Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

IPSec X1200-Borderware-6.5

29 views
Skip to first unread message

Heldt, Joachim

unread,
Oct 23, 2002, 4:14:52 AM10/23/02
to
Hallo allerseits,

hat es schon mal jemand geschafft, eine IPSec-Verbindung zwischen
einer X1200 (Version V.6.2 Rev. 5 (Patch 1) IPSec V. 2.1.1) und
einer Borderware-Firewall 6.5 (IPSec-Version 3) herzustellen?
Falls ja, waehre ich an der Konfiguration sehr interessiert.

Die Algorithmen und die IKE/PFS-Group sind identisch eingestellt.
Ich verwende "Preshared-Key". Bisher scheint aber nur Phase-1 zu
funktionieren:
-----------------------------------------------------------
Bintec-Log:
09:41:26 DEBUG/IPSEC: Received vendor id `68 80 c7 d0 26 09
91 14 e4 86 c5 54 30 e7 ab ee' from fqdn(udp:500,[0..15]=
xxxx.iuk-nrw.de) (server xxx.xxx.xxx.xxx:500)

09:41:26 DEBUG/IPSEC: Phase-1 [initiator] between usr@fqdn
(udp:500,[0..15]=he...@iuk-nrw.de) and fqdn(udp:500,[0..15]=
bison.iuk-nrw.de) for peer 1, traffic 2 done.

09:41:27 DEBUG/IPSEC: Notify "No proposal chosen" from
xxx.xxx.xxx.xxx:500 for protocol ESP spi[0..4]=3c 3e 3a 25

09:41:27 DEBUG/IPSEC: Phase-2 [initiator] for ipv4(icmp:0,[0..3]=
192.168.212.13) and ipv4(icmp:0,[0..3]=192.168.210.16) failed;
No proposal chosen.

09:41:36 DEBUG/IPSEC: Notify "No proposal chosen" from
xxx.xxx.xxx.xxx:500 for protocol ESP spi[0..4]=6a c2 0c 2b
-----------------------------------------------------------
Borderware-Log:
Oct 23 09:41:34 2002 iuk-nrw sshipm: Received vendor id
`00 48 e2 27 0b ea 83 95 ed 77 8d 34 3c c2 a0 76'
from No Id (server 80.132.183.233:500)

Oct 23 09:41:35 2002 iuk-nrw sshipm: Phase-1 [responder]
between fqdn(udp:500,[0..15]=xxxx.iuk-nrw.de) and
usr@fqdn(udp:500,[0..15]=he...@iuk-nrw.de) done.
Oct 23 09:41:35 2002 iuk-nrw sshipm: Can not get
QM policy for ipv4_subnet(any:0,[0..7]=192.168.210.0/24)
<-> ipv4_subnet(any:0,[0..7]=192.168.212.0/24)
-----------------------------------------------------------
Noch eine weitere Frage:
Welche IPSec-Kombinationen (ausser X1200-X1200) funktionieren
zuverlaessig? Gibt es Erfahrungen mit FreeSwan?

Vielen Dank fuer jede Antwort, Gruesse aus Koeln,
Joachim Heldt.

______________________________________________________________________

Koordinierungsstelle fuer Informations- und Kommunikationstechnik
in den Hochschulverwaltungen des Landes Nordrhein-Westfalen

IuK-NRW MailTo:he...@iuk-nrw.de
Fachhochschule Koeln Telefon: +49 221/8275-3210
Joachim Heldt Telefax: +49 221/9320418
Claudiusstr. 1 http://www.iuk-nrw.de
50678 Koeln
______________________________________________________________________

PGP-Key-ID:0x4195C7E9
http://www.iuk-nrw.de/infoiuk/persaufg/pgp-keys/joachim-heldt.asc
______________________________________________________________________


-
Diese Mailingliste ist ein Service der TLK Computer GmbH & Co KG Muenchen.
Bilden Sie sich und Ihre Mitarbeiter weiter, indem Sie eine unserer
Bintec-Schulungen besuchen. Sie erlangen profunde Kenntisse über Konfiguration
und Management.
Nähere Informationen unter http://www.tlk.com
-

Marc Horstmann

unread,
Oct 23, 2002, 4:33:10 AM10/23/02
to
Hallo zusammen,

Ihre Brick und die Borderware widersprechen sich da
ein wenig. Bintec sagt, dass keine uebereinstimmenden
Proposals (vulgo: Kombi aus Verschluesselung und Authentisierung)
gefunden wurden. Die Proxy ID, das worueber Borderware meckert,
gehoert da eigentlich nicht rein. Mag sein, dass Bintec das
anders sieht.
Wenn wir nach Bintec gehen: Sind die Proposals auch fuer die Phase2
wirklich auf beiden Geraeten uebereinstimmend eingetragen?
Bitte beachten, dass Bintec, falls nicht haendisch in den Tabellen
angepasst, _immer_ Group2 macht.
Wenn wir nach Borderware gehen: Sind die Trafficlisten wirklich identisch?
Beispiel:
Bintec : 10.10.1.0/24<->10.10.2.0/24
Borderware : 10.10.2.0/24<->10.10.1.0/24

> Noch eine weitere Frage:
> Welche IPSec-Kombinationen (ausser X1200-X1200) funktionieren
> zuverlaessig?
>

Alles, was hier bisher getestet wurde geht ab V.6.2.x mit Bintec.
Sogar Checkpoint, die aber auch in NG nur mit festen IPs auf beiden
Seiten.

> Gibt es Erfahrungen mit FreeSwan?
>

jep. So, wie es aussieht braucht man dafuer einen faehigen Menschen auf
FreeSwan Seite, dann geht auch das.

So aus dem Gedaechtnis..
getestet wurde:
Bintec gegegen
- Bintec ;-)
- Checkpoint
- Cisco (sowohl Router als auch PIX Firewalls)
- FreeSwan
- Netscreen
- Nokia IPSO
- OpenBSD isakmpd (somit muesste ab V5 auch FreeBSD gehen)
- Watchguard

MfG
»
--
Marc Horstmann | mailto:m...@router.de
TLK Kommunikationssysteme | Tel.: (0251) 97410-0
Geiststr. 49/68 | FAX: (0251) 97410-10
D-48151 Münster | Homepage: http://www.router.de

Thomas Jung

unread,
Oct 23, 2002, 4:19:44 AM10/23/02
to
Auch hallo !

Ich hab mich mal 3 Tage lang mit dem Thema beschaftigt, hab es dann aber
irgendwann frustriert sein gelassen !

Gru? Thomas

-----Ursprungliche Nachricht-----
Von: owner-br...@tlk.com [mailto:owner-br...@tlk.com]Im
Auftrag von Heldt, Joachim
Gesendet: Mittwoch, 23. Oktober 2002 10:14
An: brick...@tlk.com
Betreff: IPSec X1200-Borderware-6.5


Hallo allerseits,

______________________________________________________________________

Bintec-Schulungen besuchen. Sie erlangen profunde Kenntisse |ber
Konfiguration
und Management.
Ndhere Informationen unter http://www.tlk.com

Heldt, Joachim

unread,
Oct 25, 2002, 4:28:03 AM10/25/02
to
Hallo Herr Horstmann,

vielen Dank fuer Ihre ausfuehrliche Antwort.

Die Proposals sind richtig eingestellt. Habe
ich mehrfach geprueft. Vermutlich wird die Trafficliste
das Problem sein. Das Interface von Borderware bietet
in diesem Punkt keine Einstellmoeglichkeiten.

Ich werde mich jetzt mal mit der OpenBSD-IPSec
Anbindung beschaeftigen. Haben Sie oder hat jemand vielleicht
noch ein paar Infos dazu (Konfigurationsbeispiel)? Gibt es
einen besonderen Punkt, der zu beachten ist?

Vielen Dank, schoene Gruesse und ein schoenes Wochenende,


Joachim Heldt.
______________________________________________________________________

Koordinierungsstelle fuer Informations- und Kommunikationstechnik
in den Hochschulverwaltungen des Landes Nordrhein-Westfalen

IuK-NRW MailTo:he...@iuk-nrw.de
Fachhochschule Koeln Telefon: +49 221/8275-3210
Joachim Heldt Telefax: +49 221/9320418
Claudiusstr. 1 http://www.iuk-nrw.de
50678 Koeln
______________________________________________________________________

PGP-Key-ID:0x4195C7E9
http://www.iuk-nrw.de/infoiuk/persaufg/pgp-keys/joachim-heldt.asc
______________________________________________________________________

-----Ursprüngliche Nachricht-----
Von: Marc Horstmann [mailto:m...@router.de]
Gesendet: Mittwoch, 23. Oktober 2002 10:32
An: Heldt, Joachim; brick...@tlk.com
Betreff: RE: IPSec X1200-Borderware-6.5


Hallo zusammen,

Ihre Brick und die Borderware widersprechen sich da
ein wenig. Bintec sagt, dass keine uebereinstimmenden
Proposals (vulgo: Kombi aus Verschluesselung und Authentisierung)
gefunden wurden. Die Proxy ID, das worueber Borderware meckert,
gehoert da eigentlich nicht rein. Mag sein, dass Bintec das
anders sieht.
Wenn wir nach Bintec gehen: Sind die Proposals auch fuer die Phase2
wirklich auf beiden Geraeten uebereinstimmend eingetragen?
Bitte beachten, dass Bintec, falls nicht haendisch in den Tabellen
angepasst, _immer_ Group2 macht.
Wenn wir nach Borderware gehen: Sind die Trafficlisten wirklich identisch?
Beispiel:
Bintec : 10.10.1.0/24<->10.10.2.0/24
Borderware : 10.10.2.0/24<->10.10.1.0/24

> Noch eine weitere Frage:


> Welche IPSec-Kombinationen (ausser X1200-X1200) funktionieren
> zuverlaessig?
>

Alles, was hier bisher getestet wurde geht ab V.6.2.x mit Bintec.
Sogar Checkpoint, die aber auch in NG nur mit festen IPs auf beiden
Seiten.

> Gibt es Erfahrungen mit FreeSwan?
>


jep. So, wie es aussieht braucht man dafuer einen faehigen Menschen auf
FreeSwan Seite, dann geht auch das.

So aus dem Gedaechtnis..
getestet wurde:
Bintec gegegen
- Bintec ;-)
- Checkpoint
- Cisco (sowohl Router als auch PIX Firewalls)
- FreeSwan
- Netscreen
- Nokia IPSO
- OpenBSD isakmpd (somit muesste ab V5 auch FreeBSD gehen)
- Watchguard

MfG
»
--
Marc Horstmann | mailto:m...@router.de
TLK Kommunikationssysteme | Tel.: (0251) 97410-0
Geiststr. 49/68 | FAX: (0251) 97410-10
D-48151 Münster | Homepage: http://www.router.de

-

Marc Horstmann

unread,
Oct 25, 2002, 4:36:01 AM10/25/02
to
Guten Tag Herr Heldt,

> Ich werde mich jetzt mal mit der OpenBSD-IPSec
> Anbindung beschaeftigen. Haben Sie oder hat jemand vielleicht
> noch ein paar Infos dazu (Konfigurationsbeispiel)? Gibt es
> einen besonderen Punkt, der zu beachten ist?
>

Das schoene an OpenBSD sind die verdammt guten "man pages".
http://www.openbsd.org/cgi-bin/man.cgi
Dort nach "vpn" suchen. Sie sollten dann eine Erklaerung des Stacks,
sowie ein Konfig Beispiel fuer a) Manual Keying und b) automatic
keying mit isakmpd finden.

0 new messages