smaller font
Beispiel eines erfolgreichen IPSec-Verbindungsaufbaus
Ein IPSec-Verbindungsaufbau durchläuft zwei Phasen. In der ersten Phase authentifizieren sich die Kommunikationspartner und ein sicherer Kommunikationskanal wird eingerichtet. In der zweiten Phase werden die eigentlichen VPN-Tunnel ausgehandelt. Mit dem erfolgreichen Abschluss der zweiten Phase ist die IPSec-Verbindung hergestellt. Nun können Nutzdaten übertragen werden. Bei L2TP-over-IPSec werden die Nutzdaten nicht direkt sondern innerhalb von L2TP-Paketen übertragen. Entsprechend wird innerhalb der IPSec-Verbindung zunächst noch eine L2TP-Verbindung ausgehandelt. Dieser Schritt hat jedoch mit der IPSec-Verbindung als solches nichts weiter zu tun.

Das folgende Beispiel zeigt einen Auszug aus dem SX-GATE VPN-Log. Dargestellt ist der Verbindungsaufbau einer L2TP-over-IPSec-Verbindung. Als Client dient Windows XP mit Authentifizierung über Preshared Key. Zeitstempel, Prozess-Informationen und der interne Verbindungsname wurden zugunsten der Übersichtlichkeit weggelassen.

Phase 1
#4: responding to Main Mode from unknown peer 169.254.1.1
#4: only OAKLEY_GROUP_MODP1024 and OAKLEY_GROUP_MODP1536 supported. Attribute OAKLEY_GROUP_DESCRIPTION
#4: transition from state (null) to state STATE_MAIN_R1
packet from 169.254.1.1:500: ignoring Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000004]
packet from 169.254.1.1:500: ignoring Vendor ID payload [FRAGMENTATION]
packet from 169.254.1.1:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
#4: NAT-Traversal: Result using draft-ietf-ipsec-nat-t-ike-02/03: no NAT detected
#4: transition from state STATE_MAIN_R1 to state STATE_MAIN_R2
#4: Peer ID is ID_IPV4_ADDR: '169.254.1.1'
#4: transition from state STATE_MAIN_R2 to state STATE_MAIN_R3
#4: sent MR3, ISAKMP SA established

Phase 2
#5: responding to Quick Mode
#5: transition from state (null) to state STATE_QUICK_R1
#5: transition from state STATE_QUICK_R1 to state STATE_QUICK_R2
#5: IPsec SA established {ESP=>0x4b8c06a4 <0x2d923407}

Da es sich im Beispiel um eine L2TP-over-IPSec-Verbindung handelt, würde nun der Aufbau einer L2TP-Verbindung folgen. L2TP nutzt ein PPP-Protokoll. Dieser Prozess lässt sich im PPP-Debug-Log beobachten.

Der Vollständigkeit halber noch die Meldungen die beim Abbau der VPN-Verbindung durch die Gegenstelle protokolliert werden:
#4: received Delete SA(0x4b8c06a4) payload: deleting IPSEC State #5
#4: received Delete SA payload: deleting ISAKMP State #4
 

vmware

Unsere Produkte können inklusive aller Funktionen und Module auch auf VMware ESX betrieben werden. Die Benutzeroberfläche bleibt dabei unverändert.

Sicherheit und Rechtsverbindlichkeit im Internet

signtrustlogo.jpg

 XnetSolutions bietet eine zertifizierte Schnittstelle zu SIGNTRUST und macht so für Sie den Kauf von Zertifikaten flexibler und einfacher. SIGNTRUST bietet Lösungen für rechtsverbindliche Kommunikation im Internet auf Basis digitalen Signatur an.