Forum
Bildirimler
Hepsini Temizle
Juniper Networking
9
Yazılar
5
Üyeler
0
Reactions
504
Görüntüleme
Konu başlatıcı
Merhabalar,
Site2site yapmak için kendi tarafımda Autokey IKE, P1-P2 Proposal ve Gateway tanımlamalarını yaptım, policy den ayarlarınıda yaptım ancak Monitor Status da Inactive gözükmekte.
Karşı Taraf yazılımsal firewall kullanmakta..
Event Log
2009-07-28 20:01:25 info Rejected an IKE packet on untrust from 88.249.243.162:500 to 88.249.179.165:500 with cookies 7cbf856556c0b9aa and 4418e4147578c1cd because the peer sent a proxy ID that did not match the one in the SA config.
2009-07-28 20:01:25 info IKE<88.249.243.162> Phase 2: No policy exists for the proxy ID received: local ID (<10.20.25.0>/<255.255.255.0>, <0>, <0>) remote ID (<192.168.0.0>/<255.255.255.0>, <0>, <0>).
proxy olarak squid (ubuntu) kurulu bir makine var ama site2site için squid de de bir ayar yapmam gerekiyormu.?
Gönderildi : 29/07/2009 11:32
Günaydın ;
Karşı tarafataki sunucu ubuntu sanırım dimi öle ise squid ile bir alakanız yok o makina üzerindeki vpn servisi sizin için önemli ve muhtemelen şifreleme algoritmaları (des 3des aes) DHG (1,2,5,7) uymuyodur. Karşılıklı olarak şifreleri algoritmaları gözden geçirin birde karşıdaki loglarıda paylaşabilirseniz daha net şeyler çıkabilir.
Kolay gelsin.
Gönderildi : 29/07/2009 12:06
Konu başlatıcı
Karşı Tarafın Ayarı (
Normal
0
21
false
false
false
MicrosoftInternetExplorer4
/* Style Definitions */
table.MsoNormalTable
{mso-style-name:"Normal Tablo";
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-parent:"";
mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
mso-para-margin:0cm;
mso-para-margin-bottom:.0001pt;
mso-pagination:widow-orphan;
font-size:10.0pt;
font-family:"Times New Roman";
mso-ansi-language:#0400;
mso-fareast-language:#0400;
mso-bidi-language:#0400;}
PfSense firewall ) - Kalın olanlar Juniper Ayarları
Phase 1 proposal (Authentication) :aggressive
My identifier/ip address :Benim Static IP
Encryption algorithm :3DES - 3DES-CBC
Hash algorithm :SH1 - SHA-1
DH key group :1024bit(2 GROUP)
Lifetime :28800 SECOND
Authentication method :Pre-shared key
Pre-Shared Key :Haberleşecekleri Anahtar
Phase 2 proposal (SA/Key Exchange)
Protocol :ESP
Encryption algorithms :3DES - 3DES-CBC
Hash algorithms :SH1,MD5 - MD5
PFS key group :1024bit(2 group)
Lifetime :28800 second
Karşı Tarafın logları
v\:* {
BEHAVIOR: url(#default#VML)
}
o\:* {
BEHAVIOR: url(#default#VML)
}
w\:* {
BEHAVIOR: url(#default#VML)
}
.shape {
BEHAVIOR: url(#default#VML)
}
Jul 29 10:17:19 racoon: ERROR: phase1 negotiation
failed due to time up. 7d71296cfd02184c:0000000000000000
failed due to time up. 7d71296cfd02184c:0000000000000000
Jul 29 10:17:00
racoon: INFO: delete phase 2 handler.
racoon: INFO: delete phase 2 handler.
Jul 29 10:17:00
racoon: [LifeMedIst]: ERROR: phase2 negotiation
failed due to time up waiting for phase1. ESP
88.249.179.165[0]->88.249.243.162[0] Jul 29 10:16:29 racoon: INFO:
begin Aggressive mode.
racoon: [LifeMedIst]: ERROR: phase2 negotiation
failed due to time up waiting for phase1. ESP
88.249.179.165[0]->88.249.243.162[0] Jul 29 10:16:29 racoon: INFO:
begin Aggressive mode.
Jul 29 10:16:29
racoon: [LifeMedIst]: INFO: initiate new phase
1 negotiation: 88.249.243.162[500]<=>88.249.179.165[500] Jul 29 10:16:29 racoon: [LifeMedIst]: INFO: IPsec-SA request for
88.249.179.165 queued due to no phase1 found.
racoon: [LifeMedIst]: INFO: initiate new phase
1 negotiation: 88.249.243.162[500]<=>88.249.179.165[500] Jul 29 10:16:29 racoon: [LifeMedIst]: INFO: IPsec-SA request for
88.249.179.165 queued due to no phase1 found.
Juniper da buna karşılık
Rejected an IKE packet on untrust from 88.249.243.162:500 to
88.249.179.165:500 with cookies 7d71296cfd02184c and 0000000000000000
because an initial Phase 1 packet arrived from an unrecognized peer
gateway.
88.249.179.165:500 with cookies 7d71296cfd02184c and 0000000000000000
because an initial Phase 1 packet arrived from an unrecognized peer
gateway.
hatası verdi. Phase 1 i geçemiyor. Gateway in advanced kısmında Security Level de Predefined Standart seçili bu arada..
Gönderildi : 29/07/2009 13:02
Konu başlatıcı
Arkadaşlar yokmu yardımcı olacak birisi.?
Gönderildi : 29/07/2009 18:32
Konunu üzerinden çok uzun geçmiş fakat bende aynı sorunu yaşadığımda araştırırken bu konuya ulaştım. Hakan Bey'in eklediği dökümanda bu hatayı aldığınızda faz 1 ayarlarında outgoing interface'i kontrol edin diyor. Benimde sorunum buymuş, internet linki farklı interface takılınca buradaki outgoing interface'i değiştrmek gerekiyor. Silip yeniden doğru interface ile oluşturunca VPN çalıştı.
Gönderildi : 29/03/2011 12:04
Proxy ID bölümünde Phase 2'de 2 karşı taraflı 2 networkude yazarsan problemin çözülür.
Gönderildi : 29/03/2011 14:22
Konuyla ilgili olarak benim sorunum şu; karşılıklı site2site vpn up görünüyor ama birbirimizin iç networküne gidemiyoruz. Nereye ne yazmamız gerekiyor. Policies bölümünde trust to untrust ve untrust to trust olarak her iki iç network'üde any any permitledim. Ayrıyeten Network+Routing 'de destination ve source kısmınada bir tanım girmem gerekiyormu?
Gönderildi : 08/12/2011 17:15
Evet, ben bu şekilde routing yapıyorum. VPN deki oluşturduğun tunel'e routing yap, örneğin;
*172.16.50.0/24 tunnel.6 S 20 1 Root
*192.168.15.0/24 tunnel.9 S 20 1 Root
Gönderildi : 16/12/2011 19:11
Evet, VPN yaparken oluşturduğun tunel'e routing yapmalısın.
*172.16.11.0/24 tunnel.6 S 20 1 Root
*192.168.3.0/24 tunnel.9 S 20 1 Root
Gönderildi : 16/12/2011 19:12
