CB 2.0 Site-2-Site VPN wird nicht aufgebaut

Zemmionneur73

Hallo,

ich möchte zwischen 2 CB2.0 einen VPN-Tunnel aufbauen. Dazu ist an beiden Endpunkte ein DDNS konfiguriert. Der wird auch aufgelöst.

Konfiguration am Standort A:

Swisscom-IKEv2-PFSB.DDNS.NET192.168.1.0/24---ABCD1234 ABCD1234

Konfiguration am Standort B:

Swisscom-IKEv2-PFSA.DDNS.NET192.168.7.0/24---ABCD1234 ABCD1234

Es sind jeweils die DDNS-Einträge und der IP-Range des anderen Standortes eingetragen.

FW-Version von beiden Routern ist identisch.

Passwort ist auf beiden Seiten identisch.

Trotzdem bleibt der Tunnel rot.

Log:

13.10.202219:40:20IPsecInformation13[IKE] received NO_PROPOSAL_CHOSEN notify error 13.10.202219:40:20IPsecInformation13[ENC] parsed IKE_SA_INIT response 0 [ N(NO_PROP) ] 13.10.202219:40:20IPsecInformation13[NET] received packet: from 85.6.190.xxx[500] to 92.106.76.yyy[500] (36 bytes) 13.10.202219:40:20IPsecInformation11[NET] sending packet: from 92.106.76.yyy[500] to 85.6.190.xxx[500] (900 bytes) 13.10.202219:40:20IPsecInformation11[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ] 13.10.202219:40:20IPsecInformation11[IKE] initiating IKE_SA SwcIpsecProfile1$1[2] to 85.6.190.xxx 13.10.202219:40:20IPsecInformation11[IKE] initiating IKE_SA SwcIpsecProfile1$1[2] to 85.6.190.xxx 13.10.202219:40:20IPsecInformation11[KNL] creating acquire job for policy 92.106.76.yyy/32 === 85.6.190.xxx/32 with reqid {1}

Hat jemand eine Idee? Das ist doch nun wirklich die Standard-Konfiguration.

Ist hat etwas beschwerlich - die beiden Endpunkte sind eine Stunde Autofahrt voneinander entfernt und ich habe niemand dem ich zutrauen kann auf der anderen Seite gleichzeitig Konfigurationen anzupassen.

Zemmi

POGO 1104

Diese Anleitung verwendet?:

https://documents.swisscom.com/product/1000260-Connectivity_Geraete_/Documents/Spezifikationen/Centro_Business2_Site_to_Site_VPN%20%C3%BCber_IPsec_einrichten-de.pdf

Zemmionneur73

Ja,

die Anleitung kenne ich. Auch Voraussetzungen und Einschränkungen gelesen.

Leider steht da aber ja nicht viel drin.

Gruss

Zemmi

Lori-77

Hallo @Zemmionneur73

Kannst du denn vom Standort A Standort B anpingen?

Kannst du vom Standort B Standort A anpingen?

So weisst du mal ob es funktioniert das du die Router gegenseitig sehen.

Oder kannst du von Handy aus deine zwei Standort Anpingen?

Gruss Lorenz

Zemmionneur73

Hallo Lorenz,

ja, DDNS-Auflösung und ping funktioniert problemlos.

Im Log sieht man auch, dass der andere Rechner antwortet.

13.10.202219:40:20IPsecInformation13[NET] received packet: from 85.6.190.xxx[500] to 92.106.76.yyy[500] (36 bytes) 13.10.202219:40:20IPsecInformation11[NET] sending packet: from 92.106.76.yyy[500] to 85.6.190.xxx[500] (900 bytes)

Gruss
Zemmi

Zemmionneur73

Ich hab das Ganze jetzt nochmal mit

- Swisscom-IKEv1

- fixen IP-Adressen statt DDNS-Namen

- einfacherem Passwort

probiert. Da läuft es dann. Muss jetzt wohl mal nacheinander wieder auf DDNS, IKEV2 und dann ein vernünftiges Passwort umstellen und schauen, wann es nicht mehr funktioniert...

Lori-77

Hallo @Zemmionneur73

Es kann sein das nicht alle Sonderrzeichen im Passwort gehen. Probiere nur mit $ am Anfang.

Gruss Lorenz

Tux0ne

Du kannst die Konfiguration ja auch Remote durchführen. Bei einem Business Internet kannst du jeweils den Fernzugriff via Kundencenter freischalten. Dann muss man nicht hin und her pendeln 🙂

Aber ich denke auch das es primär mal am Passwort liegt.