Kein Übertragungskanal verfügbar (Initiator) [0x1102]

MarkIT · Beitrag von **MarkIT** » 15 Mai 2006, 12:54

Hallo Leute,
ich versuche gerade ein VPN LAN-LAN mit 1811 und 1721 herzustellen.
Die Seite des 1811 hat eine auflösbare Adresse. Die Verbindung wird vom 1721 aufgebaut.

Der 1811 bringt im LANmonitor o.g. Fehlermeldung.
Der 1721 diese: Kein übereinstimmendes Proposal gefunden (Initiator, IPSec) [0x3102]

Ich kann leider grad kein Trace machen, weil ich auf beide Router nur per VPN-Client zugreife.
Jemand ne Idee?

Markus

khollop · Beitrag von **khollop** » 15 Mai 2006, 18:00

Hallo,
dies bedeutet eben das beide kein passendes Proposal haben. Hast Du die VPN per LancConfig erstellt?
Natürlich kannst Du einen trace machen, einfach wenn Du per VPN connected bist zB mit Hyperterminal einloggen (Telnet) oder per SSH-Client ala putty.

Gruss Karsten

MarkIT · Beitrag von **MarkIT** » 15 Mai 2006, 18:21

@khollop

khollop hat geschrieben: Natürlich kannst Du einen trace machen, einfach wenn Du per VPN connected bist zB mit Hyperterminal einloggen (Telnet) oder per SSH-Client ala putty.

Gruss Karsten

Klar, tracen kann ich schon, aber wenn ich per VPN drauf bin wird in dem Trace auch jedes Paket getracet, was durch meinen Verbindung per VPN-Client fliesst. Das wird ganz schön unübersichtlich

. Oder kann ich den Trace beschränken?

Markus

MarkIT · Beitrag von **MarkIT** » 15 Mai 2006, 18:31

Ja, ich hab die Verbindung mit dem Assi gemacht...

Markus

khollop · Beitrag von **khollop** » 15 Mai 2006, 18:32

maybe:
http://www2.lancom.de/kb.nsf/a5ddf48173 ... sal,German

khollop · Beitrag von **khollop** » 15 Mai 2006, 21:07

Hallo,
dieser link hilft Dir vielleicht auch um den Fehler zu verstehen:
http://www2.lancom.de/kb.nsf/a5ddf48173 ... sal,German

COMCARGRU · Beitrag von **COMCARGRU** » 16 Mai 2006, 08:18

Die Angaben können auch beschränkt werden. Wenn ich mich nicht all zu sehr täusche indem man z.B. ein @<Verbindungsname> hinter den Trace hängt. Für Verbindungsname kann man auch eine IP oä nehmen...

Gruß
COMCARGRU

MarkIT · Beitrag von **MarkIT** » 16 Mai 2006, 13:04

COMCARGRU hat geschrieben:Die Angaben können auch beschränkt werden. Wenn ich mich nicht all zu sehr täusche indem man z.B. ein @<Verbindungsname> hinter den Trace hängt. Für Verbindungsname kann man auch eine IP oä nehmen...

Gruß
COMCARGRU

@COMCARGRU
Hab ich nicht hinbekommen, nur Syntax-Error. Aber mit Trace + vpn-status gehts. Da werden nur die Verhandlungen getracet und die bestehende Verbindung außer Acht gelassen.

@khollop
In den Proposal-Listen scheint alles so wie es soll.

Ich habe hier den Trace des Lancoms, der die Verbindung aufbaut:

root@xyzHN:/
> trace # vpn-s
VPN-Status ON

root@xyzHN:/
>
[VPN-Status] 2006/05/16 09:49:17,660
VPN: starting external DNS resolution for xyzMA-1811
IpStr=>xyzma.dyndns.org<, IpAddr(old)=x.x.x.x, IpTtl(old)=60s

[VPN-Status] 2006/05/16 09:49:17,760
VPN: external DNS resolution for xyzMA-1811
IpStr=>xyzma.dyndns.org<, IpAddr(old)=x.x.x.x, IpTtl(old)=60s
IpStr=>xyzma.dyndns.org<, IpAddr(new)=x.x.x.x, IpTtl(new)=60s

[VPN-Status] 2006/05/16 09:49:30,160
VPN: connecting to xyzMA-1811 (x.x.x.x)

[VPN-Status] 2006/05/16 09:49:30,160
VPN: start dynamic VPN negotiation for xyzMA-1811 (x.x.x.x) via ICMP/UD
P

[VPN-Status] 2006/05/16 09:49:30,160
VPN: create dynamic VPN V2 authentication packet for xyzMA-1811 (x.x.x.x)
DNS: 192.168.200.17, 0.0.0.0
NBNS: 192.168.200.17, 0.0.0.0
polling address: 192.168.200.17

[VPN-Status] 2006/05/16 09:49:30,160
VPN: installing ruleset for WOLF@HOME (0.0.0.0)

[VPN-Status] 2006/05/16 09:49:30,190
VPN: rulesets installed

[VPN-Status] 2006/05/16 09:49:30,270
VPN: received dynamic VPN V2 authentication packet from xyzMA-1811 x.x.x.x)
DNS: 192.168.100.20, 0.0.0.0
NBNS: 192.168.100.20, 0.0.0.0
polling address: 192.168.100.20

[VPN-Status] 2006/05/16 09:49:30,270
VPN: installing ruleset for xyzMA-1811 (x.x.x.x)

[VPN-Status] 2006/05/16 09:49:30,280
VPN: ruleset installed for xyzMA-1811 (x.x.x.x)

[VPN-Status] 2006/05/16 09:49:30,280
VPN: create dynamic VPN V2 authentication packet for xyzMA-1811 (x.x.x.x)
DNS: 192.168.200.17, 0.0.0.0
NBNS: 192.168.200.17, 0.0.0.0
polling address: 192.168.200.17

[VPN-Status] 2006/05/16 09:49:30,290
VPN: start IKE negotiation for xyzMA-1811 (x.x.x.x)

[VPN-Status] 2006/05/16 09:49:30,300
VPN: rulesets installed

[VPN-Status] 2006/05/16 09:49:30,310
IKE info: Phase-1 negotiation started for peer xyzMA-1811 rule isakmp-peer-AC
HATZMA-1811 using MAIN mode

[VPN-Status] 2006/05/16 09:49:30,460
IKE info: The remote server x.x.x.x:500 peer xyzMA-1811 id <no_id> supp
orts NAT-T in mode draft
IKE info: The remote server x.x.x.x:500 peer xyzMA-1811 id <no_id> supp
orts NAT-T in mode draft
IKE info: The remote server x.x.x.x:500 peer xyzMA-1811 id <no_id> supp
orts NAT-T in mode rfc
IKE info: The remote server x.x.x.x:500 peer xyzMA-1811 id <no_id> is E
nigmatec IPSEC version 1.5.1
IKE info: The remote server x.x.x.x:500 peer xyzMA-1811 id <no_id> nego
tiated rfc-3706-dead-peer-detection

[VPN-Status] 2006/05/16 09:49:30,460
IKE info: Phase-1 remote proposal 1 for peer xyzMA-1811 matched with local pr
oposal 1

[VPN-Status] 2006/05/16 09:49:30,760
IKE info: Phase-1 [inititiator] for peer xyzMA-1811 between initiator id x.x.x.x, responder id x.x.x.x done
IKE info: SA ISAKMP for peer xyzMA-1811 encryption aes-cbc authentication md5

IKE info: life time ( 108000 sec/ 0 kb)

[VPN-Status] 2006/05/16 09:49:30,870
IKE info: NOTIFY received of type NO_PROPOSAL_CHOSEN for peer xyzMA-1811

[VPN-Status] 2006/05/16 09:49:30,870
VPN: Error: IPSEC-I-No-proposal-matched (0x3102) for xyzMA-1811 (x.x.x.x)

[VPN-Status] 2006/05/16 09:49:31,250
VPN: received dynamic VPN V2 authentication packet from xyzMA-1811 (x.x.x.x)
DNS: 192.168.100.20, 0.0.0.0
NBNS: 192.168.100.20, 0.0.0.0
polling address: 192.168.100.20

[VPN-Status] 2006/05/16 09:49:32,250
VPN: received dynamic VPN V2 authentication packet from xyzMA-1811 (x.x.x.x)
DNS: 192.168.100.20, 0.0.0.0
NBNS: 192.168.100.20, 0.0.0.0
polling address: 192.168.100.20

[VPN-Status] 2006/05/16 09:49:33,250
VPN: received dynamic VPN V2 authentication packet from xyzMA-1811 (x.x.x.x)
DNS: 192.168.100.20, 0.0.0.0
NBNS: 192.168.100.20, 0.0.0.0
polling address: 192.168.100.20

[VPN-Status] 2006/05/16 09:49:34,250
VPN: received dynamic VPN V2 authentication packet from xyzMA-1811 (x.x.x.x)
DNS: 192.168.100.20, 0.0.0.0
NBNS: 192.168.100.20, 0.0.0.0
polling address: 192.168.100.20

[VPN-Status] 2006/05/16 09:49:34,870
IKE info: ISAKMP_NOTIFY_DPD_R_U_THERE sent for Phase-1 SA to peer xyzMA-1811,
sequence nr 0x38532a13

[VPN-Status] 2006/05/16 09:49:34,930
IKE info: NOTIFY received of type ISAKMP_NOTIFY_DPD_R_U_THERE_ACK for peer ACHAT
ZMA-1811 Seq-Nr 0x38532a13, expected 0x38532a13

[VPN-Status] 2006/05/16 09:49:35,250
VPN: received dynamic VPN V2 authentication packet from xyzMA-1811 (x.x.x.x)
DNS: 192.168.100.20, 0.0.0.0
NBNS: 192.168.100.20, 0.0.0.0
polling address: 192.168.100.20

[VPN-Status] 2006/05/16 09:49:36,250
VPN: received dynamic VPN V2 authentication packet from xyzMA-1811 (x.x.x.x)
DNS: 192.168.100.20, 0.0.0.0
NBNS: 192.168.100.20, 0.0.0.0
polling address: 192.168.100.20

[VPN-Status] 2006/05/16 09:49:37,260
VPN: received dynamic VPN V2 authentication packet from xyzMA-1811 (x.x.x.x)
DNS: 192.168.100.20, 0.0.0.0
NBNS: 192.168.100.20, 0.0.0.0
polling address: 192.168.100.20

[VPN-Status] 2006/05/16 09:49:38,010
IKE info: NOTIFY received of type NO_PROPOSAL_CHOSEN for peer xyzMA-1811

[VPN-Status] 2006/05/16 09:49:38,010
VPN: Error: IPSEC-I-No-proposal-matched (0x3102) for xyzMA-1811 (x.x.x.x)

Vielleicht kann den jemand interpretieren.

Danke, MArkus

khollop · Beitrag von **khollop** » 16 Mai 2006, 13:28

hallo,
als erstes stelle mal von main auf aggressive mode um, desweiteren stimmen deine ipsec proposals nicht. denn wie aus dem log zu sehen, läuft bei ike noch alles aber dan bei ipsec kommt der fehler. schau bitte nochmal die ipsec proposals und die dazugehörigen proposals in den ipsec proposallisten durch.

gruss karsten

MarkIT · Beitrag von **MarkIT** » 16 Mai 2006, 13:54

khollop hat geschrieben:hallo,
als erstes stelle mal von main auf aggressive mode um, desweiteren stimmen deine ipsec proposals nicht. denn wie aus dem log zu sehen, läuft bei ike noch alles aber dan bei ipsec kommt der fehler. schau bitte nochmal die ipsec proposals und die dazugehörigen proposals in den ipsec proposallisten durch.

gruss karsten

Hallo Karsten,
bei "aggressive" büße ich aber doch an Sicherheit ein, weil der Hash-Wert unverschlüsselt übertragen wird?
Die Listen habe ich durchgeschaut, kann aber nix finden. Sieht sauber aus.

Vielleicht ein Hinweis: Auf dem 1811 ist FW 6.06, auf dem 1721 die 5.21

Danke für deine Mühe.

Markus

khollop · Beitrag von **khollop** » 16 Mai 2006, 14:02

hallo,
kannst Du mir per pn die konfigurationen schicken? kannst ja vor/nachher die passwörter ändern.

ich habe auch mehrer vpn strecken ( mal mit isdn mal mit dyndns ) und bei den mit dyndns verwende ich agressive, da der main mode nicht funktionierte. dakönnte ich sogar noch ne mail vom lancom support rumschwirren haben.

gruss karsten

eddia · Beitrag von **eddia** » 16 Mai 2006, 18:18

Hallo Markus,

Ich habe hier den Trace des Lancoms, der die Verbindung aufbaut:

meist sieht man im trace des Lancoms, welcher die Verbindung entgegen nimmt besser die Fehlerursache.

Und Main-Mode sollte hier funktionieren.

Wie schon von Karsten gesagt: Prüfe mal die IPSec-Proposals und auch die PFS-Gruppe.

Gruß

Mario

MarkIT · Beitrag von **MarkIT** » 16 Mai 2006, 22:42

eddia hat geschrieben: Und Main-Mode sollte hier funktionieren.

Wie schon von Karsten gesagt: Prüfe mal die IPSec-Proposals und auch die PFS-Gruppe.

Gruß

Mario

Danke an alle! Es geht jetzt. Nachdem ich auch auf den 1721 FW 6.06 kopiert habe und den Assi auf beiden Seiten nochmal hab durchlaufen lassen, hats sofort geklappt. (ist auch nicht die erste LAN-LAN Koppelung)
Mit Main-Mode!
Vorher habe ich jedoch gründlich alle gewählten Parameter überprüft und KEINE Fehler entdecken können.
Ist es möglich, dass es an den unterschiedlichen FW-Versionen lag?

Markus

tunichtgut · Beitrag von **tunichtgut** » 17 Mai 2006, 14:52

khollop hat geschrieben:hallo,
ich habe auch mehrer vpn strecken ( mal mit isdn mal mit dyndns ) und bei den mit dyndns verwende ich agressive, da der main mode nicht funktionierte. dakönnte ich sogar noch ne mail vom lancom support rumschwirren haben.
gruss karsten

Hi,

bei no-proposal chosen, kann man in 99% aller Fälle davon ausgehen das man bei der Definition der zu koppelnden Netze einen Fehler gemacht hat. Da macht man einfach mal auf beiden Routern ein show vpn und sieht unter den entsprechenden Verbindungsnamen nach ob die Netze dort so drinstehen wie sie auf den Routern konfiguriert sind. z.B.:

Connection #5 172.23.56.0/255.255.255.0:0 <-> 192.168.10.0/255.255.255.0:0 any

Name: OFFICE
Unique Id: ipsec-2-OFFICE-pr0-l0-r0
Flags: main-mode
Local Network: IPV4_ADDR_SUBNET(any:0, 172.23.56.0/255.255.255.0)
Local Gateway: IPV4_ADDR(any:0, xxx.xxx.221.121)
Remote Gateway: IPV4_ADDR(any:0, xxx.xxx.20.171)
Remote Network: IPV4_ADDR_SUBNET(any:0, 192.168.10.0/255.255.255.0)

Und natürlich funktioniert der main mode, sonst würde er vom Assistenten nicht vorgeschlagen und alle meine VPN strecken nicht laufen ...

P.S: Bei einer netzwerkopplung sollte man grundsätzlich auf allen beteiligten Routern die gleiche Firmware fahren, idealerweise die aktuelle.

khollop · Beitrag von **khollop** » 17 Mai 2006, 15:04

Hallo,
um nochmal auf das Thema 'main-mode against agressive mode' einzugehen, ich hatte mit dem main-mode von meinen 3550 auf 7111 per UMTS/Dyndns nur Probleme. Nach der Umstellung auf Agrssive Mode jedoch keine. Ich kann mich auch dunkel daran erinnern das ich mit dem Support von Lancom diesbezüglich Kontakt hatte.

Gruss Karsten