Advanced VPN Client und 1611 keine Verbindung

schnork · Beitrag von **schnork** » 05 Sep 2005, 20:43

Ich habe hier einen Lancom 1611 und möchte von einem Notebook mit Advanced VPN Client von zu Hause aus auf das Netzwerk zugreifen. Ich habe die Konfiguration exakt so durchgeführt, wie in der Anleitung zum Advanced VPN Client beschrieben. Dennoch funktioniert der Verbindungsaufbau nicht.

Der Router verfügt über eine dynamische IP-Adresse (DynDNS), das Notebook auf der Gegenseite befindet sich hinter einem Router und hat ebenfalls nur eine Dynamische IP. Wenn ich nun versuche, vom Notebook aus eine Verbindung aufzubauen, erhalte ich die Fehlermeldung: IKE-Fehler (Phase 1) Kontakt zur Gegenstelle verloren.

Ein Trace auf dem Router (trace + vpn-status) hat folgendes ergeben:

[VPN-Status] 2005/09/05 19:39:57,580
IKE info: Phase-1 negotiation failed: no configuration found for incoming peer 83.xx.xx.xx

[VPN-Status] 2005/09/05 19:40:03,570
IKE log: 194003 Default message_recv: invalid message id

[VPN-Status] 2005/09/05 19:40:03,570
IKE log: 194003 Default dropped message from 83.xx.xx.xx port 500 due to notification type INVALID_MESSAGE_ID

Wo könnte der Fehler liegen? Es scheint ja bald so, als könne der Router die eingehende Anfrage überhaupt nicht zuordnen.

eddia · Beitrag von **eddia** » 05 Sep 2005, 21:48

Hallo schnork,

[VPN-Status] 2005/09/05 19:40:03,570
IKE log: 194003 Default dropped message from 83.xx.xx.xx port 500 due to notification type INVALID_MESSAGE_ID

Sieh mal nach, ob die Einträge am Lancom (unter IKE-Schlüssel) für remote Typ und remote Identität mit denen im Advanced Client unter lokale Identität übereinstimmen.

Gruß

Mario

schnork · Beitrag von **schnork** » 06 Sep 2005, 09:10

Sieh mal nach, ob die Einträge am Lancom (unter IKE-Schlüssel) für remote Typ und remote Identität mit denen im Advanced Client unter lokale Identität übereinstimmen.

Ja, die Einträge stimmen absolut überein, das habe ich schon mehrfach geprüft.

backslash · Beitrag von **backslash** » 06 Sep 2005, 12:01

Hi schnork

IKE info: Phase-1 negotiation failed: no configuration found for incoming peer 83.xx.xx.xx

Das LANCOM kann schon die Adresse nicht zuordnen. Willst du etwas Main-Mode mit Pre-Shared-Key von einer dynamischen Adresse machen?

Das funktioniert nicht. Bei dynamischen Adressen funktionieren nur folgende Kombinationen:

- Main-Mode und Zertifikat
- Aggressive-Mode und Zertifikat
- Aggressive-Mode und Pre-Shared-Key

Stell den Client auf Aggressive-Mode um oder verwende Zertifikate

Gruß
Backlsash

PX166 · Beitrag von **PX166** » 07 Sep 2005, 20:11

Hi, ich habe ähnlich wie "schnork" auch diese Probleme, allerdings habe ich eine feste IP und bekomme es trotz Abarbeiten der Anleitung nicht hin. Ich bekomme den Fehler:" IKE-Fehler (Phase 1) Kontakt zur Gegenstelle verloren"
Warum geht das denn nicht? Habe im Router alles mit dem Assistenten eingerichtet, viel falsch machen kann man da ja eigentlich nicht. Wird ja alles abgefragt. Ebenso beim Client. Und über die Boardmittel von XP habe ich es schon hinbekommen. Warum dann nicht auch über den Adv. Client?

no idea · Beitrag von **no idea** » 09 Sep 2005, 11:42

Habe das selbe problem und habe schon ein dutzend mal alles nach der doku eingerichtet [router+client] und es funktioniert ums verrecken nicht.
Bin im Moment im Kontakt mit dem support von LANCOM und bin echt gespannt ob die mir helfen können.

P.s.: @ Backslash: wenn man schon den client nach der doku einrichtet, wird bereits der aggressive-mode + pre-shared verwendet

omd · Beitrag von **omd** » 09 Sep 2005, 11:54

Hatte auch einige Probleme, das IPSec zu durchschauen und einzurichten. Ein Problem war z.B. mal, dass eine falsches IKE-Proposal(-Liste?) gewählt war. Es hatte zwar den Anschein richtig zu sein, tatsächlich gab es das Proposal aber überhaupt nicht mehr (in der Liste), es war halt nur trotzdem noch eingetragen. Anfänglich schwer, sowas zu finden, wenn man nicht drauf gestoßen wird.

Grundsätzlich sind die Router-Traces hilfreich. Soweit ich sehe hat PX166 ein solches ja noch gar nicht angeschaut bzw. vorgezeigt.

Gruß,
omd

PX166 · Beitrag von **PX166** » 09 Sep 2005, 11:56

Das mit dem Proposal war auch bei mir der Fehler. klappt jetzt. Noch nicht mal der Lancom Support hat davon gewußt oder es kontrolliert, obwohl es seit einem Jahr in der KnowledgeBase veröffentlicht ist.

no idea · Beitrag von **no idea** » 09 Sep 2005, 14:14

-wie mach ich so einen trace überhaupt?

@PX166 kannste mir mal den passenden link für diese proposal geschichte geben? Glaube nämlich, das ich das bereits kontrolliert hatte

omd · Beitrag von **omd** » 09 Sep 2005, 14:26

no idea hat geschrieben:-wie mach ich so einen trace überhaupt?

Steht im ersten Posting dieses Threads... auf der Konsole (d.h. Telnet- bzw. SSH-Verbindung zum Router) "trace + vpn-status" eingeben. Ein Ereignisprotokoll wird dann auf der Konsole ausgegeben

Gruß,
omd

no idea · Beitrag von **no idea** » 09 Sep 2005, 16:22

danke, dachte das wäre einfach nur eine aufzählung gewesen.

PX166 · Beitrag von **PX166** » 09 Sep 2005, 17:08

no idea hat geschrieben:-wie mach ich so einen trace überhaupt?

@PX166 kannste mir mal den passenden link für diese proposal geschichte geben? Glaube nämlich, das ich das bereits kontrolliert hatte

Hier der Link:
LANCOM-Knowledgebase

Ich weiß nur eins, wenn ich das nicht gefunden hätte, wäre ich jetzt immer noch am probieren bis mir der Kopf raucht...

Viel Spaß damit...

no idea · Beitrag von **no idea** » 10 Sep 2005, 16:04

das hatte ich mir schoneinmal durchgelesen und probiert aber standard mässig sieht es bei mir bereits so aus:

PX166 · Beitrag von **PX166** » 10 Sep 2005, 17:15

Hmmm... Was für eine Fehlermeldung erhälst du denn eigentlich?

no idea · Beitrag von **no idea** » 12 Sep 2005, 12:51

Die konfiguration habe ich nach folgender dokumentation vorgenommen:
http://www2.lancom.de/kb.nsf/a5ddf48173 ... ide-DE.pdf