L2TP over IPSec VPN Konfiguration

Christian78
Christian78 Posts: 8
First Anniversary Friend Collector First Comment
edited April 2021 in Security

Guten Morgen!

Ich betreibe zwei ZyWall310 VPN in verschiedenen Netzen. Ich scheitere konsequent an der Einrichtung eines L2TP VPN. Eigentlich nicht so kompliziert, aber ich brauch Unterstützung.

Gateway und Connection sind eingerichtet, sowohl mittels Quick Setup als auch komplett manuell. Security Policies sind aktiv (WAN to Device, VPN Outgoing do Device, VPN Outgoing to LAN).

Scheitern tut es allerdings bei der Aushandlung des Tunnels, also meines Erachtens nach vor den Policies. Laut IKE Log hapert es an Phase 2. Denn ich komme bis "Phase 1 IKE process done".

Dann jedoch:

Tunnel [Default_L2TP_VPN_Connection] Phase 2 proposal mismatch

[SA] No proposal chosen.

Sowohl in Phase 1 als auch in Phase 2 habe ich folgende Verschlüsselungseinstellungen:

SA Lifetime 86400, Protokoll ESP, Encapsulation Transport, 3DES (SHA1), 3DES (MD5), DES (SHA1), Perfect Forward Secrecy: DH2

Hat jemand einen Rat?

Besten Gruß!

Christian

Kleiner Nachtrag: Ich möchte mit L2TP ein Client-to-Site VPN einrichten und KEIN Site-to-Site zwischen den ZyWALLs.

All Replies

  • [Deleted User]
    [Deleted User] Posts: 213  Zyxel Employee
    First Anniversary Friend Collector First Answer First Comment
    edited March 2020

    Hallo @Christian78!

    Hast du den Wizard genutzt um das L2TP zu erstellen? Dieser wählt schon gute Proposals für alle Clientsysteme von MacOSX bis Android, etc. (Edit: OK, den Proposals nach hast du den genutzt).

    Kniffliger wird es, wenn dein WAN Interface nicht direkt die Public Internet IP hat, sondern ein Router noch davor ist. Dann bitte als Local Policy für L2TP Phase 2 die Public Internet IP, statt der WAN Interface IP der USG nutzen.

    (Wenn deine IP dazu noch dynamisch ist, sag Bescheid, da gibt es noch einen weiteren Kniff.)

    Beim Windows Client dann diesen Key importieren:

    Ich denke mit den zwei Tipps solltest du einen entscheidenden Schritt weiterkommen.

    Sonst sag Bescheid!

    Beste Grüße

    Lukas

  • Hallo Lukas,

    vielen Dank für Deine Antwort!

    Die ZyWALL befindet sich nicht hinter einem weiteren Router. Das WAN-Interface hat die Public IP. Meine WAN-IP ist statisch, der WAN-Port dementsprechend konfiguriert.

    Besten Gruß,

    Christian

  • Bin mir nicht sicher, ob der Aufbau der VPN noch vor den Security Policies schief geht oder nicht. Vermute aber, dass lange bevor eine Policy greifen könnte, schon etwas schief läuft. Da die ZyWALL direkt am ISP hängt, ohne Router davor, ist davor auch nichts blockiert.

    In den Security Policies habe ich die "Default WAN to Device" zugelassen, da sind sämtliche Dienste wie IKE, HA, GRE, NATT, ESP, VRRP zugelassen.

    Des Weiteren eine aktive Policy für "IPSec VPN to any (excluding ZyWALL)" und eine aktive für "IPSec VPN to ZyWALL". Nur eine Usergruppe L2TP-User habe ich zugelassen in den Policies, der VPN User ist in der Gruppe drin.

    IP-Adressen für L2TP-User sind auch eingerichtet, befinden sich auch außerhalb der Range sämtlicher sonstiger LANs.

    Eine Policy Route ist auch aktiv, Tunnel, für L2TP, next hop: System Default WAN Trunk.

    Dennoch hängt es nach wie vor an dem Phase 2 mismatch.

    Besten Gruß!

    Christian

  • [Deleted User]
    [Deleted User] Posts: 213  Zyxel Employee
    First Anniversary Friend Collector First Answer First Comment
    edited April 2020

    Hi @Christian78,

    ich schreibe dir eine Direktnachricht um das näher zu prüfen.

    Beste Grüße

    Lukas

  • [Deleted User]
    [Deleted User] Posts: 213  Zyxel Employee
    First Anniversary Friend Collector First Answer First Comment

    Hallo @Christian78 und alle Interessierten!

    @Christian78 hat die Lösung am Ende selbst gefunden.

    Er hat in den Firewall Regeln "IPSec Outgoing" und "IPSec to Device" die Allowed User wieder auf "any" gesetzt (Default-Esintellungen auf Zyxel Firewalls).

    Beste Grüße

    Lukas

Security Highlight