Nokia VPN: Keine Daten durch VPN Verbindung

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
xPZxi1L7
Beiträge: 6
Registriert: 26 Apr 2009, 19:53

Nokia VPN: Keine Daten durch VPN Verbindung

Beitrag von xPZxi1L7 »

Hallo zusammen.

Ich habe ein Nokia E71 und möchte mich damit per VPN auf meinen Lancom verbinden. Ich habe bereits 2 site-to-site Verbindungen (zu einem anderen Lancom und einer Fritzbox, auch mit DNS - Weiterleitung in alle Richtungen etc.) am laufen. Alles wunderbar.

Nur das Nokia E71 will nicht. Für die VPN Einrichtung am Nokia habe ich die diversen Anleitungen hier im Forum genutzt. Die VPN Verbindung scheint auch zu stehen, zumindest sagt der Lancom, das die Verbindung besteht und kein Fehler aufgetreten ist.

Die Datenübertragung durchs VPN funktioniert irgendwie nicht! Ein Trace ist anbei.

Hier meine Umgebung:

Internet-Zugang Lancom: über Kabel Deutschland (KabelD)
Internet-Zugang Nokia E71: über Blau.de (Blau.de Internet GPRS)

10.1.1.1: Lancom-Router (10.1.1.0/255.255.255.0)
10.1.1.11: Interner DNS/DHCP/Intranet-Server
10.1.1.60: Nokia Handy per VPN Intern (NOKIAE71CS)

77.22.XXX.XXX: Lancom von Kabel Deutschland
92.116.XXX.XXX: Nokia Handy per VPN von Blau.de

208.67.222.222: DNS Server von opendns.com

Der Zugang für das Nokia wurde mit dem Assistenten erstellt. Folgende Einstellungen sind am Lancom vorhanden.

IP-Router:
Route: 10.1.1.60/255.255.255.255, Route ist aktiviert, Router NOKIAE71CS, IP-Maskierung abgeschaltet

TCP/IP:
Adressbereich für Einwahlzugänge: 10.1.1.70 - 10.1.1.79
Nameserver-Adressen: 208.67.222.222, 208.67.220.220

VPN:
NAT-Traversal aktiviert

Verbindungsliste - Eintrag: NOKIAE71CS, Extranet-Adresse 0.0.0.0, Externes Gateway 0.0.0.0, Regelerzeugung: Manuell, kein dynamisches VPN, Aggressiv Mode, IKE-CFG Server, XAUTH aus

Firewall/Qos:
Firewall-Regel: VPN-Regel, hält Verbindungszustände, Quelle beliebig, Ziel NOKIAE71CS, Dienst alle


Ablauf der Verbindung

1. Verbindung per VPN vom Nokia E71 herstellen: klappt scheinbar auch, da LanMonitor Verbindung ohne Fehler anzeigt

2. Aufruf im Browser Nokia E71: http://10.1.1.11 (interner Webserver) => scheitert

3. Aufruf im Browser NokiaE71: http://www.heise.de => scheitert


----
Zu Testzwecken habe ich auch mal einen VPN Zugang mit dem Lancom VPN Client eingerichtet und über Blau.de mich erfolgreich am Laptop eingewählt und auch gesurft. Alles wunderbar. Dabei ist mir aufgefallen, das der Laptop als Standardgateway 10.1.1.80 und DNS Server 208.67.222.222 bekommen und nicht 10.1.1.1 (der Lancom selbst). Als Adressbereich für Einwahlen habe ich 10.1.1.70 - 10.1.1.79 angegeben. Wieso und woher 10.1.1.80 und wieso nimmt er den externen DNS Server?
----


Vielen Dank

Christian

Code: Alles auswählen

[TraceData]
[TraceStarted] 2009/08/18 08:39:55,000
Used config:
# Trace config 
trace + Status 
trace + Error 
trace + ICMP 
trace + VPN-Status 
trace + Firewall 
trace + IP-Router @ "NOKIAE71CS" 10.1.1.60 
 
# Console config 
repeat 5 list /Status/IP-Router/Connection-List ; # Table 
 
# Show commands 
show bootlog  
show vpn  
 
[ShowCmd] 2009/08/18 08:39:56,000
Result of command: "show vpn "

VPN SPD and IKE configuration:

  # of connections = 5

  Connection #2                 0.0.0.0/0.0.0.0:0 <-> 10.1.1.60/255.255.255.255:0 any

    Name:                       NOKIAE71CS
    Unique Id:                  ipsec-0-NOKIAE71CS-pr0-l0-r0
    Flags:                      aggressive-mode
    Local  Network:             IPV4_ADDR_SUBNET(any:0, 0.0.0.0/0.0.0.0)
    Local  Gateway:             IPV4_ADDR(any:0, 77.22.XXX.XXX)
    Remote Gateway:             IPV4_ADDR(any:0, 0.0.0.0)
    Remote Network:             IPV4_ADDR(any:0, 10.1.1.60/255.255.255.255)

  Connection #3                 0.0.0.0/0.0.0.0:0 <-> 0.0.0.0/255.255.255.255:0 any

    Name:                       CLIENT_0001
    Unique Id:                  ipsec-0-CLIENT_0001-pr0-l0-r0
    Flags:                      aggressive-mode
    Local  Network:             IPV4_ADDR_SUBNET(any:0, 0.0.0.0/0.0.0.0)
    Local  Gateway:             IPV4_ADDR(any:0, 77.22.XXX.XXX)
    Remote Gateway:             IPV4_ADDR(any:0, 0.0.0.0)
    Remote Network:             IPV4_ADDR_SUBNET(any:0, 0.0.0.0/255.255.255.255)


[ShowCmd] 2009/08/18 08:39:56,000
Result of command: "show bootlog "
Boot log (5202 Bytes):

****

08/14/2009 20:29:25  System boot after LCOS-Watchdog

DEVICE:           LANCOM 1821+ Wireless ADSL (Ann.B)
HW-RELEASE:       E
VERSION:          7.60.0160Rel / 26.02.2009 / 6.26b/E74.02.54

[Sysinfo] 2009/08/18 08:39:56,000
Result of command: "sysinfo"

DEVICE:           LANCOM 1821+ Wireless ADSL (Ann.B)
HW-RELEASE:       E
SERIAL-NUMBER:    081541800250
MAC-ADDRESS:      00a05712f500
IP-ADDRESS:       10.1.1.1
IP-NETMASK:       255.255.255.0
INTRANET-ADDRESS: 0.0.0.0
INTRANETMASK:     0.0.0.0
VERSION:          7.60.0160Rel / 26.02.2009 / 6.26b/E74.02.54
NAME:             lancom1
CONFIG-STATUS:    1056;0
FIRMWARE-STATUS:  0;0.6;0.2;7.60Rel.26022009.6;7.56.20082008.5
LANCAPI-PORT:     75
HW-MASK:          00001100000000000000000001100011
FEATUREWORD:      00000000001000000100000100011101
REGISTERED-WORD:  00000000001000000100000100011101
FEATURE-LIST:     00/F/00000000
FEATURE-LIST:     02/F/00000000
FEATURE-LIST:     03/F/00000000
FEATURE-LIST:     04/F/00000000
FEATURE-LIST:     08/F/00000000
FEATURE-LIST:     0e/F/00000000
FEATURE-LIST:     15/F/00000000
TIME:             08400918082009
HTTP-PORT:        80
HTTPS-PORT:       443
TELNET-PORT:      23
TELNET-SSL-PORT:  992
SSH-PORT:         22
Compatible-IDs:   14:30:31;10:26:31
[Table] 2009/08/18 08:39:56,000
Content of table: /Status/IP-Router/Connection-List

[VPN-Status] 2009/08/18 08:40:33,950
IKE info: The remote server 92.116.XXX.XXX:500 peer def-aggr-peer id <no_id> negotiated rfc-3706-dead-peer-detection
IKE info: The remote server 92.116.XXX.XXX:500 peer def-aggr-peer id <no_id> supports draft-ietf-ipsec-isakmp-xauth

[VPN-Status] 2009/08/18 08:40:33,960
IKE info: Phase-1 remote proposal 1 for peer def-aggr-peer matched with local proposal 1

[VPN-Status] 2009/08/18 08:40:34,490
IKE info: Phase-1 [responder] for peer NOKIAE71CS between initiator id ne71cs.de, responder id  77.22.XXX.XXX done
IKE info: SA ISAKMP for peer NOKIAE71CS encryption aes-cbc authentication md5
IKE info: life time ( 86400 sec/ 0 kb)

[VPN-Status] 2009/08/18 08:40:34,490
IKE info: Phase-1 SA Rekeying Timeout (Soft-Event) for peer NOKIAE71CS set to 77760 seconds (Responder)

[VPN-Status] 2009/08/18 08:40:34,490
IKE info: Phase-1 SA Timeout (Hard-Event) for peer NOKIAE71CS set to 86400 seconds (Responder)

[VPN-Status] 2009/08/18 08:40:34,510
IKE info: IKE-CFG: Received REQUEST message with id 65535 from peer NOKIAE71CS
IKE info: IKE-CFG:   Attribute INTERNAL_IP4_ADDRESS     len 0 value (none) received
IKE info: IKE-CFG:   Attribute INTERNAL_IP4_DNS         len 0 value (none) received

[VPN-Status] 2009/08/18 08:40:34,510
IKE info: IKE-CFG: Creating REPLY message with id 65535 for peer NOKIAE71CS
IKE info: IKE-CFG:   Attribute INTERNAL_IP4_DNS         len 4 value 208.67.222.222 added
IKE info: IKE-CFG:   Attribute INTERNAL_IP4_ADDRESS     len 4 value 10.1.1.60 added
IKE info: IKE-CFG: Sending message

[VPN-Status] 2009/08/18 08:40:35,570
IKE info: Phase-2 proposal failed: remote No 1, esp algorithm AES <-> local No 1, esp algorithm 3DES
IKE info: Phase-2 proposal failed: remote No 1, esp algorithm AES <-> local No 2, esp algorithm 3DES
IKE info: Phase-2 proposal failed: remote No 1, esp hmac HMAC_MD5 <-> local No 2, esp hmac HMAC_SHA
IKE info: Phase-2 remote proposal 1 for peer NOKIAE71CS matched with local proposal 3

[VPN-Status] 2009/08/18 08:40:35,850
IKE info: Phase-2 SA Rekeying Timeout (Soft-Event) for peer NOKIAE71CS set to 3240 seconds (Responder)

[VPN-Status] 2009/08/18 08:40:35,850
IKE info: Phase-2 SA Timeout (Hard-Event) for peer NOKIAE71CS set to 3600 seconds (Responder)

[VPN-Status] 2009/08/18 08:40:35,850
IKE info: Phase-2 [responder] done with 2 SAS for peer NOKIAE71CS rule ipsec-0-NOKIAE71CS-pr0-l0-r0
IKE info: rule:' ipsec 0.0.0.0/0.0.0.0 <-> 10.1.1.60/255.255.255.255 '
IKE info: SA ESP [0x185c51ec]  alg AES keylength 128 +hmac HMAC_MD5 outgoing
IKE info: SA ESP [0x04e45290]  alg AES keylength 128 +hmac HMAC_MD5 incoming
IKE info: life soft( 3240 sec/0 kb) hard (3600 sec/0 kb)
IKE info: tunnel between src: 77.22.XXX.XXX dst: 92.116.XXX.XXX  

[VPN-Status] 2009/08/18 08:40:35,850
VPN: wait for IKE negotiation from NOKIAE71CS (92.116.XXX.XXX)

[IP-Router] 2009/08/18 08:40:35,970
IP-Router Rx (NOKIAE71CS, RtgTag: 0): 
DstIP: 10.1.1.11, SrcIP: 10.1.1.60, Len: 64, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 80, SrcPort: 33425, Flags: S
Route: LAN Tx (INTRANET): 

[IP-Router] 2009/08/18 08:40:35,970
IP-Router Rx (LAN-1, INTRANET, RtgTag: 0): 
DstIP: 10.1.1.60, SrcIP: 10.1.1.11, Len: 60, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 33425, SrcPort: 80, Flags: SA
Route: WAN Tx (NOKIAE71CS)

[Table] 2009/08/18 08:40:26,000
Content of table: /Status/IP-Router/Connection-List

Src-Address    Dst-Address Prot. Src-P Dst-P Rtg-tag Timeout Flags    Filter-Rule          Src-Route  Dest-Route
----------------------------------------------------------------------------------------------------------------
10.1.1.60      10.1.1.11   6     33425 80    0       27      80208002 DEFAULT (ACCEPT-ALL) NOKIAE71CS           

[VPN-Status] 2009/08/18 08:40:36,880
VPN: NOKIAE71CS (92.116.XXX.XXX) connected

[IP-Router] 2009/08/18 08:40:39,170
IP-Router Rx (NOKIAE71CS, RtgTag: 0): 
DstIP: 10.1.1.11, SrcIP: 10.1.1.60, Len: 64, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 80, SrcPort: 33425, Flags: S
Route: LAN-1 Tx (INTRANET): 

[IP-Router] 2009/08/18 08:40:39,180
IP-Router Rx (LAN-1, INTRANET, RtgTag: 0): 
DstIP: 10.1.1.60, SrcIP: 10.1.1.11, Len: 60, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 33425, SrcPort: 80, Flags: SA
Route: WAN Tx (NOKIAE71CS)

[IP-Router] 2009/08/18 08:40:39,970
IP-Router Rx (LAN-1, INTRANET, RtgTag: 0): 
DstIP: 10.1.1.60, SrcIP: 10.1.1.11, Len: 60, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 33425, SrcPort: 80, Flags: SA
Route: WAN Tx (NOKIAE71CS)

[Table] 2009/08/18 08:40:31,000
Content of table: /Status/IP-Router/Connection-List

Src-Address    Dst-Address Prot. Src-P Dst-P Rtg-tag Timeout Flags    Filter-Rule          Src-Route  Dest-Route
----------------------------------------------------------------------------------------------------------------
10.1.1.60      10.1.1.11   6     33425 80    0       26      80208002 DEFAULT (ACCEPT-ALL) NOKIAE71CS           

[IP-Router] 2009/08/18 08:40:45,150
IP-Router Rx (NOKIAE71CS, RtgTag: 0): 
DstIP: 10.1.1.11, SrcIP: 10.1.1.60, Len: 64, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 80, SrcPort: 33425, Flags: S
Route: LAN-1 Tx (INTRANET): 

[IP-Router] 2009/08/18 08:40:45,160
IP-Router Rx (LAN-1, INTRANET, RtgTag: 0): 
DstIP: 10.1.1.60, SrcIP: 10.1.1.11, Len: 60, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 33425, SrcPort: 80, Flags: SA
Route: WAN Tx (NOKIAE71CS)

[Table] 2009/08/18 08:40:36,000
Content of table: /Status/IP-Router/Connection-List

Src-Address    Dst-Address Prot. Src-P Dst-P Rtg-tag Timeout Flags    Filter-Rule          Src-Route  Dest-Route
----------------------------------------------------------------------------------------------------------------
10.1.1.60      10.1.1.11   6     33425 80    0       27      80208002 DEFAULT (ACCEPT-ALL) NOKIAE71CS           

[IP-Router] 2009/08/18 08:40:45,970
IP-Router Rx (LAN-1, INTRANET, RtgTag: 0): 
DstIP: 10.1.1.60, SrcIP: 10.1.1.11, Len: 60, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 33425, SrcPort: 80, Flags: SA
Route: WAN Tx (NOKIAE71CS)

[Table] 2009/08/18 08:40:41,000
Content of table: /Status/IP-Router/Connection-List

Src-Address    Dst-Address Prot. Src-P Dst-P Rtg-tag Timeout Flags    Filter-Rule          Src-Route  Dest-Route
----------------------------------------------------------------------------------------------------------------
10.1.1.60      10.1.1.11   6     33425 80    0       22      80208002 DEFAULT (ACCEPT-ALL) NOKIAE71CS           

[Table] 2009/08/18 08:40:46,000
Content of table: /Status/IP-Router/Connection-List

Src-Address    Dst-Address Prot. Src-P Dst-P Rtg-tag Timeout Flags    Filter-Rule          Src-Route  Dest-Route
----------------------------------------------------------------------------------------------------------------
10.1.1.60      10.1.1.11   6     33425 80    0       29      80208002 DEFAULT (ACCEPT-ALL) NOKIAE71CS           

[IP-Router] 2009/08/18 08:40:57,980
IP-Router Rx (LAN-1, INTRANET, RtgTag: 0): 
DstIP: 10.1.1.60, SrcIP: 10.1.1.11, Len: 60, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 33425, SrcPort: 80, Flags: SA
Route: WAN Tx (NOKIAE71CS)

[IP-Router] 2009/08/18 08:41:00,530
IP-Router Rx (NOKIAE71CS, RtgTag: 0): 
DstIP: 208.67.222.222, SrcIP: 10.1.1.60, Len: 58, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 53, SrcPort: 45740
Route: WAN Tx (KABELD)

[IP-Router] 2009/08/18 08:41:00,570
IP-Router Rx (KABELD, RtgTag: 0): 
DstIP: 10.1.1.60, SrcIP: 208.67.222.222, Len: 74, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 45740, SrcPort: 53
Route: WAN Tx (NOKIAE71CS)

[IP-Router] 2009/08/18 08:41:01,510
IP-Router Rx (NOKIAE71CS, RtgTag: 0): 
DstIP: 208.67.222.222, SrcIP: 10.1.1.60, Len: 58, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 53, SrcPort: 45740
Route: WAN Tx (KABELD)

[Table] 2009/08/18 08:40:51,000
Content of table: /Status/IP-Router/Connection-List

Src-Address    Dst-Address    Prot. Src-P Dst-P Rtg-tag Timeout Flags    Filter-Rule          Src-Route  Dest-Route
-------------------------------------------------------------------------------------------------------------------
10.1.1.60      10.1.1.11      6     33425 80    0       24      80208002 DEFAULT (ACCEPT-ALL) NOKIAE71CS           
10.1.1.60      208.67.222.222 17    45740 53    0       18      80228008 DEFAULT (ACCEPT-ALL) NOKIAE71CS KABELD    

[IP-Router] 2009/08/18 08:41:01,550
IP-Router Rx (KABELD, RtgTag: 0): 
DstIP: 10.1.1.60, SrcIP: 208.67.222.222, Len: 74, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 45740, SrcPort: 53
Route: WAN Tx (NOKIAE71CS)

[IP-Router] 2009/08/18 08:41:05,310
IP-Router Rx (NOKIAE71CS, RtgTag: 0): 
DstIP: 208.67.222.222, SrcIP: 10.1.1.60, Len: 58, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 53, SrcPort: 45740
Route: WAN Tx (KABELD)

[IP-Router] 2009/08/18 08:41:05,310
IP-Router Rx (NOKIAE71CS, RtgTag: 0): 
DstIP: 208.67.222.222, SrcIP: 10.1.1.60, Len: 58, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 53, SrcPort: 45740
Route: WAN Tx (KABELD)

[IP-Router] 2009/08/18 08:41:05,350
IP-Router Rx (KABELD, RtgTag: 0): 
DstIP: 10.1.1.60, SrcIP: 208.67.222.222, Len: 74, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 45740, SrcPort: 53
Route: WAN Tx (NOKIAE71CS)

[IP-Router] 2009/08/18 08:41:05,360
IP-Router Rx (KABELD, RtgTag: 0): 
DstIP: 10.1.1.60, SrcIP: 208.67.222.222, Len: 74, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 45740, SrcPort: 53
Route: WAN Tx (NOKIAE71CS)

[Table] 2009/08/18 08:40:56,000
Content of table: /Status/IP-Router/Connection-List

Src-Address    Dst-Address    Prot. Src-P Dst-P Rtg-tag Timeout Flags    Filter-Rule          Src-Route  Dest-Route
-------------------------------------------------------------------------------------------------------------------
10.1.1.60      10.1.1.11      6     33425 80    0       19      80208002 DEFAULT (ACCEPT-ALL) NOKIAE71CS           
10.1.1.60      208.67.222.222 17    45740 53    0       16      80228008 DEFAULT (ACCEPT-ALL) NOKIAE71CS KABELD    

[IP-Router] 2009/08/18 08:41:09,330
IP-Router Rx (NOKIAE71CS, RtgTag: 0): 
DstIP: 208.67.222.222, SrcIP: 10.1.1.60, Len: 58, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 53, SrcPort: 45740
Route: WAN Tx (KABELD)

[IP-Router] 2009/08/18 08:41:09,370
IP-Router Rx (KABELD, RtgTag: 0): 
DstIP: 10.1.1.60, SrcIP: 208.67.222.222, Len: 74, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 45740, SrcPort: 53
Route: WAN Tx (NOKIAE71CS)

[IP-Router] 2009/08/18 08:41:13,330
IP-Router Rx (NOKIAE71CS, RtgTag: 0): 
DstIP: 208.67.222.222, SrcIP: 10.1.1.60, Len: 58, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 53, SrcPort: 45740
Route: WAN Tx (KABELD)

[Table] 2009/08/18 08:41:01,000
Content of table: /Status/IP-Router/Connection-List

Src-Address    Dst-Address    Prot. Src-P Dst-P Rtg-tag Timeout Flags    Filter-Rule          Src-Route  Dest-Route
-------------------------------------------------------------------------------------------------------------------
10.1.1.60      10.1.1.11      6     33425 80    0       14      80208002 DEFAULT (ACCEPT-ALL) NOKIAE71CS           
10.1.1.60      208.67.222.222 17    45740 53    0       19      80228008 DEFAULT (ACCEPT-ALL) NOKIAE71CS KABELD    

[IP-Router] 2009/08/18 08:41:13,370
IP-Router Rx (KABELD, RtgTag: 0): 
DstIP: 10.1.1.60, SrcIP: 208.67.222.222, Len: 58, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 45740, SrcPort: 53
Route: WAN Tx (NOKIAE71CS)

[IP-Router] 2009/08/18 08:41:14,340
IP-Router Rx (NOKIAE71CS, RtgTag: 0): 
DstIP: 208.67.222.222, SrcIP: 10.1.1.60, Len: 58, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 53, SrcPort: 45740
Route: WAN Tx (KABELD)

[IP-Router] 2009/08/18 08:41:14,390
IP-Router Rx (KABELD, RtgTag: 0): 
DstIP: 10.1.1.60, SrcIP: 208.67.222.222, Len: 58, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 45740, SrcPort: 53
Route: WAN Tx (NOKIAE71CS)

[IP-Router] 2009/08/18 08:41:18,370
IP-Router Rx (NOKIAE71CS, RtgTag: 0): 
DstIP: 208.67.222.222, SrcIP: 10.1.1.60, Len: 58, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 53, SrcPort: 45740
Route: WAN Tx (KABELD)

[IP-Router] 2009/08/18 08:41:18,390
IP-Router Rx (NOKIAE71CS, RtgTag: 0): 
DstIP: 208.67.222.222, SrcIP: 10.1.1.60, Len: 58, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 53, SrcPort: 45740
Route: WAN Tx (KABELD)

[IP-Router] 2009/08/18 08:41:18,410
IP-Router Rx (KABELD, RtgTag: 0): 
DstIP: 10.1.1.60, SrcIP: 208.67.222.222, Len: 74, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 45740, SrcPort: 53
Route: WAN Tx (NOKIAE71CS)

[Table] 2009/08/18 08:41:06,000
Content of table: /Status/IP-Router/Connection-List

Src-Address    Dst-Address    Prot. Src-P Dst-P Rtg-tag Timeout Flags    Filter-Rule          Src-Route  Dest-Route
-------------------------------------------------------------------------------------------------------------------
10.1.1.60      10.1.1.11      6     33425 80    0       9       80208002 DEFAULT (ACCEPT-ALL) NOKIAE71CS           
10.1.1.60      208.67.222.222 17    45740 53    0       19      80228008 DEFAULT (ACCEPT-ALL) NOKIAE71CS KABELD    

[IP-Router] 2009/08/18 08:41:18,430
IP-Router Rx (KABELD, RtgTag: 0): 
DstIP: 10.1.1.60, SrcIP: 208.67.222.222, Len: 58, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 45740, SrcPort: 53
Route: WAN Tx (NOKIAE71CS)

[IP-Router] 2009/08/18 08:41:22,000
IP-Router Rx (LAN-1, INTRANET, RtgTag: 0): 
DstIP: 10.1.1.60, SrcIP: 10.1.1.11, Len: 60, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 33425, SrcPort: 80, Flags: SA
Route: WAN Tx (NOKIAE71CS)

[IP-Router] 2009/08/18 08:41:22,530
IP-Router Rx (NOKIAE71CS, RtgTag: 0): 
DstIP: 208.67.222.222, SrcIP: 10.1.1.60, Len: 58, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 53, SrcPort: 45740
Route: WAN Tx (KABELD)

[Table] 2009/08/18 08:41:11,000
Content of table: /Status/IP-Router/Connection-List

Src-Address    Dst-Address    Prot. Src-P Dst-P Rtg-tag Timeout Flags    Filter-Rule          Src-Route  Dest-Route
-------------------------------------------------------------------------------------------------------------------
10.1.1.60      10.1.1.11      6     33425 80    0       28      80208002 DEFAULT (ACCEPT-ALL) NOKIAE71CS           
10.1.1.60      208.67.222.222 17    45740 53    0       19      80228008 DEFAULT (ACCEPT-ALL) NOKIAE71CS KABELD    

[IP-Router] 2009/08/18 08:41:22,580
IP-Router Rx (KABELD, RtgTag: 0): 
DstIP: 10.1.1.60, SrcIP: 208.67.222.222, Len: 58, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 45740, SrcPort: 53
Route: WAN Tx (NOKIAE71CS)

[Table] 2009/08/18 08:41:16,000
Content of table: /Status/IP-Router/Connection-List

Src-Address    Dst-Address    Prot. Src-P Dst-P Rtg-tag Timeout Flags    Filter-Rule          Src-Route  Dest-Route
-------------------------------------------------------------------------------------------------------------------
10.1.1.60      10.1.1.11      6     33425 80    0       23      80208002 DEFAULT (ACCEPT-ALL) NOKIAE71CS           
10.1.1.60      208.67.222.222 17    45740 53    0       14      80228008 DEFAULT (ACCEPT-ALL) NOKIAE71CS KABELD    

[Table] 2009/08/18 08:41:21,000
Content of table: /Status/IP-Router/Connection-List

Src-Address    Dst-Address    Prot. Src-P Dst-P Rtg-tag Timeout Flags    Filter-Rule          Src-Route  Dest-Route
-------------------------------------------------------------------------------------------------------------------
10.1.1.60      10.1.1.11      6     33425 80    0       18      80208002 DEFAULT (ACCEPT-ALL) NOKIAE71CS           
10.1.1.60      208.67.222.222 17    45740 53    0       9       80228008 DEFAULT (ACCEPT-ALL) NOKIAE71CS KABELD    

[VPN-Status] 2009/08/18 08:41:36,690
IKE info: Delete Notification received for Phase-2 SA ipsec-0-NOKIAE71CS-pr0-l0-r0 peer NOKIAE71CS spi [0x185c51ec]

[VPN-Status] 2009/08/18 08:41:36,690
IKE info: Phase-2 SA removed: peer NOKIAE71CS rule ipsec-0-NOKIAE71CS-pr0-l0-r0 removed
IKE info: containing Protocol IPSEC_ESP, with spis [185c51ec  ] [04e45290  ]

[VPN-Status] 2009/08/18 08:41:36,920
IKE info: Delete Notification received for Phase-1 SA isakmp-peer-NOKIAE71CS peer NOKIAE71CS cookies [5b5276163a4f594a 70ad89f98a0ac83b]

[VPN-Status] 2009/08/18 08:41:36,920
IKE info: Phase-1 SA removed: peer NOKIAE71CS rule NOKIAE71CS removed

[VPN-Status] 2009/08/18 08:41:36,920
VPN: NOKIAE71CS (92.116.XXX.XXX) disconnected

[VPN-Status] 2009/08/18 08:41:36,920
VPN: Disconnect info: remote-disconnected (0x4301) for NOKIAE71CS (92.116.XXX.XXX)

[VPN-Status] 2009/08/18 08:41:36,960
VPN: selecting next remote gateway using strategy eFirst for NOKIAE71CS
     => no remote gateway selected

[VPN-Status] 2009/08/18 08:41:36,960
VPN: selecting first remote gateway using strategy eFirst for NOKIAE71CS
     => no remote gateway selected

[VPN-Status] 2009/08/18 08:41:36,960
VPN: installing ruleset for NOKIAE71CS (0.0.0.0)

[VPN-Status] 2009/08/18 08:41:36,970
VPN: installing ruleset generally

[VPN-Status] 2009/08/18 08:41:36,980
VPN: installing pending rulesets

[VPN-Status] 2009/08/18 08:41:36,990
VPN: rulesets installed
[Table] 2009/08/18 08:41:31,000
Content of table: /Status/IP-Router/Connection-List

[TraceStopped] 2009/08/18 08:41:47,000
Used config:
# Trace config 
trace + Status 
trace + Error 
trace + ICMP 
trace + VPN-Status 
trace + Firewall 
trace + IP-Router @ "NOKIAE71CS" 10.1.1.60 
 
# Console config 
repeat 5 list /Status/IP-Router/Connection-List ; # Table 
 
# Show commands 
show bootlog  
show vpn
Nach oben
backslash
Moderator
Moderator
Beiträge: 7122
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Beitrag von backslash »

Hi xPZxi1L7

versuch mal im LANCOM NAT-T zu aktivieren (Häkchen bei VPN -> Allgemein -> NAT-Traversal aktiviert setzen)

Gruß
Backslash
Nach oben
xPZxi1L7
Beiträge: 6
Registriert: 26 Apr 2009, 19:53

Re: Nokia VPN: Keine Daten durch VPN Verbindung

Beitrag von xPZxi1L7 »

Hallo.

Hab ich bereits gemacht.

Woran erkenne ich denn, ob der Client das anfordert?
xPZxi1L7 hat geschrieben: Folgende Einstellungen sind am Lancom vorhanden.

IP-Router:
Route: 10.1.1.60/255.255.255.255, Route ist aktiviert, Router NOKIAE71CS, IP-Maskierung abgeschaltet

TCP/IP:
Adressbereich für Einwahlzugänge: 10.1.1.70 - 10.1.1.79
Nameserver-Adressen: 208.67.222.222, 208.67.220.220

VPN:
NAT-Traversal aktiviert

Verbindungsliste - Eintrag: NOKIAE71CS, Extranet-Adresse 0.0.0.0, Externes Gateway 0.0.0.0, Regelerzeugung: Manuell, kein dynamisches VPN, Aggressiv Mode, IKE-CFG Server, XAUTH aus

Firewall/Qos:
Firewall-Regel: VPN-Regel, hält Verbindungszustände, Quelle beliebig, Ziel NOKIAE71CS, Dienst alle
Im Beitrag http://www.lancom-forum.de/topic,8751,- ... lient.html steht,
USE_NAT_PROBE: FALSE
Ist das so richtig?
Nach oben
backslash
Moderator
Moderator
Beiträge: 7122
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Beitrag von backslash »

Hi xPZxi1L7
Woran erkenne ich denn, ob der Client das anfordert?
in der ersten Meldung des VPN-Status-Trace stünde etwas wie

IKE info: The remote server 92.116.XXX.XXX:500 peer def-aggr-peer id <no_id> supports NAT-T in mode rfc

Heirzu muß aber auch der Client NAT-T unterstützen, was beim Nokia vermutlich über den USE_NAT_PROBE-Schalter steuerbar ist - versuch es einfach mal den Schalter auf TRUE zu setzen und NAT-T im LANCOM zu aktivieren

Ich komme halt auf NAT-T weil in deinem Trace die ESP-Pakete des Clients zwar ankopmmen, die Antworten aber offenbar verlorengehen:
[IP-Router] 2009/08/18 08:40:35,970
IP-Router Rx (NOKIAE71CS, RtgTag: 0):
DstIP: 10.1.1.11, SrcIP: 10.1.1.60, Len: 64, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 80, SrcPort: 33425, Flags: S
Route: LAN Tx (INTRANET):

[IP-Router] 2009/08/18 08:40:35,970
IP-Router Rx (LAN-1, INTRANET, RtgTag: 0):
DstIP: 10.1.1.60, SrcIP: 10.1.1.11, Len: 60, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 33425, SrcPort: 80, Flags: SA
Route: WAN Tx (NOKIAE71CS)

[Table] 2009/08/18 08:40:26,000
Content of table: /Status/IP-Router/Connection-List

Src-Address Dst-Address Prot. Src-P Dst-P Rtg-tag Timeout Flags Filter-Rule Src-Route Dest-Route
----------------------------------------------------------------------------------------------------------------
10.1.1.60 10.1.1.11 6 33425 80 0 27 80208002 DEFAULT (ACCEPT-ALL) NOKIAE71CS

[VPN-Status] 2009/08/18 08:40:36,880
VPN: NOKIAE71CS (92.116.XXX.XXX) connected

[IP-Router] 2009/08/18 08:40:39,170
IP-Router Rx (NOKIAE71CS, RtgTag: 0):
DstIP: 10.1.1.11, SrcIP: 10.1.1.60, Len: 64, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 80, SrcPort: 33425, Flags: S
Route: LAN-1 Tx (INTRANET):

[IP-Router] 2009/08/18 08:40:39,180
IP-Router Rx (LAN-1, INTRANET, RtgTag: 0):
DstIP: 10.1.1.60, SrcIP: 10.1.1.11, Len: 60, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 33425, SrcPort: 80, Flags: SA
Route: WAN Tx (NOKIAE71CS)

[IP-Router] 2009/08/18 08:40:39,970
IP-Router Rx (LAN-1, INTRANET, RtgTag: 0):
DstIP: 10.1.1.60, SrcIP: 10.1.1.11, Len: 60, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 33425, SrcPort: 80, Flags: SA
Route: WAN Tx (NOKIAE71CS)
Das sieht für mich nach einer fehlerhaften IPSec-Maskierung aus - auch wenn 92.116.xxx.xxx eigentlich keine privare Adresse ist, aber wer weiss...

Gruß
Backslash
Nach oben
blackeagle2002de
Beiträge: 142
Registriert: 23 Jan 2005, 13:47

Beitrag von blackeagle2002de »

Hi xPZxi1L7,

habe mich lange mit dem VPN Client von nokia beschäftigt und habe leider rausgefunden, dass er nat-t (obwohl es die Einstellung dafür gibt) nicht kann. Es funktioniert also nur mit einer offenen Verbindung, nicht aber über GPRS oder UMTS. Insofern zur Zeit leider unbrauchbar. Vielleicht bringt nokia ja bald eine neue Version heraus...ansonsten bleibt wohl nur der NCP Symbian Client.

Gruß
blackeagle2002de
Nach oben
xPZxi1L7
Beiträge: 6
Registriert: 26 Apr 2009, 19:53

Beitrag von xPZxi1L7 »

So, habe nun nochmal nach der Anleitung von whitesharky Policyangaben für Nokia VPN Client die Konfiguration vom Nokia neu gemacht.

Klappt immer noch nicht :-/


Hier die Konfiguration fürs Nokia:

Code: Alles auswählen

SECURITY_FILE_VERSION: 3
[INFO]
VPN-Lancom-Hannover
[POLICY]
sa ipsec_1 = {
esp
encrypt_alg 3
auth_alg 2
identity_remote 0.0.0.0/0
pfs
src_specific
hard_lifetime_bytes 0
hard_lifetime_addtime 60
hard_lifetime_usetime 60
soft_lifetime_bytes 0
soft_lifetime_addtime 60
soft_lifetime_usetime 60
}
remote 0.0.0.0 0.0.0.0 = { ipsec_1(77.22.XXX.XXX) }
inbound = { }
outbound = { }
[IKE]
ADDR: 77.22.XXX.XXX 255.255.255.255
MODE: Aggressive
SEND_NOTIFICATION: TRUE
ID_TYPE: 2
FQDN: nokia
GROUP_DESCRIPTION_II: MODP_1024
USE_COMMIT: FALSE
IPSEC_EXPIRE: FALSE
SEND_CERT: FALSE
INITIAL_CONTACT: FALSE
RESPONDER_LIFETIME: TRUE
REPLAY_STATUS: TRUE
USE_INTERNAL_ADDR: FALSE
USE_NAT_PROBE: FALSE
ESP_UDP_PORT: 0
NAT_KEEPALIVE: 60
USE_XAUTH: FALSE
USE_MODE_CFG: TRUE
REKEYING_THRESHOLD: 90
PROPOSALS: 1
ENC_ALG: 3DES-CBC
AUTH_METHOD: PRE-SHARED
HASH_ALG: MD5
GROUP_DESCRIPTION: MODP_1024
GROUP_TYPE: DEFAULT
LIFETIME_KBYTES: 0
LIFETIME_SECONDS: 28800
PRF: NONE
PRESHARED_KEYS:
FORMAT: STRING_FORMAT
KEY: 8 XXXXXXXX
Die ID hat sich auch geändert: von ne71cs.de auf nokia. Hab ich im Lancom angepasst.
Folgendes Problem hatte ich scheinbar vorher:

Code: Alles auswählen

ESP_UDP_PORT: 0  (war auf 4500)
Hier der Trace des VPN:

Code: Alles auswählen

01/01/1900 00:00:02  System boot after power on

DEVICE:           LANCOM 1821+ Wireless ADSL (Ann.B)
HW-RELEASE:       E
VERSION:          7.60.0160Rel / 26.02.2009 / 6.26b/E74.02.54

[Sysinfo] 2009/08/18 20:42:39,000
Result of command: "sysinfo"

DEVICE:           LANCOM 1821+ Wireless ADSL (Ann.B)
HW-RELEASE:       E
SERIAL-NUMBER:    081541800250
MAC-ADDRESS:      00a05712f500
IP-ADDRESS:       10.1.1.1
IP-NETMASK:       255.255.255.0
INTRANET-ADDRESS: 0.0.0.0
INTRANETMASK:     0.0.0.0
VERSION:          7.60.0160Rel / 26.02.2009 / 6.26b/E74.02.54
NAME:             lancom1
CONFIG-STATUS:    1056;0
FIRMWARE-STATUS:  0;0.6;0.1;7.60Rel.26022009.6;7.56.20082008.5
LANCAPI-PORT:     75
HW-MASK:          00001100000000000000000001100011
FEATUREWORD:      00000000001000000100000100011101
REGISTERED-WORD:  00000000001000000100000100011101
FEATURE-LIST:     00/F/00000000
FEATURE-LIST:     02/F/00000000
FEATURE-LIST:     03/F/00000000
FEATURE-LIST:     04/F/00000000
FEATURE-LIST:     08/F/00000000
FEATURE-LIST:     0e/F/00000000
FEATURE-LIST:     15/F/00000000
TIME:             20424018082009
HTTP-PORT:        80
HTTPS-PORT:       443
TELNET-PORT:      23
TELNET-SSL-PORT:  992
SSH-PORT:         22
Compatible-IDs:   14:30:31;10:26:31
[VPN-Status] 2009/08/18 20:43:01,160
IKE info: The remote server 92.117.XXX.XXX:500 peer def-aggr-peer id <no_id> supports NAT-T in mode draft
IKE info: The remote server 92.117.XXX.XXX:500 peer def-aggr-peer id <no_id> supports NAT-T in mode rfc
IKE info: The remote server 92.117.XXX.XXX:500 peer def-aggr-peer id <no_id> supports draft-ietf-ipsec-isakmp-xauth
IKE info: The remote server 92.117.XXX.XXX:500 peer def-aggr-peer id <no_id> supports NAT-T in mode rfc

[VPN-Status] 2009/08/18 20:43:01,160
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <-> local No 1 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <-> local No 2 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <-> local No 3 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <-> local No 4 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <-> local No 5 encryption algorithm = CAST_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <-> local No 6 encryption algorithm = CAST_CBC
IKE info: Phase-1 remote proposal 1 for peer def-aggr-peer matched with local proposal 7

[VPN-Status] 2009/08/18 20:43:01,870
IKE info: Phase-1 [responder] for peer NOKIAE71CS between initiator id nokia, responder id  77.22.XXX.XXX done
IKE info: SA ISAKMP for peer NOKIAE71CS encryption 3des-cbc authentication md5
IKE info: life time ( 28800 sec/ 0 kb)

[VPN-Status] 2009/08/18 20:43:01,880
IKE info: Phase-1 SA Rekeying Timeout (Soft-Event) for peer NOKIAE71CS set to 25920 seconds (Responder)

[VPN-Status] 2009/08/18 20:43:01,880
IKE info: Phase-1 SA Timeout (Hard-Event) for peer NOKIAE71CS set to 28800 seconds (Responder)

[VPN-Status] 2009/08/18 20:43:02,040
IKE info: IKE-CFG: Received REQUEST message with id 65535 from peer NOKIAE71CS
IKE info: IKE-CFG:   Attribute INTERNAL_IP4_ADDRESS     len 0 value (none) received
IKE info: IKE-CFG:   Attribute INTERNAL_IP4_DNS         len 0 value (none) received

[VPN-Status] 2009/08/18 20:43:02,040
IKE info: IKE-CFG: Creating REPLY message with id 65535 for peer NOKIAE71CS
IKE info: IKE-CFG:   Attribute INTERNAL_IP4_DNS         len 4 value 208.67.222.222 added
IKE info: IKE-CFG:   Attribute INTERNAL_IP4_ADDRESS     len 4 value 10.1.1.60 added
IKE info: IKE-CFG: Sending message

[VPN-Status] 2009/08/18 20:43:03,480
IKE info: Phase-2 proposal failed: remote No 1, esp encap mode UDP_ENCAP_TUNNEL_DRAFT <-> local No 1, esp encap mode TUNNEL
IKE info: Phase-2 remote proposal 1 failed for peer NOKIAE71CS
IKE log: 204303.000000 Default message_negotiate_sa: no compatible proposal found
IKE log: 204303.000000 Default dropped message from 92.117.XXX.XXX port 4500 due to notification type NO_PROPOSAL_CHOSEN
IKE info: dropped message from peer NOKIAE71CS 92.117.XXX.XXX port 4500 due to notification type NO_PROPOSAL_CHOSEN

[VPN-Status] 2009/08/18 20:43:03,510
VPN: Error: IPSEC-R-No-proposal-matched (0x3202) for NOKIAE71CS (92.117.XXX.XXX)

[VPN-Status] 2009/08/18 20:43:03,530
VPN: selecting next remote gateway using strategy eFirst for NOKIAE71CS
     => no remote gateway selected

[VPN-Status] 2009/08/18 20:43:03,530
VPN: selecting first remote gateway using strategy eFirst for NOKIAE71CS
     => no remote gateway selected

[VPN-Status] 2009/08/18 20:43:03,530
VPN: installing ruleset for NOKIAE71CS (0.0.0.0)

[VPN-Status] 2009/08/18 20:43:03,550
IKE info: Delete Notificaton sent for Phase-1 SA to peer NOKIAE71CS

[VPN-Status] 2009/08/18 20:43:03,550
IKE info: Phase-1 SA removed: peer NOKIAE71CS rule NOKIAE71CS removed

[VPN-Status] 2009/08/18 20:43:03,550
VPN: rulesets installed

Nun habe ich also folgendes Problem:

Code: Alles auswählen

IKE info: Phase-2 proposal failed: remote No 1, esp encap mode UDP_ENCAP_TUNNEL_DRAFT <-> local No 1, esp encap mode TUNNEL
IKE info: Phase-2 remote proposal 1 failed for peer NOKIAE71CS
IKE log: 204303.000000 Default message_negotiate_sa: no compatible proposal found
IKE log: 204303.000000 Default dropped message from 92.117.XXX.XXX port 4500 due to notification type NO_PROPOSAL_CHOSEN
IKE info: dropped message from peer NOKIAE71CS 92.117.XXX.XXX port 4500 due to notification type NO_PROPOSAL_CHOSEN
Ja, ich habe den Beitrag gelesen: "USE_NAT_PROBE: FALSE" und auch in den Lancom VPN Einstellungen habe ich "NAT-Traversal" aktiviert.

@blackeagle2002de : NAT-T scheint er aber zu machen:

Code: Alles auswählen

VPN-Status] 2009/08/18 20:43:01,160
IKE info: The remote server 92.117.86.249:500 peer def-aggr-peer id <no_id> supports NAT-T in mode draft
IKE info: The remote server 92.117.86.249:500 peer def-aggr-peer id <no_id> supports NAT-T in mode rfc
IKE info: The remote server 92.117.86.249:500 peer def-aggr-peer id <no_id> supports draft-ietf-ipsec-isakmp-xauth
IKE info: The remote server 92.117.86.249:500 peer def-aggr-peer id <no_id> supports NAT-T in mode rfc
Hat jemand eine Idee?
Nach oben
blackeagle2002de
Beiträge: 142
Registriert: 23 Jan 2005, 13:47

Beitrag von blackeagle2002de »

Hallo xPZxi1L7,

wenn Du Nat-Traversal im Lancom deaktivierst verschwindet die Fehlermeldung (bzw. den ESP UDP Port wieder auf 4500 stellst). Aber dann fließen halt keine Daten. Ich habe in etlichen Nokiaforen gesucht und keine Lösung gefunden. Die Frage nach NAT-T konnte auch da nicht beantwortet werden. Aus irgendeinem Grund kann der Nokia Client halt wie gesagt kein richtiges NAT-T...

Gruß
blackeagle2002de
Nach oben
blackeagle2002de
Beiträge: 142
Registriert: 23 Jan 2005, 13:47

Beitrag von blackeagle2002de »

Ich habe jetzt tatsächlich doch noch die Lösung gefunden und es funktioniert! Es muss der alte VPN Client von Nokia genommen werden (s. Anhang). Dieselbe Policy funktioniert einwandfrei mit dem alten Client und gibt die bekannte Fehlermeldung mit dem neueren Client.

Also:
- Alten Client Installieren (Datum zurückstellen auf 2006 wg Zertifikat)
- der policy editor wird hier nicht unterstützt, deshalb muss die Policy nach der Anleitung von whitesharky installiert werden! Wichtig bei

KEY: 8 XXXXXXXX

steht die 8 für die Anzahl der Zeichen, ist der PSK also länger oder kurzer muss es entsprechend angepasst werden, also z. B.

KEY: 12 aaaaaaaaaaaa


Es funktioniert auch die von mir gepostete Konfiguration (bei der von whitesharky hat sich mein Handy komischerweise immer halb aufgehängt):

SECURITY_FILE_VERSION: 3
[INFO]
VPN-policy-preshared-lancom.pol for Nokia Mobile VPN Client v3.0.
[POLICY]
sa ipsec_1 = {
esp
encrypt_alg 12
max_encrypt_bits 128
auth_alg 2
identity_remote 0.0.0.0/0
pfs
src_specific
hard_lifetime_bytes 0
hard_lifetime_addtime 3600
hard_lifetime_usetime 3600
soft_lifetime_bytes 0
soft_lifetime_addtime 3600
soft_lifetime_usetime 3600
replay_win_len 0
}



remote 0.0.0.0 0.0.0.0 = { ipsec_1(xxxx) }
inbound = { }
outbound = { }
[IKE]
ADDR: xxxx 255.255.255.255
IKE_VERSION: 1
MODE: Aggressive
REPLAY_STATUS: TRUE
USE_MODE_CFG: TRUE
IPSEC_EXPIRE: FALSE
SEND_CERT: FALSE
USE_XAUTH: FALSE
USE_COMMIT: FALSE
ESP_UDP_PORT: 0
SEND_NOTIFICATION: TRUE
INITIAL_CONTACT: FALSE
RESPONDER_LIFETIME: TRUE
USE_INTERNAL_ADDR: FALSE
DPD_HEARTBEAT: 90
NAT_KEEPALIVE: 60
REKEYING_THRESHOLD: 90
ID_TYPE: 2
FQDN: xxxxx
GROUP_DESCRIPTION_II: MODP_1024
PRESHARED_KEYS:
FORMAT: STRING_FORMAT
KEY: 8 ...
USE_NAT_PROBE: FALSE
PROPOSALS: 1
ENC_ALG: AES128-CBC
AUTH_METHOD: PRE-SHARED
HASH_ALG: MD5
GROUP_DESCRIPTION: MODP_1024
GROUP_TYPE: DEFAULT
LIFETIME_KBYTES: 0
LIFETIME_SECONDS: 86400
PRF: NONE




Wäre für mich interessant zu wissen, ob man den alten Client auch auf einem N97 oder 5800 installieren kann. Hat jemand so ein Handy um das auszuprobieren??

Grüße
blackeagle2002de
Nach oben
blackeagle2002de
Beiträge: 142
Registriert: 23 Jan 2005, 13:47

Beitrag von blackeagle2002de »

Das mit dem Anhang hat nicht geklappt, noch ein Versuch!
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Nach oben
xPZxi1L7
Beiträge: 6
Registriert: 26 Apr 2009, 19:53

Beitrag von xPZxi1L7 »

Hi.

Was hast Du für ein Nokia?

Ich hab ein E71 mit Firmware 300.21.012.

Hab Datum auf 27.08.2006 zurückgestellt. Dann startet zwar die Installation, ich bekomme aber einen "Update Error".

Irgend eine Idee?
Nach oben
blackeagle2002de
Beiträge: 142
Registriert: 23 Jan 2005, 13:47

Beitrag von blackeagle2002de »

Hmm, also ich habe ein N82...Hast du den neueren Client vorher deinstalliert? Ich hatte den neueren noch drauf, und bei der Installation wurde ich dann gefragt, ob der Client ersetzt werden soll. Es ist die VPN Client Version 3.0 (der neuere ist 3.1). Google doch mal nach dem VPN Client 3.0 fürs E71...
Nach oben
xPZxi1L7
Beiträge: 6
Registriert: 26 Apr 2009, 19:53

Beitrag von xPZxi1L7 »

Ok, dann suche ich mal.

Hab auch schon einen interessanten Link gefunden:

http://www.businesssoftware.nokia.com/mvpn/files/

Werde die angebotenen Versionen 3.1 mal testen. Von 3.0 ist hier aber nichts mehr zu sehen.

Also weiter suchen...
Nach oben
xPZxi1L7
Beiträge: 6
Registriert: 26 Apr 2009, 19:53

Beitrag von xPZxi1L7 »

So, ich hab dann doch mal den VPN Client von NCP installiert:

Link: NCP Secure Entry Client for Symbian

Wie man es erwartet hat: Installiert, Profil angelegt, Fertig und funktioniert.

Nur ein Problem: mit dem integrierten VPN Client hat man einen Access point vom System, den man bei NCP nicht hat. Das ist ein großer Nachteil!
Nach oben
blackeagle2002de
Beiträge: 142
Registriert: 23 Jan 2005, 13:47

Beitrag von blackeagle2002de »

Genau aus dem Grund möchte ich den NCP Client nicht. Man kann dann z.B. bei Mail for Exchange keinen Zugangspunkt hinterlegen. Das hat mit unseren nicht so Computeraffinen Mitarbeitern immer wieder zu Problemen geführt. Mit dem VPN Zugangspunkt funktioniert alles automatisch, die Mitarbeiter müssen keinen knopf drücken, der Exchange Abgleich wird selbständig über VPN durchgeführt, ohne dass ich die Firewall öffnen müsste...

Die 3.0 Version vom Nokia Client funktioniert nur mit der N Serie und nicht mit der E. Was im Umkehrschluss heißt, dass die neueren Telefone mit Symbian 5th auch nicht funktionieren. Schade, dass Nokia den neueren Client vermurkst hat, der 3.0 funktioniert seit zwei Tagen tadellos!

Gruß
blackeagle2002de
Nach oben
blackeagle2002de
Beiträge: 142
Registriert: 23 Jan 2005, 13:47

Beitrag von blackeagle2002de »

Ich habe jetzt wohl auch die den Grund gefunden, warum der neue VPN Client von Nokia nicht funktioniert. Er nutzt einen anderen (neueren) RFC IETF NAT algorithmus.
Hier ist beschrieben, welches mit dem neuen Nokia VPN Client läuft:

http://wiki.paepstin.info/nokia:vpn#new ... preference

Da das meinen Horizont übersteigt nun die Frage an die Spezialisten, lässt sich da irgendwo am Lancom was einstellen, dass er mit diesem NAT-T zurechtkommt?

Grüße
blackeagle2002de
Nach oben
Antworten

Zurück zu „Fragen zum Thema VPN“