Lancom 1781A Site2Site nach Providerwechsel fehler

[huether]

Hallo zusammen,
ich habe in einer Außenstelle eine Lancom 1781A aufgebaut mit 2 Netzen. Ich hatte die Lancom im Office konfiguriert und getestet mit ISP Vodafone. Da hat die Lancom eine IPsec Site2Site Verbindung zu einer Sophos XG ohne Probleme aufgebaut und die Daten sind durch den VPN gelaufen wie sie sollten. Jetzt Steht die Lancom in der Außenstelle und ich habe den ISP auf DTAG vDSL (pppoe) mit dem Setup-Assistenten geändert auf dem selben Port wo vorher Vodafone angeschlossen war. Internetzugang funktioniert. Aber ich bekomme den VPN-Tunnel zur Sophos nicht mehr aufgebaut.
Ich habe die ganze Lancom schon durchgeschaut. Finde aber keinen Fehler. Routingtabelle ist richtig. Nur ein Default GW mit dem richtigen ISP. Jetzt meine Frage:
Wenn ich den ISP DTAG einrichte (xxxxxxxxxxxxxx@t-online.de) muß ich dann in der Gegenstelle (DSL) die VLAN-ID auf 7 stellen? aktuell steht die auf 0, oder hat das mit dem VPN nichts zu tun? wie gesagt Internet funktioniert.
Im Trace beim VPN-Aufbau bekomme ich folgende Meldung:

[VPN-Status] 2023/10/07 12:41:05,816
IKE info: Received an unprotected info msg, for which no ready Phase-1 SA exists (cookies 7F 42 47 28 77 F4 15 DC E8 15 F5 C0 C3 A4 73 93)

[VPN-Status] 2023/10/07 12:41:05,816
IKE info: NOTIFY received of type NO_PROPOSAL_CHOSEN for peer SOPHOS-xx

No Proposel chosen kann aber nicht sein. Denn VPN hatte mit Vodafone funktioniert und es wurde nur der ISP zu DTAG gewechselt. Ich habe natürlich auch die Proposels geprüft. Alles in bester Ordnung.

Hat jemand noch einen Hinweis????

Grüße
huether

[Dr.Einstein]

Hattest du bei Vodafone eine Feste IP oder hast du z.B. im Lancom einen DynDNS Account genutzt?

[huether]

Ich hatte einen DynDNS benutzt und benutze den mit der DTAG-Verbindung auch wieder (ipv64.net). Die IP ist auch richtig wenn ich den Namen auflöse.

[huether]

übrigens, Lcos ist 10.42.1113RU11.

[Dr.Einstein]

Wenn ich den ISP DTAG einrichte (xxxxxxxxxxxxxx@t-online.de) muß ich dann in der Gegenstelle (DSL) die VLAN-ID auf 7 stellen? aktuell steht die auf 0, oder hat das mit dem VPN nichts zu tun? wie gesagt Internet funktioniert.

Ich kann dir nur sagen, dass hat mit VPN nichts zutun. Außerdem hat Lancom eine Logik für T-Online Kennungen enthalten, dass sowohl VLAN 0 als auch VLAN 7 probiert wird.

Anhand deines Traceauszugs kannst du den Fehler nur in der Sophos feststellen. Diese lehnt aktuell die Einwahl ab. Ich tippe ja auf ein Thema mit DynDNS / Feste IP bzw. daraus resultierend die VPN-Identitäten, aber du sagst, ist alles 1:1 wie vorher und funktioniert... Was sagt die Sophos im VPN Log.

[huether]

Hallo ich nochmal.
So, VPN läuft. Der Tip mit dem DynDNS war gut. Ich verstehe es zwar nicht, da daran nichts geändert wurde. Aber die Sophos ist da schon komisch unterwegs. Ich hatte die ganze Zeit die oben geposteten Trace-Einträge. Ich hatte dann die Regelerzeugung in der Lancom auf Aus gestellt, damit der Tunnel mal komplett weg ist. Nach dem Zurücksetzten der Regelerzeugung auf Manuell war auf einmal die Traceausgabe eine andere:
Die Phase-1 war auf einmal remote proposal 1 for peer SOPHOS-xx matched with local proposel 1
Keine Ahnung warum auf einmal, dafür hatte ich jetzt:

Default ipsec_get_keystate: no keystate in ISAKMP SA xxxxxxxxx

Das deudet ja auf das DynDNS hin. Alles was ich eingetragen habe auf der Sophos ip, dns, ohne Angaben, die Meldung im Trace auf der Lancom hat sich nicht geändert. Dann habe ich nochmal alles diesbezüglich auf der Sophos gelöscht mit den Identitäten und nochmal alles neu eingetragen. Siehe da, der Tunnel steht. Ich habe das zwar nicht verstanden, aber man muß ja nicht alles verstehen. Jetzt ist im VPN auf der Sophos alles wieder so eingetragen wie bei dem Vodafone-Test und der Tunnel funktioniert.
Nochmal vielen Dank an Dr.Einstein für die Hilfe.

Grüße
huether