Racoon, NAT-T und Mehrfachverbindungen

[BenMohs]

Hallo, ich suche Hilfe bei folgendem Problem.

Debian-System mit racoon in der unten angegebenen Konfiguration.
Das Zustandekommen auch von mehreren IP-Sec Verbindungen klappt.
Verbindungen von Clients hinter einem DSL-Router werden auch erfolgreich als NAT-T erkannt und angelegt.
Die Kommunikation erfolgt über Port 4500, also Nat-T

Aber: sobald eine zweite Verbindung von einem zweiten Client hinter dem selben Router aufgebaut wird, funtkioniert die erste Verbindung nicht mehr.
Keine Fehlermeldungen. SAs von beiden Verbindungen sind in der SADB vorhanden.
Zwei NAT-T Verbindungen von Clients hinter verschiedenen Routern klappen dagegen.
Irgendwas mit meinem NAT-T stimmt nicht aber ich finde den Fehler nicht.

Könnt Ihr mir weiterhelfen?

Hier nun die Konfig:
log debug2;

path pre_shared_key "/etc/racoon/psk.txt";

listen {
adminsock disabled; #do not listen on the admin socket
# isakmp 78.47.85.82 [500]; #address for ISAKMP
# isakmp_natt 78.47.85.82 [4500]; #address for ISAKMP NAT-Traversal
# strict_address; #strictly bind these addresses
}

remote anonymous { #anonymous matches ANY ipsec client
exchange_mode main; #ISAKMP phase 1 exchange mode
ph1id 16; #phase 1 proposal identifier
proposal_check claim; #claim our own lifetime value
lifetime time 12 hour;#phase 1 lifetime
mode_cfg on; #gather network information through ISAKMP
generate_policy on; #generate ipsec policy from initiator SA payload
nat_traversal on; #enable use of NAT-Traversal extension
dpd_delay 3600; #enable dead peer detection and set time at 3600 secs
esp_frag 552;
proposal { #phase 1 proposal
encryption_algorithm aes; #phase 1 encryption algorithm
hash_algorithm sha1; #phase 1 hash algorithm
authentication_method xauth_psk_server; #use xauth pre-shared key method
dh_group 2; #use diffie-hellman group 2 (modp1024)
}
}

# specific mode configuration
mode_cfg {
auth_source system; #user auth source (system=Unix user)
group_source system; #group validation source (system=Unix groups)
conf_source local; #user local pool information below
network4 192.168.200.50; #base/first address in VPN pool
netmask4 255.255.255.0; #VPN pool network mask
pool_size 50; #VPN pool size
# dns4 192.168.200.1; #VPN pool DNS server
# default_domain "cloud.benediktweyer.de";#optional VPN pool domain suffix
banner "/etc/racoon/motd"; #optional VPN pool message of the day
}

# security association info
sainfo anonymous { #anonymous matches any/all SA
encryption_algorithm aes; #phase 2 encryption algorithm(s)
authentication_algorithm hmac_sha1; #phase 2 authentication hash
compression_algorithm deflate; #phase 2 compression
remoteid 16; #phase 2 remoteid to match phase 1
}
BenMohs

Beiträge: 1
Registriert: 11.07.2015 15:19:38

[eugen]

Hallo Ben,

ich habe aktuell genau das gleiche Problem. Hast Du inzwischen eine Lösung gefunden?

Viele Grüße

Eugen

[eugen]

Bei mir läufts jetzt nachdem ich ich "generate_policy on;" in "generate_policy unique;" geändert hab. Vielleicht hilft das jemandem...

Viele Grüße

Eugen