IPSEC - S2S

[MopedVolker]

Hallo,

ich verzweifle gerade etwas bei der Einrichtung einer S2S IPSEC Verbindung via IKEv1. Die Gegenstelle zum LANCOM Router ist eine Securepoint Firewall. Ich habe alle Parameter mehrfach geprüft. ID, PSK, Proposals, Lifetimes, Modi, etc.

Ich weiß ehrlich nicht mehr weiter. :/ Vielleicht kann jemand anhand des Trace einen Ansatzpunkt geben.

Code: Alles auswählen

[VPN-IKE] 2023/11/26 10:16:28,354
[<UNKNOWN>] Received packet:
IKE 1.0 Header:
Source/Port         : SECUREPOINT_IP:500
Destination/Port    : LANCOM_IP:500
Routing-tag         : 0
Com-channel         : 0
| Initiator cookie  : E7 93 2A 19 40 C1 8B 66
| Responder cookie  : 00 00 00 00 00 00 00 00
| Next Payload      : SA
| Version           : 1.0
| Exchange type     : ID_PROT
| Flags             : 0x00   
| Msg-ID            : 0
| Length            : 240 Bytes
SA Payload
| Next Payload      : VENDOR
| Reserved          : 0x00
| Length            : 116 Bytes
| DOI               : 1
| Situation         : 1
| PROPOSAL Payload
| | Next Payload    : NONE
| | Reserved        : 0x00
| | Length          : 104 Bytes
| | Proposal number : 1
| | Protocol ID     : IPSEC_IKE
| | SPI size        : 0
| | #Transforms     : 3
| | TRANSFORM Payload
| | | Next Payload  : TRANSFORM
| | | Reserved      : 0x00
| | | Length        : 36 Bytes
| | | Transform#    : 1
| | | Transform ID  : KEY_IKE
| | | Reserved2     : 0x0000
| | | Attribute 0
| | | | Type        : Basic, ENCRYPTION_ALGORITHM
| | | | Value       : 7
| | | Attribute 1
| | | | Type        : Basic, KEY_LENGTH
| | | | Value       : 128
| | | Attribute 2
| | | | Type        : Basic, HASH_ALGORITHM
| | | | Value       : 4
| | | Attribute 3
| | | | Type        : Basic, GROUP_DESCRIPTION
| | | | Value       : 14
| | | Attribute 4
| | | | Type        : Basic, AUTHENTICATION_METHOD
| | | | Value       : 1
| | | Attribute 5
| | | | Type        : Basic, LIFE_TYPE
| | | | Value       : 1
| | | Attribute 6
| | | | Type        : Basic, LIFE_DURATION
| | | | Value       : 3600
| | TRANSFORM Payload
| | | Next Payload  : TRANSFORM
| | | Reserved      : 0x00
| | | Length        : 36 Bytes
| | | Transform#    : 2
| | | Transform ID  : KEY_IKE
| | | Reserved2     : 0x0000
| | | Attribute 0
| | | | Type        : Basic, ENCRYPTION_ALGORITHM
| | | | Value       : 7
| | | Attribute 1
| | | | Type        : Basic, KEY_LENGTH
| | | | Value       : 128
| | | Attribute 2
| | | | Type        : Basic, HASH_ALGORITHM
| | | | Value       : 4
| | | Attribute 3
| | | | Type        : Basic, GROUP_DESCRIPTION
| | | | Value       : 19
| | | Attribute 4
| | | | Type        : Basic, AUTHENTICATION_METHOD
| | | | Value       : 1
| | | Attribute 5
| | | | Type        : Basic, LIFE_TYPE
| | | | Value       : 1
| | | Attribute 6
| | | | Type        : Basic, LIFE_DURATION
| | | | Value       : 3600
| | TRANSFORM Payload
| | | Next Payload  : NONE
| | | Reserved      : 0x00
| | | Length        : 24 Bytes
| | | Transform#    : 3
| | | Transform ID  : KEY_IKE
| | | Reserved2     : 0x0000
| | | Attribute 0
| | | | Type        : Basic, GROUP_DESCRIPTION
| | | | Value       : 19
| | | Attribute 1
| | | | Type        : Basic, AUTHENTICATION_METHOD
| | | | Value       : 1
| | | Attribute 2
| | | | Type        : Basic, LIFE_TYPE
| | | | Value       : 1
| | | Attribute 3
| | | | Type        : Basic, LIFE_DURATION
| | | | Value       : 3600
VENDOR Payload
| Next Payload      : VENDOR
| Reserved          : 0x00
| Length            : 12 Bytes
| Vendor ID         : 09 00 26 89 DF D6 B7 12
VENDOR Payload
| Next Payload      : VENDOR
| Reserved          : 0x00
| Length            : 20 Bytes
| Vendor ID         : AF CA D7 13 68 A1 F1 C9 6B 86 96 FC 77 57 01 00
<Unknown 43> Payload
| Next Payload      : VENDOR
| CRITICAL          : NO
| Reserved          : 0x00
| Length            : 24 Bytes
| Vendor ID         : 40 48 B7 D5 6E BC E8 85 25 E7 DE 7F 00 D6 C2 D3
|                     80 00 00 00
VENDOR Payload
| Next Payload      : VENDOR
| Reserved          : 0x00
| Length            : 20 Bytes
| Vendor ID         : 4A 13 1C 81 07 03 58 45 5C 57 28 F2 0E 95 45 2F
VENDOR Payload
| Next Payload      : NONE
| Reserved          : 0x00
| Length            : 20 Bytes
| Vendor ID         : 90 CB 80 91 3E BB 69 6E 08 63 81 B5 EC 42 7B 1F

[VPN-Status] 2023/11/26 10:16:28,355
IKE info: Phase-1 negotiation failed: no configuration found for incoming peer SECUREPOINT_IP


[VPN-Debug] 2023/11/26 10:16:28,355
LCVPEI: IKE-R-No-rule-matched-ID

[VPN-Debug] 2023/11/26 10:16:28,355
QUB-DATA: LANCOM_IP:500<---SECUREPOINT_IP:500 rtg_tag 0 physical-channel WAN(1)
transport: [id: 7701, UDP (17) {incoming unicast, fixed source address}, dst: SECUREPOINT_IP, tag 0 (U), src: LANCOM_IP, hop limit: 64, DSCP: CS6, ECN: Not-ECT, pmtu: 1492, iface: INTERNET (5)], local port: 500, remote port: 500
Counting consumed licenses by active channels...
  Consumed connected licenses   : 0
  Negotiating connections       : 0
  IKE negotiations              : 0
  MPPE connections              : 0
  LTA licenses                  : 0
  Licenses in use               : 0 < 5
  +Passive connection request accepted (43 micro seconds)
IKE-TRANSPORT freed

[Dr.Einstein]

Code: Alles auswählen

no configuration found for incoming peer SECUREPOINT_IP

Hast du als Gateway des Peers die IP oder einen Domainnamen hinterlegt? Normalerweise haut damit etwas nicht hin oder du hast Benamung der Tabellen für Key, IKE-Tabelle, IPSec-Tabelle o.ä. einen Schreibfehler.

[MopedVolker]

Hi,

als Gateway ist die SECUREPOINT_IP in der Verbindungs-Liste hinterlegt. Als ID-Typ für die IKE-Schlüssel und Identitäten sind ebenfalls die IP's gesetzt.

Bedeutet die "no configuration found for incoming peer SECUREPOINT_IP" eigentlich das klassische "no proposals choosen...", wie bei so vielen anderen Herstellern oder deutet das evtl. auf ein ganz anderes Problem hin?

Es gibt ja unter VPN->Allgemein VPN selbst noch die Einstellungsmöglichkeiten für "Entfernte Gateways". Dessen Sinn habe ich nicht ganz verstanden. Muss ich da evtl. noch was einstellen?

[Dr.Einstein]

Poste mal bitte:

Code: Alles auswählen

l /Setup/VPN/VPN-Peers/
l /Setup/VPN/Certificates-and-Keys/IKE-Keys/´
l /Setup/VPN/Layer
l -r /Setup/VPN/Proposals

Bedeutet die "no configuration found for incoming peer SECUREPOINT_IP" eigentlich das klassische "no proposals choosen...", wie bei so vielen anderen Herstellern oder deutet das evtl. auf ein ganz anderes Problem hin?

Nein, das deutet auf ein anderes Problem hin.

Code: Alles auswählen

Es gibt ja unter VPN->Allgemein VPN selbst noch die Einstellungsmöglichkeiten für "Entfernte Gateways". Dessen Sinn habe ich nicht ganz verstanden. Muss ich da evtl. noch was einstellen?

Der Punkt heißt weitere entfernte Gateways, d.h. falls du mit Redundanzen arbeitest und dein Gegenüber über mehrere WAN IPs erreichbar ist.

[5624]

Nein, No Proposal chosen heißt, wenn es keine übereinstimmende Parameter für Algorithmen und ähnliches gibt.

"No configuration" kommt, wenn er die Gegenstelle nicht anhand der IP oder des Zertifikats erkennen kann. Normal würde es hier über die Defaultparameter gehen, die auch bei Aggressive Mode-Verbindungen gelten würden.

Ich hatte den Fall auch schonmal, wenn eben die Default Parameter nicht gesetzt waren, auch wenn diese nicht nötig gewesen wären. Wenn du diese nicht nutzt, hier einfach irgendwelche beliebigen Werte hinterlegen, die so halbwegs stimmig sind.

[MopedVolker]

Hi,

hier die Configs (die IP Adressen muss ich leider durch Platzahalter verbergen: SECUREPOINT_IP / LANCOM_IP)

Code: Alles auswählen

=~=~=~=~=~=~=~=~=~=~=~= PuTTY log 2023.11.26 19:20:33 =~=~=~=~=~=~=~=~=~=~=~=
l /Setup/VPN/VPN-Peers/

Peer              SH-Time       Extranet-Address  Remote-Gw                                                        Rtg-tag  Layer             dynamic     IKE-Exchange     Rule-creation  DPD-Inact-Timeout  IKE-CFG  XAUTH   SSL-Encaps.   OCSP-Check   IPv4-Rules                                                       IPv6-Rules                                                       IPv6            
==================-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
SECUREPOINT              3600          0.0.0.0           SECUREPOINT_IP                                                   0        SECUREPOINT-PROPS    No          Main-Mode        auto           30                 Off      Off     No            No           SECUREPOINT_RULES                                                                                                                        DEFAULT         

root@lancom:/
> l /Setup/VPN/Certificates-and-Keys/IKE-Keys/

Name              Local-ID-Type       Local-Identity                                                                                                                                                                                                                                                  Remote-ID-Type      Remote-Identity                                                                                                                                                                                                                                                 Shared-Sec                                                        Shared-Sec-File     
==================--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
SECUREPOINT-PSK          IPv4-Address        LANCOM_IP                                                                                                                                                                                                                                                     IPv4-Address        SECUREPOINT_IP                                                                                                                                                                                                                                                  *                                                                                     

root@lancom:/
> l /Setup/VPN/Layer

Name              PFS-Grp   IKE-Grp   IKE-Prop-List      IPSEC-Prop-List    IKE-Key         
==================--------------------------------------------------------------------------
SECUREPOINT-PROPS    14        14        IKE_PRESH_KEY      ESP_TN             SECUREPOINT-PSK        

root@lancom:/
> l -r /Setup/VPN/Proposals

IKE                   TABLE:   16+ x [Name,IKE-Crypt-Alg,IKE-Crypt-Keylen,..]
IKE-Proposal-Lists    TABLE:   8+ x [IKE-Proposal-Lists,IKE-Proposal-1,..]
IPSEC                 TABLE:   8+ x [Name,ESP-Crypt-Alg,ESP-Crypt-Keylen,..]
IPSEC-Proposal-Lists  TABLE:   8+ x [IPSEC-Proposal-Lists,IPSEC-Proposal-1,..]

[rek] IKE:

Name               IKE-Crypt-Alg     IKE-Crypt-Keylen  IKE-Auth-Alg      IKE-Auth-Mode     Lifetime-Sec      Lifetime-KB     
===================----------------------------------------------------------------------------------------------------------
PSK-AES128-SHA256  AES-CBC           128               SHA-256           Preshared-Key     3600              0               
RSA-AES256-SHA256  AES-CBC           256               SHA-256           RSA-Signature     108000            0               
RSA-AES256-SHA1    AES-CBC           256               SHA1              RSA-Signature     108000            0               
RSA-AES128-SHA256  AES-CBC           128               SHA-256           RSA-Signature     108000            0               
RSA-AES128-SHA1    AES-CBC           128               SHA1              RSA-Signature     108000            0               
PSK-AES256-SHA256  AES-CBC           256               SHA-256           Preshared-Key     108000            0               
PSK-AES256-SHA1    AES-CBC           256               SHA1              Preshared-Key     108000            0               
PSK-AES128-SHA1    AES-CBC           128               SHA1              Preshared-Key     108000            0               

[rek] IPSEC:

Name               ESP-Crypt-Alg     ESP-Crypt-Keylen  ESP-Auth-Alg      Lifetime-Sec      Lifetime-KB     
===================----------------------------------------------------------------------------------------
TN-AES256-SHA256   AES-CBC           256               HMAC-SHA-256      28800             2000000         
TN-AES256-SHA1     AES-CBC           256               HMAC-SHA1         28800             2000000         
TN-AES128-SHA256   AES-CBC           128               HMAC-SHA-256      28800             0               
TN-AES128-SHA1     AES-CBC           128               HMAC-SHA1         28800             2000000         

[rek] IKE-Proposal-Lists:

IKE-Proposal-Lists   IKE-Proposal-1     IKE-Proposal-2     IKE-Proposal-3     IKE-Proposal-4     IKE-Proposal-5     IKE-Proposal-6     IKE-Proposal-7     IKE-Proposal-8   
=====================------------------------------------------------------------------------------------------------------------------------------------------------------
IKE_PRESH_KEY        PSK-AES128-SHA256                                                                                                                                     

[rek] IPSEC-Proposal-Lists:

IPSEC-Proposal-Lists   IPSEC-Proposal-1   IPSEC-Proposal-2   IPSEC-Proposal-3   IPSEC-Proposal-4   IPSEC-Proposal-5   IPSEC-Proposal-6   IPSEC-Proposal-7   IPSEC-Proposal-8 
=======================------------------------------------------------------------------------------------------------------------------------------------------------------
ESP_TN                 TN-AES128-SHA256                                                                                                                                      

root@lancom:/
> 

Und hier die Default Parameter:

[5624]

Beim Main Mode darfst du keine Identitäten und keine Identitätstypen eintragen, nur den PSK. Die IP-Adresse wird vom Remote-Gw genommen.

[MopedVolker]

Ok, ist mir neu, aber war einen Versuch wert. IPs entfernt und keinen Auth-Type gewählt - leider ohne Erfolg.

Code: Alles auswählen

IKE info: Phase-1 negotiation failed: no configuration found for incoming peer SECUREPOINT_IP
LCVPEI: IKE-R-No-rule-matched-ID

[5624]

Hast du in der Routingtabelle schon einen entsprechenden Eintrag? Weil du hast noch einen kleinen Konfigurationsfehler drin: Regelerzeugung automatisch und hast aber manuelle Regeln hinterlegt. Normal würde der Router dann aus der Routingtabelle die Regeln erzeugen, wenn die Einträge vorhanden sind.
Für deinen Fall aber die Regelerzeugung auf manuell stellen.

Ich hatte auch schon lustige Begegnungen mit DPD 30 Sekunden, war ich nicht alleine, war ein Trainer von LCS dabei, wenns dann noch immer nicht geht, stell es mal auf 45 oder so, nur zum Testen. Ich weiß aber nicht mehr, wie sich der Fehler im Trace geäußert hat, ich weiß nur, dass es IKEv1 DPD 30 Sekunden war.

[MopedVolker]

Ich schau mir das mit der DPD mal an. In der MouseOver-Hilfe steht ja so was schräges wie 1-29 entsprechen immer 30s. Das mit den Rules ist jetzt Zufall, dass das in der dargestellten Config drin war. Hab in der Auswahl auch schon alles durch.

Ich werde morgen noch 1x einen Versuch starten, dann wars das. Dann hol ich mir Support von Lancom, auch wenn es was kostet. Das Teil ist das einzige Lancom Gerät bei uns und soll auch nur c.a. 1/2 Jahr für eine Fallback Leitung genutzt werden, dann haben wir keine Verwendung mehr dafür. Da hab ich eigentlich schon zu viel Zeit reingesteckt.

Trotzdem vielen Dank für eure Unterstützung.