Hallo, ich habe eine Problem bei der Verbindung zwischen einen Lancom und einem Bintec Router.
Folgendes Szenario:
Ich möchte eine Verbindung von unserem Lancom 1721 zu einen Bintec Router (auf den ich keinen Zugriff habe) aufbauen.
Unserer Netzwerk hat die Adresse 192.168.0.0 und das Netzwerk bzw. der Rechner auf der Gegenseite hat die Adresse 192.168.1.101.
Momentan wird die Verbindung mittels des Bintec Ipsec Client hergestellt, was auch funktioniert.
Den Ipsec Client wollte ich nun durch den Lancom ersetzten, dabei kommt es aber zu einem Fehler (welcher auch hier http://www2.lancom.de/kb.nsf/a5ddf48173 ... sal,German beschrieben ist):
Auszug aus dem Trace:
[VPN-Status] 2007/02/17 01:22:49,860
IKE info: Phase-1 negotiation started for peer VPN_VERBINDUNG rule isakmp-peer-VPN_VERBINDUNG using AGGRESSIVE mode
[VPN-Packet] 2007/02/17 01:22:50,840
for send: 192.168.0.3->192.168.1.101 60 ICMP ECHOREQUEST
[VPN-Packet] 2007/02/17 01:22:50,840
no sa available: give up, should be retransmitted
[VPN-Status] 2007/02/17 01:22:51,380
IKE info: The remote server 84.140.xx.xxx:500 peer VPN_VERBINDUNG id <no_id> supports NAT-T in mode draft
IKE info: The remote server 84.140.xx.xxx:500 peer VPN_VERBINDUNG id <no_id> supports NAT-T in mode draft
IKE info: The remote server 84.140.xx.xxx:500 peer VPN_VERBINDUNG id <no_id> supports NAT-T in mode draft
IKE info: The remote server 84.140.xx.xxx:500 peer VPN_VERBINDUNG id <no_id> supports NAT-T in mode draft
[VPN-Status] 2007/02/17 01:22:51,380
IKE info: Phase-1 remote proposal 1 for peer VPN_VERBINDUNG matched with local proposal 1
[VPN-Status] 2007/02/17 01:22:51,540
IKE info: Phase-1 [inititiator] for peer VPN_VERBINDUNG between initiator id xxxxx@xxx.de, responder id xxxxxxxxxxxxx done
IKE info: SA ISAKMP for peer VPN_VERBINDUNG encryption 3des-cbc authentication md5
IKE info: life time ( 8000 sec/ 0 kb)
[VPN-Status] 2007/02/17 01:22:51,710
IKE info: NOTIFY received of type NO_PROPOSAL_CHOSEN for peer VPN_VERBINDUNG
[VPN-Status] 2007/02/17 01:22:51,710
VPN: Error: IPSEC-I-No-proposal-matched (0x3102) for VPN_VERBINDUNG (84.140.xx.xxx)
Verstehe ich es richtig das, dass Proposal für Ipsec falsch eingestellt ist? Denn falls das der Fall ist kann ich dies nicht nachvollziehen, da dies auf 3DES-MD5 eingestellt ist, so wie es auch im Ipsec Client der Fall ist.
Hat jemand eine Idee was ich falsch gemacht habe oder was ich mal testen könnte?
Probleme bei VPN-Verbindung Lancom 1721 - Bintec
Moderator: Lancom-Systems Moderatoren
Hallo CH,
Ist vielleicht einen Versuch wert.
Grüße
Ulf
ich bin nicht wirklich der Spezi, da ich selber gerade erst mit dem Thema angefangen habe. Aber der Auszug lässt mich vermuten, dass die Gegenstelle NAT-Traversal erwartet. Dieses ist mit LanConfig unter Konfiguration -> VPN -> Register Allgemein aktivierbar.[VPN-Status] 2007/02/17 01:22:51,380
IKE info: The remote server 84.140.xx.xxx:500 peer VPN_VERBINDUNG id <no_id> supports NAT-T in mode draft
Ist vielleicht einen Versuch wert.
Grüße
Ulf
.
Danke für den Hinweis, auf die Bintec würde ja gerne schauen, kann es aber leider nicht (Ich habe keinen Zugang).
Die Verschlüsselungsparameter müssten eigentlich stimmen, da ich die Einstellungen vom Ipsec Client übernommen habe und dort funktioniert das ganze.
Mal eine ganz blöde Frage, was sind die Netzbeziehungen?
Meine Idee war eigentlich das ich anhand der Konfiguration des Clients auch eine Verbindung mit dem Lancom aufbauen können sollte...
Die Einstellungen für das VPN (die ich auch übernommen habe):
Entferntes Netz: 192.168.1.101/255.255.255.255
IKE Richtlinie: PSK
Gruppe: 2
IKE Verschlüsselung: 3DES-MD5
Ipsec Verschlüsselung: 3DES-MD5
Exchange Mode: Aggressive
PFS Gruppe: 2
Lokale Identität: xxx@xxx.de
Die Einzige Einstellung die ich nicht übernommen habe bzw. konnte ist:
lokale IP-Adresse verwenden
Könnte es daran liegen das die Verbindung nicht zustande kommt?
Gruß
CH
Die Verschlüsselungsparameter müssten eigentlich stimmen, da ich die Einstellungen vom Ipsec Client übernommen habe und dort funktioniert das ganze.
Mal eine ganz blöde Frage, was sind die Netzbeziehungen?
Meine Idee war eigentlich das ich anhand der Konfiguration des Clients auch eine Verbindung mit dem Lancom aufbauen können sollte...
Die Einstellungen für das VPN (die ich auch übernommen habe):
Entferntes Netz: 192.168.1.101/255.255.255.255
IKE Richtlinie: PSK
Gruppe: 2
IKE Verschlüsselung: 3DES-MD5
Ipsec Verschlüsselung: 3DES-MD5
Exchange Mode: Aggressive
PFS Gruppe: 2
Lokale Identität: xxx@xxx.de
Die Einzige Einstellung die ich nicht übernommen habe bzw. konnte ist:
lokale IP-Adresse verwenden
Könnte es daran liegen das die Verbindung nicht zustande kommt?
Gruß
CH
Es scheint an den Netzbeziehungen zu liegen, jedenfalls wenn ich den Trace des Bintec richtig deute.
Auszug von einem Trace von Bintec (bei einer Verbindung mit dem Ipsec Client):
(Da ich die Traces per Fax bekommen habe, tippe ich nur jeweils den in meinen Augen wichtigen Teil ab)
Mon Feb 19 11:11:11 2007 IPSEC: P2: peer 30282 (USERXXX-282) traf 287 bundle 807 (R): created 192.168.1.101/32:0 < any > 192.168.0.10/32:0 rekeyed 0
und der Trace wenn die Verbindung vom Lancom aufgebaut wird:
Mon Feb 19 12:12:12 2007 IPSEC: P2: peer 30282 (USERXXX-282) traf 0 bundle 0 (?): no traffic list for ipv4(any:0,[0..3]=192.168.1.101)<-ipv4_subnet(any:0,[0..7]=192.168.0.0/24)
Nun ist mir aber nicht ganz klar wo ich die entsprechenden Einstellungen treffen kann und auch welche ich genau treffen muss, für Hilfe wäre ich sehr dankbar.
Gruß
CH
Auszug von einem Trace von Bintec (bei einer Verbindung mit dem Ipsec Client):
(Da ich die Traces per Fax bekommen habe, tippe ich nur jeweils den in meinen Augen wichtigen Teil ab)
Mon Feb 19 11:11:11 2007 IPSEC: P2: peer 30282 (USERXXX-282) traf 287 bundle 807 (R): created 192.168.1.101/32:0 < any > 192.168.0.10/32:0 rekeyed 0
und der Trace wenn die Verbindung vom Lancom aufgebaut wird:
Mon Feb 19 12:12:12 2007 IPSEC: P2: peer 30282 (USERXXX-282) traf 0 bundle 0 (?): no traffic list for ipv4(any:0,[0..3]=192.168.1.101)<-ipv4_subnet(any:0,[0..7]=192.168.0.0/24)
Nun ist mir aber nicht ganz klar wo ich die entsprechenden Einstellungen treffen kann und auch welche ich genau treffen muss, für Hilfe wäre ich sehr dankbar.
Gruß
CH
Hi CH,
so wie ich das sehe fordert der Client den Zugriff auf eine einzige Adresse (192.168.1.101) und hat selbst die Adresse 192.168.0.10
Das bedeutet, daß du im LANCOM zum einen eine Hostroute zur Adresse 192.168.1.101 einrichten mußt, was du wohl auch schon getan hast - zumindest deute ich das aus dem zweiten Trace. Gleichzeitig mußt du noch dafür sorgen, daß das LANCOM nur die eine Adresse (192.168.0.10) fordert, statt des ganzen 192.168.0.x-Netzes. Das machst du indem du diese Adresse (also die 192.168.0.10) als "Extranet-Adresse" einträgst (VPN -> Allgemein -> Verbindungsliste -> Gegenstelle -> Extranet-Adresse). Dann fordert das LANCOM nur diese eine Adresse und maskiert dein LAN dahhinter
Gruß
Backslash
so wie ich das sehe fordert der Client den Zugriff auf eine einzige Adresse (192.168.1.101) und hat selbst die Adresse 192.168.0.10
Das bedeutet, daß du im LANCOM zum einen eine Hostroute zur Adresse 192.168.1.101 einrichten mußt, was du wohl auch schon getan hast - zumindest deute ich das aus dem zweiten Trace. Gleichzeitig mußt du noch dafür sorgen, daß das LANCOM nur die eine Adresse (192.168.0.10) fordert, statt des ganzen 192.168.0.x-Netzes. Das machst du indem du diese Adresse (also die 192.168.0.10) als "Extranet-Adresse" einträgst (VPN -> Allgemein -> Verbindungsliste -> Gegenstelle -> Extranet-Adresse). Dann fordert das LANCOM nur diese eine Adresse und maskiert dein LAN dahhinter
Gruß
Backslash
Danke für die ausführliche Hilfestellung. Die Verbindung kommt aber immer noch nicht zustande (der Fehler ist der selbe geblieben).
Ich habe die Extranet Adresse eingetragen und die Regelerzeugung auf automatisch gelassen, was nicht funktionierte.
Aber auch wenn ich IN/OUT Regeln für 192.168.1.10 und 192.168.1.101 eintrage funktioniert es leider nicht.
Es scheint also noch etwas anderes mit den Netzbeziehungen nicht zu stimmen.
Hat jemand ev. eine Idee welche Einstellungen ich dort treffen könnte?
Ich werde nachher mal versuchen einen Trace und die Einstellungen bezüglich der Netzbeziehungen vom Bintec zu besorgen.
Gruß
CH
Ich habe die Extranet Adresse eingetragen und die Regelerzeugung auf automatisch gelassen, was nicht funktionierte.
Aber auch wenn ich IN/OUT Regeln für 192.168.1.10 und 192.168.1.101 eintrage funktioniert es leider nicht.
Es scheint also noch etwas anderes mit den Netzbeziehungen nicht zu stimmen.
Hat jemand ev. eine Idee welche Einstellungen ich dort treffen könnte?
Ich werde nachher mal versuchen einen Trace und die Einstellungen bezüglich der Netzbeziehungen vom Bintec zu besorgen.
Gruß
CH
Hi CH,
eigentlich sollte es so funktionieren. Was sagt ein "show vpn" auf dem LANCOM?
Normalerweise ist es nicht nötig... - aber was passiert, wenn du das LANCOM bootest?
Welche Fehlermeldung gibt der Bintec nun aus (es kann nicht die gleiche sein, da das LANCOM nun nur eine Adresse fordert und kein ganzes Netz)?
Gruß
Backslash
eigentlich sollte es so funktionieren. Was sagt ein "show vpn" auf dem LANCOM?
Normalerweise ist es nicht nötig... - aber was passiert, wenn du das LANCOM bootest?
Welche Fehlermeldung gibt der Bintec nun aus (es kann nicht die gleiche sein, da das LANCOM nun nur eine Adresse fordert und kein ganzes Netz)?
Gruß
Backslash
So, ich habe die Konfiguration des Bintec bekommen, der Traffic Entry sieht wie folgt aus:
Description: XXXX
Protocol: dont-vertify
Local: Type: host Ip: 192.168.1.101
Remote: Type: peer
Action: protect
Jetzt frage ich mich nur was "peer" genau bedeuten soll bzw. welche Einstellungen ich im Lancom treffen muss damit es "passt".
Außerdem habe ich noch die Konfig von der Phase 2 bekommen, dort weichen die Punkte Heartbeats: auto und Propagate PMTU: default mit Ihren Einstellungen von denen in der Lancom FAQ ab, ist dies ev. auch ein Problem.
Edit:
Unsere beiden Posts haben sich überschnitten.
Show vpn gibt folgendes aus:
Connection #1 192.168.0.10/255.255.255.255:0 <-> 192.168.1.101
/255.255.255.255:0 any
Name: XXXX
Unique Id: ipsec-0-XXXX-pr0-l0-r0
Flags: aggressive-mode
Local Network: IPV4_ADDR(any:0, 192.168.0.10/255.255.255.255)
Local Gateway: IPV4_ADDR(any:0, 84.140.xxx.xxx)
Remote Gateway: IPV4_ADDR(any:0, 84.140.xx.xxx)
Remote Network: IPV4_ADDR(any:0, 192.168.1.101/255.255.255.255)
Den Lancom möchte ich gerade nicht neustarten d.h. boot-log folgt später.
Ein Trace des Bintecs versuche ich zu besorgen und werde es dann posten.
Es müsste doch möglich sein beim Bintec 192.168.0.10 als Remote peer anzugeben oder? (Wobei man anhand des Logs davon ausgehen kann das dies ev. sogar schon so eingestellt ist)
Gruß
CH
Description: XXXX
Protocol: dont-vertify
Local: Type: host Ip: 192.168.1.101
Remote: Type: peer
Action: protect
Jetzt frage ich mich nur was "peer" genau bedeuten soll bzw. welche Einstellungen ich im Lancom treffen muss damit es "passt".
Außerdem habe ich noch die Konfig von der Phase 2 bekommen, dort weichen die Punkte Heartbeats: auto und Propagate PMTU: default mit Ihren Einstellungen von denen in der Lancom FAQ ab, ist dies ev. auch ein Problem.
Edit:
Unsere beiden Posts haben sich überschnitten.
Show vpn gibt folgendes aus:
Connection #1 192.168.0.10/255.255.255.255:0 <-> 192.168.1.101
/255.255.255.255:0 any
Name: XXXX
Unique Id: ipsec-0-XXXX-pr0-l0-r0
Flags: aggressive-mode
Local Network: IPV4_ADDR(any:0, 192.168.0.10/255.255.255.255)
Local Gateway: IPV4_ADDR(any:0, 84.140.xxx.xxx)
Remote Gateway: IPV4_ADDR(any:0, 84.140.xx.xxx)
Remote Network: IPV4_ADDR(any:0, 192.168.1.101/255.255.255.255)
Den Lancom möchte ich gerade nicht neustarten d.h. boot-log folgt später.
Ein Trace des Bintecs versuche ich zu besorgen und werde es dann posten.
Es müsste doch möglich sein beim Bintec 192.168.0.10 als Remote peer anzugeben oder? (Wobei man anhand des Logs davon ausgehen kann das dies ev. sogar schon so eingestellt ist)
Gruß
CH
Zuletzt geändert von CH am 21 Feb 2007, 02:24, insgesamt 1-mal geändert.
Sofern ich das richtig verstehe kann man sofern "peer" konfiguriert ist, dem Remotenetz eine ip zuweisen, was wohl die 192.168.0.10 zu sein scheint.
Damit deckt sich show vpn ja auch oder? nur eine Verbindung kommt trotzdem nicht zustande.
Ich werde morgen versuchen den Trace vom Bintec zu bekommen, heute hat es leider nicht mehr geklappt.
Beim booten passiert nichts ungewöhnliches, anbei mal das Bootlog:
02/20/2007 21:49:44 System boot after manual boot request
DEVICE: LANCOM 1721 VPN (Annex B)
HW-RELEASE: E
VERSION: 6.28.0052 / 21.12.2006 / 6.25/e74.02.32
Gruß
CH
Damit deckt sich show vpn ja auch oder? nur eine Verbindung kommt trotzdem nicht zustande.
Ich werde morgen versuchen den Trace vom Bintec zu bekommen, heute hat es leider nicht mehr geklappt.
Beim booten passiert nichts ungewöhnliches, anbei mal das Bootlog:
02/20/2007 21:49:44 System boot after manual boot request
DEVICE: LANCOM 1721 VPN (Annex B)
HW-RELEASE: E
VERSION: 6.28.0052 / 21.12.2006 / 6.25/e74.02.32
Gruß
CH
Hi CH
Der Admin des Bintec und des Servers sollte mal ein paar Hausaufgaben machen...
Gruß
Backslash
es ging mir nicht um den Bootlog, sondern darum, ob es vielleicht nötig wäre, das LANCOM zu booten um die Konfig korrekt zu übernehmen. Deshalb meinte ich ja auch: "Normalerweise ist es nicht nötig... "Beim booten passiert nichts ungewöhnliches, anbei mal das Bootlog:
wieso mußtest du die 192.168.2.254 angeben? Der Bintec hat doch die 192.168.0.10 erwartet.So eine Vpn Verbindung kommt jetzt zustande, nur habe ich keinen Zugriff auf die 192.168.1.101, was wohl daran liegt das ich als extranet adresse die ip 192.168.2.254 eingetragen habe (und dies auch musste).
Das muß im entfernetn Netz geschehen - der Server (also die 192.168.1.101) muß nun die Route zu deiner neuen Adresse (also der 192.168.2.254) kennen...Kann ich dem Lancom irgendwie vermitteln wie er an die 192.168.1.101 kommt? Oder ist das eine Einstellung die nur im entfernten Netz getroffen werden kann?
Der Admin des Bintec und des Servers sollte mal ein paar Hausaufgaben machen...
Gruß
Backslash
Unsere Posts haben sich schon wieder überschnitten, das routing funktionierte nachdem ich Nat-Traversal im Lancom aktiviert hatte.
Was der Bintec vorher genau erwartet hat, ist mir nicht ganz klar, ich habe die Config nie gesehen (die 192.169.0.10 war es wohl nicht), aber es ist nun auch egal, da es jetzt ja funktioniert.
Wie oben im editierten Post schon gesagt, danke für die kompetente Hilfe.
Gruß
CH
Was der Bintec vorher genau erwartet hat, ist mir nicht ganz klar, ich habe die Config nie gesehen (die 192.169.0.10 war es wohl nicht), aber es ist nun auch egal, da es jetzt ja funktioniert.
Wie oben im editierten Post schon gesagt, danke für die kompetente Hilfe.
Gruß
CH