VPN LANCOM 1781VA <> Linksys RV082/RV042

[masterofchaos]

Hallo Leute,

das ist mein Erstkontakt mit einem LANCOM Router und ich stelle mich vielleicht nur nen bissle doof an

ich habe hier folgende Konstellation

Standort 1:
- LANCOM 1781VA
- Feste öffentliche IP

Standort 2:
- Linksys/Cisco RV082
- Dynamische IP

Auf dem LANCOM habe ich per Wizard eine Site-to-Site Konfiguration erstellt und auf dem Linksys meiner Meinung nach die entsprechenden Einstellungen gemacht. Ich bekomme aber keinen Verbindungsaufbau hin.

Im Log vom Linksys habe ich nur folgende 3 Zeilen, wenn ich einen Verbindungsaufbau initiere:
Jan 30 19:21:56 2015 VPN Log [Tunnel Negotiation Info] >>> Initiator Send Aggressive Mode 1st packet
Jan 30 19:21:56 2015 VPN Log initiating Aggressive Mode #1670, connection "ips0"
Jan 30 19:21:56 2015 VPN Log STATE_AGGR_I1: initiate

Hat zufällig jemand eine ähnliche Umgebung am laufen und kann mir zumindest bestätigen, dass es generell möglich ist? Eine passende Beispielkonfig wäre natürlich supergenial

[Bernie137]

Hallo,

wenn Du mit dem Assistenten am Lancom eingerichtet hast, ist es m.M. VPN Main-Mode, welcher auch sicherer ist.

Der Linksys meldet sich aber mit Aggressiv Mode. Da solltest die Einstelllungen nochmal vergleichen. Ansonsten hilft uns hier nur ein VPN-Status Trace bzgl. des Lancom.

vg Bernie

[Dr.Einstein]

Zusätzlich fragt der Side-To-Side Assistent keine Local/Remote IDs ab, die aber für Aggressive Mode benötigt werden. Diese müssen im Lancom nachgetragen werden.

[masterofchaos]

Danke für die schnellen Antworten

Ich habe mal beim LANCOM auf den aggressiv mode umgestellt und die IDs bei beiden Routern eingetragen.

Der VPN Trace spuckt mir beim Verbindungsaufbau folgendes aus:

IKE info: Phase-1 negotiation failed: no configuration found for incoming peer <öffentliche IP vom Linksys>

[Dr.Einstein]

Auch wenn das nicht Sinn der Sache ist: Trag mal die aktuelle öffentliche IP in die VPN Verbindungsliste als Remote Gateway ein und mach den Trace erneut. Vielleicht siehst du so einen Fehler.

[masterofchaos]

Erstmal Danke für Eure Hilfe bisher Hat mich schon mal ein gutes Stück weiter gebracht.

Habe jetzt die IP vom Linksys als Remotegateway eingetragen und dann mal, den Fehlermeldungen hinterhergejagt und fleißig alle möglichen Einstellungen probiert. Bin aktuell wieder beim MainMode und nicht mehr beim AggressiveMode. Aber irgendwie bleib ich immer hier hängen:
(2.2.2.2 = öffentliche IP vom Linksys / 1.1.1.1 = öffentliche IP vom LANCOM)

IKE info: The remote server 2.2.2.2:500 (UDP) peer VPN_INDIA id <no_id> negotiated rfc-3706-dead-peer-detection

[VPN-Status] 2015/01/31 14:15:44,602
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <-> local No 1 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <-> local No 2 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <-> local No 3 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <-> local No 4 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <-> local No 5 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <-> local No 6 encryption algorithm = BLOWFISH_CBC
IKE info: Phase-1 remote proposal 1 for peer VPN_INDIA matched with local proposal 7

[VPN-Status] 2015/01/31 14:15:45,111
IKE info: Phase-1 [responder] for peer VPN_INDIA between initiator id blainindia, responder id 1.1.1.1 done
IKE info: initiator cookie: 0x6e044f58ec37ba49, responder cookie: 0x59964bd6987e3d72
IKE info: SA ISAKMP for peer VPN_INDIA encryption 3des-cbc authentication SHA1
IKE info: life time ( 28800 sec/ 0 kb)

[VPN-Status] 2015/01/31 14:15:45,111
IKE info: Phase-1 SA Rekeying Timeout (Soft-Event) for peer VPN_INDIA set to 25920 seconds (Responder)

[VPN-Status] 2015/01/31 14:15:45,111
IKE info: Phase-1 SA Timeout (Hard-Event) for peer VPN_INDIA set to 28800 seconds (Responder)

[VPN-Status] 2015/01/31 14:15:45,364
IKE info: Phase-2 failed for peer VPN_INDIA: no rule matches the phase-2 ids 10.150.1.0/255.255.255.0 <-> 10.145.0.0/255.255.0.0
IKE log: 141545.364205 Default message_negotiate_sa: no compatible proposal found
IKE log: 141545.364239 Default dropped message from 2.2.2.2 port 500 due to notification type NO_PROPOSAL_CHOSEN


[VPN-Status] 2015/01/31 14:15:45,364
policy manager error indication: VPN_INDIA (2.2.2.2), cause: 12801

[VPN-Status] 2015/01/31 14:15:45,364
VPN: WAN state changed to WanCalled for VPN_INDIA (2.2.2.2), called by: 009254bc

[VPN-Status] 2015/01/31 14:15:45,364
VPN: Error: IPSEC-R-No-rule-matched-IDs (0x3201) for VPN_INDIA (2.2.2.2)

[VPN-Status] 2015/01/31 14:15:45,365
vpn-maps[21], remote: VPN_INDIA, idle, static-name

[VPN-Status] 2015/01/31 14:15:45,365
selecting next remote gateway using strategy eFirst for VPN_INDIA
=> no remote gateway selected

[VPN-Status] 2015/01/31 14:15:45,365
selecting first remote gateway using strategy eFirst for VPN_INDIA
=> CurrIdx=0, IpStr=>2.2.2.2<, IpAddr=2.2.2.2, IpTtl=0s

[VPN-Status] 2015/01/31 14:15:45,365
VPN: installing ruleset for VPN_INDIA (2.2.2.2)

[VPN-Status] 2015/01/31 14:15:45,365
VPN: WAN state changed to WanDisconnect for VPN_INDIA (2.2.2.2), called by: 009254bc

[VPN-Status] 2015/01/31 14:15:45,365
VPN: WAN state changed to WanIdle for VPN_INDIA (2.2.2.2), called by: 009254bc

[VPN-Status] 2015/01/31 14:15:45,375
VPN: rulesets installed

[VPN-Status] 2015/01/31 14:15:55,563
IKE info: Phase-2 failed for peer VPN_INDIA: no rule matches the phase-2 ids 10.150.1.0/255.255.255.0 <-> 10.145.0.0/255.255.0.0
IKE log: 141555.563929 Default message_negotiate_sa: no compatible proposal found
IKE log: 141555.563963 Default dropped message from 2.2.2.2 port 500 due to notification type NO_PROPOSAL_CHOSEN

[VPN-Status] 2015/01/31 14:15:55,564
policy manager error indication: VPN_INDIA (2.2.2.2), cause: 12801

[VPN-Status] 2015/01/31 14:15:55,564
VPN: WAN state changed to WanCalled for VPN_INDIA (2.2.2.2), called by: 009254bc

[VPN-Status] 2015/01/31 14:15:55,564
VPN: Error: IPSEC-R-No-rule-matched-IDs (0x3201) for VPN_INDIA (2.2.2.2)

[VPN-Status] 2015/01/31 14:16:07,560
IKE info: ISAKMP_NOTIFY_DPD_R_U_THERE sent for Phase-1 SA to peer VPN_INDIA, sequence nr 0x6173fc21

[VPN-Status] 2015/01/31 14:16:07,752
IKE info: NOTIFY received of type ISAKMP_NOTIFY_DPD_R_U_THERE_ACK for peer VPN_INDIA Seq-Nr 0x6173fc21, expected 0x6173fc21


[VPN-Status] 2015/01/31 14:16:16,106
IKE info: Delete Notification received for Phase-1 SA isakmp-peer-VPN_INDIA peer VPN_INDIA cookies [0x6e044f58ec37ba49 0x59964bd6987e3d72]


[VPN-Status] 2015/01/31 14:16:16,106
IKE info: Phase-1 SA removed: peer VPN_INDIA rule VPN_INDIA removed

[VPN-Status] 2015/01/31 14:16:16,107
VPN: VPN_INDIA (2.2.2.2) disconnected

[Bernie137]

Hi,

also bei IKE Phase 1 muss er erst sechs andere durchprobieren bis es matched:

Code: Alles auswählen

IKE info: Phase-1 remote proposal 1 for peer VPN_INDIA matched with local proposal 7

Stell das von der siebten an die erste Stelle, bei VPN -> IKE/IPSec -> IKE-Proposal-Listen -> [Die-Deiner-Verbindung]

Bei Phase scheitert es hier:

Code: Alles auswählen

IKE log: 141545.364205 Default message_negotiate_sa: no compatible proposal found

D.h. bei VPN -> IKE/IPSec -> IPSec-Proposal-Listen -> [Deine-Verbindung] passt nichts, was der Linksys braucht. Meist verwendet man auf beiden Seiten 3DES. Dr. Einstein hat bestimmt auch noch Tipps.

vg Bernie

[Dr.Einstein]

Phase 2 ->

IKE info: Phase-2 failed for peer VPN_INDIA: no rule matches the phase-2 ids 10.150.1.0/255.255.255.0 <-> 10.145.0.0/255.255.0.0

D.h. die Netzbeziehungen der VPN Verbindung stimmen nicht. Bei Lancom werden alle Netzwerke, die als Intranet markiert sind, kombiniert mit allen Routing-Einträgen, die auf den VPN verweisen. Scheinbar passt hier was nicht.

[masterofchaos]

Jippiiii

Nachdem ich jetzt eine Firewallregel gesetzt habe, die besagt, dass von und nach den beiden Netzen 10.145.0.0/16 und 10.150.1.0/24 alles erlaubt ist, steht meine VPN verbindung schon mal

Jetzt hab ich nur noch 2 Probleme.
Zum einen gehen keine Daten (z.B. Pings) zwischen den Netzen hin und her. Das dürfte aber im Zweifel eine Firewallgeschichte sein, denke ich. Wobei ich ja eigentlich alles in beide Richtungen erlaubt habe, damit die Verbindung erfolgreich aufgebaut wird. Routing ist auch auf beiden Routern passend eingetragen. Linksys 10.145.0.0/16 gw 10.150.1.1 und Lancom 10.150.1.0/24 gw VPN_INDIA.

Da zweite Problem ist... nein, war
Also das zweite Problem war das die Dynamische IP vom Linksys in der Verbindungliste fest eingetragen war, weil das am Anfang ja nicht geklappt hat. Aber beim Tippen hab ich nebenbei ausprobiert, wieder die 0.0.0.0 für Extranet und Gateway einzutragen und siehe da, es klappt

Wenn Ihr mir jetzt noch mit meinem letzten Problem auf die Sprünge helfen könnt, werd ich noch zum LANCOM Fan

[Dr.Einstein]

Nachdem ich jetzt eine Firewallregel gesetzt habe, die besagt, dass von und nach den beiden Netzen 10.145.0.0/16 und 10.150.1.0/24 alles erlaubt ist, steht meine VPN verbindung schon mal

Hast du als Firewallregel UND als VPN Regel gemacht? Wenn ja, hast du vermutlich das Problem nur verschleiert. Normalerweise benötigst du in einer Punkt zu Punkt Standortverbindung keine VPN Regeln innerhalb der Firewall. Dadurch könnte auch das Problem der fehlenden Pings resultieren.

Prüfe nochmals deinen lokalen Netze zusammen mit der Routing Tabelle im Lancom kombiniert mit den lokalen Netzen zusammen mit der Routing Tabelle im Linksys.

Gruß Dr.Einstein

[masterofchaos]

mission successfull

jetzt läuft alles, so wie es soll.

in den firewallregeln vom lancom hatte ich drin localnet <> 10.150.1.0/24 er netz alles erlaubt. nachdem ich ein neues 10.145.0.0/16 er netz angelegt und gegen das localnet in der regel ausgetauscht habe, ging der zugriff von indien aus komplett (ping, shares, sip usw.). in die andere richtung ging gar nix.

außerdem hatte ich in den lokalen netzen vom lancom das 10.150.1.0/24 er netz drin als intranet. bei genauerer überlegung eigentlich ziemlich doof kaum hatte ich das netz gelöscht, hat der zugriff in beide richtungen geklappt. auch die tk-anlagenkopplung funktionert jetzt wieder

vielen vielen dank leute! ohne euch hätt ichs sicher nicht hinbekommen

ich werde jetzt noch mal versuchen, die sicherheitseinstellungen für das vpn so hoch wie möglich zu setzen. aktuell bin ich beim aggresive mode und group 1. aber das is ja nur noch try & error und kein wirkliches hexenwerk mehr.

wenn es gewünscht ist und eventuell bedarf besteht, würde ich wenn ich fertig bin, als kleines dankeschön ein kurzes howto inkl. beispieleinstellungen bastel und hier reinpacken...

[GrandDixence]

ich werde jetzt noch mal versuchen, die sicherheitseinstellungen für das vpn so hoch wie möglich zu setzen. aktuell bin ich beim aggresive mode und group 1.

Aggressive Mode ist unsicher. Auch wenn LANCOM-Geräte mit LCOS v9.00 nur IKEv1 unterstützten, empfiehlt sich die Lektüre von BSI TR02102:

https://www.bsi.bund.de/DE/Publikatione ... x_htm.html

Für LCOS v9.00 sind folgende VPN-Einstellungen aus Sicherheitsgründen empfohlen:

Code: Alles auswählen

IKE-Exchange						                       Main Mode
Vereinfachte Einwahl mit Zertifikaten aktiviert		Aus
PFS-Gruppe						                         14 (MODP-2048), 15 (MODP-3072), 16 (MODP-4096)
IKE-Gruppe						                         14 (MODP-2048), 15 (MODP-3072), 16 (MODP-4096)
Verschlüsselung						                    AES-CBC
Schlüssel-Länge						                    128, 256
Hash							                            SHA2-256, SHA2-384, SHA2-512
Gültigkeitsdauer					                      8000
Authentifizierung					                     RSA-Signature
Flexibler-ID-Vergleich					                nein
Modus							                           Tunnel
Authentifizierung (ESP-Proposal)			            HMAC-SHA2-256, HMAC-SHA2-384, HMAC-SHA2-512
Authentifizierung (AH-Proposal)				          Kein AH

Siehe auch: http://www.heise.de/security/artikel/VP ... 70796.html

Unterstützt die Gegenstelle (Linksys) diese sicheren LCOS-VPN-Einstellungen nicht, ist die Hardware der Gegenstelle aus Sicherheitsgründen zu ersetzen.