Borderware 7.0 <-> Sonicwall SOHO3 VPN

Sziasztok!

Nem tudom van e olyan, aki dolgozik Borderwarrel, esetleg hozott már össze VPN tunnelt egy Sonicwall boxxal ISAKMP vagy Manual key használatával. Idestova már 1 hete harcolnuk Datanetes kollégával (+Noregessel) hogy összehozzuk a dolgot, de ISAKMP-nél "No proposal choosen"-t ad vissza, Manual keynél, meg kiépül az alagút, de egy mocskos packet nem közlekedik át rajta. Pedig utóbbinál beállítottuk az SPI-t (Sonicwall hexa, Bw decimális).
Bárminemű help, info jó lenne, lehetőleg olyat hogy RTFM és mailing list nem kérek, napi 4-5 órát telefonálok a Borderwarrel harcolva :(
Kérlek segítsetek.

Robert

Ja, a Sonicwall doksit már átrágtuk töviről-hegyire. Datanetes kollega lepróbálta a Sonicwallt mindennel: Vigorral, Cisco Pix-el, Checkpointtal, Netscreenel, mindegyik tök jó volt, csodásan ment az ISAKMP vagy a MANUAL key. Borderware - Borderware is megy.

Nem tudom sajna cserélni másra a Sonicwallt, mert orzságos a hálózat és most lett bevásárolva belőle :(

Ominózus kollégádnak mik voltak a tapasztalatai konkrétan? Ők is BW-Sonciwallal próbálkoztak?

BW oldalán:

Pre-shared key: abcdef
Ident-type: IP
IKE Mode: Agressive
PFS Group: Group 2
IKE Group: Group 1
Algoritmusnak megadtuk: 3DES és DES MD5/SHA1
Szeretnénk ha SSN-be jönne (DMZ)
Remote addressnek megadtuk a remote LAN-t (192.168.20.0)
Local addressnek megadtunk a mi DMZnket: (192.168.1.0)

Sonicwall oldalán ugyanezek a beállítások. Amikor viszont megpingeted a BW külső IP-jét, akkor nem épül ki a kapcsolat, de kapunk egy szép alábbi logot a BW-ben:

Feb 18 18:46:15 2004 hid sshipm: SSH IPSEC Express SSHIPM version 4.2.0 library 4.2.0 Copyright 1997-2001 SSH Communications Security Ltd.
Feb 18 18:46:16 2004 hid sshipm: SSH engine version 4.2.0
Feb 18 18:49:56 2004 hid sshipm: The remote server 195.56.2XY.ZZ:500 is draft-ietf-ipsec-nat-t-ike-00
Feb 18 18:49:56 2004 hid sshipm: Phase-1 [responder] between unknown(any:0,[0..0]=) and ipv4(any:0,[0..3]=195.56.2XY.ZZ) failed; No proposal chosen.

Ugyanezt a játékot NAT-T-vel, akkor az IKE Mode->Main (próbáltuk Agressive-el is). Ugyanez a helyzet.

Manual key esetén (DES MD5), a tunnel faszán kiépül, 150 byte kimegy, de semmi nem jön vissza a BW felől. Na erre varrjak gombot :)))

Brrrrrrrrrrr =)
Nekünk a Checkpoint halta be magát, és csak power off/on segített rajta... még a FW verzókkal is szórakoztunk....

Azért köszönöm az infot, kitaláltam hogy berakok a BW mellé egy Sonicwallt, a DMZ-jük közös lesz (be kell raknom +1 hálókártyát a DMZ-s szerverekbe), és ami client/server kapcsolat megy SSH Sentinellel, az megy a Bw-n keresztül, ami meg Sonicwallos, az meg megy a sonicwallon keresztül. Nem túl elegéns megoldás, de legalább tudok még "szögelni" :)
Ha kapok konkrét infot a BW-től hogyan lehet összehozni, mindenképpen megosztom, ha legközelebb bárki hasonló helyzetbe kerül, ne menjen azon keresztül, amiken mi átmentünk az elmúlt hetekben. :)
Köszi még 1szer!

Gyerekek!

Ha valaha Borderware<->Sonicwall VPN-t akartok összehozni, sikítva rohanjatok el messze! 2 hetes harc ára az hogy nem megy, gyártó elismerte (BW) hogy "jéééé, tényleg gáz van".

Ja és még egy fontos dolog: ha a BW-n egyszerre használtok ISAKMP-s és MANUAL key-es VPN kapcsolatot, ahol a LOCAL NETWORK azonos (vagyik mind a kettő ugyan arra a hálóra mutat, akkor az SSN (aka. DMZ) ki fog fingani :)))

-> removeIPSEC_d.pf, reboot, reinstall, reconfigure.

Ja és ne hagyatkozztaok a Windowsos GUI-ra, dolgozzatok a konzolon, onnan indítsátok újra az IPSEC szervert. Sok fejfájást megspóroltok magatoknak.

Na még 1: ha IPSEC option telepítve van, akkor nem fog működni az INTERNAL->EXTERNAL IPSec pass-through. A kapcsolat kiépül, de nem fog átmenni adat rajta. Ez BW szerint "normális". Szóval ha ilyennel találkzotok, akkor tudjátok hogy le kell szedni az IPSEC-et ha akartok pass-through-t. PPTP proxy egész jól megy viszont IPSEC mellett is.