Suche Erklärungen für Fehler-Codes

weiberheld · Beitrag von **weiberheld** » 07 Sep 2005, 12:28

Versuche seit gestern mit einem neuen DSL/I-1611 Office eine VPN-Verbindung mit Zertifikat zu installieren.

Normalerweise setzt die Firma, zu der verbunden werden soll, Router von Bintec und. FreeS/WAN ein.

Daher habe ich die folgende Konfiguration gewählt:
- IKE-Proposal = RSA-3DES-MD5 und RSA-3DES-SHA
- IPSec-Proposal = TN-3DES-MD5-96 und TN-3DES-SHA-96
- Keine Überprüfung der Gegenstelle durchführen
- IKE-Exchange = Main Mode
- IKE-CFG = Aus
- Default IKE-Gruppe = 2 (MODP-1024)
- kein PFS
- Benutzername + Passwort im PPP-Menü sind leer gelassen

Unter ASN.1 sind alle Angaben in der Reihenfolge CN=..., O=..., C=...

Folgendes Ergebnis kommt dann:

Code: Alles auswählen

#
| LANCOM DSL/I-1611 Office
| Ver. 5.02.0020 / 27.07.2005
| SN.  xxxxxxxxxxxx
| Copyright (c) LANCOM Systems

Connection No.: 002 (LAN)

Password:

root@:/
> trace + vpn-stat
VPN-Status      ON

root@:/
>
[VPN-Status] 2005/09/07 11:22:39,460
VPN: connection for GEGENSTELLE (xxx.xxx.xxx.56) timed out: no response

[VPN-Status] 2005/09/07 11:22:39,460
VPN: Error: IFC-I-Connection-timeout-IKE-IPSEC (0x1106) for GEGENSTELLE (193.158.110.56)

[VPN-Status] 2005/09/07 11:22:39,460
VPN: disconnecting GEGENSTELLE (xxx.xxx.xxx.56)

[VPN-Status] 2005/09/07 11:22:39,520
VPN: GEGENSTELLE (xxx.xxx.xxx.56) disconnected

[VPN-Status] 2005/09/07 11:22:39,580
VPN: selecting next remote gateway using strategy eLastUsed for GEGENSTELLE
     => no remote gateway selected

[VPN-Status] 2005/09/07 11:22:39,580
VPN: selecting first remote gateway using strategy eLastUsed for GEGENSTELLE
     => CurrIdx=0, IpStr=>xxx.xxx.xxx.53<, IpAddr=xxx.xxx.xxx.53, IpTtl=0s

[VPN-Status] 2005/09/07 11:22:39,580
VPN: installing ruleset for GEGENSTELLE (xxx.xxx.xxx.53)

[VPN-Status] 2005/09/07 11:22:39,600
VPN: rulesets installed

[VPN-Status] 2005/09/07 11:22:40,840
VPN: connecting to GEGENSTELLE (xxx.xxx.xxx.53)

[VPN-Status] 2005/09/07 11:22:40,840
VPN: installing ruleset for GEGENSTELLE (xxx.xxx.xxx.53)

[VPN-Status] 2005/09/07 11:22:40,900
VPN: ruleset installed for GEGENSTELLE (xxx.xxx.xxx.53)

[VPN-Status] 2005/09/07 11:22:40,900
VPN: start IKE negotiation for GEGENSTELLE (xxx.xxx.xxx.53)

[VPN-Status] 2005/09/07 11:22:40,960
VPN: rulesets installed

[VPN-Status] 2005/09/07 11:23:10,960
VPN: connection for GEGENSTELLE (xxx.xxx.xxx.53) timed out: no response

[VPN-Status] 2005/09/07 11:23:10,960
VPN: Error: IFC-I-Connection-timeout-IKE-IPSEC (0x1106) for GEGENSTELLE (193.158.110.53)

[VPN-Status] 2005/09/07 11:23:10,960
VPN: disconnecting GEGENSTELLE (xxx.xxx.xxx.53)

[VPN-Status] 2005/09/07 11:23:11,020
VPN: GEGENSTELLE (xxx.xxx.xxx.53) disconnected

[VPN-Status] 2005/09/07 11:23:11,080
VPN: selecting next remote gateway using strategy eLastUsed for GEGENSTELLE
     => CurrIdx=1, IpStr=>xxx.xxx.xxx.56<, IpAddr=xxx.xxx.xxx.56, IpTtl=0s

[VPN-Status] 2005/09/07 11:23:11,080
VPN: installing ruleset for GEGENSTELLE (xxx.xxx.xxx.56)

[VPN-Status] 2005/09/07 11:23:11,100
VPN: rulesets installed

[VPN-Status] 2005/09/07 11:23:12,340
VPN: connecting to GEGENSTELLE (xxx.xxx.xxx.56)

[VPN-Status] 2005/09/07 11:23:12,340
VPN: installing ruleset for GEGENSTELLE (xxx.xxx.xxx.56)

[VPN-Status] 2005/09/07 11:23:12,400
VPN: ruleset installed for GEGENSTELLE (xxx.xxx.xxx.56)

[VPN-Status] 2005/09/07 11:23:12,400
VPN: start IKE negotiation for GEGENSTELLE (xxx.xxx.xxx.56)

[VPN-Status] 2005/09/07 11:23:12,460
VPN: rulesets installed

[VPN-Status] 2005/09/07 11:23:12,470
IKE info: Phase-1 negotiation started for peer GEGENSTELLE rule isakmp-peer-GEGENSTELLE using MAIN mode

[VPN-Status] 2005/09/07 11:23:12,540
IKE log: 112312 Default exchange_run: [case -1] exchange_validate2 failed

[VPN-Status] 2005/09/07 11:23:12,540
IKE log: 112312 Default dropped message from xxx.xxx.xxx.56 port 500 due to notification type PAYLOAD_MALFORMED

[VPN-Status] 2005/09/07 11:23:12,540
IKE info: dropped message from peer unknown xxx.xxx.xxx.56 port 500 due to notification type PAYLOAD_MALFORMED

[VPN-Status] 2005/09/07 11:23:12,550
VPN: Error: IKE-I-General-failure (0x21ff) for GEGENSTELLE (xxx.xxx.xxx.56)

[VPN-Status] 2005/09/07 11:23:42,460
VPN: connection for GEGENSTELLE (xxx.xxx.xxx.56) timed out: no response

[VPN-Status] 2005/09/07 11:23:42,460
VPN: Error: IFC-I-Connection-timeout-IKE-IPSEC (0x1106) for GEGENSTELLE (193.158.110.56)

[VPN-Status] 2005/09/07 11:23:42,460
VPN: disconnecting GEGENSTELLE (xxx.xxx.xxx.56)

[VPN-Status] 2005/09/07 11:23:42,520
VPN: GEGENSTELLE (xxx.xxx.xxx.56) disconnected

[VPN-Status] 2005/09/07 11:23:42,580
VPN: selecting next remote gateway using strategy eLastUsed for GEGENSTELLE
     => no remote gateway selected

[VPN-Status] 2005/09/07 11:23:42,580
VPN: selecting first remote gateway using strategy eLastUsed for GEGENSTELLE
     => CurrIdx=0, IpStr=>xxx.xxx.xxx.53<, IpAddr=xxx.xxx.xxx.53, IpTtl=0s

[VPN-Status] 2005/09/07 11:23:42,580
VPN: installing ruleset for GEGENSTELLE (xxx.xxx.xxx.53)

[VPN-Status] 2005/09/07 11:23:42,600
VPN: rulesets installed

[VPN-Status] 2005/09/07 11:23:43,840
VPN: connecting to GEGENSTELLE (xxx.xxx.xxx.53)

[VPN-Status] 2005/09/07 11:23:43,840
VPN: installing ruleset for GEGENSTELLE (xxx.xxx.xxx.53)

[VPN-Status] 2005/09/07 11:23:43,900
VPN: ruleset installed for GEGENSTELLE (xxx.xxx.xxx.53)

[VPN-Status] 2005/09/07 11:23:43,900
VPN: start IKE negotiation for GEGENSTELLE (xxx.xxx.xxx.53)

[VPN-Status] 2005/09/07 11:23:43,960
VPN: rulesets installed

Die Jungs von der Gegenstelle behaupten "unser System läuft einbanfrei."

Wer hat da noch einen Tip???

PS: Die Gegenstelle hat eine offizielle IP-Adresse und der IP-Bereich ist auch ein offizieller mit Maske xxx.xxx.xxx/26!

backslash · Beitrag von **backslash** » 07 Sep 2005, 14:44

Hi weiberheld,

die Timeouts sind erstmal nebensächlich, die kommen vermutlich daher, daß die Gegeseite aufgrund des wirklichen Fehlers keine weiteren verbindugen annimmt, bis sie selbst in einen Timeout gerannt ist.

DFer wirkliche Fehler ist ja der hier:

IKE info: Phase-1 negotiation started for peer GEGENSTELLE rule isakmp-peer-GEGENSTELLE using MAIN mode

[VPN-Status] 2005/09/07 11:23:12,540
IKE log: 112312 Default exchange_run: [case -1] exchange_validate2 failed

[VPN-Status] 2005/09/07 11:23:12,540
IKE log: 112312 Default dropped message from xxx.xxx.xxx.56 port 500 due to notification type PAYLOAD_MALFORMED

und besagt ja schon was los ist. Das LANCOM hat ein IKE-Paket der Gegenseite empfangen, die Daten in diesem Paket sind aber nicht wie erwartet. Das deutet eigentlich auf ein fehlerhaftes Zertifikat hin, denn dieser Fehler tritt nur auf, wenn beide Seiten unterschiedliche Schlüssel verwenden.

Gruß
Backlsash

weiberheld · Beitrag von **weiberheld** » 07 Sep 2005, 16:50

backslash hat geschrieben:und besagt ja schon was los ist. Das LANCOM hat ein IKE-Paket der Gegenseite empfangen, die Daten in diesem Paket sind aber nicht wie erwartet. Das deutet eigentlich auf ein fehlerhaftes Zertifikat hin, denn dieser Fehler tritt nur auf, wenn beide Seiten unterschiedliche Schlüssel verwenden.

Danke! Wo findet man denn diese Fehlerbeschreibung zu den einzelnen Fehlercodes?

Hab jetzt sowieso nen kleines Problem, da ich insgesamt drei Dateien von der Gegensteller erhalten habe:

- ***.p12 mit Passwort
- ***_cert.pem = BEGIN CERTIFICATE
- ***_prv_key.pem = BEGIN RSA PRIVATE KEY und Proc-Type: 4,ENCRYPTED DEK-Info: DES-EDE3-CBC

Eingespielt habe ich allerdings nur das ***.p12 Zertifikat.

eddia · Beitrag von **eddia** » 07 Sep 2005, 19:33

Hallo weiberheld,

Eingespielt habe ich allerdings nur das ***.p12 Zertifikat.

Dann sieh mal nach, ob unter Status->Dateisystem->Inhalt ingesamt 4 Einträge für die pkcs12 Datei, sowie die daraus extrahierten rootcert, devcert und devprivkey erzeugt wurden.

Per show vpn ca und show vpn cert kannst Du Dir in der Konsole direkt die Zertifikate ansehen.

Gruß

Mario

weiberheld · Beitrag von **weiberheld** » 07 Sep 2005, 19:45

eddia hat geschrieben:Dann sieh mal nach, ob unter Status->Dateisystem->Inhalt ingesamt 4 Einträge für die pkcs12 Datei, sowie die daraus extrahierten rootcert, devcert und devprivkey erzeugt wurden.

Alles vorhanden:
- vpn_rootcert 944
- vpn_devcert 944
- vpn_devprivkey 887
- vpn_pkcs12 1677

eddia hat geschrieben:Per show vpn ca und show vpn cert kannst Du Dir in der Konsole direkt die Zertifikate ansehen.

Da zeigt er mir auch alles einwandfrei an. Damit dürfte das Zertifikat eigentlich in Ordnung sein, da es ja auch per Passwort geschützt ist.

Mein Problem ist halt, dass ich keinen Zugriff auf die Gegenseite habe und damit auch dort keine Fehlerprotokolle einsehen kann. Da die Gegenseite eigentlich einen kompletten vorkonfigurierten Router verkaufen wollten, was meinem Chef zu teuer war, hält sich das Engagement der Gegenseite auch sehr in Grenzen mir bei der Fehlerfindung zu helfen

eddia · Beitrag von **eddia** » 07 Sep 2005, 20:06

Hallo weiberheld,

Damit dürfte das Zertifikat eigentlich in Ordnung sein, da es ja auch per Passwort geschützt ist.

Die Zertifikate an sich schon - ob es aber auch die richtigen sind, weiß man noch nicht. Dein Gerätezertifikat muss zum bei der Gegenstelle installierten Root-CA Zertifikat passen - umgekehrt genauso.

Es könnte auch sein, dass die p12 Datei über eine untergeordnete Zertifizierungsstelle erzeugt wurde und nicht die gesamte Zertifikatskette in die Datei exportiert wurde.

Merkwürdig ist auch, dass Dir neben der p12 Datei alternativ nur zwei Einzeldateien mitgegeben wurden. Da fehlt für das einzelne Einspielen in den Lancom zumindest das Zertifikat der Root-CA.

Da die Gegenseite eigentlich einen kompletten vorkonfigurierten Router verkaufen wollten, was meinem Chef zu teuer war, hält sich das Engagement der Gegenseite auch sehr in Grenzen mir bei der Fehlerfindung zu helfen

Tja - das wird dann für Dich sehr schwierig. Solche Verbindungen kann man nur bei vorhandener Kooperationsbereitschaft auf beiden Seiten aufbauen.

Gruß

Mario

weiberheld · Beitrag von **weiberheld** » 07 Sep 2005, 23:15

eddia hat geschrieben:Die Zertifikate an sich schon - ob es aber auch die richtigen sind, weiß man noch nicht. Dein Gerätezertifikat muss zum bei der Gegenstelle installierten Root-CA Zertifikat passen - umgekehrt genauso.

Es könnte auch sein, dass die p12 Datei über eine untergeordnete Zertifizierungsstelle erzeugt wurde und nicht die gesamte Zertifikatskette in die Datei exportiert wurde.

Merkwürdig ist auch, dass Dir neben der p12 Datei alternativ nur zwei Einzeldateien mitgegeben wurden. Da fehlt für das einzelne Einspielen in den Lancom zumindest das Zertifikat der Root-CA.

Treffer!!!

Habe die p12 Datei mal mit dem Converter vom TheGreenBow zerlegt und was ist???

Die Datei mit dem RootCA ist leer!!!

eddia · Beitrag von **eddia** » 08 Sep 2005, 18:40

Hallo weiberheld,

Habe die p12 Datei mal mit dem Converter vom TheGreenBow zerlegt und was ist???

Die Datei mit dem RootCA ist leer!!!

So in in etwa hab ich mir das vorgestellt. Schon die von Dir angegebene identische Dateigröße für Root-CA und Gerätezertifikat im Lancom sah merkwürdig aus. Wäre schon ein großer Zufall, dass beide Zertifikate die gleiche Größe haben.

Fragt sich nur, warum im Lancom trotz nicht in der p12 Datei vorhandenem Zertifikat für die Root-CA trotzdem ein Eintrag erzeugt wird. Scheint fast so, als würde dann der Lancom einfach das Gerätezertifikat dort noch mal eintragen - nach der Devise: besser irgendwas als gar nichts.

Gruß

Mario