Policyangaben für Nokia VPN Client

[whitesharky]

Hallo Leute,

ich bin gerade dabei eine Möglichkeit zu finden mit einem Nokia E61 und dem integrierten VPN Client einen Tunnel zu einem Lancom 1711 Vers. 7.26 zu konfigurieren. Ich komme nur nicht weiter.
Im Internet sind ja einige angeblich funktionierende Lösungen zu finden, die mich aber nicht weitergebracht haben. Eher verwirrt. Im Forum habe ich auch noch nichts Lösungsfähiges gefunden.

Ich habe hier eine Policy für das Nokia mit folgendem Inhalt. Könnt ihr bitte mal schauen ob die Einstellungen in Verbindung mit dem Lancom funktionieren könnten! Die x'e ist die öffentliche IP des Lancoms. Was muss ich auf dem Lancom genau anhand der Policy konfigurieren?

SECURITY_FILE_VERSION: 3
[INFO]
VPN-policy-preshared-lancom.pol for Nokia Mobile VPN Client v3.0.
[POLICY]
sa ipsec_1 = {
esp
encrypt_alg 3
auth_alg 2
identity_remote 0.0.0.0/0
pfs
src_specific
hard_lifetime_bytes 0
hard_lifetime_addtime 60
hard_lifetime_usetime 60
soft_lifetime_bytes 0
soft_lifetime_addtime 60
soft_lifetime_usetime 60
}
remote 0.0.0.0 0.0.0.0 = { ipsec_1(x.x.x.x) }
inbound = { }
outbound = { }
[IKE]
ADDR: x.x.x.x 255.255.255.255
MODE: Aggressive
SEND_NOTIFICATION: TRUE
ID_TYPE: 11
FQDN: nokia
GROUP_DESCRIPTION_II: MODP_1024
USE_COMMIT: FALSE
IPSEC_EXPIRE: FALSE
SEND_CERT: FALSE
INITIAL_CONTACT: FALSE
RESPONDER_LIFETIME: TRUE
REPLAY_STATUS: TRUE
USE_INTERNAL_ADDR: FALSE
USE_NAT_PROBE: FALSE
ESP_UDP_PORT: 0
NAT_KEEPALIVE: 60
USE_XAUTH: TRUE
USE_MODE_CFG: TRUE
REKEYING_THRESHOLD: 90
PROPOSALS: 1
ENC_ALG: 3DES-CBC
AUTH_METHOD: PRE-SHARED
HASH_ALG: MD5
GROUP_DESCRIPTION: MODP_1024
GROUP_TYPE: DEFAULT
LIFETIME_KBYTES: 0
LIFETIME_SECONDS: 28800
PRF: NONE
PRESHARED_KEYS:
FORMAT: STRING_FORMAT
KEY: 8 UAwg3ZyU

Gruß
whitesharky

[whitesharky]

Hallo,

ich habe mal noch ein Trace durchgeführt. Da ich mich mit der Interpretation eines Trace nicht so auskenne, hoffe ich das dies nützlich sein könnte wenn ihr mir helft. Ich erkenne das die Verbindung auf dem Lancom ankommt. Aber dann sehe ich nur failed???

[VPN-Status] 2008/04/24 11:01:02,710
IKE info: The remote server 92.117.217.253:500 peer def-aggr-peer id <no_id> sup
ports NAT-T in mode draft
IKE info: The remote server 92.117.217.253:500 peer def-aggr-peer id <no_id> sup
ports draft-ietf-ipsec-isakmp-xauth
IKE info: The remote server 92.117.217.253:500 peer def-aggr-peer id <no_id> sup
ports NAT-T in mode draft


[VPN-Status] 2008/04/24 11:01:02,710
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <
-> local No 1 encryption algorithm = AES_CBC
IKE info: Phase-1 remote proposal 1 failed for peer def-aggr-peer
IKE log: 110102 Default message_negotiate_sa: no compatible proposal found
IKE log: 110102 Default dropped message from 92.117.217.253 port 500 due to notification type NO_PROPOSAL_CHOSEN
IKE info: dropped message from peer unknown 92.117.217.253 port 500 due to notification type NO_PROPOSAL_CHOSEN

Gruß
whitesharky

[backslash]

Hi whitesharky

du mußt in der Default IKE-Proposal-Liste für Aggressive-Mode-Verbindungen (=> siehe VPN -> Defaults) 3DES zulassen. Im Ausliferungstzustand wird hier die Proposalliste IKE_PRESH_KEY verwendet, die AES, Blowfish und 3DES erlaubt (die Proposallisten sind unter VPN -> IKE-Param -> IKE-Proposal-Listen definiert). Offenbar hast du diese Liste geändert, so daß nur noch AES zugelassen wird - das ist dann aber dein Problem und kein Lancom-spezifisches...


Gruß
Backslash

[whitesharky]

Hallo Backslash,

du hast Recht. In den Proposal-Listen war nicht mehr viel drin. Warum weiß ich leider nicht. Ich habe die fehlenden Proposals wieder hinzugefügt. Habe dazu die Konfig eines anderen Lancom zum Vergleich genommen.
Habe trotzdem noch Probleme. Kannst du bitte nochmal schauen!

Jetzt sieht der Trace so aus:

root@LANCOM01_XANTEN:/
> trace + vpn
VPN :
VPN-Status ON
VPN-Packet ON

root@LANCOM01_XANTEN:/
>
[VPN-Status] 2008/04/24 13:03:31,490
IKE info: The remote server 92.116.220.228:500 peer def-aggr-peer id <no_id> sup
ports NAT-T in mode draft
IKE info: The remote server 92.116.220.228:500 peer def-aggr-peer id <no_id> sup
ports draft-ietf-ipsec-isakmp-xauth
IKE info: The remote server 92.116.220.228:500 peer def-aggr-peer id <no_id> sup
ports NAT-T in mode draft


[VPN-Status] 2008/04/24 13:03:31,490
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <
-> local No 1 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <
-> local No 2 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <
-> local No 3 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <
-> local No 4 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <
-> local No 5 encryption algorithm = CAST_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <
-> local No 6 encryption algorithm = CAST_CBC
IKE info: Phase-1 remote proposal 1 for peer def-aggr-peer matched with local pr
oposal 7


[VPN-Status] 2008/04/24 13:03:31,500
IKE log: 130331 Default dropped message from 92.116.220.228 port 500 due to noti
fication type INVALID_ID_INFORMATION


[VPN-Status] 2008/04/24 13:03:31,500
IKE info: dropped message from peer unknown 92.116.220.228 port 500 due to notif
ication type INVALID_ID_INFORMATION

Gruß
whitesharky

[backslash]

Hi whitesharky

[VPN-Status] 2008/04/24 13:03:31,500
IKE log: 130331 Default dropped message from 92.116.220.228 port 500 due to notification type INVALID_ID_INFORMATION

hier stimmt die vom Nokia gemeldete ID nicht mit der im LANCOM konfigurierten überein. Wenn ich das richtig sehe, meldet das Nokia folgende ID:

ID_TYPE: 11
FQDN: nokia

das wird in jedem Fall nicht funktionieren. Der ID_TYPE 11 (Key-ID) wird vom LANCOM nicht unterstützt. Wenn wirklich FQDN als Typ übermittelt werden soll, dann muß der ID_TYPE 2 sein.

Im LANCOM mußt du unter VPN -> IKE-Auth. -> IKE-Schlüssel und Identitäten folgendes eingeben:

Code: Alles auswählen

Lokaler Identitätstyp:    keine Identität
Lokale Identität: 

Entfernter Identitätstyp: Domänen-Name (FQDN)
Entfernte Identität:      nokia

damit sollte dann schonmal die Phase 1 durchlaufen

Gruß
Backslash

[whitesharky]

Hallo Backslash,

das passiert schon etwas mehr. Aber noch nicht so richtig. Schau mal bitte!

[VPN-Status] 2008/04/24 15:03:47,020
IKE info: The remote server 92.116.159.63:500 peer def-aggr-peer id <no_id> supp
orts NAT-T in mode draft
IKE info: The remote server 92.116.159.63:500 peer def-aggr-peer id <no_id> supp
orts draft-ietf-ipsec-isakmp-xauth
IKE info: The remote server 92.116.159.63:500 peer def-aggr-peer id <no_id> supp
orts NAT-T in mode draft


[VPN-Status] 2008/04/24 15:03:47,020
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <
-> local No 1 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <
-> local No 2 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <
-> local No 3 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <
-> local No 4 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <
-> local No 5 encryption algorithm = CAST_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <
-> local No 6 encryption algorithm = CAST_CBC
IKE info: Phase-1 remote proposal 1 for peer def-aggr-peer matched with local pr
oposal 7


[VPN-Status] 2008/04/24 15:03:48,420
IKE info: Phase-1 [responder] for peer NOKIA between initiator id nokia, respond
er id 217.91.17.79 done
IKE info: NAT-T enabled in mode draft, we are behind a nat, the remote side is b
ehind a nat
IKE info: SA ISAKMP for peer NOKIA encryption 3des-cbc authentication md5
IKE info: life time ( 28800 sec/ 0 kb)


[VPN-Status] 2008/04/24 15:03:48,490
IKE info: IKE-CFG: Received REQUEST message with id 65535 from peer NOKIA
IKE info: IKE-CFG: Attribute INTERNAL_IP4_ADDRESS len 0 value (none) recei
ved
IKE info: IKE-CFG: Attribute INTERNAL_IP4_DNS len 0 value (none) recei
ved


[VPN-Status] 2008/04/24 15:03:48,490
IKE info: IKE-CFG: Creating REPLY message with id 65535 for peer NOKIA
IKE info: IKE-CFG: Attribute INTERNAL_IP4_DNS len 4 value 10.140.21.1
added
IKE info: IKE-CFG: Attribute INTERNAL_IP4_ADDRESS len 4 value 10.140.21.30
added
IKE info: IKE-CFG: Sending message


[VPN-Status] 2008/04/24 15:03:50,170
IKE info: Phase-2 proposal failed: remote No 1, esp algorithm 3DES <-> local No
1, esp algorithm AES
IKE info: Phase-2 proposal failed: remote No 1, esp algorithm keylen 0 <-> local
No 1, esp algorithm keylen 128,128:256
IKE info: Phase-2 remote proposal 1 failed for peer NOKIA
IKE log: 150350 Default message_negotiate_sa: no compatible proposal found
IKE log: 150350 Default dropped message from 92.116.159.63 port 4500 due to noti
fication type NO_PROPOSAL_CHOSEN
IKE info: dropped message from peer NOKIA 92.116.159.63 port 4500 due to notific
ation type NO_PROPOSAL_CHOSEN


[VPN-Status] 2008/04/24 15:03:50,190
VPN: Error: IPSEC-R-No-proposal-matched (0x3202) for NOKIA (92.116.159.63)

[VPN-Status] 2008/04/24 15:03:50,200
VPN: selecting next remote gateway using strategy eFirst for NOKIA
=> no remote gateway selected

[VPN-Status] 2008/04/24 15:03:50,200
VPN: selecting first remote gateway using strategy eFirst for NOKIA
=> no remote gateway selected

[VPN-Status] 2008/04/24 15:03:50,200
VPN: installing ruleset for NOKIA (0.0.0.0)

[VPN-Status] 2008/04/24 15:03:50,220
IKE info: Delete Notificaton sent for Phase-1 SA to peer NOKIA


[VPN-Status] 2008/04/24 15:03:50,220
IKE info: Phase-1 SA removed: peer NOKIA rule NOKIA removed


[VPN-Status] 2008/04/24 15:03:50,220
VPN: rulesets installed

Gruß
whitesharky

[backslash]

Hi whitesharky

hier hast du nun das gleiche Problem mit den IPSec-Proposals, das du schon bei den IKE-Proposals hattest - du hast bei der IPSec-Proposal-Liste, die du für den Client verwendest nur AES zugelassen - der Client will aber 3DES.

Die IPSec-Proposal-Listen findest du unter VPN -> IPSec-Param. -> IPSec-Proposal-Liste.

Welche Liste du verwendest kannst über die Verbindungs-Paramter der Client-Verbindung herausfinden (VPN -> Allgemein -> Verbindungs-Paramter).

Welchen Parametersatz du verwendest, steht in der Verbindung selbst (VPN -> Allgemein -> Verbindungs-Liste -> Name der Clientverbindung -> Parameter)

Wenn du als Proposal-Liste ESP_TN nimmst, sollte es funktionieren - solange die Liste noch dem Default entspricht...

Beachte, daß du auch die Netzbeziehungen korrekt eingestellt haben mußt - der Client fordert zugriff auf alle Adressen - ggf. mußt du noch eine passende Firewallregel erstellen:

Code: Alles auswählen

[x] Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen

Aktion:   übertragen
Quelle:   alle Stationen
Ziel:     Gegenstelle: VPN-Client
Dienste:  alle Dienste

Gruß
Backslash

[whitesharky]

Hallo Backslash,

ich habe alles so eingestellt wie du geschrieben hast. Auch die Firewallregel habe ich erstellt.

Die Verbindung kommt zustande aber nicht so richtig. Schau mal bitte!

[VPN-Status] 2008/04/25 08:24:10,250
IKE info: The remote server 92.116.207.233:500 peer def-aggr-peer id <no_id> sup
ports NAT-T in mode draft
IKE info: The remote server 92.116.207.233:500 peer def-aggr-peer id <no_id> sup
ports draft-ietf-ipsec-isakmp-xauth
IKE info: The remote server 92.116.207.233:500 peer def-aggr-peer id <no_id> sup
ports NAT-T in mode draft


[VPN-Status] 2008/04/25 08:24:10,260
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <
-> local No 1 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <
-> local No 2 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <
-> local No 3 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <
-> local No 4 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <
-> local No 5 encryption algorithm = CAST_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <
-> local No 6 encryption algorithm = CAST_CBC
IKE info: Phase-1 remote proposal 1 for peer def-aggr-peer matched with local pr
oposal 7


[VPN-Status] 2008/04/25 08:24:11,450
IKE info: Phase-1 [responder] for peer NOKIA between initiator id nokia, respond
er id x.x.x.x done
IKE info: NAT-T enabled in mode draft, we are behind a nat, the remote side is b
ehind a nat
IKE info: SA ISAKMP for peer NOKIA encryption 3des-cbc authentication md5
IKE info: life time ( 28800 sec/ 0 kb)


[VPN-Status] 2008/04/25 08:24:11,530
IKE info: IKE-CFG: Received REQUEST message with id 65535 from peer NOKIA
IKE info: IKE-CFG: Attribute INTERNAL_IP4_ADDRESS len 0 value (none) recei
ved
IKE info: IKE-CFG: Attribute INTERNAL_IP4_DNS len 0 value (none) recei
ved


[VPN-Status] 2008/04/25 08:24:11,530
IKE info: IKE-CFG: Creating REPLY message with id 65535 for peer NOKIA
IKE info: IKE-CFG: Attribute INTERNAL_IP4_DNS len 4 value 10.140.21.1
added
IKE info: IKE-CFG: Attribute INTERNAL_IP4_ADDRESS len 4 value 10.140.21.30
added
IKE info: IKE-CFG: Sending message


[VPN-Status] 2008/04/25 08:24:13,510
IKE info: Phase-2 proposal failed: remote No 1, esp algorithm 3DES <-> local No
1, esp algorithm AES
IKE info: Phase-2 proposal failed: remote No 1, esp algorithm keylen 0 <-> local
No 1, esp algorithm keylen 128,128:256
IKE info: Phase-2 proposal failed: remote No 1, esp algorithm 3DES <-> local No
2, esp algorithm AES
IKE info: Phase-2 proposal failed: remote No 1, esp algorithm keylen 0 <-> local
No 2, esp algorithm keylen 128,128:256
IKE info: Phase-2 proposal failed: remote No 1, esp hmac HMAC_MD5 <-> local No 2
, esp hmac HMAC_SHA
IKE info: Phase-2 proposal failed: remote No 1, esp algorithm 3DES <-> local No
3, esp algorithm BLOWFISH
IKE info: Phase-2 proposal failed: remote No 1, esp algorithm keylen 0 <-> local
No 3, esp algorithm keylen 128,128:448
IKE info: Phase-2 proposal failed: remote No 1, esp algorithm 3DES <-> local No
4, esp algorithm BLOWFISH
IKE info: Phase-2 proposal failed: remote No 1, esp algorithm keylen 0 <-> local
No 4, esp algorithm keylen 128,128:448
IKE info: Phase-2 proposal failed: remote No 1, esp hmac HMAC_MD5 <-> local No 4
, esp hmac HMAC_SHA
IKE info: Phase-2 proposal failed: remote No 1, esp algorithm 3DES <-> local No
5, esp algorithm CAST
IKE info: Phase-2 proposal failed: remote No 1, esp algorithm 3DES <-> local No
6, esp algorithm CAST
IKE info: Phase-2 proposal failed: remote No 1, esp hmac HMAC_MD5 <-> local No 6
, esp hmac HMAC_SHA
IKE info: Phase-2 remote proposal 1 for peer NOKIA matched with local proposal 7


[VPN-Status] 2008/04/25 08:24:14,710
IKE info: Phase-2 [responder] done with 2 SAS for peer NOKIA rule ipsec-19-NOKIA
-pr0-l0-r0
IKE info: rule:' ipsec 0.0.0.0/0.0.0.0 <-> 10.140.21.30/255.255.255.255 '
IKE info: SA ESP [0x4000ae05] alg 3DES keylength 192 +hmac HMAC_MD5 outgoing
IKE info: SA ESP [0x7169b269] alg 3DES keylength 192 +hmac HMAC_MD5 incoming
IKE info: life soft( 54 sec/0 kb) hard (60 sec/0 kb)
IKE info: tunnel between src: x.x.x.x dst: 92.116.207.233


[VPN-Status] 2008/04/25 08:24:14,720
VPN: wait for IKE negotiation from NOKIA (92.116.207.233)

[VPN-Packet] 2008/04/25 08:24:14,790
received: 92.116.207.233->x.x.x.x 112 ESP SPI[7169b269]

[VPN-Packet] 2008/04/25 08:24:14,790
decrypted: 92.116.207.233->x.x.x.x 96 IP-ENCAP

[VPN-Packet] 2008/04/25 08:24:14,800
decap: 10.140.21.30->x.x.x.x 60 TCP port 39679->80

[VPN-Status] 2008/04/25 08:24:15,730
VPN: NOKIA (92.116.207.233) connected

[VPN-Packet] 2008/04/25 08:24:15,740
for send: x.x.x.x->10.140.21.30 40 TCP port 80->39679

[VPN-Packet] 2008/04/25 08:24:15,740
encap: x.x.x.x->92.116.207.233 60 IP-ENCAP

[VPN-Packet] 2008/04/25 08:24:15,750
encrypted: x.x.x.x->92.116.207.233 104 UDP port 4500->4500

[VPN-Packet] 2008/04/25 08:24:17,500
received: 92.116.207.233->x.x.x.x 112 ESP SPI[7169b269]

[VPN-Packet] 2008/04/25 08:24:17,500
decrypted: 92.116.207.233->x.x.x.x 96 IP-ENCAP

[VPN-Packet] 2008/04/25 08:24:17,500
decap: 10.140.21.30->x.x.x.x 60 TCP port 39679->80

[VPN-Packet] 2008/04/25 08:24:17,500
for send: x.x.x.x->10.140.21.30 40 TCP port 80->39679

[VPN-Packet] 2008/04/25 08:24:17,500
encap: x.x.x.x->92.116.207.233 60 IP-ENCAP

[VPN-Packet] 2008/04/25 08:24:17,500
encrypted: x.x.x.x->92.116.207.233 104 UDP port 4500->4500

[VPN-Status] 2008/04/25 08:24:22,220
IKE info: Delete Notification received for Phase-2 SA ipsec-19-NOKIA-pr0-l0-r0 p
eer NOKIA spi [0x4000ae05]


[VPN-Status] 2008/04/25 08:24:22,220
IKE info: Phase-2 SA removed: peer NOKIA rule ipsec-19-NOKIA-pr0-l0-r0 removed
IKE info: containing Protocol IPSEC_ESP, with spis [4000ae05 ] [7169b269 ]


[VPN-Status] 2008/04/25 08:24:22,290
IKE info: Delete Notification received for Phase-1 SA isakmp-peer-NOKIA peer NOK
IA cookies [cc71ea99e2e2d00d 3046af628f38cebd]


[VPN-Status] 2008/04/25 08:24:22,290
IKE info: Phase-1 SA removed: peer NOKIA rule NOKIA removed


[VPN-Status] 2008/04/25 08:24:22,290
VPN: NOKIA (92.116.207.233) disconnected

[VPN-Status] 2008/04/25 08:24:22,290
VPN: Disconnect info: remote-disconnected (0x4301) for NOKIA (92.116.207.233)

[VPN-Status] 2008/04/25 08:24:22,310
VPN: selecting first remote gateway using strategy eFirst for NOKIA
=> no remote gateway selected

[VPN-Status] 2008/04/25 08:24:22,310
VPN: installing ruleset for NOKIA (0.0.0.0)

[VPN-Status] 2008/04/25 08:24:22,340
VPN: rulesets installed

Gruß
whitsharky

[whitesharky]

Hallo Backslash,

alles in Ordnung, es funktioniert. Lag noch an den Firewallregeln. Ich habe mal kurz die DENY-ALL Regel deaktiviert und es funktionierte.

Jetzt mach ich noch in der Firewall etwas Feintuning und bin Happy.
Das Lustige daran ist, das ich heute noch die Beta des VPN-Client von ncp erhalte um ein wenig zu testen.

Auf jeden Fall Danke nochmal für deine Hilfe.

Wenn der VPN ein paar Tage zuverlässig funktioniert, werde in den nächsten Tagen noch ein HowTo von der Erstellung der VPN-Policy (*.SIS) und Konfig des Nokias bis zur Konfig des Lancoms ins Forum stellen. Ich kann mir vorstellen das mehrere Leute Interesse haben.

Gruß
whitesharky

[LoUiS]

Hi,

Wenn der VPN ein paar Tage zuverlässig funktioniert, werde in den nächsten Tagen noch ein HowTo von der Erstellung der VPN-Policy (*.SIS) und Konfig des Nokias bis zur Konfig des Lancoms ins Forum stellen. Ich kann mir vorstellen das mehrere Leute Interesse haben.

ja, das ist bestimmt interessant und kommt direkt in die FAQ Sektion.


Gruss
Martin

[whitesharky]

Hallo,

ich habe das HowTo zusammengefasst. Da ich ein paar Screenshoots eingefügt habe, weiß ich jetzt nicht wie ich diese zur Verfügung stellen kann. PDF als Anhang ist verboten. Welche Möglichkeit habe ich noch? Ich habe auch keinen Server auf dem ich die Bilder zur Darstellung in html hosten kann.

3 erlaubte Bilder habe ich als Attachment hinzugefügt.

Gruß
whitesharky

Hier schon mal der reine Text. Vielleicht gehts ja schon so.

Einrichtung VPN Nokia für Mail for Exchange und Lancom 1711 VPN!

Der Nokia VPN Client hat keine eigentliche Konfigurationsoberfläche bzw. Software oder Setuproutine mit dem der VPN Client eingestellt wird. Die Konfiguration geschieht über eine Policy (Konfigurationsdatei).
Entweder gibt es einen Policyserver, von dem sich das Nokia die Policy über einen Policyserver abholt oder die Policy wird manuell in das Handy installiert.

Ich beschreibe hier die manuelle Installation und Konfiguration des Nokia E61 mit dem Nokia Mobile VPN Client v3.0.in Verbindung mit einem Lancom VPN 1711 Vers. 7.26.

Vorbereitung für den Nokia VPN Client

Das HowTo dafür stammt teilweise von http://www.rz.rwth-aachen.de/ca/c/pul/lang/de/ !!!

Auf dem Computer auf LW C: ein Verzeichnis Nokia anlegen!

3 Konfigurationsdateien werden benötigt. Diese bitte manuell mit Datei neu... erstellen und den unten genannten Inhalt kopieren und einfügen! Der Dateiname ist freigestellt. Die Dateierweiterung ist aber vorgegeben! Alle veränderbaren Parameter sind in kursiv und rot dargestellt.


VPN-policy-preshared-lancom.pin; VPN-policy-preshared-lancom.pkg; VPN-policy-preshared-lancom.pol

Inhalt der “VPN-policy-preshared-lancom.pin”

-----[schnipp]-----

[POLICYNAME]
VPN Policy
[POLICYDESCRIPTION]
VPN-policy-preshared-lancom.pol for Nokia Mobile VPN Client v3.0.
[POLICYVERSION]
1.1
[ISSUERNAME]
Do not edit
[CONTACTINFO]
Do not edit

-----[schnipp]-----

Inhalt der “VPN-policy-preshared-lancom.pkg”

-----[schnipp]-----

;
; A VPN POLICY PACKAGE
;
; LANGUAGES
&EN
; - None (English only by default)
; INSTALLATION HEADER
; - Only one component name is needed to support English only
; - UID is the UID of the VPN Policy Installer application
#{"VPN Policy"},(0x1000597E),1,0,0,TYPE = SISCONFIG


;Localised Vendor name
%{"Vor- und Nachname, Firmenname"}

;Unique Vendor name
:" Vor- und Nachname, Firmenname "

;Supports Series 60 v 3.0
[0x101F7961], 0, 0, 0, {"Series60ProductID"}

; LIST OF FILES
; Policy file
"c:\Nokia\VPN-policy-preshared-lancom.pol"-
"C:\System\Data\Security\Install\VPN-policy-preshared-lancom.pol"
; Policy-information file
; - NOTE: The policy-information file MUST be the last file in this list!
; - FM (FILEMIME) passes the file to the respective MIME handler
; (in this case, the VPN Policy Installer ; application).
"c:\Nokia\VPN-policy-preshared-lancom.pin"-
"C:\System\Data\Security\Install\VPN-policy-preshared-lancom.pin", FM,
"application/x-ipsec-policy-info"

; REQUIRED FILES
; - The VPN Policy Installer application
(0x1000597E), 1, 0, 0, {"VPN Policy Installer"}

-----[schnipp]-----

Inhalt der “VPN-policy-preshared-lancom.pol” x.x.x.x ist die öffentliche IP des Lancoms
-----[schnipp]-----

SECURITY_FILE_VERSION: 3
[INFO]
VPN-policy-preshared-lancom.pol for Nokia Mobile VPN Client v3.0.
[POLICY]
sa ipsec_1 = {
esp
encrypt_alg 3
auth_alg 2
identity_remote 0.0.0.0/0
pfs
src_specific
hard_lifetime_bytes 0
hard_lifetime_addtime 60
hard_lifetime_usetime 60
soft_lifetime_bytes 0
soft_lifetime_addtime 60
soft_lifetime_usetime 60
}
remote 0.0.0.0 0.0.0.0 = { ipsec_1(x.x.x.x) }
inbound = { }
outbound = { }
[IKE]
ADDR: x.x.x.x 255.255.255.255
MODE: Aggressive
SEND_NOTIFICATION: TRUE
ID_TYPE: 2
FQDN: nokia
GROUP_DESCRIPTION_II: MODP_1024
USE_COMMIT: FALSE
IPSEC_EXPIRE: FALSE
SEND_CERT: FALSE
INITIAL_CONTACT: FALSE
RESPONDER_LIFETIME: TRUE
REPLAY_STATUS: TRUE
USE_INTERNAL_ADDR: FALSE
USE_NAT_PROBE: FALSE
ESP_UDP_PORT: 0
NAT_KEEPALIVE: 60
USE_XAUTH: FALSE
USE_MODE_CFG: TRUE
REKEYING_THRESHOLD: 90
PROPOSALS: 1
ENC_ALG: 3DES-CBC
AUTH_METHOD: PRE-SHARED
HASH_ALG: MD5
GROUP_DESCRIPTION: MODP_1024
GROUP_TYPE: DEFAULT
LIFETIME_KBYTES: 0
LIFETIME_SECONDS: 28800
PRF: NONE
PRESHARED_KEYS:
FORMAT: STRING_FORMAT
KEY: 8 Sdff2367

-----[schnipp]-----

Jetzt sind 3 Dateien vorhanden.

Diese Dateien müssen jetzt zu eine Installationsdatei (*.sis) für das Nokia Handy zusammengefasst werden.

Dafür wird das Programm „makesis.exe“ verwendet. Das ist hier zu finden http://www.forum.nokia.com/ oder googeln.

Mit "makesis.exe" wird aus den 2 Dateien „VPN-policy-preshared-lancom.pin“ und „VPN-policy-preshared-lancom.pol“ die „VPN-policy-preshared-lancom.sis“. Die VPN-policy-preshared-lancom.pkg enthält lediglich die Installationspfade der *.pol und der *.pin auf dem Handy.

Also Dosbox öffnen und folgendes eingeben:

C:\nokia\makesis.exe c:\nokia\VPN-policy-preshared-lancom.pkg

Nun sollte eine VPN-policy-preshared-lancom.sis erzeugt werden.

Diese kann leider noch nicht sofort installiert werden. Die Datei VPN-policy-preshared-lancom.sis muss jetzt noch signiert werden. Am einfachsten geht es auf der Internetseite von Symbian.

Das wird auf folgender Seite durchgeführt: https://www.symbiansigned.com
- dort auf „Open Signed Online” klicken.
- bei „Application information“ die IMEI Nummer des Handys eintragen
diese kann mit *#06# aus dem Handy abgefragt werden
- Email ist klar
- bei „Application“ den Pfad zur VPN-policy-preshared-lancom.sis auf dem PC
eingeben
- bei „Capability information“ select all auswählen
- security code eingeben
- Häkchen bei Accept legal agreement
- und send.

Jetzt kommen zwei Mails. Mit der ersten bestätigt ihr die Anforderung und mit der zweiten Mail wird die signierte VPN-policy-preshared-lancom.sis runtergeladen.

Diese VPN-policy-preshared-lancom.sis wird nun über die PC-Suite auf das Handy installiert.

Auf dem Handy in System / Einstellungen / Verbindung / VPN / VPN-Verwaltung / VPN-Richtlinien ist jetzt die installierte Policy zu sehen.
In VPN Zugangspunkte einen neuen Zugangspunkt erstellen. Diesen Zugangspunkt im Profil des Mail for Exchange als Zugriffspunkt einrichten.

Konfiguration des Lancoms 1711 VPN
Ganz normal mit dem Lanconfig Setup Assistenten einen neuen Einwahl-Zugang Lancom Advanced VPN ohne „1 Klick“ bereitstellen.

Folgende Einstellung sollten danach kontrolliert werden:

Menüpunkt VPN:

Allgemeine Verbindungs-Parameter

[img]Bild[/img]


In der Verbindungsliste für die Nokia Verbindung:


[img]Bild[/img]


Wichtig ist hier zu erwähnen, das in den Default IKE-Proposal-Liste: IKE_PRESH_KEY und Default IPSec-Proposal-Liste: ESP_TN das Proposal 3DES_CBC enthalten ist. Bei mir war das nicht der Fall und ich habe es erst in den Listen hinzufügen müssen.


[img]Bild[/img]


In den IKE-Schlüssel und Identitäten muss folgendes eingestellt sein:


[img]Bild[/img]


Das war es. Wenn alles richtig eingestellt ist, sollte die Einwahl mit dem Nokia funktionieren. Über Telnet auf dem Lancom und Trace + vpn kann dann schön beobachtet werden was genau passiert.

[bg82sdl]

Hallo Leute...
ich habe versucht, die VPN-Verbindung gemäß der Anleitung einzurichten.
Jedoch kommt bei mir immer folgender Fehler:

[VPN-Status] 2009/04/12 15:36:07,480
IKE info: Phase-2 proposal failed: remote No 1, esp encap mode UDP_ENCAP_TUNNEL_DRAFT <-> local No 1, esp encap mode TUNNEL
IKE info: Phase-2 remote proposal 1 failed for peer CLIENT_HANDY
IKE log: 153607.000000 Default message_negotiate_sa: no compatible proposal found
IKE log: 153607.000000 Default dropped message from 82.113.106.122 port 1161 due to notification type NO_PROPOSAL_CHOSEN
IKE info: dropped message from peer CLIENT_HANDY 82.113.106.122 port 1161 due to notification type NO_PROPOSAL_CHOSEN


Wie lässt sich der Konflikt esp encap mode UDP_ENCAP_TUNNEL_DRAFT <-> local No 1, esp encap mode TUNNEL lösen ?

Hat jemand eine Idee ?[/b]

[gordon2001]

Hallo Leute...
ich habe versucht, die VPN-Verbindung gemäß der Anleitung einzurichten.
Jedoch kommt bei mir immer folgender Fehler:

[VPN-Status] 2009/04/12 15:36:07,480
IKE info: Phase-2 proposal failed: remote No 1, esp encap mode UDP_ENCAP_TUNNEL_DRAFT <-> local No 1, esp encap mode TUNNEL
IKE info: Phase-2 remote proposal 1 failed for peer CLIENT_HANDY
IKE log: 153607.000000 Default message_negotiate_sa: no compatible proposal found
IKE log: 153607.000000 Default dropped message from 82.113.106.122 port 1161 due to notification type NO_PROPOSAL_CHOSEN
IKE info: dropped message from peer CLIENT_HANDY 82.113.106.122 port 1161 due to notification type NO_PROPOSAL_CHOSEN


Wie lässt sich der Konflikt esp encap mode UDP_ENCAP_TUNNEL_DRAFT <-> local No 1, esp encap mode TUNNEL lösen ?

Hat jemand eine Idee ?[/b]

http://www.lancom-forum.de/ptopic,48481.html#48481

[abc987]

Macht noch jemand was damit? Dann habe ich hier ein Tool gefunden:

http://europe.nokia.com/get-support-and ... d-download

Dort das Nokia Mobile VPN Client Tool runterladen.

Damit lassen sich Richtlinien (mit Endung .vpn) erzeugen und die Bastelei mit den .pkg, .pin und .pol Dateien und makesis usw. sparen.
Die .vpn dann aufs Phone verschieben und installieren.
(getestet mit E66, bisher aber nur die Installation, Test mit richtigen Parametern erfolgt demnächst)