.
Dennoch hängt es nach wie vor an dem Phase 2 mismatch.
Besten Gruß!
Christian
0 -
0
-
Hallo @Christian78 und alle Interessierten!
@Christian78 hat die Lösung am Ende selbst gefunden.
Er hat in den Firewall Regeln "IPSec Outgoing" und "IPSec to Device" die Allowed User wieder auf "any" gesetzt (Default-Esintellungen auf Zyxel Firewalls).
Beste Grüße
Lukas
0
Categories
- All Categories
- 415 Beta Program
- 2.4K Nebula
- 146 Nebula Ideas
- 96 Nebula Status and Incidents
- 5.7K Security
- 262 USG FLEX H Series
- 271 Security Ideas
- 1.4K Switch
- 74 Switch Ideas
- 1.1K Wireless
- 40 Wireless Ideas
- 6.4K Consumer Product
- 249 Service & License
- 387 News and Release
- 84 Security Advisories
- 29 Education Center
- 10 [Campaign] Zyxel Network Detective
- 3.5K FAQ
- 34 Documents
- 34 Nebula Monthly Express
- 85 About Community
- 73 Security Highlight