Keine Regel für ID's gefunden

[lolman]

Hallo,

ich habe seit einiger Zeit folgendes Problem:

Am Hauptstandort befindet sich ein LANCOM 7100+ VPN und an der Niederlassung ein LANCOM Business LAN R800+
Im LANmonitor bekomme ich immer im Hauptstandort die Meldung
"Keine Regel für ID's gefunden - unbekannte Verbindung oder fehlerhafte ID (z.B. IP-Netzwerkdefinition) (Responder, IPSec) [0x3201]"
In der Niederlassung steht:
"Kein übereinstimmendes Proposal gefunden (Initiator, IPSec) [0x3102]"

Das komische an der Ganzen Sache ist aber: Der Tunnel funktioniert und ich kann hin und her pingen und sonst auch alles machen
Ich habe nun schon 10mal alle Einstellungen bezüglich der Phase 1 und 2 überprüft und kann keinen Fehler feststellen.
Im Hauptstandort sind noch 15 weitere VPNs, welche tadellos funktionieren.

Ich vermute mal, dass es damit zusammenhängt, dass hier ein 2. Netz aufgebaut ist.
Ich habe hier noch ein altes Netzwerk (192.168.30.0/24) welches noch aktiv bleiben muss. Das läuft physikalisch über die selben Switche. Mein Router hat also 2 IPs, damit das alte Netz auch ins Internet kommt.
Hauptstandort: 192.168.0.0/24
Niederlassung: 192.168.110.0/24 und 192.168.30.0/24 (hier gibt es 2 lokale Netze - das 30er Netz soll aber nicht weiter in die Zentrale geroutet werden, dieses ist nur lokal bzw Internetzugriff)

Ich habe auch schon probiert die Regelerzeugung von automatisch nach manuell umzustellen und die entsprechende Firewall-Regel angelegt. Dies hat aber auch keinen anderen Effekt. (Obwohl ich mir hierbei nicht 100%ig sicher bin ob das richtig eingestellt ist, weil ich bisher immer mit automatischer Regelerzeugung gearbeitet habe)

Wie muss ich das ganze nun konfigurieren, dass alles stimmt? Wie müssen die Firewall-Regeln aussehn? Bisher habe ich:

Code: Alles auswählen

In der Zentrale:
Name:    VPN-SA_FRM-ROU1
[] Regel ist für die Firewall aktiv (Haken raus)
[x] Regel wird zur Erzeugung von VPN-Regeln genutzt (Haken drin)
Aktion:  übertragen
Quelle:  192.168.0.0/24
Ziel:    Gegenstelle FRM-ROU1
Dienste: alle Dienste

In der Niederlassung:
Name: VPN-SA_HAN-ROU1
[] Regel ist für die Firewall aktiv (Haken raus)
[x] Regel wird zur Erzeugung von VPN-Regeln genutzt (Haken drin)
Aktion:  übertragen
Quelle:  192.168.110.0/24
Ziel:    Gegenstelle HAN-ROU1
Dienste: alle Dienste

Ich nutze auf allen Geräten die aktuelle Firmware.
IPv6 und der Forwarder ist deaktiviert (der r800 kann dies eh nicht)
Oder habt ihr noch andere Tipps zur Fehlersuche?

Stellt man denn irgendwo eigentlich eine Netz-Zuordnung ein für die VPNs. So zb: Ich bin Netz 192.168.0.0/24 und der Partner hat Netz 192.168.110.0/24. Oder wo nimmt der Lancom sich die Infos her?

[Dr.Einstein]

Hallo lolman,

wenn du nur das Außennetz mit dem Zentralrouter verbinden willst, brauchst du eigentlich keine VPN-Regel in
der Firewall. Der Regelfehler entsteht, weil die Regelerzeugung auf automatisch steht und du Gegenstellen
benutzt im Regelwerk.

Möglichkeit 1 wäre das 2. Netzwerk am Außenstandort einfach von Intranet auf DMZ umzustellen, dann wird bei
der automatischen Regelerzeugung keine SA hierfür angelegt.

Möglichkeit 2 wären zwei VPN-Firewall-Regeln, wo Quell und Zielnetz ausgeschrieben werden, ohne Gegenstellen-
bezeichnungen zu verwenden. Hierfür muss die Regelerzeugung auf manuell umgestellt werden am Außenstandort.
Das Regelwerk selbst muss nur in den Außenrouter rein.

Gruß Dr.Einstein

[lolman]

Vielen Dank für den Tipp
Ich habe die 2. von dir beschriebene Möglichkeit genutzt.
Das man die Netze ausschreiben muss und keine Aliase nutzen kann, hätte ruhig mal im Handbuch irgendwo vermerkt sein können
Aber so funktioniert es nun richig ohne Fehler