Habe jetzt die Standleitung, bekomme aber den gleichen Fehler. NAT-Probleme können wir also schonmal ausschließen. Ich glaube das Problem liegt einfach daran, dass ich keine Ahnung davon habe wie genau die IPs/Subnetze konfiguriert werden müssen. Darüber hinaus verstehe ich viele Begriffe im Einzelnen (Bridge, PPP, L2TP, Tunnel,...), aber nicht wie die richtig zusammen arbeiten müssen für genau meinen Usecase.
Ich versuche es jetzt mal wirklich Schritt für Schritt. Sorry im Voraus falls ich Dinge durcheinander werfe.
Ich muss zunächst einmal wählen ob ich in IPSec den Tunnel- oder Transport-Modus benutzen möchte [1]. Ich gehe mal davon aus, dass der PP Server beides unterstützt. Tunnel muss funktionieren, weil racoon das ja wohl bei L2TP über Ipsec benutzt. Transport muss funktionieren, weil es für dich klappt; und ohne XAUTH kann ich mich im Transport-Modus ja auch verbinden.
Die Fehlermeldung INVALID_ID_INFORMATION fand ich hier [2] noch mal gut erklärt:
Both sides of the tunnel must have the correct endpoint IP and remote subnet information entered as advertised by the other end of the tunnel. If there is a mismatch between what one side is advertising as the accessible remote subnet behind itself and what is configured on the other end of the tunnel the tunnel will show as not connected and the log will display the INVALID_ID_INFORMATION message. Double check that both sides are using the appropriate Remote Subnet.
Was mich genau wieder zu Schritt eins zurückführt:
Auf [3] steht so schön mit einem Bild [4] beschrieben, dass man sich zuerst klar machen soll welche Subnetze auf welcher Seite liegen.
Jedoch gilt die ganze Subnetz-Geschichte nur im Tunnel-Modus. Denn wenn ich Transport-Modus als Encapsulation wähle, kann ich als "Local ID" und "Remote ID" nicht den Typ "Subnetz" wählen, sondern nur ein Interface oder eine IP direkt. Hier [5] hat jemand z. B. als Encapsulation "Tunnel" gewählt und konnte so als "Local Addr Type" SUBNET (192.168.0.0/24) wählen. Das kann ich nicht, wenn ich Transport wähle.
Nun bin ich etwas verwirrt darüber, dass auf meinem MacBook in meiner ifconfig ein ppp0 durch IPSec/L2TP angelegt wird mit "inet 10.11.15.131 --> 10.11.15.129 netmask 0xff000000". Ich dachte, dass LinkLayer-Protokol wäre L2TP, ist PPP nicht eine Alternative zu L2TP in dem Fall? Auf der linken Seite des PPP liegt meine interne VPN IP (10.11.15.131) aber was ist 10.11.15.129? Meine interne IP im Netz auf der anderen Seite des Tunnels? Jedenfalls dachte ich mir hier, dass das Remote-Subnetz wohl 10.0.0.0/8 sein muss wegen der netmask in der ifconfig.
Also habe ich versucht mich im Tunnel-Modus mit der "Remote ID" 10.0.0.0/8 und der "Local ID" 192.168.7.0/24 zu verbinden. Dachte also, dass die Remote ID nun stimmen müsste. Habe aber wieder nur ein INVALID_ID_INFORMATION bekommen. Auch mit "0.0.0.0". Muss ich vielleicht auf meiner FW auch ein PPP zum Benutzen in dem Tunnel einrichten? Oder vielleicht irgendeine Bridge? Vielleicht ein virtuelles Interface? Ich habe ja 192.* und nicht 10.* wie der PP Server mir auf meinem Macbook zuordnet. Also brauche ich wohl irgendeinen Tunnel... Die GUI auf [6] ist meiner GUI eigentlich recht ähnlich. Dort wird erst ein Tunnel aufgesetzt mit den richtigen Subnetzen.
Wie dem auch sei, versuche ich den Transport-Modus zu benutzen, muss ich als Local ID und Remote ID jeweils den Typ "Host" oder "Interface IP" angeben. Nun müssen diese Dinge ja die Spezifikation auf dem PP Server matchen, sonst bekomme ich den INVALID_ID_INFORMATION. Das verstehe ich aber jetzt nicht - soll ich hier die Interne IP angeben? Die ist ja 192.*
Du siehst, ich habe so ein Bild [4] nie aufgezeichnet. Da ich aber hier kein bereits fest bestehendes Netz sondern Greenfield habe, kann ich mir ja frei aussuchen was ich haben will. Aber selbt wenn ich die Kette auf Papier hätte, wüsste ich imemr noch nicht worauf genau sich Local ID und Remote ID bezieht. Meine Local ID muss das matchen was als Remote ID im PP Server angeben ist? Auf [7] steht wieder was ganz anderes zu INVALID_ID_INFORMATION:
Aggressive Mode request error. Check the following: SA name in remote peer must be the same as the local unit’s unique firewall identifier in
the VPN settings (and vice-versa).
SA name und firewall identifier? Ich dachte wir reden hier über Subnetze? Ich bin gerade etwas verwirrt.
Du hast geschrieben:
... Wenn nun deine FW das nicht macht, sondern darauf besteht, dass ihre IP im Paket enthalten ist, klappt das nicht, denn im Paket ist natürlich die öffentliche IP des DSL Routers enthalten. ...
Nun, in meiner FW Log steht, dass die Message INVALID_ID_INFORMATION von [IP eines PP Servers port 500] an [meine WAN IP port 500] geschickt wird. Also klagt nicht die FW sondern der Server wenn ich das richtig verstehe.
Ok, vielleicht muss ich komplett auf DNS verzichten und nur über eine hardgekodete öffentliche IP des PP Servers gehen und die als "Remote ID" eintragen. Gerade probiert, gleiche Fehlermeldung wie immer.
[1]
https://en.wikipedia.org/wiki/IPsec#Modes_of_operation
[2]
http://www.cohesiveft.com/dnld/CohesiveFT-VNS3-3.x_IPsec-Troubleshooting.pdf Seite 9
[3]
http://www.enterprisenetworkingplan...ild-an-IPSEC-VPN-Without-Losing-Your-Mind.htm
[4]
http://www.enterprisenetworkingplanet.com/img/2009/10/ipsec_diagram.jpeg
[5]
http://www.dslreports.com/faq/8377
[6]
https://live.paloaltonetworks.com/docs/DOC-6791
[7]
http://www.vpncasestudy.com/download/troubleshoot/Troubleshooting_IKE_VPN.pdf Seite 6