Hallo,
ich versuche mit einem 8011 gegen eine Enterasys XSR zu gehen - ohne Erfolg. Stutzig macht mich folgendes: Die Gegenstelle erhält ein ICMP Port 500 unreachable - in Phase 2.
Phase 1 wird allerdings offenbar einwandfrei abgehandelt, denn unsere (dazwischenhängende) Checkpoint liefert mir mit tcpdump (auf Ypso):
O 192.127.224.xxx.500 > 212.65.8.xxx.500: [|isakmp]
I 212.65.8.xxx.500 > 194.127.224.xxx.500: [|isakmp]
O 192.127.224.xxx.500 > 212.65.8.xxx.500: [|isakmp]
I 212.65.8.xxx.500 > 194.127.224.xxx.500: [|isakmp]
O 192.127.224.xxx.500 > 212.65.8.xxx.500: [|isakmp]
I 212.65.8.xxx.500 > 194.127.224.xxx.500: [|isakmp]
O 192.127.224.xxx > 212.65.8.xxx.: icmp: 194.127.224.xxx udp port 500 unreachable
Nun bin ich zwar Netzwerker, aber kein VPN-Spezi, aber dass ein VPN-Gateway drei Pakete auf Port 500 annimmt, und das vierte nicht mehr, kommt mir doch sehr spanisch vor.
Hat jemand schonmal etwas derartiges gesehen?
Gruß
Christian
ISAKMP nach drei Paketen unreachable
Moderator: Lancom-Systems Moderatoren
Hi c4s
Hier ist nun wichtig, was in dem 4. Paket stand. Mach dazu mal einen VPN-Status-Trace auf dem LANCOM und ggf. auch einen passenden Trace auf dem Enterasys XSR (oder schau in sein Logfile). Anhand dessen müßte sich der Fehler eigentlich finden lassen
Gruß
Backslash
Das ist beim LANCOM "normal"... Um Portscans keine Angriffsfläche zu bieten, sendet das LANCOM bei falsch kodierten Paketen den ICMP.Nun bin ich zwar Netzwerker, aber kein VPN-Spezi, aber dass ein VPN-Gateway drei Pakete auf Port 500 annimmt, und das vierte nicht mehr, kommt mir doch sehr spanisch vor.
Hat jemand schonmal etwas derartiges gesehen?
Hier ist nun wichtig, was in dem 4. Paket stand. Mach dazu mal einen VPN-Status-Trace auf dem LANCOM und ggf. auch einen passenden Trace auf dem Enterasys XSR (oder schau in sein Logfile). Anhand dessen müßte sich der Fehler eigentlich finden lassen
Gruß
Backslash