Forum

SSG320M ve Netscree...
 
Bildirimler
Hepsini Temizle

SSG320M ve Netscreen Remote Dialup VPN bağlantı sorunu

27 Yazılar
4 Üyeler
0 Reactions
1,109 Görüntüleme
(@EmreCan)
Gönderiler: 31
Eminent Member
Konu başlatıcı
 

 

Merhaba,

 Elimdeki SSG320M cihazına netscreen remote programı ile dialup vpn bağlanmak istiyorum. Gerekli ayarları yaptım ve netscreen remote programının kurulu olduğu bilgisayarımı SSG320M'nin untrust bacağına takılı bir switch'e bağladım. Burada programı çalıştırarak Dialup VPN yaptım ve başarılı bir şekilde trust bacağındaki networkten bir ip almayı başardım. Şimdi bunu ofis dışından da yapmak istiyorum. Bağlantı diagramı şu şekilde :

< Bağlanmak istediğim network >-----< SSG320M >-----< Airties Adsl Modem >-----< Internet >

 Modem üzerinde statik routing tanımlı herşeyi SSG320M'ye yönlendiriyor, dışarıdan sorunsuz telnet yapabiliyorum, web interface'e bağlanabiliyorum.

Ancak dialup vpn yapamıyorum,  netscreen remote'daki log şu şekilde

My Connections\Connection - Initiating IKE Phase 1 (IP ADDR= <burada external ip adresim yazılı>)
My Connections\Connection - SENDING>>>> ISAKMP OAK AG (SA, KE, NON, ID, VID 6x)
My Connections\Connection - message not received! Retransmitting!
My Connections\Connection - SENDING>>>> ISAKMP OAK AG (Retransmission)
......

 Konu ile ilgili yardımcı olabilecek arkadaşların postlarını bekliyorum.

Teşekkürler

 
Gönderildi : 02/09/2009 13:01

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33308
Illustrious Member Yönetici
 

Merhaba Emre bey

Airties genelde port yönlendirme noktsında sorun yaşar , bu nedenle ilk olarak modemin firmware ini güncelleyin ve ardından bu vpn bağlantısı için gerekli portların açık olduğunu telnet ile deneyin , sorun modem deki port yonlendirmesi olarak görünüyor. İsterseniz DMZ ip adresi olarak vpn server untrust interface ip adresi yazarak görebilirsiniz.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 02/09/2009 13:38

(@EmreCan)
Gönderiler: 31
Eminent Member
Konu başlatıcı
 

Modemde daha önce de belirttiğim gibi statik routing tanımlı, yani tüm portlar ssg320m'nin untrust bacağına yönlenmiş durumda. Firmware güncel. İnternet üzerinden external IP'me telnet yaptığım zaman ssg'ye bağlanabiliyorum. Bunun dışında bir yönlendirme yapmam mı gerekiyor? Öyle ise hangi portları yönlendireceğimi nasıl öğrenebilirim?

 
Gönderildi : 02/09/2009 14:20

(@seyitozgur)
Gönderiler: 219
Estimable Member
 

Dial-UP VPN'de bağlanırken GRE(portless) protokolu kullanıdığı için önündeki airties modem bunu port bazlı olmadığını için nereye yönlendireceğini bilemez.

Airties modemi brigde modeme alıp PPPoE bağlantısını SSG320 üzerinde sonlandırırsan problemin çözülür.

 

 
Gönderildi : 02/09/2009 16:56

(@EmreCan)
Gönderiler: 31
Eminent Member
Konu başlatıcı
 

hehe bu postu okumadan önce aynı şey aklıma geldi, modemi bridge mode'a aldım, fakat bu sefer de ssg320m üzerinden ppp bağlantısı sağlayamadım verdiği hata şuydu

Point-to-Point Protocol over Ethernet (PPPoE) connection failed to establish a session. Timeout PADI

Hatayı incelerken şunu buldum :

The PPPoE Active Discovery Initiation (PADI) packet is sent to the access
concentrator to initiate a PPPoE session. Typically, the access concentrator responds to
a PADI packet with a PPPoE Active Discovery Offer (PADO) packet. If the access concentrator does
not send a PADO packet, the routing platform sends the PADI packet again
after timeout period is elapsed. The PADI Resend Timeout doubles for each
successive PADI packet sent. For example, if the PADI Resend Timeout is 2 seconds,
the second PADI packet is sent after 2 seconds, the third after 4 seconds,
the fourth after 8 seconds, and so on.

 fakat çözüme ulaşamadım.

Ne yapmam gerektiğini bilen var mı ?

 
Gönderildi : 02/09/2009 17:20

(@selahattinsadoglu)
Gönderiler: 826
Prominent Member
 

Merhaba,

 

http://kb.juniper.net/index?page=content&id=KB14951&actp=RSS     buradaki talimatlara göre tekrar yapılandırmayı dene.Birde eğer yine olmazsa modemini değiştirmen gerekebilir.

 

Saygılarımla,

 
Gönderildi : 02/09/2009 17:49

(@EmreCan)
Gönderiler: 31
Eminent Member
Konu başlatıcı
 

Merhaba,

Linkini verdiğiniz sitede ISP ile görüşmem isteniyor. TTNET böyle bilgileri paylaşmıyor. Zaten ayarlayabileceğim şeyler ekteki resimde, yanlış ya da eksik birşey görüyor musunuz ? Zaten ayarlayabileceğim fazladan pek bir seçenek de gözükmüyor

 

 
Gönderildi : 02/09/2009 18:08

(@selahattinsadoglu)
Gönderiler: 826
Prominent Member
 

Merhaba,

O zaman şunları kontrol ediniz.Öncelikle

-  PPPoE bağlantısı  up  durumda geliyor mu? 

- Trust >  untrust  any - any  -    ilkesi tanımlı mı? 

- Untrust  tarafı NAT modda mı ? 

 Birde          

bunlara benzer olmalıdır.

Sonra  her iki cihazı kapatıp aç.

 

Saygılarımla,

 
Gönderildi : 02/09/2009 18:21

(@EmreCan)
Gönderiler: 31
Eminent Member
Konu başlatıcı
 

Hayır  -  PPPoE bağlantısı  up  durumda geliyor mu? 

Evet   - Trust >  untrust  any - any  -    ilkesi tanımlı mı? 

Evet  - Untrust  tarafı NAT modda mı ?

 Resimlerde farklı bir interface yaratılıp onun üzerinden bağlantı kurulmuş, o interface hangi ayarlara göre yaratılmış acaba.. gönderdiğiniz adresi biraz inceleyeceğim...

 
Gönderildi : 02/09/2009 18:32

(@EmreCan)
Gönderiler: 31
Eminent Member
Konu başlatıcı
 

Biraz daha araştırdım hafiften ilerleme kaydettim, şimdi dışarıdan erişim kurabiliyorum ama authentication'da problem yaşıyorum...

iki farklı şekilde de denedim, Loglar şöyle:

  Secure gateway tunnel ID type için sadece IP Address seçtiğimde :

My Connections\New Connection - Initiating IKE Phase 1 (IP ADDR= <modemin external ip'si yazıyor>)
My Connections\New Connection - SENDING>>>> ISAKMP OAK AG (SA, KE, NON, ID, VID 6x)
My Connections\New Connection - RECEIVED<<< ISAKMP OAK AG (SA, VID 4x, KE, NON, ID, HASH, VID, NAT-D 2x)
My Connections\New Connection - Peer supports Dead Peer Detection Version 1.0
My Connections\New Connection - Dead Peer Detection enabled
My Connections\New Connection - Peer is NAT-T draft-02 capable
My Connections\New Connection - Dead Peer Detection enabled
My Connections\New Connection - NAT is detected for Client and Peer
My Connections\New Connection - Floating to IKE non-500 port
My Connections\New Connection - Cannot match Phase 1 ID with Policy Entry:  received ID IP ADDR= <ssg320m'nin untrust bacak ip'si yazıyor>
My Connections\New Connection - SENDING>>>> ISAKMP OAK INFO (HASH, NOTIFY:INVALID_ID_INFO)
My Connections\New Connection - Discarding IKE SA negotiation
My Connections\New Connection -   MY COOKIE 33 ac b0 7b 23 fe 4e 73
My Connections\New Connection -   HIS COOKIE 51 e0 fb a b4 2a eb de
My Connections\New Connection - RECEIVED<<< ISAKMP OAK AG (SA, VID 4x, KE, NON, ID, HASH, VID, NAT-D 2x)
My Connections\New Connection - Received message for non-active SA
My Connections\New Connection - RECEIVED<<< ISAKMP OAK AG (SA, VID 4x, KE, NON, ID, HASH, VID, NAT-D 2x)
My Connections\New Connection - Received message for non-active SA

   Secure gateway tunnel ID type için Domain Name seçtiğimde (aslında domain name'e ne yazacağımı bilemedim, olası tüm şeyleri yazdım sonuç alabildiğim şey IKE user identity de kullandığım U_FQDN olarak tanımlanan mail adresi ile oldu - bu konuda bi fikri olan varsa beni aydınlatsın lütfen):

My Connections\New Connection - Initiating IKE Phase 1 (IP ADDR=<modemin external ip'si yazıyor>)
My Connections\New Connection - SENDING>>>> ISAKMP OAK AG (SA, KE, NON, ID, VID 6x)
My Connections\New Connection - RECEIVED<<< ISAKMP OAK AG (SA, VID 4x, KE, NON, ID, HASH, VID, NAT-D 2x)
My Connections\New Connection - Incorrect Phase 1 ID type (expected ID_FQDN):
My Connections\New Connection -   received ID IP ADDR=<ssg320m'nin untrust bacak ip'si yazıyor>
My Connections\New Connection - Peer supports Dead Peer Detection Version 1.0
My Connections\New Connection - Dead Peer Detection enabled
My Connections\New Connection - Peer is NAT-T draft-02 capable
My Connections\New Connection - Dead Peer Detection enabled
My Connections\New Connection - NAT is detected for Client and Peer
My Connections\New Connection - Floating to IKE non-500 port
No matching Phase 1 ID received for Policy Entry My Connections\New Connection.
My Connections\New Connection - SENDING>>>> ISAKMP OAK INFO (HASH, NOTIFY:INVALID_ID_INFO)
My Connections\New Connection - Discarding IKE SA negotiation
My Connections\New Connection -   MY COOKIE 2d de 33 35 40 25 8 69
My Connections\New Connection -   HIS COOKIE 87 50 cf 5e 72 c8 9e c3
My Connections\New Connection - RECEIVED<<< ISAKMP OAK AG (SA, VID 4x, KE, NON, ID, HASH, VID, NAT-D 2x)
My Connections\New Connection - Received message for non-active SA
My Connections\New Connection - RECEIVED<<< ISAKMP OAK AG (SA, VID 4x, KE, NON, ID, HASH, VID, NAT-D 2x)
My Connections\New Connection - Received message for non-active SA

 expected ID_FQDN yazısı dikkatimi çekti...

ssg320m üzerindeki policy'yi bidirectional yaptım, trust>untrust source translation da yaptım yine de olmadı...

hala problem çözülemedi yardımlarınızı fikirlerinizi bekliyorum

 
Gönderildi : 03/09/2009 14:42

(@selahattinsadoglu)
Gönderiler: 826
Prominent Member
 

Merhaba,

 

İstemci programı içersinde tanımladığınız bilgilerin resimini gönderirmisiniz.

 
Gönderildi : 03/09/2009 15:05

(@EmreCan)
Gönderiler: 31
Eminent Member
Konu başlatıcı
 

Anladığım kadarı ile

Cannot match Phase 1 ID with Policy Entry:  received ID IP ADDR= <ssg320m'nin untrust bacak ip'si yazıyor>

burada untrust bacak IPsi değil de external IP döndürmesi lazım ki benim gönderdiğim ID type IP ile match etsin... bunu da source nat ile yapılabilceğini düşünüyorum, fakat onu da denedim, sanırım buralarda bir hatam olabilir, 

untrust to trust yaptığım policy'yi bidirectional yaptım, böylece aynısının tersini trust to untrust'a eklemiş oldum. Ondan sonra trust to untrust policy ayarlarına girip Source Translation'dan Use Egress Interface IP seçtim, başka seçenek yok zaten mecburen onu seçiyorum.

Böylece içeriden gönderdiği ip'yi dışarıdaki olarak mı çevirmiş olacak, burada biraz kafam karıştı...

 
Gönderildi : 03/09/2009 15:23

(@EmreCan)
Gönderiler: 31
Eminent Member
Konu başlatıcı
 

Merhaba,

 

İstemci programı içersinde tanımladığınız bilgilerin resimini gönderirmisiniz.

Tabi göndereyim

 

 

 

 
Gönderildi : 03/09/2009 15:34

(@selahattinsadoglu)
Gönderiler: 826
Prominent Member
 

Merhaba,

 

My Connection ayarlarınızda herhang bir sorun yok.Ama My Identity tarafında  ID Type olarak  orada listeden "Domain Name" seçin.Ve hemen altındaki yerede  Juniper GUI ekranında  add-users  ile eklediğiniz kullanıcıyı adını yazınız.Ayrıca  Virtual Adapter kısmını ise Disabled yapın.Unutmadan  Pre-Shared Key butonuna basarak  gerekli  key  giriniz.Sonrasında "Enable Perfect Forward Secrecy" işaretleyin.  listeden  Diffie-Hellman Group 2  olsun.Ayrıca  şifrelem algoritmalarınızı değiştiriniz.Bunları 

Phase 1 :   AES 128   SHA 1     Seconds  28800 

Phase 2:    AES 128  SHA1  Tunnel    Seconds  3600   Compression  :  kapalı olsun.

 

Ayrıca   untrust port tarafında   VPN tunnel interface tanımlamaları olmalıdır.( bunun komutunu gönderiniz.) 

 

Saygılarımla,

 

 
Gönderildi : 03/09/2009 16:00

(@EmreCan)
Gönderiler: 31
Eminent Member
Konu başlatıcı
 

Selahattin Bey, dediğiniz gibi yaptım, fakat başa geri döndük

My Connections\Connection - Initiating IKE Phase 1 (IP ADDR= <burada external ip adresim yazılı>)
My Connections\Connection - SENDING>>>> ISAKMP OAK AG (SA, KE, NON, ID, VID 6x)
My Connections\Connection - message not received! Retransmitting!
My Connections\Connection - SENDING>>>> ISAKMP OAK AG (Retransmission)
...... 

 
Gönderildi : 03/09/2009 16:21

(@selahattinsadoglu)
Gönderiler: 826
Prominent Member
 

Merhaba,

Sorun çıkmaması lazım.Bir yerlerde hata var. O zaman şöyle yapalım.Siz bana baştan itibaren juniper üzerinde ne yaptığınızı yazın.Öyle yapalım.

Ayrıca Juniper önündeki modem /router  ise   IPSec Passthrough özellikli olmalı.Buna dikkat ediniz.hatta tavsiyem varsa elinizde d-link , zyxel modem kullanın.

Unutmadan  port 500  ve 4500  yönlendirip deneyin.Ayrıca   IPSec Passthrough  açık olmalı.

 

Saygılarımla,

 
Gönderildi : 03/09/2009 16:26

(@EmreCan)
Gönderiler: 31
Eminent Member
Konu başlatıcı
 

Daha önce söylediğiniz ayarları bilgisayarımı untrust bacağındaki switch'e bağlayarak denedim o şekilde de çalışmadı. Tekrar kendi ayarlarıma döndüm ve eskisi gibi şu halde bağlanabildim. Yani yukarıdaki netscreen remote resimlerini gördüğünüz şekilde ayarladım, ID type IP 192.168.2.5 (untrust bacak) yaptığımda sorunsuz şekilde bağlanıyorum. ID Type Domain diyip kullanıcı adımı yazıyorum (case sensitive) gateway olarak yine 192.168.2.5 diyorum bu sefer dışardan bağlanırkenki aynı hatayı alıyorum

Incorrect Phase 1 ID type (expected ID_FQDN)

önce bu konuya bir açıkık getirelim isterseniz ? Domain name'e ne yazmalıyım...

 
Gönderildi : 03/09/2009 16:39

(@EmreCan)
Gönderiler: 31
Eminent Member
Konu başlatıcı
 

Merhaba,

Sorun çıkmaması lazım.Bir yerlerde hata var. O zaman şöyle yapalım.Siz bana baştan itibaren juniper üzerinde ne yaptığınızı yazın.Öyle yapalım.

Ayrıca Juniper önündeki modem /router  ise   IPSec Passthrough özellikli olmalı.Buna dikkat ediniz.hatta tavsiyem varsa elinizde d-link , zyxel modem kullanın.

Unutmadan  port 500  ve 4500  yönlendirip deneyin.Ayrıca   IPSec Passthrough  açık olmalı.

 

Saygılarımla,

 

şu an malesef kullanabileceğim tek modem Airties, 500 ve 4500 yönlendirdim ve DMZ mode'a geçirdim, yani IPSec passthru olması lazım şu anda...

 
Gönderildi : 03/09/2009 16:41

(@EmreCan)
Gönderiler: 31
Eminent Member
Konu başlatıcı
 

O halde baştan Juniper'daki ayarlarımı anlatıyorum :

Önce User yarattım :

 

Sonra bir grup yaratıp User'ı içine attım

 

Sonra GATEWAY yarattım :

Bu da advanced penceresi : 

Sonra AUTOKEY IKE ye basarak :

Şu ayarları da yaptım : 

Bir de policy yarattım : 

 Policy advanced penceresi

 

işte juniper ayarlarım bu kadar

 
Gönderildi : 03/09/2009 16:56

Sayfa 1 / 2
Paylaş: