LANCOM 1711 VPN mit AES256 zu Cisco 3030

mhaberstock · Beitrag von **mhaberstock** » 31 Aug 2006, 20:23

Versuche gerade verzweifelt einen Tunnel von Lancom 1711 (LCOS 6.14) zu Cisco 3030 aufzubauen.
Die Vorgaben des Administrators für die Cisco sind:
>Authentication: ESP/SHA/HMAC-160
>Encryption: AES-256
>
>IKE Proposal: IKE-AES256-SHA
>Preshared Kes
>Authentication: SHA/HMAC160
>Encryption: AES-256
>DH-Group: 5 (1536 Bits)

(IP-Adresse und Pre-Shared-Secret habe ich natürlich auch erhalten, die tun aber hier nix zur Sache).
Zunächst habe ich versucht den Tunnel mit Hilfe des Wizards aufzubauen. Das ging schief, was Experten in diesem Forum vermutlich nicht wundern dürfte. Nach einiger Forschung bin ich dann dahinter gekommen, dass hierfür erstmal keine passenden Proposals im LANCOM vorkonfiguriert sind und habe das daher nachgeholt.
Folgende Proposals habe ich eingefügt:
IKE-Proposal: IKE-AES256-SHA
Verschlüsselung: AES-CBC
Schlüssel: 256Bit
Hash: SHA1
Authentifizierung: Preshared Key
Gültigkeitsdauer: 8000 Sekunden

Anschliessend habe ich die Proposal-Liste IKE-PRESH-KEY (die dem Cisco-Tunnel zugeordnet war) geändert und o.g. IKE-Proposal als erstes eingetragen.
IPSec-Proposal: TN-AES256-SHA-96 (Kopie von vorkonf. TN-AES-SHA-96)
Modus: Tunnel
ESP-Verschlüsselung: AES-CBC
ESP-Schlüssel-Länge: 256 Bit
ESP-Authentifizierung: HMAC-SHA1
AH-Authentifizierung: HMAC-SHA1
IPCOMP-Kompression: Kein IPCOMP

Auch dieses Proposal habe ich als ersten Eintrag in die Proposal-Liste für den Cisco-Tunnel (IPS-CISCO) eingetragen.
(Den Tunnel habe ich initial mit dem Wizard angelegt und anschliessend manuell geändert)
In den Verbindungsparameter habe ich für den Cisco-Tunnel folgende Default-Werte geändert:
PFS-Gruppe: 5 (MODP-1536)
IKE-Gruppe: 5 (MODP-1536)
IKE-Proposals: IKE-PRESH-KEY (siehe oben)
IKE-Schlüssel: CISCO
IPSec-Proposal: IPS-CISCO (siehe oben)

Im IKE-Schlüssel CISCO habe ich den Preshared-Key eingetragen und keine lokale bzw. entfernte Identität eingestellt.
Zuguterletzt habe ich die vom Assistenten vorgebenen Einträge der Verbindung kontrolliert und unverändert gelassen:
Haltezeit: 9999 Sekunden
DPD: 60 Sekunden
Extranet: 0.0.0.0
Gateway: (Ip-Adresse des Cisco 3030)
Parameter: CISCO
Regel: Automatisch
Dynamisch: Nein
IKE-Exchange: Main-Mode
IKE-CFG: Aus
Routing Tag: 0

Leider sind mir immer noch ein paar dieser Parameter unklar (Regel, IKE-Exchange, IKE-CFG, Routing Tag) und ich weiss daher nicht, ob diese evtl. dafür verantwortlich sind, dass die Verbindung nicht zustande kommt.
Folgendes wird im VPN-Status-Trace der Konsole protokolliert:
[VPN-Status] 2006/08/31 19:57:57,840
VPN: connecting to CISCO (x.x.x.x <cisco>)

[VPN-Status] 2006/08/31 19:57:57,850
VPN: installing ruleset for CISCO (x.x.x.x <cisco>)

[VPN-Status] 2006/08/31 19:57:57,870
VPN: ruleset installed for CISCO (x.x.x.x <cisco>)

[VPN-Status] 2006/08/31 19:57:57,870
VPN: start IKE negotiation for CISCO (x.x.x.x <cisco>)

[VPN-Status] 2006/08/31 19:57:57,880
VPN: rulesets installed

[VPN-Status] 2006/08/31 19:57:57,890
IKE info: Phase-1 negotiation started for peer CISCO rule isakmp-peer-CISCO using MAIN mode

[VPN-Status] 2006/08/31 19:58:27,880
VPN: connection for CISCO (x.x.x.x <cisco>) timed out: no response

[VPN-Status] 2006/08/31 19:58:27,880
VPN: Error: IFC-I-Connection-timeout-IKE-IPSEC (0x1106) for CISCO (x.x.x.x <cisco>)

[VPN-Status] 2006/08/31 19:58:27,880
VPN: disconnecting CISCO (x.x.x.x <cisco>)

[VPN-Status] 2006/08/31 19:58:27,890
VPN: CISCO (x.x.x.x <cisco>) disconnected

[VPN-Status] 2006/08/31 19:58:27,900
VPN: selecting next remote gateway using strategy eFirst for CISCO
=> no remote gateway selected

[VPN-Status] 2006/08/31 19:58:27,900
VPN: selecting first remote gateway using strategy eFirst for CISCO
=> CurrIdx=0, IpStr=>x.x.x.x <cisco><, IpAddr=x.x.x.x <cisco>, IpTtl=0s

[VPN-Status] 2006/08/31 19:58:27,900
VPN: installing ruleset for CISCO (x.x.x.x <cisco>)

[VPN-Status] 2006/08/31 19:58:27,920
VPN: rulesets installed

Frage: Wer kann mir hier weiterhelfen?
Zumindest eine Mitteilung, ob ich mit meinen Konfigurationsansätzen auf dem richtigen Weg bin, wäre schon sehr hilfreich.
Ebenfalls willkommen sind Informationen darüber, was die (mir unbekannten) Parameter bedeuten, bzw. wo man das nachlesen kann.
Mein erster Verdacht ist, dass auf der Gegenstelle, die Tunnelparameter noch gar nicht aktiv sind, weil die Verbindungsversuche schlicht auf einen Timeout laufen.
Kann man die Konsole dazu bewegen weitere Details zu protokollieren? Insbesondere alles, was von der Gegenstelle zurückgemeldet wird?

Für jegliche Unterstützung danke ich im Voraus.

- Markus

backslash · Beitrag von **backslash** » 31 Aug 2006, 20:33

Hi mhaberstock

ich vermute mal, daß du den Aggressive-Mode benutzen mußt, da Main-Mode und preshared Key nur zusammen mit statischen IP-Adressen funktioniert.

Gruß
Backslash

mhaberstock · Beitrag von **mhaberstock** » 31 Aug 2006, 23:24

Danke für den Tip Backslash. Ich habe sofort einen Versuch gestartet.

Aggressive Mode hat aber leider nicht geholfen. Die Trace-Meldungen unterscheiden sich auch nicht (bis auf den String 'Aggressive').
Allerdings werden ohnehin statische IP-Adressen verwendet...

- Markus

st_meyer · Beitrag von **st_meyer** » 27 Jul 2007, 17:48

Hab genau das selbe Problem,

hat zufällig jeman ne Lösung oder irgendeinen Ansatz?

Gruß Stephan