IKE-I-General-failure

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
EFT
Beiträge: 16
Registriert: 09 Okt 2024, 11:02

IKE-I-General-failure

Beitrag von EFT »

Ich habe einen IKEv2-Tunnel zwischen zwei LANCOM-Routern und dieser funktioniert ohne Probleme. Verbindungen in die jeweiligen Zielnetze klappen wunderbar. Nun sehe ich auf der einen Seite in dem LANCOM-Monitor eine Meldung "allgemeinen Fehler", die ich aber nicht nachvollziehen kann. Weis jemand, woher das rühren könnte?

Code: Alles auswählen

[VPN-Status] 2026/02/05 15:30:31,862  Devicetime: 2026/02/05 15:30:31,413
Establishing CREATE_CHILD_SA exchange for IPSEC-0-1_IKEv2-PR0-L0-R0 (1_IKEv2)
CHILD_SA ('', '' ) entered to SADB
Peer 1_IKEv2: Constructing an CREATE_CHILD_SA-REQUEST for send
Starting a CHILD_SA negotiation for IPSEC-0-1_IKEv2-PR0-L0-R0
+CHILD-SA:
  ESP-Proposal-1 My-SPI: 0xF7D2D503 (5 transforms)
    ENCR : AES-GCM-16-256 AES-CBC-256
    INTEG: HMAC-SHA-256
    DH   : 14
    ESN  : NONE
+KE-DH-Group 14 (2048 bits)
+TSi 0: (  0,     0-65535,       10.90.0.0-10.90.255.255  )
+TSr 0: (  0,     0-65535,        10.0.0.0-10.0.0.255     )
Message scheduled for retransmission (1) in 7.581673 seconds
Sending an CREATE_CHILD_SA-REQUEST of 469 bytes (initiator encrypted)
Gateways: 92.92.92.92:500-->91.91.91.91:500, tag 0 (UDP)
SPIs: 0x17B718CF366EE905882F535B3D19D778, Message-ID 104

[VPN-IKE] 2026/02/05 15:30:31,878  Devicetime: 2026/02/05 15:30:31,435
[1_IKEv2] Received packet:
IKE 2.0 Header:
Source/Port         : 91.91.91.91:500
Destination/Port    : 92.92.92.92:500
Routing-tag         : 0
Com-channel         : 18
| Initiator cookie  : 17 B7 18 CF 36 6E E9 05
| Responder cookie  : 88 2F 53 5B 3D 19 D7 78
| Next Payload      : ENCR
| Version           : 2.0
| Exchange type     : CREATE_CHILD_SA
| Flags             : 0x20 Response  
| Msg-ID            : 104
| Length            : 65 Bytes
ENCR Payload
| Next Payload      : NOTIFY
| CRITICAL          : NO
| Reserved          : 0x00
| Length            : 37 Bytes
| IV                : 8D BC 82 62 87 65 C0 57
| Encrypted Data    : DB 40 AA 57 9B 50 B4 96 44
| ICV               : 84 8F D4 40 BE 75 3B E4 C3 AD 78 FE 2A 76 8D 5F

[VPN-IKE] 2026/02/05 15:30:31,878  Devicetime: 2026/02/05 15:30:31,436
[1_IKEv2] Received packet after decryption:
IKE 2.0 Header:
Source/Port         : 91.91.91.91:500
Destination/Port    : 92.92.92.92:500
Routing-tag         : 0
Com-channel         : 18
| Initiator cookie  : 17 B7 18 CF 36 6E E9 05
| Responder cookie  : 88 2F 53 5B 3D 19 D7 78
| Next Payload      : ENCR
| Version           : 2.0
| Exchange type     : CREATE_CHILD_SA
| Flags             : 0x20 Response  
| Msg-ID            : 104
| Length            : 65 Bytes
ENCR Payload
| Next Payload      : NOTIFY
| CRITICAL          : NO
| Reserved          : 0x00
| Length            : 37 Bytes
| IV                : 8D BC 82 62 87 65 C0 57
| ICV               : 84 8F D4 40 BE 75 3B E4 C3 AD 78 FE 2A 76 8D 5F
NOTIFY Payload
| Next Payload      : NONE
| CRITICAL          : NO
| Reserved          : 0x00
| Length            : 8 Bytes
| Protocol ID       : <Unknown 0>
| SPI size          : 0
| Message type      : TS_UNACCEPTABLE
Rest                :  00

[VPN-Debug] 2026/02/05 15:30:31,941  Devicetime: 2026/02/05 15:30:31,436
Peer 1_IKEv2 [initiator]: Received an CREATE_CHILD_SA-RESPONSE of 65 bytes (encrypted)
Gateways: 92.92.92.92:500<--91.91.91.91:500
SPIs: 0x17B718CF366EE905882F535B3D19D778, Message-ID 104
Payloads: ENCR
QUB-DATA: 92.92.92.92:500<---91.91.91.91:500 rtg_tag 0 physical-channel WAN(9) vpn-channel 18
transport: [id: 215248, UDP (17) {outgoing}, dst: 91.91.91.91, tag 0 (U), src: 92.92.92.92, hop limit: 64, DSCP: CS6, ECN: Not-ECT, pmtu: 1500, (R) iface: INTERNET (3), next hop: 91.26.183.145], local port: 500, remote port: 500
+IKE_SA found and assigned
Message verified and decrypted successfully
Payloads: ENCR, NOTIFY(TS_UNACCEPTABLE)
IKE_SA(0x17B718CF366EE905882F535B3D19D778).SEND-MSG-ID raised to 105
Peer 1_IKEv2: Trigger next pended request to establish an exchange
  Current request is IPSEC-0-1_IKEv2-PR0-L0-R0
  IKE_SA is not REPLACED
There are 0 pending requests
LCVPEI: IKE-I-General-failure
Nach oben
Dr.Einstein
Beiträge: 3473
Registriert: 12 Jan 2010, 14:10

Re: IKE-I-General-failure

Beitrag von Dr.Einstein »

TS_UNACCEPTABLE sind in der Regel die Phase 2 Netzbeziehungen. Wenn du unter IKEv2 / Verbindungen unten bei der Regelerzeugung auf Automatisch gesetzt hast, kombiniert der Lancom automatisch alle lokalen Netzwerke, die zum Schnittstellentag passen, mit der Routing-Tabelle. Die Gegenseite muss entsprechend passen.

Alternativ stellst du beide Seiten auf manuell um, und gibst dort die Regel für any-any, also 0.0.0.0.

Du solltest das Problem aber identifizieren können, wenn du den gleichen Trace auf der Gegenseite startest.
Nach oben
Antworten

Zurück zu „Fragen zum Thema VPN“