ISAKMP nach drei Paketen unreachable

[c4s]

Hallo,

ich versuche mit einem 8011 gegen eine Enterasys XSR zu gehen - ohne Erfolg. Stutzig macht mich folgendes: Die Gegenstelle erhält ein ICMP Port 500 unreachable - in Phase 2.

Phase 1 wird allerdings offenbar einwandfrei abgehandelt, denn unsere (dazwischenhängende) Checkpoint liefert mir mit tcpdump (auf Ypso):

O 192.127.224.xxx.500 > 212.65.8.xxx.500: [|isakmp]
I 212.65.8.xxx.500 > 194.127.224.xxx.500: [|isakmp]
O 192.127.224.xxx.500 > 212.65.8.xxx.500: [|isakmp]
I 212.65.8.xxx.500 > 194.127.224.xxx.500: [|isakmp]
O 192.127.224.xxx.500 > 212.65.8.xxx.500: [|isakmp]
I 212.65.8.xxx.500 > 194.127.224.xxx.500: [|isakmp]
O 192.127.224.xxx > 212.65.8.xxx.: icmp: 194.127.224.xxx udp port 500 unreachable

Nun bin ich zwar Netzwerker, aber kein VPN-Spezi, aber dass ein VPN-Gateway drei Pakete auf Port 500 annimmt, und das vierte nicht mehr, kommt mir doch sehr spanisch vor.

Hat jemand schonmal etwas derartiges gesehen?

Gruß
Christian

[backslash]

Hi c4s

Nun bin ich zwar Netzwerker, aber kein VPN-Spezi, aber dass ein VPN-Gateway drei Pakete auf Port 500 annimmt, und das vierte nicht mehr, kommt mir doch sehr spanisch vor.

Hat jemand schonmal etwas derartiges gesehen?

Das ist beim LANCOM "normal"... Um Portscans keine Angriffsfläche zu bieten, sendet das LANCOM bei falsch kodierten Paketen den ICMP.

Hier ist nun wichtig, was in dem 4. Paket stand. Mach dazu mal einen VPN-Status-Trace auf dem LANCOM und ggf. auch einen passenden Trace auf dem Enterasys XSR (oder schau in sein Logfile). Anhand dessen müßte sich der Fehler eigentlich finden lassen

Gruß
Backslash

[c4s]

Hallo Backslash,

danke für den Tipp. Es sieht wirklich so aus, als würde die Enterasys das ersre verschlüsselte Paket nicht so senden, wie es der LANCOM erwartet und deshalb abweist.

Der Admin der Enterasys-Büchse ist aufgesetzt und sucht...

Gruß
Christian