VPN-Problem Symantec Gateway Security 360R / Client VPN v8

#1 Hallo,

nach stundenlangem testen bleibt mir ein Foreneintrag als vorletzte Rettung. Ich habe hier eine Symantec Gateway Security 360R Hardware-Firewall mit 10 Client-Lizenzen. Firewall usw. ist auch alles funktionstüchtig konfiguriert.
Das eigentliche Problem ist nun VPN. Ich bin mehrmals, z.T. auch mit weiterer menschlicher Unterstützng, Schritt für Schritt die Einrichtungsanleitung durchgegangen, sowohl für die Firewall als auch für die Client-Software. Die Client-Software läuft auf einem Laptop, der über UMTS ins Internet geht, somit also nicht im gleichen Netzwerk hängt wie die Firewall.
Bei beiden habe ich auch schon ein Live-Update durchgeführt, sind also auf dem aktuellsten Stand.

Wenn ich mich nun mit der Client-Software mit dem Sicherheitsgateway verbinden möchte, kommen folgende Meldungen:

emapi Verbindung zu Sicherheits-Gateway xxx.xxx.xxx.xxx wird hergestellt
emapi Abrufen der der Konfiguration für Gateway xxx.xxx.xxx.xxx
emapi 610 kritisch: Possible double free! (das 4 mal)
isakmpd 120 information: ISAKMP-TUnnel werden neu konfiguriert
iskampd 343 warnung: Grenze des Wiederholungszählers für das Remote-Sicherheitsgateway erreicht
Symantec Client VPN 610 kritisch: Die Kommunikation mit dem ISAKMP-Daemon ist fehlgeschlagen
Download abgebrochen

Wenn man nach den Fehlern sucht, findet man leider kein Lösung. Obwohl der Fehler vereinzelt bei Leuten auftritt, wurde nie eine Lösung gefunden (oder gepostet).

Ich habe schon versucht, die Ports freizugeben. Aber Inbond benötigt ja auch einen Appl. Server.

Ich hoffe, ich habe mich klar ausgedrückt und hoffe noch mehr, dass vielleicht jemand helfen kann.

Gruß,

Pierre

#2 Arbeitest du mit Zertifikaten, oder mit shared Keys?
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!

#3 Hi,

mit Shared Keys. Ich gehe doch richtig in der Annahme, dass ich die Shared Keys in der SGS selbst definiere, mit mind. 20 Zeichen Länge, und die nicht schon irgendwo beiliegen o.ä.
Wie ich mit Zertifikaten arbeite, habe ich in der SGS-Doku bisher leider nicht gefunden.

Was außerdem etwas verwunderlich ist, dass man nirgends IPs für die Clients angeben kann. Woher weiß denn der Client welche IP er nehmen kann? Ich arbeite ohne DHCP, alle Netzwerk-Rechner haben ihre IP selbst definiert.

Und weißt Du, wie das mit den 10 Client-Lizenzen läuft? Da ich nirgends Lizenzschlüssel oder sowas gefunden habe, gehe ich davon aus, dass die SGS nur 10 Clients zuläßt.

PS: Was ich anfangs nicht hatte, jetzt aber dazu gekommen ist, ist die Meldung im SGS-Log "Blocked by Inbound Rules 80.187.106.1:167 217.91.82.41:500 UDP"
Jetzt frage ich mich, warum die SGS den VPN-Port blockt, wenn doch VPN eingerichtet ist. Eine eingehende Regel kann ich nicht definieren, da die Firewall selbst kein Applikation Server sein kann. Das dürfte aber auch nicht sein, dass man extra die Ports freigeben muss, zumal in der Doku davon nichts steht.

Gruß,

Pierre

#4 Hallo,

ja die shared Keys kannst du selbst definieren.
Ich kenne leider die Symantec Hardware nicht, daher kann ich im konkreten Fall nicht wirklich helfen. Evtl. kann man ja auch Hilfe vom Händler besorgen?

Jedenfalls sollten 10 Lizenzen bedeuten, daß du 10 Verbindungen einrichten kannst.
Für jeden Client also eine Verbindung einrichten, mit einer eigenen Identity. Pre-Shared Key darf identisch sein.

Steht dein VPN-Gateway hinter einem Router? Dann muß noch NAT-T aktiviert werden.
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!

#5 Hallo,

Händler oder der Symantec-Support wären dann noch die letzten zwei Optionen. Sonst hab ich mir schon die Finger wund gegooglet. Schon merkwürdig, dass die wenigen Leute, die das selbe Problem hatten, nie eine funktionierende Lösung präsentiert bekamen.

Der VPN-Gateway, also die SGS, hängt direkt am DSL-Modem.

Gruß,

Pierre

#6 Ich kann nur mutmaßen, aber das "Possible double free!" hört dich evtl. nach gleichen Identities an. Hast du mehrere Verbindungen mit der selben Identity erstellt? Das solltest du unterlassen.

Funktioniert es denn bei manchen Clients?
Wenn es ab und an funktioniert: Wann funktioniert es nicht?
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!

#7 Ich habe bisher immer nur *eine* Verbindung mit dem Notebook über UMTS versucht und einmal an einem anderen Standort über eine ISDN-Leitung. Es hat leider noch nie funktioniert.

#8

Zitat

HeVTiG postete
Ich kann nur mutmaßen, aber das "Possible double free!" hört dich evtl. nach gleichen Identities an.

Imho hat die Meldung "possible double free" eher mit Fehlern in der Software als in der Konfiguration zu tun - siehe hier: http://de.wikipedia.org/wiki/Double_free.

Ich würde da gar nicht lange rumwerkeln, sondern mal den Symantec Support bemühen, die Jungs sind eigentlich ganz fit.

Alternativ könnte sicher ein Kollege von mir, der in Sachen Symantec absolut fit ist, Hilfestellung geben - aber der will da bestimmt Geld für haben
__________
the power to serve

#9 Danke, dann werd ichs mal mitm Symantec Support probieren.

Aber deinen Kollegen lass ich mal nicht außer Acht

#10 Ja, da war ich wohl auf dem falschen Dampfer. Der Symantec Support sollte bemüht weden. Schließlich hast du ja sogar LiveUpdate ausgeführt.
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!

#11 1. es gibt Probleme mit VPN via UMTS, da einige Pakete nicht weitergeleitet werden (Provider abhaenig)

2. es werden keine IPs zugeordnet, der VPN-Client setzt lediglich neue Routen, um des Remote-Netzwerk zu erreichen - man kann das schoen sehen mit einem route print ohne und dann mal mit VPN connected