Hi,
hier jetzt endlich mal ein Trace vom Router und vom Client:
Trace des Clients:
11.11.2009 15:17:02IPSec: Start building connection
11.11.2009 15:17:02Ike: phase1:name(xxx) - outgoing connect request - aggressive mode.
11.11.2009 15:17:02Ike: XMIT_MSG1_AGGRESSIVE - xxx
11.11.2009 15:17:08Ike: RECV_MSG2_AGGRESSIVE - xxx
11.11.2009 15:17:08Ike: IKE phase I: Setting LifeTime to 28800 seconds
11.11.2009 15:17:08Ike: IkeSa negotiated with the following properties -
11.11.2009 15:17:08 Authentication=PRE_SHARED_KEY,Encryption=AES,Hash=SHA,DHGroup=2,KeyLen=128
11.11.2009 15:17:08IPSec: Final Tunnel EndPoint is:xxx.xxx.xxx.xxx
11.11.2009 15:17:08Ike: xxx ->Support for NAT-T version - 9
11.11.2009 15:17:08Ike: XMIT_MSG3_AGGRESSIVE - xxx
11.11.2009 15:17:08Ike: IkeSa negotiated with the following properties -
11.11.2009 15:17:08 Authentication=PRE_SHARED_KEY,Encryption=AES,Hash=SHA,DHGroup=2,KeyLen=128
11.11.2009 15:17:08Ike: Turning on DPD mode - xxx
11.11.2009 15:17:08Ike: phase1:name(xxx) - connected
11.11.2009 15:17:08SUCCESS: IKE phase 1 ready
11.11.2009 15:17:08IPSec: Phase1 is Ready - IkeIndex=13
11.11.2009 15:17:08IPSec: Quick Mode is Ready: IkeIndex = 0000000d , VpnSrcPort = 500
11.11.2009 15:17:08IPSec: Assigned IP Address: xxx.xxx.xxx.xxx
11.11.2009 15:17:09IkeQuick: XMIT_MSG1_QUICK - xxx
11.11.2009 15:17:22IkeQuick: phase2:name(xxx) - error - retry timeout - max retries
11.11.2009 15:17:22ERROR - 4037: IKE(phase2):Waiting for message2, retry timeout - max retries - xxx.
11.11.2009 15:17:22IPSec: Disconnected from xxx on channel 1.
Trace des Routers:
[TraceStarted] 2009/11/11 15:15:21,435
Used config:
# Trace config
trace + VPN-Status
[VPN-Status] 2009/11/11 15:16:35,714 Devicetime: 2009/11/11 15:16:35,680
IKE info: The remote server xxx.xxx.xxx.xxx:500 peer def-aggr-peer id <no_id> supports NAT-T in mode draft
IKE info: The remote server xxx.xxx.xxx.xxx:500 peer def-aggr-peer id <no_id> supports NAT-T in mode draft
IKE info: The remote server xxx.xxx.xxx.xxx:500 peer def-aggr-peer id <no_id> supports NAT-T in mode draft
IKE info: The remote server xxx.xxx.xxx.xxx:500 peer def-aggr-peer id <no_id> supports NAT-T in mode rfc
IKE info: The remote server xxx.xxx.xxx.xxx:500 peer def-aggr-peer id <no_id> negotiated rfc-3706-dead-peer-detection
IKE info: The remote client xxx.xxx.xxx.xxx:500 peer def-aggr-peer id <no_id> is NCP LANCOM Serial Number Protocol 1.0 with serial number xxx
IKE info: The remote server xxx.xxx.xxx.xxx:500 peer def-aggr-peer id <no_id> supports NAT-T in mode rfc
IKE info: The remote server xxx.xxx.xxx.xxx:500 peer def-aggr-peer id <no_id> supports NAT-T in mode rfc
IKE info: The remote server xxx.xxx.xxx.xxx:500 peer def-aggr-peer id <no_id> supports NAT-T in mode rfc
[VPN-Status] 2009/11/11 15:16:36,105 Devicetime: 2009/11/11 15:16:35,680
IKE info: phase-1 proposal failed: remote No 1 hash algorithm = SHA <-> local No 1 hash algorithm = MD5
IKE info: Phase-1 remote proposal 1 for peer def-aggr-peer matched with local proposal 2
[VPN-Status] 2009/11/11 15:16:36,792 Devicetime: 2009/11/11 15:16:36,760
IKE log: 151636.000000 Default ipsec_get_keystate: no keystate in ISAKMP SA 01289920
[VPN-Status] 2009/11/11 15:16:40,714 Devicetime: 2009/11/11 15:16:40,680
IKE log: 151640.000000 Default ipsec_get_keystate: no keystate in ISAKMP SA 01289920
[VPN-Status] 2009/11/11 15:16:43,714 Devicetime: 2009/11/11 15:16:43,680
IKE log: 151643.000000 Default ipsec_get_keystate: no keystate in ISAKMP SA 01289920
[VPN-Status] 2009/11/11 15:16:46,714 Devicetime: 2009/11/11 15:16:46,680
IKE log: 151646.000000 Default ipsec_get_keystate: no keystate in ISAKMP SA 01289920
Das einzige was grundsätzlich aufällt ist das die Zeit etwas differiert, aber mehr will mir das im Moment nicht sagen. Die Verbindung im Router ist mit dem Assi erstellt und identisch zu den anderen und für den Client trifft das gleiche zu bis auf die Benutzer spezifischen Unterschiede (FQUN, PSK, etc.)
Wo hängt's?
Edit: IKE info: phase-1 proposal failed: remote No 1 hash algorithm = SHA <-> local No 1 hash algorithm = MD5
Das will mir eigentlich nicht recht einleuchten, da im Client bei IKE-Richtlinie und IPSec-Richtlinie als einziges jeweils AES und MD5 angelegt ist. SHA taucht dort nicht auf! Er dürfte also gar kein SHA verwenden? Hat hier die Installation des Clients einen Knall? Wurde aber auch schonmal neu installiert!
Danke
COMCARGRU
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet???