VPN Einwahl nicht möglich

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
Biberacher
Beiträge: 6
Registriert: 17 Okt 2019, 08:31

VPN Einwahl nicht möglich

Beitrag von Biberacher »

Hallo zusammen,
ich habe einen 1783VAW mit der Firmware 10.30 am laufen und folgendes Problem.

Das Gerät ist quasi neu aufgesetzt und hängt per ETH 1 an einer Fritzbox als Exposed Host. DynDNS ist eingerichtet und wenn ich per Lancom Advanced VPN Client einen VPN Account erstelle, dann komme ich so ohne Probleme per VPN in das Netz.

Nun habe ich aber noch ein Gerät bei dem ich nun nicht nochmal eine Lizenz erwerben möchte und hier sollte der Shrewsoft Client das ganze lösen.

Anleitungen gibt es wie Sand am Meer, aber bisher habe ich leider keine für mich funktionierende gefunden.

Hat mir jemand ein Tip wie sich das kurzfristig zum laufen bringen lässt?

Grüße
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: VPN Einwahl nicht möglich

Beitrag von Jirka »

Hallo,

der Shrewsoft-Client kann nur IKEv1, das ist vermutlich das Problem, wenn bei Dir bisher keine der Anleitungen funktioniert hat. Du musst also ein IKEv1-Profil am LANCOM einrichten.

Viele Grüße,
Jirka
Biberacher
Beiträge: 6
Registriert: 17 Okt 2019, 08:31

Re: VPN Einwahl nicht möglich

Beitrag von Biberacher »

Hi und danke für deine Antwort,
das hatte ich bereits erledigt mit dem Setup Assistenten.

Einwahl-Zugang bereitstellen
IKEv1
VPN-Client mit benutzerdefinierten Parametern
usw.

Hier wird doch dieses Profil erstellt oder ist es an einer anderen Stelle noch von nöten?
C/5
Beiträge: 90
Registriert: 18 Jul 2019, 10:55

Re: VPN Einwahl nicht möglich

Beitrag von C/5 »

Hallo,

kannst Du vielleicht mehr Details von den gesetzten Parametern lancom- und clientseitig liefern? Außerdem geht es nicht mit den Standardvorgaben des Assistenten (meiner Erfahrung nach und Du schreibst ja auch, dass Du die individuell gesetzt hast - entsprechend den gefundenen Anleitungen). Da müsste man mal schauen, ob und wo ggf. ein Detail durchgerutscht ist.

Ich würde es mir an Deiner Stelle aber trotzdem gut überlegen. IKEv1 ist in Verbindung mit den mir bekannten funktionierenden Parametern für ShrewSoft wirklich nicht mehr die erste Wahl und auf die Dauer hast Du immer deutlich mehr Konfigurations- und Debugging-Aufwand, als mit dem AVC. Außerdem ist ShrewSoft inzwischen eigentlich auch nicht mehr kostenfrei und auch wenn es unter Windows 10 noch geht, hat sich schon seit 2013 an der Software nichts mehr getan. Alle halbe Jahr mit den Feature-Updates von Windows 10 kommt wieder das Risiko, dass ShrewSoft anschließend nicht mehr geht. Wollt ihr das fortwährend in Kauf nehmen?

Tatsächlich habe ich erst kürlich noch mal ShrewSoft-Clients an einen aktuellen Lancom mit IKEv1 angebunden. Mit entsprechenden Hinweisen an den Nutzer, möglichst bald zu AVC zu wechseln. Also, gehen tut es grundsätzlich. Sinnvoll? Naja.

C/5
Biberacher
Beiträge: 6
Registriert: 17 Okt 2019, 08:31

Re: VPN Einwahl nicht möglich

Beitrag von Biberacher »

Lancom Einstellungen

IKEv1
"VPN-Client mit benutzerdefinierten Parametern"
VPN_H
Preshared Key "TEST-123_456"
Standard-IKE-Proposal-Liste "IKE_PRESH_KEY"
Standard-IKE-Gruppe "2"
(Standard-IKE-Parameter verändern wurde nicht gesetzt)
Lokaler Identität-Typ: Fully Qualified Username
Lokale Identität: VPN-H
Entfernter Identität-Typ: Fully Qualified Username
Entfernte Identität: VPN-H
PFS Verfahren Haken entfernt
Verschlüsselungsverfahren
AES 256bit, AES 128bit
Authentifizierungsverfahren
HMAC-SHA1-96
kein AH
kein IPCOMP
Ip Adresse 192.168.0.191
Alle Ip Adressen für den VPN Client erlauben

Das sind die Einstellungen aus dem Assistenten.

Im Shrewsoft gebe ich folgendes ein:
Hostname: "Meine Adresse"
Authentication Method "Mutual PSK"
Local Identity
Identification Type "User Fully Qualified Domain Name"
UFQDN String "VPN-H"
Remote Identity
Identification Type "User Fully Qualified Domain Name"
UFQDN String "VPN-H"
Credentials
PreSharedKey "Test-123_456"

Phase 1 und 2 hatte ich schon alles mit Auto gelassen und ebenfalls die AES von oben eingetragen.

So müsste es doch eigentlich gehen... aber tut es leider nicht.
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: VPN Einwahl nicht möglich

Beitrag von Jirka »

Biberacher hat geschrieben: 17 Okt 2019, 16:33Lokaler Identität-Typ: Fully Qualified Username
!=
Biberacher hat geschrieben: 17 Okt 2019, 16:33Local Identity
Identification Type "User Fully Qualified Domain Name"
C/5
Beiträge: 90
Registriert: 18 Jul 2019, 10:55

Re: VPN Einwahl nicht möglich

Beitrag von C/5 »

"Fully Qualified Username" im Lancom passt aber zu "User Fully Qualified Domain Name" im ShrewSoft Client.
Das wäre aus meiner Sicht ok so.
Freilich ziemlich verquer benannt und eine von den Fummeligkeiten bei Nutzung des ShrewSoft Client.

Aber mit Deiner Entscheidung Phase 1 / 2 auf 'automatisch' hat es bei meinen Konfigurationen nicht funktioniert. Probiere stattdessen mal:

Code: Alles auswählen

Authentication: 
- Authentication Method = Mutal PSK;
- Local Identity:
-- Identification Type = User Fully Qualified Domain Name, UFQDN String in der Art <Benutzername@domain.tld>;
-- Remote Identity: Identification Type = User Fully Qualified Domain Name, UFQDN wieder identisch <Benutzername@domain.tld>;
-- Credentials: Pre Shared Key = <Passwort>;
UFQDN Beispiel: user01@test.local, es ist relativ egal, was hier genutzt wird, aber es muss allseits identisch genutzt werden. Bin mir aber nicht ganz sicher, ob zumindest das @ dann doch gefordert ist, weil es ein UFQDN sein soll. Jedenfalls habe ich das immer so gehalten und damit keine Probleme gehabt.

Code: Alles auswählen

Phase 1:
- Exchange Type = aggressive
- DH Exchange = group 2
- Cipher Algorithm = aes
- Cipher Key Length = 256
- Hash Algorithm = sha1;

Code: Alles auswählen

Phase 2:
- Transform Algorithm = esp-aes
- Transform Key Length = 256
- HMAC Algorithm = sha1
- PFS Exchange = group 14;
Im automatisch aushandeln ist der ShrewSoft Client anscheinend nicht so gut. Also die Optionen explizit festlegen. 'group 14' ist eine jüngere Option, die es in älteren Lancoms noch nicht gibt.

C/5

P.S.: Und den Klassiker nicht vergessen - Test einer VPN-Verbindung aus dem eigenen Netz ins eigene Netz funktioniert i.d.R. nicht. Da braucht es einen zweiten unabhängigen Internetzugang.
Biberacher
Beiträge: 6
Registriert: 17 Okt 2019, 08:31

Re: VPN Einwahl nicht möglich

Beitrag von Biberacher »

Hi und danke für eure Rückmeldungen,
also ich habe den Assistenten nochmal durchgeführt.

Erstmal alle VPN Verbindungen gelöscht und die neue wie folgt erstellt:

Lancom

Code: Alles auswählen

Name "Test"
Preshared Key "TESTTESTTEST"
Standard-IKE-Parameter verändern "Angehakt" (Damit alle Altlasten überschrieben werden)
Zukünftig wird diese vordefinierte IKE-Proposal-Liste gemeinsam benutzt
Standard-IKE-Proposal-Liste "IKE_PRESH_KEY"
Standard-IKE-Gruppe: "2 (MODP-1024)"
Lokaler Identität Typ "Fully Qualified Username"
Lokale Identität "test@test.de"
Entfernter Identität-Typ "Fully Qualified Username"
Entfernte Identität "test@test.de"
PFS Verfahren "Haken entfernt"
Verschlüsselungsverfahren "AES (256bit, 128bit)"
Authentifizierungsverfahren "HMAC-SHA1-96"
Authentifizierung "kein AH"
Kompression "kein IPCOMP"
IP Adresse "192.168.0.191"
Alle IP Adressen für den VPN-Client erlauben
Shrewsoft

Code: Alles auswählen

Hostname: "DynDNS Adresse"
Authentication Method "Mutual PSK"
Local Identity
Identification Type "User Fully Qualified Domain Name"
UFQDN String "test@test.de"
Remote Identity
Identification Type "User Fully Qualified Domain Name"
UFQDN String "test@test.de"
Credentials
PreSharedKey "TESTTESTTEST"

Phase1
Exchange Type "aggressive"
DH Exchange "group 2"
Cipher Algorithm "aes"
Cipher Key Length "256"
Hash Algorithm "sha1"

Phase2
Transform Algorithm "esp-aes"
Transform Key Length "256"
HMAC Algorithm "sha1"
PFS Exchange "group14"
Compress Algorithm "disabled"
Desweiteren ist mein jetztiges Netz im 192.168.98.xxx und das Zielnetz wie oben angegeben im 192.168.0.xxx
Das ich die Verbindung nicht von "intern" starten kann ist mir soweit klar, jedoch danke für jeden Ansatz.

Leider lässt sich die Verbindung auch mit den oberen Angaben nicht starten.
C/5
Beiträge: 90
Registriert: 18 Jul 2019, 10:55

Re: VPN Einwahl nicht möglich

Beitrag von C/5 »

Nur kurz, drei Punkte,
schau bitte mal nach, ob auf Deinem Lancom wirklich eine 'group 14' existiert, ggf. mit passender Gruppe variieren, und
welchen Fehler gibt Dir der Client, was zeigt der Lanmonitor an oder versuch mit einem VPN-trace Licht in den Ablauf des Verbindungsaufbau zu bringen und
wie hast Du den Remote Host im ShrewSoft Client eingetragen?
Biberacher
Beiträge: 6
Registriert: 17 Okt 2019, 08:31

Re: VPN Einwahl nicht möglich

Beitrag von Biberacher »

Hi C/5,
also der Remote Host ist folgendermaßen angegeben "meineadresse.spdns.de"

Die Fehlermeldung lautet "negotiation timout occured"

Hab gerade verzweifelt die Phase2 Einstellungen im Lanconfig gesucht, aber nichts gefunden, hast du einen Tip wo ich das finde?
C/5
Beiträge: 90
Registriert: 18 Jul 2019, 10:55

Re: VPN Einwahl nicht möglich

Beitrag von C/5 »

Hallo Biberacher,
adhoc mit einem 1821n nachgestellt, mit ShrewSoft 2.2.2 unter Windows 10 (1809) funktioniert es.
Allerdings habe ich zunächst im Lanmonitor auch erst wieder ein "kein passendes Proposel" kassiert.

Die WAN-Seite des 1821n hängt hier nicht am Internet, sondern in einem Transfernet. Sprich der Test-Client geht nicht via Internet, sondern direkt auf die WAN-IP des 1821n. Bei Dir muss es natürlich beim DynDNS-Namen bleiben.

Phase 1 und Phase 2 im ShrewSoft Client und die Einstellungen im Lancom dürften das Problemfeld sein.
Phase 1 wie Du es zuletzt dargestellt hast, Phase 2 wie von mir schon vermutet 'group 2' und nicht 'group 14'.

Lancom > VPN > IKE/IPSec > Verbindungs-Parameter
.. da findest Du u.a. die 'group' wieder. Hier 2 x '2 (MODP-1024)'. Warum nicht '14 (MODP-2048)'? Weiß ich gerade nicht. Evtl. hatte ich damit keinen Erfolg. Musst Du dann selber weiter austesten. '14' sollte schon auch gehen. Für mein Szenario hat sich '2' bewährt.

Bei den IKE-Proposal-Listen und -Proposals habe ich nichts geändert.

Unter IPSec-Proposal-Listen prüfen, ob da die von Dir eingerichtete Bezeichnung mit 'IPS-' vorne dran auftaucht und zu den Verbindungsparametern passt.

Jetzt kommt vermutlich der Clou. Unter IPSec-Proposals gibt es einen vom Wizzard generierten Eintrag 'WIZ-TN-AES256SHA'. Aber bei dem fand sich bei mir nach dem Setup-Assistenten nicht 256 bit für die ESP-Proposal Schlüssel-Länge, sondern 128 bit. Und dadurch kam es zur eingangs erwähnten Fehlermeldung, dass kein passendes Proposal gefunden wurde. Hier musste ich also manuell korrigieren.

C/5

Edit: Die 128 Bit sind da wahrscheinlich reingerutscht, weil ich einmal das Dropdown Verschlüsselung mit 'AES-CBC' auf- und wieder zugeklappt habe. Nun ja, es ist ein 1821n mit FW 8.82 (>> alt und gibt nix neueres mehr).
C/5
Beiträge: 90
Registriert: 18 Jul 2019, 10:55

Re: VPN Einwahl nicht möglich

Beitrag von C/5 »

P.S.: Aber der Verbindungsversuch kommt beim Lancom an? Falls nein, sitzt da noch eine Firewall dazwischen, die man ggf. für IPSec durchlässig konfigurieren müsste?
Biberacher
Beiträge: 6
Registriert: 17 Okt 2019, 08:31

Re: VPN Einwahl nicht möglich

Beitrag von Biberacher »

Hi C/5,
also so langsam scheint mir das wirklich Unmöglich.

Ich habe nun folgende Dinge getestet. Phase 2 Wert mit meinen Verbindungsparametern geprüft (14 sowie 2) jedoch kein Unterschied bzw. Login möglich. Bisher hatte ich sogar beim Assistenten diesen PFS raus gelassen, da nimmt er bei Phase 2 keine Group.

Eine Firewall dürfte eigentlich nicht greifen, denn der Router klemmt als Exposed Host an einer Fritz und wenn ich per Lancom Advanced VPN einen Login durch führe, dann baut sich diese ja auch auf.

Mir ist nur aufgefallen, dass wenn ich mich mit dem Lancom Advanced VPN Verbinde, dann habe ich im Syslog "User TEST successfully logged in"

Wenn ich aber über den Shrew die VErbindung aufbauen möchte, dann ist mir hier nur "User TEST logged out" hinterlegt.



Edit: Wenn ich mich per Lancom Advanced VPN einklinke, dann bekomm ich jede Menge Meldungen beim Trace, jedoch bei der selbst erstellten per Shrew rührt sich hier absolut gar nichts.
C/5
Beiträge: 90
Registriert: 18 Jul 2019, 10:55

Re: VPN Einwahl nicht möglich

Beitrag von C/5 »

Hallo Biberacher,

ich weiß im Moment auch nicht, was ich noch für Tipps geben könnte.

Ein paar Gedanken dennoch. Der AVC kennt im Gegensatz zum ShrewSoft den 'IPSec over HTTPS'-Modus. Der hilft, um NAT zu überwinden. AVC ok bedeutet somit nicht, ShrewSoft muss auch funktionieren.
Router (der Lancom nehme ich an?) als Exposed Host hinter Fritz!Box genügt eigentlich nicht als Ausschluss, ob noch eine Firewall dazwischenfunkt. Da ist auch noch die andere abgehende Seite, auf der IPSec durch deren FW muss.
Wenn bei ShrewSoft-Verbindungsaufbau im Trace nichts zu sehen ist, dann klingt das für mich eigentlich danach, dass der Client nicht zum Lancom durchkommt.

C/5
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: VPN Einwahl nicht möglich

Beitrag von GrandDixence »

Antworten