TwoCom Online-Forum

[jucki33]

Wer kann helfen?
Konfig: Zywall 50 mit fixer IP an DSL, Vigor 2200 V2.1 an Cable mit dynamischer Adresse.
Problem: VPN kann nicht aufgebaut werden.
Versuche: Anleitung von Draytek gelesen und beide Geräte konfiguriert, jedoch ist Anleitung nur mit fixer IP!
Wer hat Erfahrungen mit Zywall und Draytek?
Zywall 10 an Zywall 50 mit fixer IP Adresse geht einwandfrei (MAC & Windows) Merci Sam

[deMattin]

Statt der fixen IP kannst du im Vigor für das Ziel auch eine www-Adresse eingeben.
Ich denke, dass müsste doch bei Zywall auch gehen.

Also einfach einen Account bei no-ip.com (finde ich besser als dyndns.org) registrieren, die entsprechenden Daten für automatischen Update im Vigor eintragen (Dynamic DNS Setup) und dann statt der IP im VPN-Konfig (von Zywall) die www-Adresse eintragen.

Zywall benutze ich selber nicht, kann daher auch nicht sagen, ob der beschriebene Weg funktioniert.

Gruss,
Martin

[mrecla]

Welche Firmware hast Du derzeit in Deinem ZyWALL-50 ??
Z..EL arbeitet derzeit intensivst an einer neueren Firmware Version fuer alle ZyWALL Modelle, wo speziell sehr viele Bugfixes bzw. Feature Enhancements fuer IPsec enthalten sind. (Konkret im Bereich SINGLE/SUBNET/RANGE fuer Local und Remote LANs, IKE Phase 1 und 2, und auch beim VPN Logfile).

Es kann gut sein, dass es mit der offiziellen Public Release fuer den ZyWALL-50 noch Inkompatibilitaeten zu anderen IPsec/VPN Routern gibt, auch zu DrayTek, die aber in einer neueren Betatest Firmware von Z..EL doch schon geloest sind.
Frag mal Deinen Z..EL Lieferanten/Distributor, ob er Dir nicht eine neuere Betatest Version v3.50(WC.2)b3 vom 11. Maerz 2002 (oder eine noch neuere ??) zukommen lassen kann.

Ich selbst habe einen ZyWALL10 mit der aktuellsten Betatest Firmware v3.50(WA.3)b4 vom 15. Maerz 2002 bzw. eine spezielle Testfirmware Version vom 2. April 2002 (bei der dann auch das Problem mit der Packet-Fragmentierung bei NAT durch den IPsec Tunnel geloest ist)


mit freundlicher Empfehlung aus Wien
Manfred

[mrecla]

oops, ich hatte vorhin noch vergessen zu erwaehnen:

"dynamisches IPsec/VPN" funktioniert bei den Z..EL ZyWALLs erst mit den aktuellsten bzw. allerneuesten Betatest Firmware Versionen ab Mitte Maerz 2002.

Dh, dass sowohl "My WAN IP-Addr" als auch "Remote Secure Gateway" auf 0.0.0.0 (bzw. einen echten Namen wie bspw: "mueller-oder-meier.dyndns.com") konfiguriert werden koennen.

mit freundlicher Empfehlung aus Wien
Manfred

[robertoschwald]

Es hat schon einen Grund, warum bei Vigor nur Konfigurationsbeispiele mit fixer IP vorhanden sind.

Derzeit unterstuetzen die Vigors dynamische IP's nicht richtig.
Ich bin mit Vigor seit längerem in Kontakt bezueglich dieses Problems.

- Aggressive Mode wird nicht unterstuetzt
- Main Mode funktioniert nicht, da als Peer-ID IMMER die IP-Adresse uebertragen wird, Email-Adresse etc. derzeit nicht moeglich.
- Zertifikate werden nicht unterstuetzt.

Deshalb hat man keine Chance, eine VPN zu Gegenstellen Aufzubauen, welche sich an den IPSec-Standard halten wenn der Vigor eine dynamische IP erhält.
(z.B. zu Netscreen Firewalls etc.)

Uebrigens sind die Leute bei Vigor in Taiwan sehr nett und aufgeschlossen (besonders Sam Hu)

Wann die das Problem fixen ist noch nicht bekannt. Währenddessen kann man sich evtl. damit behelfen, das IPsec Protokoll auf der Gegenseite weniger restriktiv zu setzen (kein Policy check etc.). Bei uns half das leider aber auch nichts.


Robert

[MARamius]

Hi,

ich stehe auch gerade vor einem 2200W+ mit T-DSL (dyn.IP) und will ein LAN2LAN-VPN zu einer NetScreen 100 mit fix.IP aufbauen...

Einzige Fehlermeldungen auf Netscreen "Received IPSEC-Mode1-Packet from unrecognized peer 80.x.x.x"



Weiss jemand, ab wann Draytek Agressive Mode mit Peer-ID=e-mail-Adresse anbietet?

Danke
Ciao
MARamius