Hinweise bei Problemen mit IPSec Client Einwahl Verbindungen
Aus bintec elmeg Support-Wiki / FAQ
- Begriffserklärung:
Wenn nachfolgend von einem IPSec Client geschrieben wird, so umfasst dieser Begriff sowohl den bintec-elmeg Secure IPSec Client als auch den be.IP Secure Client.
Bei einer IPSec Client - Gateway Verbindung sind die Rollen klar verteilt.
Außschließlich der Client initiiert die Verbindung, das Gateway als quasi "Server" erlaubt oder verweigert den Aufbau bzw. nachfolgend den Traffic zwischen den beiden Partnern.
(In diesen Überlegungen ist die Nutzung der im bintec-elmeg Secure IPSec Client integrierten Firewall nicht berücksichtigt).
Bei Verbindungsproblemen ist es wichtig zunächst festzustellen, ob der Client oder das Gateway die Ursache sind. Dazu ist es bisweilen hilfreich von Client aus eine IPSec Verbindung zu unserem Testsystem aufzubauen. Damit können etwa Installations- und Treiberprobleme bei Client ausgeschlossen werden. Sie können die für den Test nötige Datei (bintec_testzugang.ini) hier herunterladen. Unter Konfiguration > Profile > Import kann diese eingespielt werden. Nach einem erfolgreichen verbindungsaufbau sollten Sie die IP Adressen 192.168.100.1 und 192.168.100.2 pingen bzw. im Browser aufrufen können.
Für eine Fehleranalyse ist grundsätzlich ein paralleler Blick auf Client und Gateway erforderlich, das bedeutet im ersten Schritt gleichzeitige Log/Debug Meldungen von Gateway und Client.
Dazu auf dem Gateway (Systemverwaltung->Globale Einstellungen->System) das "Nachrichtenlevel von Systemprotokolleinträgen" auf "Debug" stellen. Das Systemprotokoll ist unter Monitoring->Internes Protokoll->Systemmeldungen zu finden.
Im IPSec Client ist der Log unter Hilfe->Logbuch zu finden.
- Konfigurationshinweise für das Gateway:
Wir empfehlen bei einer IPSec Client Einwahl für die IP Adressvergabe den IKE Konfiguration Modus (Server im IKE-Konfigurationsmodus) zu nutzen und dabei IP Adressen aus dem privaten, internen Subnetz zu verteilen. Bei Nutzung des IKE Konfiguration Modus und gleichzeitiger Vergabe von internen, privaten IP Adressen an die einwählenden Clients ist es zwingend erforderlich sowohl im IPSec Peer als auch am internen LAN Interface "IPv4 Proxy ARP" auf "Aktiv oder Ruhend" zu setzten.