IPsec zwischen USG-Pro-4 und USG hinter FB 7590

    • Offizieller Beitrag

    Guten Abend,


    ich möchte gern zwischen 2 UGSs einen manuellen IPsec-Tunnel als Site-to-Site-VPN realisieren.


    Mein USG-Pro-4 befindet sich hinter einem 165er Vigor, die Gegenseite (USG) hinter einer 7590, vorher auch hinter 165er Vigor (alle Software-Stände aktuell).


    Leider konnte das Setup der Gegenseite nicht bestehen bleiben, daher ist nun die Fritz!Box 7590 wieder VOR das USG gewandert und kümmert sich wegen der Telefonie auch wieder um die PPPoE-Einwahl.


    Dennoch wollen wir das IPsec-VPN zwischen den beiden USGs herstellen. Bisher ist uns das leider nicht geglückt, obwohl eine VPN-Verbindung im Road-Worrior-Szenario aus dem Mobilfunknetz zu beiden Konfigurationen hergestellt werden kann, aber eben nicht als Site-to-Site zwischen den USGs.


    Wir haben es (auf der Fritz!Box-Seite) mit und ohne doppeltem NAT versucht: ohne Erfolg. Als die PPPoE-Einwahl auf beiden Seiten durch das USG hergestellt wurde, ging das problemlos. Allerdings gab es in diesem Setup immer wieder Probleme mit der Telefonie (Vigor vor USG vor FB für DECT-Telefonie - Verbindungsabbrüche und das senkt den WAF erheblich:exclamation_mark:), daher wieder die Umstellung.


    Mir wäre es egal, wie wir die Verbindung unter Aufrechterhaltung des o.g. Setups zu Stande bekommen. Egal ob mit oder ohne doppeltem NAT. Es ist ja nicht so, dass da ständig Ports geöffnet oder geschlossen werden müssen.


    Wenn ich versuche einen Client hinter dem gegnerischen USG per ping zu erreichen, dann gibt es einen neuen 3-zeiligen Eintrag im Log (show vpn log auf der Console des USG-Pro-4):

    Code
    Nov 28 21:51:06 06[KNL] creating acquire job for policy x.x.x.x/32[ipencap] === y.y.y.y/32[ipencap] with reqid {48}
Nov 28 21:51:06 06[IKE] <peer-y.y.y.y-tunnel-vti|3> initiating Main Mode IKE_SA peer-y.y.y.y-tunnel-vti[3] to y.y.y.y
Nov 28 21:51:08 03[IKE] <peer-y.y.y.y-tunnel-vti|3> deleting IKE_SA peer-y.y.y.y-tunnel-vti[3] between x.x.x.x[x.x.x.x]...y.y.y.y[%any]
# ------------------------------------------------------
Nov 28 22:02:50 04[KNL] creating acquire job for policy x.x.x.x/32[ipencap] === y.y.y.y/32[ipencap] with reqid {48}
Nov 28 22:02:50 15[IKE] <peer-y.y.y.y-tunnel-vti|4> initiating Main Mode IKE_SA peer-y.y.y.y-tunnel-vti[4] to y.y.y.y
Nov 28 22:02:51 07[IKE] <peer-y.y.y.y-tunnel-vti|4> deleting IKE_SA peer-y.y.y.y-tunnel-vti[4] between x.x.x.x[x.x.x.x]...y.y.y.y[%any]

    Legende: x.x.x.x ^= meine öffentliche IP-Adresse, y.y.y.y ^= öffentliche IP-Adresse der Gegenseite


    Wenn das von der Gegenseite initiiert wird, dann gibt es nur die erste Zeile: Ich vermute, dass das USG auf der anderen Seite nicht bis zu mir kommt, obwohl alle Client hinter dem USG hinter der Fritz!Box problemlos ins Internet kommen.


    Vielleicht hat ja jemand dieses Setup oder noch eine Idee, was wir noch versuchen können.

    Gern würde ich auch als Kreuztest eine Verbindung zu jemandem hier aus dem Forum aufbauen, um - wenigstens für mein Gewissen :smiling_face_with_halo: - sicherzustellen, dass es nicht an meiner Config liegt. Vielleicht hat ja jemand Lust / Zeit / Bock bei der Problemsuche zu unterstützen.


    Ich danke euch schon jetzt und wünsche eine Gute Nacht. :sleeping_face: