Shrew Soft VPN will nicht verbinden.

dburkel · Beitrag von **dburkel** » 08 Aug 2008, 11:06

Hallo Zusammen,

ich habe den Shrew Soft VPN Client anhand der Anleitung des FAQ Bereichs konfiguriet. Die Parameter, die zu unserer Lancom passen, habe ich soweit verändert. Ich ging da analog meiner Anleitung für IPSecuritas aus dem How-To Bereich http://www.lancom-forum.de/topic,6465,- ... ow-To.html vor.

Allerdings verbindet sich der Client nicht.
Folgende Meldung wird erstellt:

config loaded for site 'x.x.x.x'
configuring client settings ...
attached to key daemon ...
peer configured
iskamp proposal configured
esp proposal configured
client configured
local id configured
remote id configured
pre-shared key configured
bringing up tunnel ...
negotiation timout occurred
tunnel disabled
detached from key daemon ...

Ein Trace auf der Lancom ergibt folgich auch, dass der Client es gar nicht bis zur Lancom schafft.

Hat jmd. eine Idee?

Installiertes OS: Windows Vista Business mit SP 1.
Getestet mit einem wnw Stick III. NAT-T "enable". Port 4500.
-> T-Com verwendet private IP-Adressen.

Besten Dank vorab.

Grüße

froeschi62 · Beitrag von **froeschi62** » 08 Aug 2008, 11:45

Hi,

den Lancom erreicht er schon aber es gibt Probleme mit der Negotiation in Phase1 IKE. Überprüfe im ShrewSoft ob Deine Proposal Parameter in Phase 1 wirklich identisch mit den IKE Proposal Daten im Lancom sind. Ansonsten gibt es in der Faq Gruppe hier im Forum auch eine Anleitung für den ShrewSoft.
Wichtig ist es bei Nutzung von Vista, dass Du zwingend den aktuellen v2.1.1 ShrewSoft VPN Client einsetzt. Ebenfalls die Ports 500, 4500 in der Vista Firewall freischalten.

Gruß
Dietmar

dburkel · Beitrag von **dburkel** » 08 Aug 2008, 11:51

@froeschi62:
Habe alles so konfiguriert wie in meiner How-To Anleitung zur Konfig von IPSecuritas unter Mac OS X.

Lancom Trace und LanMonitor enthalten keine Einträge.

froeschi62 · Beitrag von **froeschi62** » 08 Aug 2008, 12:01

Hi,

das kann nicht sein. Wenn der Lancom nicht erreicht werden würde, käme ein "Gateway not responding" vom ShrewSoft zurück. Er kann aber bei Dir die SA's in Phase1 nicht aufbauen. Hier muss es entsprechende Traces geben.
Außerdem spreche ich vom "ShrewSoft HowTo". Wo liegt Dein Problem dort mal nachzuschauen?

Gruß
Dietmar

dburkel · Beitrag von **dburkel** » 08 Aug 2008, 12:06

ich habe den Shrew Soft VPN Client anhand der Anleitung des FAQ Bereichs konfiguriet.

Es gibt keine Probleme

Lies mal meine Posts.

dburkel · Beitrag von **dburkel** » 08 Aug 2008, 12:13

trace # vpn und trace # display vpn-s habe ich versucht. Gibt es noch andere Traces, die ich nutzen könnte?

Nach welchem markanten Einträge muss ich suchen?

So die offensichtlichen gaben mir keinen Hinweis, dass der Client die Lancom erreicht.

LanMonitor enhält auch keine Einträge.
Normalerweise sieht man ja dort auch etwas, z.B. falsche Proposol oder so.

froeschi62 · Beitrag von **froeschi62** » 08 Aug 2008, 12:53

Hallo,

Ich lese schon richtig denn das klingt hier aber anders...

dburkel hat geschrieben: Die Parameter, die zu unserer Lancom passen, habe ich soweit verändert. Ich ging da analog meiner Anleitung für IPSecuritas aus dem How-To Bereich http://www.lancom-forum.de/topic,6465,- ... ow-To.html vor.

Gruß
Dietmar

dburkel · Beitrag von **dburkel** » 08 Aug 2008, 13:02

Falls es dich beruhigt:
Ich ging im 1. Schritt nach der Anleitung hier im How-To.
Im 2. Schritt nach meinem How-To. Dieses beinhaltet die Parameter, die zum erfolgreichem Aufbau zur Firma verhelfen.

Fakt ist: Es geht nicht.

Welche Trace helfen mir nun weiter?

froeschi62 · Beitrag von **froeschi62** » 08 Aug 2008, 13:04

Hi,

ohne hier traces reinzustellen, sowohl vom Lancom als auch vom ShrewSoft VPN Client, kann man nur rätseln. Du aktivierst die Traces schon vor der VPN Einwahl (LC: trace + vpn-status), nur so bekommst Du einen kompletten Mitschnitt von Anfang an.

Gruß
Dietmar

dburkel · Beitrag von **dburkel** » 08 Aug 2008, 13:08

Okay, danke.

Habe diesen Trace noch mal laufen lassen.

Keine Einträge, die diesen Client betreffen.

froeschi62 · Beitrag von **froeschi62** » 08 Aug 2008, 13:28

Ok, letzer Versuch.

1. ShrewSoft auf v.2.1.1 überprüfen
2. UDP Ports 500, 4500 in Vista Firewall freischalten.
3. NAT-T im Lancom Router *und* ShrewSoft Client aktivieren
4. Phase1 Parameter im LC *und* ShrewSoft überprüfen
5. Nochmals tracen und beide Traces vom LC *und* ShrewSoft Client *hier* reinstellen.

Gruß
Dietmar

dburkel · Beitrag von **dburkel** » 08 Aug 2008, 13:34

froeschi62 hat geschrieben:Ok, letzer Versuch.

5. Nochmals tracen und beide Traces vom LC *und* ShrewSoft Client *hier* reinstellen.

Gruß
Dietmar

Trace von ShrewSoft Client? Wie erstellt man das?

froeschi62 · Beitrag von **froeschi62** » 08 Aug 2008, 13:39

Es gibt das "Trace Utility" im Unterordner vom ShrewSoft. Eine genaue Anleitung für das Trace findest Du hier:

http://www.shrew.net/support/wiki/BugReportVpnWindows

Gruß
Dietmar

dburkel · Beitrag von **dburkel** » 08 Aug 2008, 15:05

08/08/08 14:55:26 ## : IKE Daemon, ver 2.1.1
08/08/08 14:55:26 ## : Copyright 2008 Shrew Soft Inc.
08/08/08 14:55:26 ## : This product linked OpenSSL 0.9.8h 28 May 2008
08/08/08 14:55:26 ii : opened 'C:\Program Files\ShrewSoft\VPN Client\debug\iked.log'
08/08/08 14:55:26 ii : opened 'C:\Program Files\ShrewSoft\VPN Client/debug/dump-ike-decrypt.cap'
08/08/08 14:55:27 ii : rebuilding vnet device list ...
08/08/08 14:55:27 ii : device ROOT\VNET\0000 disabled
08/08/08 14:55:27 ii : network process thread begin ...
08/08/08 14:55:27 ii : pfkey process thread begin ...
08/08/08 14:55:27 ii : ipc server process thread begin ...
08/08/08 14:55:27 !! : unable to connect to pfkey interface
08/08/08 14:55:28 !! : unable to connect to pfkey interface
08/08/08 14:55:29 !! : unable to connect to pfkey interface
08/08/08 14:55:30 !! : unable to connect to pfkey interface
08/08/08 14:55:31 !! : unable to connect to pfkey interface
08/08/08 14:55:31 ii : ipc client process thread begin ...
08/08/08 14:55:31 <A : peer config add message
08/08/08 14:55:31 DB : peer added ( obj count = 1 )
08/08/08 14:55:31 ii : local address wan-adresse:500 selected for peer
08/08/08 14:55:31 DB : tunnel added ( obj count = 1 )
08/08/08 14:55:31 <A : proposal config message
08/08/08 14:55:31 <A : proposal config message
08/08/08 14:55:31 <A : client config message
08/08/08 14:55:31 <A : local id 'username' message
08/08/08 14:55:31 <A : remote id 'username' message
08/08/08 14:55:31 <A : preshared key message
08/08/08 14:55:31 <A : remote resource message
08/08/08 14:55:31 <A : remote resource message
08/08/08 14:55:31 <A : peer tunnel enable message
08/08/08 14:55:31 DB : new phase1 ( ISAKMP initiator )
08/08/08 14:55:31 DB : exchange type is aggressive
08/08/08 14:55:31 DB : wan-adresse:500 <-> gateway-adresse:500
08/08/08 14:55:31 DB : fc6cc94f220905a0:0000000000000000
08/08/08 14:55:31 DB : phase1 added ( obj count = 1 )
08/08/08 14:55:31 >> : security association payload
08/08/08 14:55:31 >> : - proposal #1 payload
08/08/08 14:55:31 >> : -- transform #1 payload
08/08/08 14:55:31 >> : key exchange payload
08/08/08 14:55:31 >> : nonce payload
08/08/08 14:55:31 >> : identification payload
08/08/08 14:55:31 >> : vendor id payload
08/08/08 14:55:31 ii : local supports nat-t ( draft v00 )
08/08/08 14:55:31 >> : vendor id payload
08/08/08 14:55:31 ii : local supports nat-t ( draft v01 )
08/08/08 14:55:31 >> : vendor id payload
08/08/08 14:55:31 ii : local supports nat-t ( draft v02 )
08/08/08 14:55:31 >> : vendor id payload
08/08/08 14:55:31 ii : local supports nat-t ( draft v03 )
08/08/08 14:55:31 >> : vendor id payload
08/08/08 14:55:31 ii : local supports nat-t ( rfc )
08/08/08 14:55:31 >> : vendor id payload
08/08/08 14:55:31 ii : local supports FRAGMENTATION
08/08/08 14:55:31 >> : vendor id payload
08/08/08 14:55:31 ii : local supports DPDv1
08/08/08 14:55:31 >> : vendor id payload
08/08/08 14:55:31 ii : local is SHREW SOFT compatible
08/08/08 14:55:31 >> : vendor id payload
08/08/08 14:55:31 ii : local is CISCO UNITY compatible
08/08/08 14:55:31 >> : vendor id payload
08/08/08 14:55:31 ii : local is NETSCREEN compatible
08/08/08 14:55:31 >> : vendor id payload
08/08/08 14:55:31 ii : local is SIDEWINDER compatible
08/08/08 14:55:31 >> : vendor id payload
08/08/08 14:55:31 ii : local is CHECKPOINT compatible
08/08/08 14:55:31 !! : get_fwd - invalid physical address length
08/08/08 14:55:31 !! : no arp entry for src : wan-adresse
08/08/08 14:55:31 =< : using ISAKMP SA fc6cc94f220905a0:0000000000000000
08/08/08 14:55:31 -> : send IKE packet wan-adresse:500 -> gateway-adresse:500 ( 558 bytes )
08/08/08 14:55:31 !! : get_fwd - invalid physical address length
08/08/08 14:55:31 !! : no arp entry for src : wan-adresse
08/08/08 14:55:31 DB : phase1 resend event scheduled ( ref count = 2 )
08/08/08 14:55:32 !! : unable to connect to pfkey interface
08/08/08 14:55:33 !! : unable to connect to pfkey interface
08/08/08 14:55:34 !! : unable to connect to pfkey interface
08/08/08 14:55:35 !! : unable to connect to pfkey interface
08/08/08 14:55:36 !! : unable to connect to pfkey interface
08/08/08 14:55:36 !! : get_fwd - invalid physical address length
08/08/08 14:55:36 !! : no arp entry for src : wan-adresse
08/08/08 14:55:36 ii : resend 1 packet(s) for phase1 exchange
08/08/08 14:55:37 !! : unable to connect to pfkey interface
08/08/08 14:55:38 !! : unable to connect to pfkey interface
08/08/08 14:55:39 !! : unable to connect to pfkey interface
08/08/08 14:55:40 !! : unable to connect to pfkey interface
08/08/08 14:55:41 !! : unable to connect to pfkey interface
08/08/08 14:55:41 !! : get_fwd - invalid physical address length
08/08/08 14:55:41 !! : no arp entry for src : wan-adresse
08/08/08 14:55:41 ii : resend 1 packet(s) for phase1 exchange
08/08/08 14:55:42 !! : unable to connect to pfkey interface
08/08/08 14:55:43 !! : unable to connect to pfkey interface
08/08/08 14:55:44 !! : unable to connect to pfkey interface
08/08/08 14:55:45 !! : unable to connect to pfkey interface
08/08/08 14:55:46 !! : unable to connect to pfkey interface
08/08/08 14:55:46 ii : resend limit exceeded for phase1 exchange
08/08/08 14:55:46 ii : phase1 removal before expire time
08/08/08 14:55:46 DB : phase1 deleted ( obj count = 0 )
08/08/08 14:55:46 DB : policy not found
08/08/08 14:55:46 DB : policy not found
08/08/08 14:55:46 DB : policy not found
08/08/08 14:55:46 DB : policy not found
08/08/08 14:55:46 DB : tunnel stats event canceled ( ref count = 1 )
08/08/08 14:55:46 DB : removing tunnel config references
08/08/08 14:55:46 DB : removing tunnel phase2 references
08/08/08 14:55:46 DB : removing tunnel phase1 references
08/08/08 14:55:46 DB : tunnel deleted ( obj count = 0 )
08/08/08 14:55:47 DB : removing all peer tunnel refrences
08/08/08 14:55:47 DB : peer deleted ( obj count = 0 )
08/08/08 14:55:47 ii : ipc client process thread exit ...
08/08/08 14:55:47 !! : unable to connect to pfkey interface
08/08/08 14:55:48 !! : unable to connect to pfkey interface
08/08/08 14:55:48 ii : halt signal received, shutting down
08/08/08 14:55:48 ii : ipc server process thread exit ...
08/08/08 14:55:48 ii : network process thread exit ...
08/08/08 14:55:49 ii : pfkey process thread exit ...

Ich habe hier das Trace vom VPN Client. Trace von der Lancom hat, wie eben schon erwähnt, keine Einträge. Deswegen poste ich es auch nicht.

Ich glaube, man sieht in diesem Trace, dass er schon lokal Probleme hat oder?

08/08/08 14:55:31 !! : get_fwd - invalid physical address length
08/08/08 14:55:31 !! : no arp entry for src : wan-adresse

froeschi62 · Beitrag von **froeschi62** » 08 Aug 2008, 16:08

Hi,

ich vermute ein Problem mit Deinem Preshared Key im aggressive Mode. Den solltest Du im LC und am ShrewSoft Client nochmals überprüfen. Eventuell sind die Keys unterschiedlich.

Gruß
Dietmar

LANCOM-Forum.de

Shrew Soft VPN will nicht verbinden.

Shrew Soft VPN will nicht verbinden.

Re: Shrew Soft VPN will nicht verbinden.