Hallo erstmal, ich hoffe Ihr könnt und wollt mir weiterhelfen.
Ich möchte eine LAN-2-LAN-Verbindung mit zwei LANCOM 1711 VPN Routern aufbauen. Die Schwierigkeit, die ich momentan habe ist, dass diese jeweils hinter einem DSL-Routern (Fritz!Box, Speedport) sitzen und ihre Internet-Verbindung über das LAN bekommen sollen.
Aufbau schematisch:
Workstation -> soll über VPN in Firmen-Domäne eingebunden werden, Netz 192.168.1.0, 255.255.255.0
|
Lancom 1711 VPN -> Internetzugang über LAN
|
Fritz!Box 7050 -> DSL-Router für Internetzugriff, Netz 192.168.254.0, 255.255.255.0
|
Internet
|
Speedport 701 V -> DSL-Router für Internetzugriff, Netz 192.168.10.0, 255.255.255.0
|
Lancom 1711 VPN
|
Firmennetz -> Win2000-Domäne, Netz 192.168.0.0, 255.255.255.0
Die Einrichtung hinter den DSL-Routern ist für mich deshalb wichtig, da im Firmennetz zwei derzeit physikalisch getrennte Netzwerke (zwei PCs je Arbeitsplatz) vorhanden sind. Einmal WinXP-Internet-Netzwerk und einmal Win2000-LAN mit Win2000-Server.
Der einzelne SoHo-Arbeitsplatz (derzeit ohne Internet-Anbindung) soll sich über das VPN an der Win2000-Domäne anmelden können.
Bei der Einstellung der WAN-Schnittstelle habe ich aber nur Internet-Einstellungen gefunden. Diese sollen aber nicht benutzt werden (PPPoE wäre ja möglich).
Muss ich in diesem Fall nur die LAN-Schnittstellen benutzen, um eine Internet-Verbindung zu bekommen? Kann ich dann per LanConfig jeder einzelnen Schnittstelle eine IP-Adresse geben oder müsste diese Konfiguration über die Konsole eingerichtet werden?
Ich hoffe ich konnte mein Problem verständlich erklären und noch wichtiger, ihr könnt mir helfen.
Vielen, vielen Dank im Voraus.
Ulf
[gelöst] VPN 1711 für LAN-2-LAN jeweils hinter DSL-Router
Moderator: Lancom-Systems Moderatoren
[gelöst] VPN 1711 für LAN-2-LAN jeweils hinter DSL-Router
Zuletzt geändert von EDVNet am 21 Feb 2007, 17:56, insgesamt 1-mal geändert.
Hallo maikel_b,
erst mal vielen Dank für die Antwort. Jetzt bin ich schon mal einen Schritt weiter. Beide Router sind online.
Reicht es eigentlich auf den beiden vorgeschaltetet DSL-Routern die Ports 50,51 und 500 auf die IP-Adresse der WAN-Schnittstelle weiterzuleiten?
Oder muss dafür noch weiteres konfiguriert werden?
Besten Dank.
Ulf
erst mal vielen Dank für die Antwort. Jetzt bin ich schon mal einen Schritt weiter. Beide Router sind online.
Reicht es eigentlich auf den beiden vorgeschaltetet DSL-Routern die Ports 50,51 und 500 auf die IP-Adresse der WAN-Schnittstelle weiterzuleiten?
Oder muss dafür noch weiteres konfiguriert werden?
Besten Dank.
Ulf
Hi EDVNet
Letzteres kannst du hinter einem NAT (maskierung) eh nicht verwenden, da das NAT die Quelladressen der Pakete ändert und somit die Prüfung im AH fehlschlägt.
Bleibt noch ESP: Wenn die Router davor (hier also Fritzbox und Speedport) IPSec-Passthrough beherrschen, dann genügt es den UDP-Port 500 weiterzuleiten. Wenn sie das nicht können (und davon ist zumindest beim Speedport auszugehen), müßtest du ESP (also das IP-Protokoll 50) weiterleiten können. Daß das geht, ist aber noch unwahrscheinlicher, als daß der Speedport IPSec-Passthrough beherrscht...
Aber auch dafür gibt es eine Abhilfe: NAT-Traversal. Einfach in beiden LANCOMs einschalten (unter VPN -> Allgemein) und auf den Routern neben dem UDP-Port 500 auch den UDP-Port 4500 weiterleiten...
Gruß
Backslash
mit den Ports 50 und 51 kommst du nicht weit, weil die bei IPSec gar nicht verwendet werden. IPSec verwendet die IP-Protokolle 50 (ESP) und 51 (AH).Reicht es eigentlich auf den beiden vorgeschaltetet DSL-Routern die Ports 50,51 und 500 auf die IP-Adresse der WAN-Schnittstelle weiterzuleiten?
Letzteres kannst du hinter einem NAT (maskierung) eh nicht verwenden, da das NAT die Quelladressen der Pakete ändert und somit die Prüfung im AH fehlschlägt.
Bleibt noch ESP: Wenn die Router davor (hier also Fritzbox und Speedport) IPSec-Passthrough beherrschen, dann genügt es den UDP-Port 500 weiterzuleiten. Wenn sie das nicht können (und davon ist zumindest beim Speedport auszugehen), müßtest du ESP (also das IP-Protokoll 50) weiterleiten können. Daß das geht, ist aber noch unwahrscheinlicher, als daß der Speedport IPSec-Passthrough beherrscht...
Aber auch dafür gibt es eine Abhilfe: NAT-Traversal. Einfach in beiden LANCOMs einschalten (unter VPN -> Allgemein) und auf den Routern neben dem UDP-Port 500 auch den UDP-Port 4500 weiterleiten...
Gruß
Backslash
Hallo Backslash,
ich stehe gerade fast vor dem gleichen Problem. Vielleicht kannst Du mir ja auch einen hilfreichen Tipp geben.
Die Konfiguration ist ähnlich wie die von EDVNet, allerdings habe ich keinen Zugriff auf den Speedport. Er stellt mir intern lediglich das Netzwerk 192.168.0.0 zur Verfügung. Es können keine Ports forwarded werden!
Workstation
192.168.2.15, 255.255.255.0
|
192.168.2.1, 255.255.255.0
Lancom(1) 1722 VPN -> Internetzugang über LAN
192.168.0.2, 255.255.255.0
|
192.168.0.1, 255.255.255.0
Speedport (Hansenet / SDSL)
WAN IP
|
Internet
|
feste WAN IP
Lancom(2) 1722
192.168.1.1 / 255.255.255.0
Ich dachte nun, ich könnte die Sache mit Nat-T im Lancom(2) lösen. Leider kommt trotzdem keine VPN Verbindung vom Lancom(1) zum Lancom(2) zustande.
Internet aus dem Netz 192.168.2.0 funktioniert
Advanced Client kann sich aus dem Netz 192.168.2.0 mit dem Lancom(2) verbinden
Ein anderer Lancom (anderes Büro, ADSL, dyn. IP) kann sich auch problemlos mit Lancom(2) verbinden
Ist es ein grundsätzliches Problem und ohne Portforwarding im Speedport bin ich aufgeschmissen, oder mache ich etwas falsch?
Wäre Dir sehr dankbar für einen Tipp.
Gruß Jason
Hatte gerade noch 'ne Idee. Kann es sein, dass der main-mode wegen der privaten IP nicht funktioniert und ich auf agressive mode umstellen muss?
ich stehe gerade fast vor dem gleichen Problem. Vielleicht kannst Du mir ja auch einen hilfreichen Tipp geben.
Die Konfiguration ist ähnlich wie die von EDVNet, allerdings habe ich keinen Zugriff auf den Speedport. Er stellt mir intern lediglich das Netzwerk 192.168.0.0 zur Verfügung. Es können keine Ports forwarded werden!
Workstation
192.168.2.15, 255.255.255.0
|
192.168.2.1, 255.255.255.0
Lancom(1) 1722 VPN -> Internetzugang über LAN
192.168.0.2, 255.255.255.0
|
192.168.0.1, 255.255.255.0
Speedport (Hansenet / SDSL)
WAN IP
|
Internet
|
feste WAN IP
Lancom(2) 1722
192.168.1.1 / 255.255.255.0
Ich dachte nun, ich könnte die Sache mit Nat-T im Lancom(2) lösen. Leider kommt trotzdem keine VPN Verbindung vom Lancom(1) zum Lancom(2) zustande.
Internet aus dem Netz 192.168.2.0 funktioniert
Advanced Client kann sich aus dem Netz 192.168.2.0 mit dem Lancom(2) verbinden
Ein anderer Lancom (anderes Büro, ADSL, dyn. IP) kann sich auch problemlos mit Lancom(2) verbinden
Ist es ein grundsätzliches Problem und ohne Portforwarding im Speedport bin ich aufgeschmissen, oder mache ich etwas falsch?
Wäre Dir sehr dankbar für einen Tipp.
Gruß Jason
Hatte gerade noch 'ne Idee. Kann es sein, dass der main-mode wegen der privaten IP nicht funktioniert und ich auf agressive mode umstellen muss?
Hi Jason,
Wenn du mit pre-shared keys und ohne dynamic VPN arbeiten willst, mußt du den aggressive-Mode verwenden - wie der Client, bei dem es ja funktioniert...
Gruß
Backslash
vermutlich betreibst du die LANCOMs im Main-Mode. Main-Mode funktioniert hinter einer Maskierung nur, wenn du auch Zertifikate verwendest - oder du benutzt dynamic VPN verwendest zur Übermittlung der eigenen IP-Adresse UDP (einstellbar unter VPN -> Allgemein -> Verbindungsliste -> Verbindung -> Dynamische VPN-Verbindung (nur mit kompatiblen Gegenstellen) )Ich dachte nun, ich könnte die Sache mit Nat-T im Lancom(2) lösen. Leider kommt trotzdem keine VPN Verbindung vom Lancom(1) zum Lancom(2) zustande.
Wenn du mit pre-shared keys und ohne dynamic VPN arbeiten willst, mußt du den aggressive-Mode verwenden - wie der Client, bei dem es ja funktioniert...
Wenn das Lancom(1) die Verbindung aufbaut, brauchst du auch kein Portforwarding - wohl aber NAT-T und zwar auf beiden Seiten...Ist es ein grundsätzliches Problem und ohne Portforwarding im Speedport bin ich aufgeschmissen, oder mache ich etwas falsch?
Gruß
Backslash
Hallo noch einmal an alle,
ich bin zwar inzwischen einige Schritte weiter. Die eigentliche Funktion ist aber leider noch nicht hergestellt.
Erst mal meine bisherigen Versuche:
Aufbau lokaler VPN-Tunnel über einen Router (Fritz!Box) hat funktioniert:
Workstation
192.168.1.dhcp, 255.255.255.0
|
192.168.1.1, 255.255.255.0
Lancom 1711 VPN -> Internetzugang über LAN
192.168.254.5, 255.255.255.0
|
192.168.254.1, 255.255.255.0
Fritz!Box 7050 -> DSL-Router für Internetzugriff, Netz 192.168.254.0, 255.255.255.0
192.168.254.1, 255.255.255.0
|
192.168.254.6, 255.255.255.0
Lancom 1711 VPN
192.168.0.254, 255.255.255.0
|
Workstation, 192.168.0.dhcp, 255.255.255.0
Vorgesehener Aufbau über Internet funktioniert noch nicht:
Workstation
192.168.1.dhcp, 255.255.255.0
|
192.168.1.1, 255.255.255.0
Lancom 1711 VPN -> Internetzugang über LAN
192.168.254.5, 255.255.255.0
|
192.168.254.1, 255.255.255.0
Fritz!Box 7050 -> DSL-Router für Internetzugriff, Netz 192.168.254.0, 255.255.255.0
dyn. WAN-IP
|
Internet
|
stat. WAN-IP (siehe PDF)
Speedport 701 V -> DSL-Router für Internetzugriff, Netz 192.168.10.0, 255.255.255.0
192.168.10.254, 255.255.255.0
|
192.168.10.252, 255.255.255.0
Lancom 1711 VPN
192.168.0.254, 255.255.255.0
|
Firmennetz -> Win2000-Domäne, Netz 192.168.0.0, 255.255.255.0
Fehlermeldungen im LanMonitor:
PeBoVPNSoHO: "Nicht verbunden mit PEBOVPNBUERO - Dynamic VPN - Zeitüberschreitung während Signalisierung oder Authentifizierung (Initiator) [0x1105]"
PeBoVPNBuero: "Kein Übertragungskanal verfügbar (Initiator) [0x1102]"
Auf den Internetroutern (Speedport und Fritz!Box) sind jeweils die Ports UDP 50, UDP 4500, UDP 161-162 und TCP 443 auf die jeweiligen LANCOMS weitergeleitet.
Mit LanConfig komme ich auf beide LanCOM über die öffentlichen IP-Adressen drauf, mit LanMonitor nicht. Der SNMP-Zugriff über das WAN ist auf beiden Lancoms freigegeben. Müssen weitere Ports freigegen werden?
Zugriff mit LanMonitor auf PeBoVPNSoHO (Fritz!Box):
lokales IP-Netz (192.168.254.0): ja
WAN: nein
Zugriff mit LanMonitor auf PeBoVPNBuero (Speedport):
lokales IP-Netz (192.168.10.0): nein
WAN: nein
Nat-Traversal ist aktiviert.
Die komplette Konfiguration beider Geräte habe ich als PDF dem Beitrag angehängt.
Ich hoffe Ihr könnt mir irgendwie weiterhelfen.
Besten Dank im Voraus.
Ulf
ich bin zwar inzwischen einige Schritte weiter. Die eigentliche Funktion ist aber leider noch nicht hergestellt.
Erst mal meine bisherigen Versuche:
Aufbau lokaler VPN-Tunnel über einen Router (Fritz!Box) hat funktioniert:
Workstation
192.168.1.dhcp, 255.255.255.0
|
192.168.1.1, 255.255.255.0
Lancom 1711 VPN -> Internetzugang über LAN
192.168.254.5, 255.255.255.0
|
192.168.254.1, 255.255.255.0
Fritz!Box 7050 -> DSL-Router für Internetzugriff, Netz 192.168.254.0, 255.255.255.0
192.168.254.1, 255.255.255.0
|
192.168.254.6, 255.255.255.0
Lancom 1711 VPN
192.168.0.254, 255.255.255.0
|
Workstation, 192.168.0.dhcp, 255.255.255.0
Vorgesehener Aufbau über Internet funktioniert noch nicht:
Workstation
192.168.1.dhcp, 255.255.255.0
|
192.168.1.1, 255.255.255.0
Lancom 1711 VPN -> Internetzugang über LAN
192.168.254.5, 255.255.255.0
|
192.168.254.1, 255.255.255.0
Fritz!Box 7050 -> DSL-Router für Internetzugriff, Netz 192.168.254.0, 255.255.255.0
dyn. WAN-IP
|
Internet
|
stat. WAN-IP (siehe PDF)
Speedport 701 V -> DSL-Router für Internetzugriff, Netz 192.168.10.0, 255.255.255.0
192.168.10.254, 255.255.255.0
|
192.168.10.252, 255.255.255.0
Lancom 1711 VPN
192.168.0.254, 255.255.255.0
|
Firmennetz -> Win2000-Domäne, Netz 192.168.0.0, 255.255.255.0
Fehlermeldungen im LanMonitor:
PeBoVPNSoHO: "Nicht verbunden mit PEBOVPNBUERO - Dynamic VPN - Zeitüberschreitung während Signalisierung oder Authentifizierung (Initiator) [0x1105]"
PeBoVPNBuero: "Kein Übertragungskanal verfügbar (Initiator) [0x1102]"
Auf den Internetroutern (Speedport und Fritz!Box) sind jeweils die Ports UDP 50, UDP 4500, UDP 161-162 und TCP 443 auf die jeweiligen LANCOMS weitergeleitet.
Mit LanConfig komme ich auf beide LanCOM über die öffentlichen IP-Adressen drauf, mit LanMonitor nicht. Der SNMP-Zugriff über das WAN ist auf beiden Lancoms freigegeben. Müssen weitere Ports freigegen werden?
Zugriff mit LanMonitor auf PeBoVPNSoHO (Fritz!Box):
lokales IP-Netz (192.168.254.0): ja
WAN: nein
Zugriff mit LanMonitor auf PeBoVPNBuero (Speedport):
lokales IP-Netz (192.168.10.0): nein
WAN: nein
Nat-Traversal ist aktiviert.
Die komplette Konfiguration beider Geräte habe ich als PDF dem Beitrag angehängt.
Ich hoffe Ihr könnt mir irgendwie weiterhelfen.
Besten Dank im Voraus.
Ulf
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Habe gerade angefangen, mich mit den Konsolenbefehlen auseinanderzusetzen.
Der VPN-Status-Trace sieht folgendermaßen aus:
Der VPN-Status-Trace sieht folgendermaßen aus:
Code: Alles auswählen
[VPN-Status] 2007/02/18 15:18:52,420
VPN: connecting to PEBOVPNBUERO (87.139.70.143)
[VPN-Status] 2007/02/18 15:18:52,440
VPN: start dynamic VPN negotiation for PEBOVPNBUERO (87.139.70.143) via ICMP/UDP
[VPN-Status] 2007/02/18 15:18:52,440
VPN: create dynamic VPN V2 authentication packet for PEBOVPNBUERO (87.139.70.143)
DNS: 192.168.1.1, 0.0.0.0
NBNS: 192.168.1.1, 0.0.0.0
polling address: 192.168.1.1
[VPN-Status] 2007/02/18 15:19:02,440
VPN: fallback to dynamic VPN V1 for PEBOVPNBUERO (87.139.70.143)
[VPN-Status] 2007/02/18 15:19:02,440
VPN: create dynamic VPN V1 authentication packet for PEBOVPNBUERO (87.139.70.143)
DNS: 192.168.1.1, 0.0.0.0
NBNS: 192.168.1.1, 0.0.0.0
[VPN-Status] 2007/02/18 15:19:22,420
VPN: connection for PEBOVPNBUERO (87.139.70.143) timed out: no response
[VPN-Status] 2007/02/18 15:19:22,420
VPN: Error: IFC-I-Connection-timeout-dynamic (0x1105) for PEBOVPNBUERO (87.139.70.143)
[VPN-Status] 2007/02/18 15:19:22,430
VPN: selecting next remote gateway using strategy eFirst for PEBOVPNBUERO
=> no remote gateway selected
[VPN-Status] 2007/02/18 15:19:22,430
VPN: selecting first remote gateway using strategy eFirst for PEBOVPNBUERO
=> CurrIdx=0, IpStr=>87.139.70.143<, IpAddr=87.139.70.143, IpTtl=0s
[VPN-Status] 2007/02/18 15:19:22,430
VPN: installing ruleset for PEBOVPNBUERO (87.139.70.143)
[VPN-Status] 2007/02/18 15:19:22,440
VPN: PEBOVPNBUERO (87.139.70.143) disconnected
[VPN-Status] 2007/02/18 15:19:22,440
VPN: rulesets installed
Hi EDVNet,
dein Problem liegt darin, daß du beim dynamic VPN bei dir zuhause zur Adreßübermittlung ICMP ausgewählt hast. Das geht aber nicht durch ein NAT. Stell es auf UDP um und leite im Speedport den Port 87 auf den 1711 weiter...
Desweiteren solltest du bei dir Zuhause noch ein ICMP-Polling für die VPN-Strecke einrichten, da sonst die Keep-Alive Verbindung nicht aufgebaut wird (es wird immer ein IP-Paket zum Aufbau der SAs benötigt...)
Gruß
Backslash
dein Problem liegt darin, daß du beim dynamic VPN bei dir zuhause zur Adreßübermittlung ICMP ausgewählt hast. Das geht aber nicht durch ein NAT. Stell es auf UDP um und leite im Speedport den Port 87 auf den 1711 weiter...
Desweiteren solltest du bei dir Zuhause noch ein ICMP-Polling für die VPN-Strecke einrichten, da sonst die Keep-Alive Verbindung nicht aufgebaut wird (es wird immer ein IP-Paket zum Aufbau der SAs benötigt...)
Gruß
Backslash
Hallo Backslash,
danke für das Wort zum Sonntag
. Es geht jetzt schon einen Schritt weiter 
.
Habe die VPN-Verbindung jetzt auf UDP umgestellt:
Verbindungs-Liste:
Name PEBOVPNBUERO
Haltezeit 9.999 Sekunden
DPD 60 Sekunden
Extranet 0.0.0.0
Gateway 87.139.70.143
Parameter PEBOVPNBUERO
Regel Automatisch
Dynamisch Ja (UDP)
IKE-Exchange Main Mode
IKE-CFG Aus
Routing-Tag 0
Das Polling ist doch eingerichtet ???
Polling-Tabelle:
Gegenstelle PEBOVPNBUERO
IP-Adresse 1 192.168.0.100
IP-Adresse 2 0.0.0.0
IP-Adresse 3 0.0.0.0
IP-Adresse 4 0.0.0.0
Ping-Intervall 30 Sekunden
Wiederholungen 4
Oder ist der Auszug aus der Konfig nicht der den Du meinst?
Der Trace des PeBoVPNSoHo ist derzeit wie folgt:
Der Trace des PeBoVPNBuero ist derzeit wie folgt:
Im LanMonitor ist es immer noch ein Timeout.
Ich hoffe Du bist noch gewillt mir zu helfen.
Grüße
Ulf
danke für das Wort zum Sonntag
. Es geht jetzt schon einen Schritt weiter .Habe die VPN-Verbindung jetzt auf UDP umgestellt:
Verbindungs-Liste:
Name PEBOVPNBUERO
Haltezeit 9.999 Sekunden
DPD 60 Sekunden
Extranet 0.0.0.0
Gateway 87.139.70.143
Parameter PEBOVPNBUERO
Regel Automatisch
Dynamisch Ja (UDP)
IKE-Exchange Main Mode
IKE-CFG Aus
Routing-Tag 0
Das Polling ist doch eingerichtet ???
Polling-Tabelle:
Gegenstelle PEBOVPNBUERO
IP-Adresse 1 192.168.0.100
IP-Adresse 2 0.0.0.0
IP-Adresse 3 0.0.0.0
IP-Adresse 4 0.0.0.0
Ping-Intervall 30 Sekunden
Wiederholungen 4
Oder ist der Auszug aus der Konfig nicht der den Du meinst?
Der Trace des PeBoVPNSoHo ist derzeit wie folgt:
Code: Alles auswählen
[VPN-Status] 2007/02/18 16:50:07,540
VPN: connecting to PEBOVPNBUERO (87.139.70.143)
[VPN-Status] 2007/02/18 16:50:07,560
VPN: start dynamic VPN negotiation for PEBOVPNBUERO (87.139.70.143) via ICMP/UDP
[VPN-Status] 2007/02/18 16:50:07,560
VPN: create dynamic VPN V2 authentication packet for PEBOVPNBUERO (87.139.70.143)
DNS: 192.168.1.1, 0.0.0.0
NBNS: 192.168.1.1, 0.0.0.0
polling address: 192.168.1.1
[VPN-Status] 2007/02/18 16:50:37,540
VPN: connection for PEBOVPNBUERO (87.139.70.143) timed out: no response
[VPN-Status] 2007/02/18 16:50:37,540
VPN: Error: IFC-I-Connection-timeout-dynamic (0x1105) for PEBOVPNBUERO (87.139.70.143)
[VPN-Status] 2007/02/18 16:50:37,550
VPN: selecting next remote gateway using strategy eFirst for PEBOVPNBUERO
=> no remote gateway selected
[VPN-Status] 2007/02/18 16:50:37,550
VPN: selecting first remote gateway using strategy eFirst for PEBOVPNBUERO
=> CurrIdx=0, IpStr=>87.139.70.143<, IpAddr=87.139.70.143, IpTtl=0s
[VPN-Status] 2007/02/18 16:50:37,550
VPN: installing ruleset for PEBOVPNBUERO (87.139.70.143)
[VPN-Status] 2007/02/18 16:50:37,560
VPN: PEBOVPNBUERO (87.139.70.143) disconnected
[VPN-Status] 2007/02/18 16:50:37,560
VPN: rulesets installed
[VPN-Status] 2007/02/18 16:50:38,550
VPN: connecting to PEBOVPNBUERO (87.139.70.143)
[VPN-Status] 2007/02/18 16:50:38,570
VPN: start dynamic VPN negotiation for PEBOVPNBUERO (87.139.70.143) via ICMP/UDP
[VPN-Status] 2007/02/18 16:50:38,570
VPN: create dynamic VPN V2 authentication packet for PEBOVPNBUERO (87.139.70.143)
DNS: 192.168.1.1, 0.0.0.0
NBNS: 192.168.1.1, 0.0.0.0
polling address: 192.168.1.1
[VPN-Status] 2007/02/18 16:50:38,700
VPN: received dynamic VPN V2 authentication packet from PEBOVPNBUERO (87.139.70.143)
DNS: 192.168.0.254, 0.0.0.0
NBNS: 192.168.0.254, 0.0.0.0
polling address: 192.168.0.254
[VPN-Status] 2007/02/18 16:50:38,700
VPN: installing ruleset for PEBOVPNBUERO (87.139.70.143)
[VPN-Status] 2007/02/18 16:50:38,710
VPN: ruleset installed for PEBOVPNBUERO (87.139.70.143)
[VPN-Status] 2007/02/18 16:50:38,710
VPN: create dynamic VPN V2 authentication packet for PEBOVPNBUERO (87.139.70.143)
DNS: 192.168.1.1, 0.0.0.0
NBNS: 192.168.1.1, 0.0.0.0
polling address: 192.168.1.1
[VPN-Status] 2007/02/18 16:50:38,710
VPN: start IKE negotiation for PEBOVPNBUERO (87.139.70.143)
[VPN-Status] 2007/02/18 16:50:38,730
VPN: rulesets installed
[VPN-Status] 2007/02/18 16:50:38,730
IKE info: Phase-1 negotiation started for peer PEBOVPNBUERO rule isakmp-peer-PEBOVPNBUERO using MAIN mode
[VPN-Status] 2007/02/18 16:50:38,860
IKE info: The remote server 87.139.70.143:500 peer PEBOVPNBUERO id <no_id> supports NAT-T in mode draft
IKE info: The remote server 87.139.70.143:500 peer PEBOVPNBUERO id <no_id> supports NAT-T in mode draft
IKE info: The remote server 87.139.70.143:500 peer PEBOVPNBUERO id <no_id> supports NAT-T in mode rfc
IKE info: The remote server 87.139.70.143:500 peer PEBOVPNBUERO id <no_id> is Enigmatec IPSEC version 1.5.1
IKE info: The remote server 87.139.70.143:500 peer PEBOVPNBUERO id <no_id> negotiated rfc-3706-dead-peer-detection
[VPN-Status] 2007/02/18 16:50:38,860
IKE info: Phase-1 remote proposal 1 for peer PEBOVPNBUERO matched with local proposal 1
[VPN-Status] 2007/02/18 16:51:08,730
VPN: connection for PEBOVPNBUERO (87.139.70.143) timed out: no response
[VPN-Status] 2007/02/18 16:51:08,730
VPN: Error: IFC-I-Connection-timeout-IKE-IPSEC (0x1106) for PEBOVPNBUERO (87.139.70.143)
[VPN-Status] 2007/02/18 16:51:08,730
VPN: disconnecting PEBOVPNBUERO (87.139.70.143)
[VPN-Status] 2007/02/18 16:51:08,740
VPN: PEBOVPNBUERO (87.139.70.143) disconnected
[VPN-Status] 2007/02/18 16:51:08,760
VPN: selecting first remote gateway using strategy eFirst for PEBOVPNBUERO
=> CurrIdx=0, IpStr=>87.139.70.143<, IpAddr=87.139.70.143, IpTtl=0s
[VPN-Status] 2007/02/18 16:51:08,760
VPN: installing ruleset for PEBOVPNBUERO (87.139.70.143)
[VPN-Status] 2007/02/18 16:51:08,770
VPN: rulesets installed
Code: Alles auswählen
[VPN-Status] 2007/02/18 17:23:52,510
VPN: received dynamic VPN V2 authentication packet from PEBOVPNSOHO (80.136.72.18)
DNS: 192.168.1.1, 0.0.0.0
NBNS: 192.168.1.1, 0.0.0.0
polling address: 192.168.1.1
[VPN-Status] 2007/02/18 17:23:53,510
VPN: received dynamic VPN V2 authentication packet from PEBOVPNSOHO (80.136.72.18)
DNS: 192.168.1.1, 0.0.0.0
NBNS: 192.168.1.1, 0.0.0.0
polling address: 192.168.1.1
...
[VPN-Status] 2007/02/18 17:23:55,490
VPN: connection for PEBOVPNSOHO (80.136.72.18) timed out: no response
[VPN-Status] 2007/02/18 17:23:55,490
VPN: Error: IFC-R-Connection-timeout-IKE-IPSEC (0x1206) for PEBOVPNSOHO (80.136.72.18)
[VPN-Status] 2007/02/18 17:23:55,490
VPN: disconnecting PEBOVPNSOHO (80.136.72.18)
[VPN-Status] 2007/02/18 17:23:55,500
VPN: PEBOVPNSOHO (80.136.72.18) disconnected
[VPN-Status] 2007/02/18 17:23:55,520
VPN: selecting first remote gateway using strategy eFirst for PEBOVPNSOHO
=> no remote gateway selected
[VPN-Status] 2007/02/18 17:23:55,520
VPN: installing ruleset for PEBOVPNSOHO (0.0.0.0)
[VPN-Status] 2007/02/18 17:23:55,520
VPN: received dynamic VPN V2 authentication packet from PEBOVPNSOHO (80.136.72.18)
DNS: 192.168.1.1, 0.0.0.0
NBNS: 192.168.1.1, 0.0.0.0
polling address: 192.168.1.1
[VPN-Status] 2007/02/18 17:23:55,520
VPN: ruleset installation pending for PEBOVPNSOHO (80.136.72.18), ignored
[VPN-Status] 2007/02/18 17:23:55,530
VPN: ruleset installed for PEBOVPNSOHO (80.136.72.18)
[VPN-Status] 2007/02/18 17:23:55,530
VPN: rulesets installed
[VPN-Status] 2007/02/18 17:23:57,530
VPN: received dynamic VPN V2 authentication packet from PEBOVPNSOHO (80.136.72.18)
DNS: 192.168.1.1, 0.0.0.0
NBNS: 192.168.1.1, 0.0.0.0
polling address: 192.168.1.1
[VPN-Status] 2007/02/18 17:23:57,530
VPN: installing ruleset for PEBOVPNSOHO (80.136.72.18)
[VPN-Status] 2007/02/18 17:23:57,540
VPN: ruleset installed for PEBOVPNSOHO (80.136.72.18)
[VPN-Status] 2007/02/18 17:23:57,540
VPN: start dynamic VPN negotiation for PEBOVPNSOHO (80.136.72.18) via ICMP/UDP
[VPN-Status] 2007/02/18 17:23:57,540
VPN: create dynamic VPN V2 authentication packet for PEBOVPNSOHO (80.136.72.18)
DNS: 192.168.0.254, 0.0.0.0
NBNS: 192.168.0.254, 0.0.0.0
polling address: 192.168.0.254
[VPN-Status] 2007/02/18 17:23:57,540
VPN: wait for IKE negotiation from PEBOVPNSOHO (80.136.72.18)
[VPN-Status] 2007/02/18 17:23:57,560
VPN: rulesets installed
[VPN-Status] 2007/02/18 17:23:57,680
VPN: received dynamic VPN V2 authentication packet from PEBOVPNSOHO (80.136.72.18)
DNS: 192.168.1.1, 0.0.0.0
NBNS: 192.168.1.1, 0.0.0.0
polling address: 192.168.1.1
[VPN-Status] 2007/02/18 17:23:57,700
IKE info: The remote server 80.136.72.18:500 peer PEBOVPNSOHO id <no_id> is Enigmatec IPSEC version 1.5.1
IKE info: The remote server 80.136.72.18:500 peer PEBOVPNSOHO id <no_id> supports NAT-T in mode draft
IKE info: The remote server 80.136.72.18:500 peer PEBOVPNSOHO id <no_id> supports NAT-T in mode draft
IKE info: The remote server 80.136.72.18:500 peer PEBOVPNSOHO id <no_id> supports NAT-T in mode rfc
IKE info: The remote server 80.136.72.18:500 peer PEBOVPNSOHO id <no_id> negotiated rfc-3706-dead-peer-detection
[VPN-Status] 2007/02/18 17:23:57,700
IKE info: Phase-1 remote proposal 1 for peer PEBOVPNSOHO matched with local proposal 1
Ich hoffe Du bist noch gewillt mir zu helfen.
Grüße
Ulf
Hi EDVNet
ein weiterer Blick in die Konfig deines Büros zeigt ein mögliches Problem: Dort hast du auch eine Haltezeit von 9999 eingetragen. Da der Tunnel immer von dir zuhause aufgebaut werden soll, mußt du dort 0 eintragen - sonst versucht der 1711 im Büro immer die Verbindung aufzubauen, was natürlich scheitern muß...
als nächstes zu den Traces: da fällt auf, daß die ersten IKE-Pakete laufen - der 1711 in deinem Büro meldet, daß er NAT-T kann und auch der Proposalaustausch wurde abgeschlossen. Danach bricht die Verhandlung ab.
Hast du im Speedport in deinem Büro auch den UDP-Port 4500 auf den 1711 weitergeleitet? Falls du bei dir zuhause (also in der Fritzbox) eine Portweiterleitung eingetragen hast: nimm sie raus - es wird ja NAT-T gemacht...
Gruß
Backslash
das sieht OK aus.Habe die VPN-Verbindung jetzt auf UDP umgestellt:
Verbindungs-Liste:
Name PEBOVPNBUERO
Haltezeit 9.999 Sekunden
DPD 60 Sekunden
Extranet 0.0.0.0
Gateway 87.139.70.143
Parameter PEBOVPNBUERO
Regel Automatisch
Dynamisch Ja (UDP)
IKE-Exchange Main Mode
IKE-CFG Aus
Routing-Tag 0
sorry, hab ich übersehen - ist aber auch korrekt.Das Polling ist doch eingerichtet ???
Polling-Tabelle:
Gegenstelle PEBOVPNBUERO
IP-Adresse 1 192.168.0.100
IP-Adresse 2 0.0.0.0
IP-Adresse 3 0.0.0.0
IP-Adresse 4 0.0.0.0
Ping-Intervall 30 Sekunden
Wiederholungen 4
ein weiterer Blick in die Konfig deines Büros zeigt ein mögliches Problem: Dort hast du auch eine Haltezeit von 9999 eingetragen. Da der Tunnel immer von dir zuhause aufgebaut werden soll, mußt du dort 0 eintragen - sonst versucht der 1711 im Büro immer die Verbindung aufzubauen, was natürlich scheitern muß...
als nächstes zu den Traces: da fällt auf, daß die ersten IKE-Pakete laufen - der 1711 in deinem Büro meldet, daß er NAT-T kann und auch der Proposalaustausch wurde abgeschlossen. Danach bricht die Verhandlung ab.
Hast du im Speedport in deinem Büro auch den UDP-Port 4500 auf den 1711 weitergeleitet? Falls du bei dir zuhause (also in der Fritzbox) eine Portweiterleitung eingetragen hast: nimm sie raus - es wird ja NAT-T gemacht...
Gruß
Backslash
Hallo Backslash,
was heißt hier sorry, ich bin froh, dass ich überhaupt so gute Unterstützung finde.
Habe jetzt auf dem Büro-Router die Zeit auf 0 gesetzt und zu Hause die UDP-Port-Freischaltungen (50, 4500) wieder deaktiviert. Im Büro sind sie noch drin.
Gut, dass wenigstens einer aus diesen "Chaos" schlau wird
.
Die aktuellen Traces kontrolliere/poste ich morgen früh noch einmal.
Besten Dank.
Grüße
Ulf
was heißt hier sorry, ich bin froh, dass ich überhaupt so gute Unterstützung finde.
Habe jetzt auf dem Büro-Router die Zeit auf 0 gesetzt und zu Hause die UDP-Port-Freischaltungen (50, 4500) wieder deaktiviert. Im Büro sind sie noch drin.
Gut, dass wenigstens einer aus diesen "Chaos" schlau wird
.Die aktuellen Traces kontrolliere/poste ich morgen früh noch einmal.
Besten Dank.
Grüße
Ulf
Habe heute früh noch einmal die Traces nach den Änderungen ausgewertet. Keine Besserung.
Habe aber noch einen Fehler gefunden. Im Büro wurde nicht der UDP-Port 4500 weitergeleitet, sondern der TCP- Port
. Habe es aber jetzt geändert.
Prompt kamen auch die Phase-2-Verhandlungen in Schwung.
Allerdings nur für ca. 8 Sekunden.
Danach bricht der Tunnel zusammen und die Verhandlungen beginnen von vorne. Im Trace sehe ich nur ein poll timeout. Ob das dafür verantwortlich, lass ich lieber die Experten beurteilen.
Im LanMonitor zeigt er immer VPN verbunden mit dem Unterpunkt "NAT-Erkennung: Beide Gateways". Dann springt er wieder auf Protokollverhandlung zurück und das Spiel beginnt von vorne.
Trace SoHo
Trace Büro:
Derzeit sind folgende Port-Weiterleitungen aktiv:
SoHo (Fritz!Box): TCP 443, TCP 22
Büro (Speedport): UDP 500, UDP 4500, UDP 87, TCP 443, TCP 22
Ich bin der guten Hoffnung, dass es mit Eurer Hilfe doch noch funktionieren wird.
Besten Dank.
Ulf
Habe aber noch einen Fehler gefunden. Im Büro wurde nicht der UDP-Port 4500 weitergeleitet, sondern der TCP- Port
. Habe es aber jetzt geändert.Prompt kamen auch die Phase-2-Verhandlungen in Schwung.
Allerdings nur für ca. 8 Sekunden.
Danach bricht der Tunnel zusammen und die Verhandlungen beginnen von vorne. Im Trace sehe ich nur ein poll timeout. Ob das dafür verantwortlich, lass ich lieber die Experten beurteilen.
Im LanMonitor zeigt er immer VPN verbunden mit dem Unterpunkt "NAT-Erkennung: Beide Gateways". Dann springt er wieder auf Protokollverhandlung zurück und das Spiel beginnt von vorne.
Trace SoHo
Code: Alles auswählen
[VPN-Status] 2007/02/19 08:28:49,830
VPN: connecting to PEBOVPNBUERO (87.139.70.143)
[VPN-Status] 2007/02/19 08:28:49,850
VPN: start dynamic VPN negotiation for PEBOVPNBUERO (87.139.70.143) via ICMP/UDP
[VPN-Status] 2007/02/19 08:28:49,850
VPN: create dynamic VPN V2 authentication packet for PEBOVPNBUERO (87.139.70.143)
DNS: 192.168.1.1, 0.0.0.0
NBNS: 192.168.1.1, 0.0.0.0
polling address: 192.168.1.1
[VPN-Status] 2007/02/19 08:28:49,980
VPN: received dynamic VPN V2 authentication packet from PEBOVPNBUERO (87.139.70.143)
DNS: 192.168.0.254, 0.0.0.0
NBNS: 192.168.0.254, 0.0.0.0
polling address: 192.168.0.254
[VPN-Status] 2007/02/19 08:28:49,980
VPN: installing ruleset for PEBOVPNBUERO (87.139.70.143)
[VPN-Status] 2007/02/19 08:28:49,990
VPN: ruleset installed for PEBOVPNBUERO (87.139.70.143)
[VPN-Status] 2007/02/19 08:28:49,990
VPN: create dynamic VPN V2 authentication packet for PEBOVPNBUERO (87.139.70.143)
DNS: 192.168.1.1, 0.0.0.0
NBNS: 192.168.1.1, 0.0.0.0
polling address: 192.168.1.1
[VPN-Status] 2007/02/19 08:28:49,990
VPN: start IKE negotiation for PEBOVPNBUERO (87.139.70.143)
[VPN-Status] 2007/02/19 08:28:50,010
VPN: rulesets installed
[VPN-Status] 2007/02/19 08:28:55,990
IKE info: Phase-1 negotiation started for peer PEBOVPNBUERO rule isakmp-peer-PEBOVPNBUERO using MAIN mode
[VPN-Status] 2007/02/19 08:28:56,100
IKE info: The remote server 87.139.70.143:500 peer PEBOVPNBUERO id <no_id> supports NAT-T in mode draft
IKE info: The remote server 87.139.70.143:500 peer PEBOVPNBUERO id <no_id> supports NAT-T in mode draft
IKE info: The remote server 87.139.70.143:500 peer PEBOVPNBUERO id <no_id> supports NAT-T in mode rfc
IKE info: The remote server 87.139.70.143:500 peer PEBOVPNBUERO id <no_id> is Enigmatec IPSEC version 1.5.1
IKE info: The remote server 87.139.70.143:500 peer PEBOVPNBUERO id <no_id> negotiated rfc-3706-dead-peer-detection
[VPN-Status] 2007/02/19 08:28:56,110
IKE info: Phase-1 remote proposal 1 for peer PEBOVPNBUERO matched with local proposal 1
[VPN-Status] 2007/02/19 08:28:56,740
IKE info: Phase-1 [inititiator] for peer PEBOVPNBUERO between initiator id 192.168.254.5, responder id 192.168.10.252 done
IKE info: NAT-T enabled in mode rfc, we are behind a nat, the remote side is behind a nat
IKE info: SA ISAKMP for peer PEBOVPNBUERO encryption aes-cbc authentication md5
IKE info: life time ( 108000 sec/ 0 kb)
[VPN-Status] 2007/02/19 08:28:57,310
IKE info: Phase-2 [inititiator] done with 2 SAS for peer PEBOVPNBUERO rule ipsec-0-PEBOVPNBUERO-pr0-l0-r0
IKE info: rule:' ipsec 192.168.1.0/255.255.255.0 <-> 192.168.0.0/255.255.255.0 '
IKE info: SA ESP [0x4cc11d7b] alg AES keylength 128 +hmac HMAC_MD5 outgoing
IKE info: SA ESP [0x0885b074] alg AES keylength 128 +hmac HMAC_MD5 incoming
IKE info: life soft( 1800 sec/180000 kb) hard (2000 sec/200000 kb)
IKE info: tunnel between src: 192.168.254.5 dst: 87.139.70.143
[VPN-Status] 2007/02/19 08:29:09,310
VPN: disconnecting PEBOVPNBUERO (87.139.70.143)
[VPN-Status] 2007/02/19 08:29:09,320
IKE info: Delete Notificaton sent for Phase-2 SA ipsec-0-PEBOVPNBUERO-pr0-l0-r0 to peer PEBOVPNBUERO, spi [0x0885b074]
[VPN-Status] 2007/02/19 08:29:09,320
IKE info: Phase-2 SA removed: peer PEBOVPNBUERO rule ipsec-0-PEBOVPNBUERO-pr0-l0-r0 removed
IKE info: containing Protocol IPSEC_ESP, with spis [4cc11d7b ] [0885b074 ]
[VPN-Status] 2007/02/19 08:29:09,320
IKE info: Delete Notificaton sent for Phase-1 SA to peer PEBOVPNBUERO
[VPN-Status] 2007/02/19 08:29:09,320
IKE info: Phase-1 SA removed: peer PEBOVPNBUERO rule PEBOVPNBUERO removed
[VPN-Status] 2007/02/19 08:29:09,360
VPN: selecting next remote gateway using strategy eFirst for PEBOVPNBUERO
=> no remote gateway selected
[VPN-Status] 2007/02/19 08:29:09,360
VPN: selecting first remote gateway using strategy eFirst for PEBOVPNBUERO
=> CurrIdx=0, IpStr=>87.139.70.143<, IpAddr=87.139.70.143, IpTtl=0s
[VPN-Status] 2007/02/19 08:29:09,360
VPN: installing ruleset for PEBOVPNBUERO (87.139.70.143)
[VPN-Status] 2007/02/19 08:29:09,360
VPN: PEBOVPNBUERO (87.139.70.143) disconnected
[VPN-Status] 2007/02/19 08:29:09,370
VPN: rulesets installed
[VPN-Status] 2007/02/19 08:29:09,440
IKE log: 082909 Default message_recv: invalid cookie(s) 0cc39a5a6e3eca89 eb091e08cd9de7bc
[VPN-Status] 2007/02/19 08:29:09,440
IKE log: 082909 Default dropped message from 87.139.70.143 port 4500 due to notification type INVALID_COOKIE
[VPN-Status] 2007/02/19 08:29:09,440
IKE info: dropped message from peer unknown 87.139.70.143 port 4500 due to notification type INVALID_COOKIE
[VPN-Status] 2007/02/19 08:29:10,360
VPN: connecting to PEBOVPNBUERO (87.139.70.143)
[VPN-Status] 2007/02/19 08:29:10,380
VPN: start dynamic VPN negotiation for PEBOVPNBUERO (87.139.70.143) via ICMP/UDP
[VPN-Status] 2007/02/19 08:29:10,380
VPN: create dynamic VPN V2 authentication packet for PEBOVPNBUERO (87.139.70.143)
DNS: 192.168.1.1, 0.0.0.0
NBNS: 192.168.1.1, 0.0.0.0
polling address: 192.168.1.1
[VPN-Status] 2007/02/19 08:29:10,510
VPN: received dynamic VPN V2 authentication packet from PEBOVPNBUERO (87.139.70.143)
DNS: 192.168.0.254, 0.0.0.0
NBNS: 192.168.0.254, 0.0.0.0
polling address: 192.168.0.254
[VPN-Status] 2007/02/19 08:29:10,510
VPN: installing ruleset for PEBOVPNBUERO (87.139.70.143)
[VPN-Status] 2007/02/19 08:29:10,520
VPN: ruleset installed for PEBOVPNBUERO (87.139.70.143)
[VPN-Status] 2007/02/19 08:29:10,520
VPN: create dynamic VPN V2 authentication packet for PEBOVPNBUERO (87.139.70.143)
DNS: 192.168.1.1, 0.0.0.0
NBNS: 192.168.1.1, 0.0.0.0
polling address: 192.168.1.1
[VPN-Status] 2007/02/19 08:29:10,520
VPN: start IKE negotiation for PEBOVPNBUERO (87.139.70.143)
[VPN-Status] 2007/02/19 08:29:10,540
VPN: rulesets installed
[VPN-Status] 2007/02/19 08:29:16,520
IKE info: Phase-1 negotiation started for peer PEBOVPNBUERO rule isakmp-peer-PEBOVPNBUERO using MAIN mode
[VPN-Status] 2007/02/19 08:29:16,630
IKE info: The remote server 87.139.70.143:500 peer PEBOVPNBUERO id <no_id> supports NAT-T in mode draft
IKE info: The remote server 87.139.70.143:500 peer PEBOVPNBUERO id <no_id> supports NAT-T in mode draft
IKE info: The remote server 87.139.70.143:500 peer PEBOVPNBUERO id <no_id> supports NAT-T in mode rfc
IKE info: The remote server 87.139.70.143:500 peer PEBOVPNBUERO id <no_id> is Enigmatec IPSEC version 1.5.1
IKE info: The remote server 87.139.70.143:500 peer PEBOVPNBUERO id <no_id> negotiated rfc-3706-dead-peer-detection
[VPN-Status] 2007/02/19 08:29:16,640
IKE info: Phase-1 remote proposal 1 for peer PEBOVPNBUERO matched with local proposal 1
[VPN-Status] 2007/02/19 08:29:17,270
IKE info: Phase-1 [inititiator] for peer PEBOVPNBUERO between initiator id 192.168.254.5, responder id 192.168.10.252 done
IKE info: NAT-T enabled in mode rfc, we are behind a nat, the remote side is behind a nat
IKE info: SA ISAKMP for peer PEBOVPNBUERO encryption aes-cbc authentication md5
IKE info: life time ( 108000 sec/ 0 kb)
[VPN-Status] 2007/02/19 08:29:17,840
IKE info: Phase-2 [inititiator] done with 2 SAS for peer PEBOVPNBUERO rule ipsec-0-PEBOVPNBUERO-pr0-l0-r0
IKE info: rule:' ipsec 192.168.1.0/255.255.255.0 <-> 192.168.0.0/255.255.255.0 '
IKE info: SA ESP [0x610ed7da] alg AES keylength 128 +hmac HMAC_MD5 outgoing
IKE info: SA ESP [0x7a955732] alg AES keylength 128 +hmac HMAC_MD5 incoming
IKE info: life soft( 1800 sec/180000 kb) hard (2000 sec/200000 kb)
IKE info: tunnel between src: 192.168.254.5 dst: 87.139.70.143
[VPN-Status] 2007/02/19 08:29:29,840
VPN: disconnecting PEBOVPNBUERO (87.139.70.143)
[VPN-Status] 2007/02/19 08:29:29,850
IKE info: Delete Notificaton sent for Phase-2 SA ipsec-0-PEBOVPNBUERO-pr0-l0-r0 to peer PEBOVPNBUERO, spi [0x7a955732]
[VPN-Status] 2007/02/19 08:29:29,850
IKE info: Phase-2 SA removed: peer PEBOVPNBUERO rule ipsec-0-PEBOVPNBUERO-pr0-l0-r0 removed
IKE info: containing Protocol IPSEC_ESP, with spis [610ed7da ] [7a955732 ]
[VPN-Status] 2007/02/19 08:29:29,850
IKE info: Delete Notificaton sent for Phase-1 SA to peer PEBOVPNBUERO
[VPN-Status] 2007/02/19 08:29:29,850
IKE info: Phase-1 SA removed: peer PEBOVPNBUERO rule PEBOVPNBUERO removed
[VPN-Status] 2007/02/19 08:29:29,890
VPN: selecting next remote gateway using strategy eFirst for PEBOVPNBUERO
=> no remote gateway selected
[VPN-Status] 2007/02/19 08:29:29,890
VPN: selecting first remote gateway using strategy eFirst for PEBOVPNBUERO
=> CurrIdx=0, IpStr=>87.139.70.143<, IpAddr=87.139.70.143, IpTtl=0s
[VPN-Status] 2007/02/19 08:29:29,890
VPN: installing ruleset for PEBOVPNBUERO (87.139.70.143)
[VPN-Status] 2007/02/19 08:29:29,890
VPN: PEBOVPNBUERO (87.139.70.143) disconnected
[VPN-Status] 2007/02/19 08:29:29,900
VPN: rulesets installed
[VPN-Status] 2007/02/19 08:29:29,960
IKE log: 082929 Default message_recv: invalid cookie(s) 3b4ff96e3454273a 18b731c6f757d48a
[VPN-Status] 2007/02/19 08:29:29,970
IKE log: 082929 Default dropped message from 87.139.70.143 port 4500 due to notification type INVALID_COOKIE
[VPN-Status] 2007/02/19 08:29:29,970
IKE info: dropped message from peer unknown 87.139.70.143 port 4500 due to notification type INVALID_COOKIE
Trace Büro:
Code: Alles auswählen
[VPN-Status] 2007/02/19 08:26:40,790
VPN: selecting first remote gateway using strategy eFirst for PEBOVPNSOHO
=> no remote gateway selected
[VPN-Status] 2007/02/19 08:26:40,790
VPN: installing ruleset for PEBOVPNSOHO (0.0.0.0)
[VPN-Status] 2007/02/19 08:26:40,810
VPN: rulesets installed
[VPN-Status] 2007/02/19 08:26:41,810
VPN: received dynamic VPN V2 authentication packet from PEBOVPNSOHO (80.136.123.249)
DNS: 192.168.1.1, 0.0.0.0
NBNS: 192.168.1.1, 0.0.0.0
polling address: 192.168.1.1
[VPN-Status] 2007/02/19 08:26:41,810
VPN: installing ruleset for PEBOVPNSOHO (80.136.123.249)
[VPN-Status] 2007/02/19 08:26:41,830
VPN: ruleset installed for PEBOVPNSOHO (80.136.123.249)
[VPN-Status] 2007/02/19 08:26:41,830
VPN: start dynamic VPN negotiation for PEBOVPNSOHO (80.136.123.249) via ICMP/UDP
[VPN-Status] 2007/02/19 08:26:41,830
VPN: create dynamic VPN V2 authentication packet for PEBOVPNSOHO (80.136.123.249)
DNS: 192.168.0.254, 0.0.0.0
NBNS: 192.168.0.254, 0.0.0.0
polling address: 192.168.0.254
[VPN-Status] 2007/02/19 08:26:41,830
VPN: wait for IKE negotiation from PEBOVPNSOHO (80.136.123.249)
[VPN-Status] 2007/02/19 08:26:41,840
VPN: rulesets installed
[VPN-Status] 2007/02/19 08:26:41,970
VPN: received dynamic VPN V2 authentication packet from PEBOVPNSOHO (80.136.123.249)
DNS: 192.168.1.1, 0.0.0.0
NBNS: 192.168.1.1, 0.0.0.0
polling address: 192.168.1.1
[VPN-Status] 2007/02/19 08:26:42,940
VPN: received dynamic VPN V2 authentication packet from PEBOVPNSOHO (80.136.123.249)
DNS: 192.168.1.1, 0.0.0.0
NBNS: 192.168.1.1, 0.0.0.0
polling address: 192.168.1.1
[VPN-Status] 2007/02/19 08:26:43,940
VPN: received dynamic VPN V2 authentication packet from PEBOVPNSOHO (80.136.123.249)
DNS: 192.168.1.1, 0.0.0.0
NBNS: 192.168.1.1, 0.0.0.0
polling address: 192.168.1.1
[VPN-Status] 2007/02/19 08:26:44,950
VPN: received dynamic VPN V2 authentication packet from PEBOVPNSOHO (80.136.123.249)
DNS: 192.168.1.1, 0.0.0.0
NBNS: 192.168.1.1, 0.0.0.0
polling address: 192.168.1.1
[VPN-Status] 2007/02/19 08:26:45,940
VPN: received dynamic VPN V2 authentication packet from PEBOVPNSOHO (80.136.123.249)
DNS: 192.168.1.1, 0.0.0.0
NBNS: 192.168.1.1, 0.0.0.0
polling address: 192.168.1.1
[VPN-Status] 2007/02/19 08:26:46,950
VPN: received dynamic VPN V2 authentication packet from PEBOVPNSOHO (80.136.123.249)
DNS: 192.168.1.1, 0.0.0.0
NBNS: 192.168.1.1, 0.0.0.0
polling address: 192.168.1.1
[VPN-Status] 2007/02/19 08:26:47,940
VPN: received dynamic VPN V2 authentication packet from PEBOVPNSOHO (80.136.123.249)
DNS: 192.168.1.1, 0.0.0.0
NBNS: 192.168.1.1, 0.0.0.0
polling address: 192.168.1.1
[VPN-Status] 2007/02/19 08:26:48,940
VPN: received dynamic VPN V2 authentication packet from PEBOVPNSOHO (80.136.123.249)
DNS: 192.168.1.1, 0.0.0.0
NBNS: 192.168.1.1, 0.0.0.0
polling address: 192.168.1.1
[VPN-Status] 2007/02/19 08:26:48,960
IKE info: The remote server 80.136.123.249:500 peer PEBOVPNSOHO id <no_id> is Enigmatec IPSEC version 1.5.1
IKE info: The remote server 80.136.123.249:500 peer PEBOVPNSOHO id <no_id> supports NAT-T in mode draft
IKE info: The remote server 80.136.123.249:500 peer PEBOVPNSOHO id <no_id> supports NAT-T in mode draft
IKE info: The remote server 80.136.123.249:500 peer PEBOVPNSOHO id <no_id> supports NAT-T in mode rfc
IKE info: The remote server 80.136.123.249:500 peer PEBOVPNSOHO id <no_id> negotiated rfc-3706-dead-peer-detection
[VPN-Status] 2007/02/19 08:26:48,960
IKE info: Phase-1 remote proposal 1 for peer PEBOVPNSOHO matched with local proposal 1
[VPN-Status] 2007/02/19 08:26:49,600
IKE info: Phase-1 [responder] for peer PEBOVPNSOHO between initiator id 192.168.254.5, responder id 192.168.10.252 done
IKE info: NAT-T enabled in mode rfc, we are behind a nat, the remote side is behind a nat
IKE info: SA ISAKMP for peer PEBOVPNSOHO encryption aes-cbc authentication md5
IKE info: life time ( 108000 sec/ 0 kb)
[VPN-Status] 2007/02/19 08:26:49,710
IKE info: Phase-2 remote proposal 1 for peer PEBOVPNSOHO matched with local proposal 1
[VPN-Status] 2007/02/19 08:26:49,940
VPN: received dynamic VPN V2 authentication packet from PEBOVPNSOHO (80.136.123.249)
DNS: 192.168.1.1, 0.0.0.0
NBNS: 192.168.1.1, 0.0.0.0
polling address: 192.168.1.1
[VPN-Status] 2007/02/19 08:26:50,150
IKE info: Phase-2 [responder] done with 2 SAS for peer PEBOVPNSOHO rule ipsec-0-PEBOVPNSOHO-pr0-l0-r0
IKE info: rule:' ipsec 192.168.0.0/255.255.255.0 <-> 192.168.1.0/255.255.255.0 '
IKE info: SA ESP [0x79efe2c7] alg AES keylength 128 +hmac HMAC_MD5 outgoing
IKE info: SA ESP [0x15536931] alg AES keylength 128 +hmac HMAC_MD5 incoming
IKE info: life soft( 1800 sec/180000 kb) hard (2000 sec/200000 kb)
IKE info: tunnel between src: 192.168.10.252 dst: 80.136.123.249
[VPN-Status] 2007/02/19 08:26:50,950
VPN: received dynamic VPN V2 authentication packet from PEBOVPNSOHO (80.136.123.249)
DNS: 192.168.1.1, 0.0.0.0
NBNS: 192.168.1.1, 0.0.0.0
polling address: 192.168.1.1
[VPN-Status] 2007/02/19 08:26:52,250
VPN: PEBOVPNSOHO (80.136.123.249) connected, set poll timer to 30 sec
[VPN-Status] 2007/02/19 08:26:57,250
VPN: poll timeout for PEBOVPNSOHO (80.136.123.249)
send poll frame to 192.168.1.1
[VPN-Status] 2007/02/19 08:26:57,350
VPN: Poll reply from PEBOVPNSOHO (80.136.123.249)
[VPN-Status] 2007/02/19 08:27:02,270
IKE info: Delete Notification received for Phase-2 SA ipsec-0-PEBOVPNSOHO-pr0-l0-r0 peer PEBOVPNSOHO spi [0x79efe2c7]
[VPN-Status] 2007/02/19 08:27:02,270
IKE info: Phase-2 SA removed: peer PEBOVPNSOHO rule ipsec-0-PEBOVPNSOHO-pr0-l0-r0 removed
IKE info: containing Protocol IPSEC_ESP, with spis [79efe2c7 ] [15536931 ]
[VPN-Status] 2007/02/19 08:27:02,280
IKE info: Delete Notification received for Phase-1 SA isakmp-peer-PEBOVPNSOHO peer PEBOVPNSOHO cookies [34fd2be782b21258 36f803d44b2d6ae0]
[VPN-Status] 2007/02/19 08:27:02,280
IKE info: Phase-1 SA removed: peer PEBOVPNSOHO rule PEBOVPNSOHO removed
[VPN-Status] 2007/02/19 08:27:02,290
VPN: PEBOVPNSOHO (80.136.123.249) disconnected
[VPN-Status] 2007/02/19 08:27:02,290
VPN: Disconnect info: remote-disconnected (0x4301) for PEBOVPNSOHO (80.136.123.249)
[VPN-Status] 2007/02/19 08:27:02,310
VPN: selecting first remote gateway using strategy eFirst for PEBOVPNSOHO
=> no remote gateway selected
[VPN-Status] 2007/02/19 08:27:02,310
VPN: installing ruleset for PEBOVPNSOHO (0.0.0.0)
[VPN-Status] 2007/02/19 08:27:02,330
VPN: rulesets installed
[VPN-Status] 2007/02/19 08:27:03,320
VPN: received dynamic VPN V2 authentication packet from PEBOVPNSOHO (80.136.123.249)
DNS: 192.168.1.1, 0.0.0.0
NBNS: 192.168.1.1, 0.0.0.0
polling address: 192.168.1.1
[VPN-Status] 2007/02/19 08:27:03,320
VPN: installing ruleset for PEBOVPNSOHO (80.136.123.249)
[VPN-Status] 2007/02/19 08:27:03,330
VPN: ruleset installed for PEBOVPNSOHO (80.136.123.249)
[VPN-Status] 2007/02/19 08:27:03,330
VPN: start dynamic VPN negotiation for PEBOVPNSOHO (80.136.123.249) via ICMP/UDP
[VPN-Status] 2007/02/19 08:27:03,330
VPN: create dynamic VPN V2 authentication packet for PEBOVPNSOHO (80.136.123.249)
DNS: 192.168.0.254, 0.0.0.0
NBNS: 192.168.0.254, 0.0.0.0
polling address: 192.168.0.254
[VPN-Status] 2007/02/19 08:27:03,340
VPN: wait for IKE negotiation from PEBOVPNSOHO (80.136.123.249)
[VPN-Status] 2007/02/19 08:27:03,350
VPN: rulesets installed
[VPN-Status] 2007/02/19 08:27:03,480
VPN: received dynamic VPN V2 authentication packet from PEBOVPNSOHO (80.136.123.249)
DNS: 192.168.1.1, 0.0.0.0
NBNS: 192.168.1.1, 0.0.0.0
polling address: 192.168.1.1
[VPN-Status] 2007/02/19 08:27:04,460
VPN: received dynamic VPN V2 authentication packet from PEBOVPNSOHO (80.136.123.249)
DNS: 192.168.1.1, 0.0.0.0
NBNS: 192.168.1.1, 0.0.0.0
polling address: 192.168.1.1
[VPN-Status] 2007/02/19 08:27:05,460
VPN: received dynamic VPN V2 authentication packet from PEBOVPNSOHO (80.136.123.249)
DNS: 192.168.1.1, 0.0.0.0
NBNS: 192.168.1.1, 0.0.0.0
polling address: 192.168.1.1
[VPN-Status] 2007/02/19 08:27:06,460
VPN: received dynamic VPN V2 authentication packet from PEBOVPNSOHO (80.136.123.249)
DNS: 192.168.1.1, 0.0.0.0
NBNS: 192.168.1.1, 0.0.0.0
polling address: 192.168.1.1
[VPN-Status] 2007/02/19 08:27:07,460
VPN: received dynamic VPN V2 authentication packet from PEBOVPNSOHO (80.136.123.249)
DNS: 192.168.1.1, 0.0.0.0
NBNS: 192.168.1.1, 0.0.0.0
polling address: 192.168.1.1
[VPN-Status] 2007/02/19 08:27:08,460
VPN: received dynamic VPN V2 authentication packet from PEBOVPNSOHO (80.136.123.249)
DNS: 192.168.1.1, 0.0.0.0
NBNS: 192.168.1.1, 0.0.0.0
polling address: 192.168.1.1
[VPN-Status] 2007/02/19 08:27:09,450
VPN: received dynamic VPN V2 authentication packet from PEBOVPNSOHO (80.136.123.249)
DNS: 192.168.1.1, 0.0.0.0
NBNS: 192.168.1.1, 0.0.0.0
polling address: 192.168.1.1
[VPN-Status] 2007/02/19 08:27:09,470
IKE info: The remote server 80.136.123.249:500 peer PEBOVPNSOHO id <no_id> is Enigmatec IPSEC version 1.5.1
IKE info: The remote server 80.136.123.249:500 peer PEBOVPNSOHO id <no_id> supports NAT-T in mode draft
IKE info: The remote server 80.136.123.249:500 peer PEBOVPNSOHO id <no_id> supports NAT-T in mode draft
IKE info: The remote server 80.136.123.249:500 peer PEBOVPNSOHO id <no_id> supports NAT-T in mode rfc
IKE info: The remote server 80.136.123.249:500 peer PEBOVPNSOHO id <no_id> negotiated rfc-3706-dead-peer-detection
[VPN-Status] 2007/02/19 08:27:09,470
IKE info: Phase-1 remote proposal 1 for peer PEBOVPNSOHO matched with local proposal 1
[VPN-Status] 2007/02/19 08:27:10,110
IKE info: Phase-1 [responder] for peer PEBOVPNSOHO between initiator id 192.168.254.5, responder id 192.168.10.252 done
IKE info: NAT-T enabled in mode rfc, we are behind a nat, the remote side is behind a nat
IKE info: SA ISAKMP for peer PEBOVPNSOHO encryption aes-cbc authentication md5
IKE info: life time ( 108000 sec/ 0 kb)
[VPN-Status] 2007/02/19 08:27:10,220
IKE info: Phase-2 remote proposal 1 for peer PEBOVPNSOHO matched with local proposal 1
[VPN-Status] 2007/02/19 08:27:10,230
IKE info: NOTIFY received of type ISAKMP_NOTIFY_DPD_R_U_THERE for peer PEBOVPNSOHO Seq-Nr 0x26d8e34b, expected 0x26d8e34b
[VPN-Status] 2007/02/19 08:27:10,230
IKE info: ISAKMP_NOTIFY_DPD_R_U_THERE_ACK sent for Phase-1 SA to peer PEBOVPNSOHO, sequence nr 0x26d8e34b
[VPN-Status] 2007/02/19 08:27:10,460
VPN: received dynamic VPN V2 authentication packet from PEBOVPNSOHO (80.136.123.249)
DNS: 192.168.1.1, 0.0.0.0
NBNS: 192.168.1.1, 0.0.0.0
polling address: 192.168.1.1
[VPN-Status] 2007/02/19 08:27:10,680
IKE info: Phase-2 [responder] done with 2 SAS for peer PEBOVPNSOHO rule ipsec-0-PEBOVPNSOHO-pr0-l0-r0
IKE info: rule:' ipsec 192.168.0.0/255.255.255.0 <-> 192.168.1.0/255.255.255.0 '
IKE info: SA ESP [0x11b3850e] alg AES keylength 128 +hmac HMAC_MD5 outgoing
IKE info: SA ESP [0x0420cae6] alg AES keylength 128 +hmac HMAC_MD5 incoming
IKE info: life soft( 1800 sec/180000 kb) hard (2000 sec/200000 kb)
IKE info: tunnel between src: 192.168.10.252 dst: 80.136.123.249
[VPN-Status] 2007/02/19 08:27:11,460
VPN: received dynamic VPN V2 authentication packet from PEBOVPNSOHO (80.136.123.249)
DNS: 192.168.1.1, 0.0.0.0
NBNS: 192.168.1.1, 0.0.0.0
polling address: 192.168.1.1
[VPN-Status] 2007/02/19 08:27:12,780
VPN: PEBOVPNSOHO (80.136.123.249) connected, set poll timer to 30 sec
[VPN-Status] 2007/02/19 08:27:17,780
VPN: poll timeout for PEBOVPNSOHO (80.136.123.249)
send poll frame to 192.168.1.1
[VPN-Status] 2007/02/19 08:27:17,880
VPN: Poll reply from PEBOVPNSOHO (80.136.123.249)
[VPN-Status] 2007/02/19 08:27:22,800
IKE info: Delete Notification received for Phase-2 SA ipsec-0-PEBOVPNSOHO-pr0-l0-r0 peer PEBOVPNSOHO spi [0x11b3850e]
[VPN-Status] 2007/02/19 08:27:22,800
IKE info: Phase-2 SA removed: peer PEBOVPNSOHO rule ipsec-0-PEBOVPNSOHO-pr0-l0-r0 removed
IKE info: containing Protocol IPSEC_ESP, with spis [11b3850e ] [0420cae6 ]
[VPN-Status] 2007/02/19 08:27:22,810
IKE info: Delete Notification received for Phase-1 SA isakmp-peer-PEBOVPNSOHO peer PEBOVPNSOHO cookies [7621b0a4d4e90c89 8bea372d3b250e89]
[VPN-Status] 2007/02/19 08:27:22,810
IKE info: Phase-1 SA removed: peer PEBOVPNSOHO rule PEBOVPNSOHO removed
[VPN-Status] 2007/02/19 08:27:22,820
VPN: PEBOVPNSOHO (80.136.123.249) disconnected
[VPN-Status] 2007/02/19 08:27:22,820
VPN: Disconnect info: remote-disconnected (0x4301) for PEBOVPNSOHO (80.136.123.249)
SoHo (Fritz!Box): TCP 443, TCP 22
Büro (Speedport): UDP 500, UDP 4500, UDP 87, TCP 443, TCP 22
Ich bin der guten Hoffnung, dass es mit Eurer Hilfe doch noch funktionieren wird.
Besten Dank.
Ulf