Hallo,
Ich habe einen 1783VA-4G an dem ich keine VPN Einwahl mit dem IPhone machen kann. Es sind bereits 4 Tunnel Site to Site aufgebaut. Über eine von diesen Gegenstellen konnte ich den 1783 Tracen. Sobald das Iphone den Tunnel aufbauen will steht im Trace das die maximale Anzahl der Tunnel erreicht wäre.
Dee Router beantwortet die Anfrage nicht.
In der Knowledgebase steht jedoch das 5 Tunnel in der Werksausstattung enthalten wären. Verwendet wird die 10.32 Ru4.
VPN Lizenz erlaubt nur 4 Tunnel
Moderator: Lancom-Systems Moderatoren
Re: VPN Lizenz erlaubt nur 4 Tunnel
Fuehre mal per CLI / Konsole den Befehl aus:
Und poste das Ergebnis.. Und auch ggfs. von einem VPN Trace.
Code: Alles auswählen
ls /Status/Config/Features
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a
Re: VPN Lizenz erlaubt nur 4 Tunnel
Ohne weitere Optionen muesste es bei Dir so aussehen. Kannst Du wirklich ausschliessen,dass keine 5 VPN Verbindungen simultan aktiv sind?
Mit diesem Befehl wird der Counter der Lizenzen abgefragt:
Und damit die etablierten VPN-Verbindungen:
Code: Alles auswählen
ls /Status/Config/Features/
Feature Index Expires State Count Attributes
======================================----------------------------------------------------
LANCAPI 0 unlimited active 0 fixed
Leased_Line 0 unlimited active 0 fixed
Switched_Line 0 unlimited active 0 fixed
VPN-5 0 unlimited active 5 fixed
Mobile_Modem 0 unlimited active 0 fixed
All-IP 0 unlimited active 10 fixed
LAN_Bridge 0 unlimited active 0 fixed
Code: Alles auswählen
ls /Status/VPN/Licenses
Licenses INFO: 5
Licenses-in-use INFO: 0
Code: Alles auswählen
ls /Status/VPN/Connections/
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a
-
steveurkel
- Beiträge: 66
- Registriert: 03 Mai 2012, 18:25
Re: VPN Lizenz erlaubt nur 4 Tunnel
Hier die Daten von der Shell:
Angezeigt werden 4 IKEv2 Tunnel.
Sobald sich das iPhone einwählen will kommt im Traue diese Meldung:
Jetzt das "witzige": während es das iPhone probiert den Tunnel aufzubauen sind urplötzlich 5 von 5 Lizenzen genutzt. Es wird aber kein 5. Tunnel angezeigt und ich hab es mehrfach probiert.
Der Aufbau sieht so aus: Filiale 1 und 2 haben einen eigenen Router für Internet und einen eigenen für die TK-Anlage. Filiale 3 hat nur einen Router der beides erledigt. Aus Gründen der Ausfallsicherheit haben wir uns für eigene Tunnel ohne Routing über eine Filiale entschieden.
Code: Alles auswählen
VPN-5 0 unlimited active 5 fixed
Licenses INFO: 5
Licenses-in-use INFO: 4
Code: Alles auswählen
Peer IKE-Type State Last-Error Mode SH-Time phys.-Conn. B1-DT Remote-Gw Nat-Detection SSL-Encaps. Crypt-Alg Crypt-Length Hash-Alg Hash-Length Hmac-Alg Hmac-Length Compr-Alg Client-SN Conn.-time Rx-Bytes Tx-Bytes Encapsulation
==================-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
wawivonfil1 IKEv2 Connection (none) Active 9999 INTERNET 9999 9x.1xx.34.8y no-nat No AES_CBC 256 HMAC-SHA-256 256 (none) 0 (none) not-available 15:48:47 2404002 954180 None
wawivonfil2 IKEv2 Connection (none) Active 9999 INTERNET 9999 7x.2xx.92.4y no-nat No AES_CBC 256 HMAC-SHA-256 256 (none) 0 (none) not-available 15:49:19 1745284 1239508 None
tkvonfil1 IKEv2 Connection (none) Active 9999 INTERNET 9999 9x.6x.17.11y no-nat No AES_GCM 256 0 (none) 0 (none) not-available 21:47:18 0 0 None
tkvonfil2 IKEv2 Connection (none) Passive 9999 INTERNET 9999 7x.246.94.1yy no-nat No AES_CBC 256 HMAC-SHA-256 256 (none) 0 (none) not-available 21:48:38 6966631 7867280 None
Code: Alles auswählen
VPN-Status] 2020/01/01 21:48:07,645 Devicetime: 2020/01/01 21:48:07,598 -All VPN licenses are currently in use => RejectDer Aufbau sieht so aus: Filiale 1 und 2 haben einen eigenen Router für Internet und einen eigenen für die TK-Anlage. Filiale 3 hat nur einen Router der beides erledigt. Aus Gründen der Ausfallsicherheit haben wir uns für eigene Tunnel ohne Routing über eine Filiale entschieden.
-
steveurkel
- Beiträge: 66
- Registriert: 03 Mai 2012, 18:25
Re: VPN Lizenz erlaubt nur 4 Tunnel
Nachtrag; anderer Router mit 4 Tunneln, gleiches Spiel. Sobald der 5. aufbaut werden soll ist Schluss.
Es sind im normalen Betrieb 3 Tunnel aktiv, sobald ich mich mit dem Client-PC verbinde werden es 4. Der Fünfte ist das iPhone, dessen Tunnel funktioniert nur solange der Client-PC NICHT verbunden ist.
Das Log sagt allerdings auch:
"No Propposal Chosen"
Phase-1 SA UNKNOWN, UNKNOWN IPSEC_IKE Cookies enterered to SADB
All VPN licenses are currently in use => Reject.
Angelegt wurde der Tunnel vor längerer Zeit über den Assistenten, er funktioniert
Es sind im normalen Betrieb 3 Tunnel aktiv, sobald ich mich mit dem Client-PC verbinde werden es 4. Der Fünfte ist das iPhone, dessen Tunnel funktioniert nur solange der Client-PC NICHT verbunden ist.
Das Log sagt allerdings auch:
"No Propposal Chosen"
Phase-1 SA UNKNOWN, UNKNOWN IPSEC_IKE Cookies enterered to SADB
All VPN licenses are currently in use => Reject.
Angelegt wurde der Tunnel vor längerer Zeit über den Assistenten, er funktioniert
Re: VPN Lizenz erlaubt nur 4 Tunnel
Handelt es sich um 5 autark konfigurierte VPN-Tunnel oder ist die Tunnelverbindung, die Du vom Client-PC und dem iPhone aufbauen willst derselbe VPN-Tunnel?
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a
-
steveurkel
- Beiträge: 66
- Registriert: 03 Mai 2012, 18:25
Re: VPN Lizenz erlaubt nur 4 Tunnel
Es handelt sich beim Ursprungspost um einen Router der 4 Site-to-Site Tunnel in IKEv2 eingerichtet hat, der zusätzliche 5.Tunnel soll ein MyVPN Tunnel sein der mit dem Assistenten eingerichtet wurde. Da solle sich eigentlich nichts in die quere kommen.. Verbindungsaufbau vom iPhone führt zu "All VPN licenses are currently in use Reject"
Beim zweiten Router (10.32.0092RU2) sind 3 Site-to Site Tunnel eingerichtet, davon ist einer noch in IKEv1 (ja, muss ich noch ändern),
zusätzlich ein VPN-Client Windows mit dem ich mich direkt draufverbinden kann und ein MVPN-Zugang fürs IPhone. Das würde ja in Summe 5 ergeben.
Der Zugang für den Windows-Client und für das iPhone wurden getrennt mit Assistenten eingerichtet (der für den Windows-Client wurde eingerichtet als es noch kein MyVPN gab) und auch hier kann man sich nur abwechselnd vebinden weil der Zugang abgewiesen wird: "All VPN licenses are currently in use Reject"
Hier der Logauszug für den zweiten Router, da kann sich das iPhone nicht verbinden, ich bin mit meinem Windows-Client verbunden um zu Tracen:
Hier kann sich das iPhone verbinden, gleicher Router, Windows-Client ist getrennt, zum Tracen verbinde ich mich
"rückwärts" über eine der Site-to-Site Verbindungen.
Wenn das iPhone verbunden ist kommt der Windows-Client nicht "rein".
Aus irgendeinem Grund wird beim Verbindungsaufbau der aufzubauende fünfte lizenzierte Tunnel als unlizenzierter 6. Tunnel gewertet.
Ich denke mal "All VPN licenses are currently in use => Reject" ist eigentlich eindeutig.
Ohne das ich übermässig Ahnung davon habe was da passiert, ich rate mal:
Beiden Logs gemeinsam ist das er es erstmal nicht durch die Phase1 hindurch schafft. Remote Proposal 1 und Local 2 matcht erst mal nicht. Wenn bereits 4 Tunnel aufgebaut sind wird dieser erste Versuch als Tunnel Nr.5 gewertet und dann würde die Nachverhandlung als 6. Tunnel gewertet.
Wenn nur 3 Tunnel aufgebaut sind kann sich das Iphone verbinden, auch hier ist es erst mal so das kein Proposal-match ausgehandelt werden kann. Weiter unten konnte man sich trotzdem auf diese Proposal-Kombination (Remote Proposal 1 und Local 2 ) einigen und dann gehts eben...
Vor dem Verbindungsaufbau des iPhones: /Status/VPN/Licenses "in use 3", der Zähler springt dann sobald sich das iPhone verbunden hat auf auf 5 um nach ca einer Minute wieder auf 4 zu gehen. Es werden also erst mal zwei Lizenzen belegt.
Beim zweiten Router (10.32.0092RU2) sind 3 Site-to Site Tunnel eingerichtet, davon ist einer noch in IKEv1 (ja, muss ich noch ändern),
zusätzlich ein VPN-Client Windows mit dem ich mich direkt draufverbinden kann und ein MVPN-Zugang fürs IPhone. Das würde ja in Summe 5 ergeben.
Der Zugang für den Windows-Client und für das iPhone wurden getrennt mit Assistenten eingerichtet (der für den Windows-Client wurde eingerichtet als es noch kein MyVPN gab) und auch hier kann man sich nur abwechselnd vebinden weil der Zugang abgewiesen wird: "All VPN licenses are currently in use Reject"
Hier der Logauszug für den zweiten Router, da kann sich das iPhone nicht verbinden, ich bin mit meinem Windows-Client verbunden um zu Tracen:
Code: Alles auswählen
[VPN-Status] 2020/01/03 20:21:10,493 Devicetime: 2020/01/03 20:21:14,711
IKE info: phase-1 proposal failed: remote No 1 hash algorithm = SHA-256 <-> local No 1 hash algorithm = MD5
IKE info: phase-1 proposal failed: remote No 1 hash algorithm = SHA-256 <-> local No 2 hash algorithm = SHA1
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = AES_CBC <-> local No 3 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = AES_CBC <-> local No 4 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = AES_CBC <-> local No 5 encryption algorithm = CAST_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = AES_CBC <-> local No 6 encryption algorithm = CAST_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = AES_CBC <-> local No 7 encryption algorithm = 3DES_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = AES_CBC <-> local No 8 encryption algorithm = 3DES_CBC
IKE info: Phase-1 remote proposal 1 failed for peer def-aggr-peer
IKE info: phase-1 proposal failed: remote No 2 hash algorithm = SHA1 <-> local No 1 hash algorithm = MD5
IKE info: phase-1 proposal failed: remote No 2 group = 14 <-> local No 2 group = 2
IKE info: phase-1 proposal failed: remote No 2 encryption algorithm = AES_CBC <-> local No 3 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 2 encryption algorithm = AES_CBC <-> local No 4 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 2 encryption algorithm = AES_CBC <-> local No 5 encryption algorithm = CAST_CBC
IKE info: phase-1 proposal failed: remote No 2 encryption algorithm = AES_CBC <-> local No 6 encryption algorithm = CAST_CBC
IKE info: phase-1 proposal failed: remote No 2 encryption algorithm = AES_CBC <-> local No 7 encryption algorithm = 3DES_CBC
IKE info: phase-1 proposal failed: remote No 2 encryption algorithm = AES_CBC <-> local No 8 encryption algorithm = 3DES_CBC
IKE info: Phase-1 remote proposal 2 failed for peer def-aggr-peer
IKE info: phase-1 proposal failed: remote No 3 group = 14 <-> local No 1 group = 2
IKE info: phase-1 proposal failed: remote No 3 hash algorithm = MD5 <-> local No 2 hash algorithm = SHA1
IKE info: phase-1 proposal failed: remote No 3 encryption algorithm = AES_CBC <-> local No 3 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 3 encryption algorithm = AES_CBC <-> local No 4 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 3 encryption algorithm = AES_CBC <-> local No 5 encryption algorithm = CAST_CBC
IKE info: phase-1 proposal failed: remote No 3 encryption algorithm = AES_CBC <-> local No 6 encryption algorithm = CAST_CBC
IKE info: phase-1 proposal failed: remote No 3 encryption algorithm = AES_CBC <-> local No 7 encryption algorithm = 3DES_CBC
IKE info: phase-1 proposal failed: remote No 3 encryption algorithm = AES_CBC <-> local No 8 encryption algorithm = 3DES_CBC
IKE info: Phase-1 remote proposal 3 failed for peer def-aggr-peer
IKE info: phase-1 proposal failed: remote No 4 hash algorithm = SHA-512 <-> local No 1 hash algorithm = MD5
IKE info: phase-1 proposal failed: remote No 4 hash algorithm = SHA-512 <-> local No 2 hash algorithm = SHA1
IKE info: phase-1 proposal failed: remote No 4 encryption algorithm = AES_CBC <-> local No 3 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 4 encryption algorithm = AES_CBC <-> local No 4 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 4 encryption algorithm = AES_CBC <-> local No 5 encryption algorithm = CAST_CBC
IKE info: phase-1 proposal failed: remote No 4 encryption algorithm = AES_CBC <-> local No 6 encryption algorithm = CAST_CBC
IKE info: phase-1 proposal failed: remote No 4 encryption algorithm = AES_CBC <-> local No 7 encryption algorithm = 3DES_CBC
IKE info: phase-1 proposal failed: remote No 4 encryption algorithm = AES_CBC <-> local No 8 encryption algorithm = 3DES_CBC
IKE info: Phase-1 remote proposal 4 failed for peer def-aggr-peer
IKE log: 202114.713803 Default message_negotiate_sa: no compatible proposal found
IKE log: 202114.713827 Default dropped message from 91.35.2XX.YY port 500 due to notification type NO_PROPOSAL_CHOSEN
[VPN-Status] 2020/01/03 20:21:10,493 Devicetime: 2020/01/03 20:21:14,714
Phase-1 SA (UNKNOWN, 'UNKNOWN' IPSEC_IKE Cookies 0x01D9CDB79DA0A4CA4F64BE730DC39921) entered to SADB
[VPN-Status] 2020/01/03 20:21:10,571 Devicetime: 2020/01/03 20:21:14,765
-All VPN licenses are currently in use => Reject
"rückwärts" über eine der Site-to-Site Verbindungen.
Code: Alles auswählen
[VPN-Status] 2020/01/03 20:18:19,883 Devicetime: 2020/01/03 20:18:24,075
IKE info: The remote peer def-aggr-peer supports NAT-T in RFC mode
IKE info: The remote peer def-aggr-peer supports NAT-T in draft mode
IKE info: The remote peer def-aggr-peer supports NAT-T in draft mode
IKE info: The remote server 91.35.2XX.YY:500 (UDP) peer def-aggr-peer id <no_id> supports draft-ietf-ipsec-isakmp-xauth
IKE info: The remote server 91.35.2XX.YY:500 (UDP) peer def-aggr-peer id <no_id> negotiated rfc-3706-dead-peer-detection
[VPN-Status] 2020/01/03 20:18:19,883 Devicetime: 2020/01/03 20:18:24,075
IKE info: phase-1 proposal failed: remote No 1 hash algorithm = SHA-256 <-> local No 1 hash algorithm = MD5
IKE info: phase-1 proposal failed: remote No 1 hash algorithm = SHA-256 <-> local No 2 hash algorithm = SHA1
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = AES_CBC <-> local No 3 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = AES_CBC <-> local No 4 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = AES_CBC <-> local No 5 encryption algorithm = CAST_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = AES_CBC <-> local No 6 encryption algorithm = CAST_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = AES_CBC <-> local No 7 encryption algorithm = 3DES_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = AES_CBC <-> local No 8 encryption algorithm = 3DES_CBC
IKE info: Phase-1 remote proposal 1 failed for peer def-aggr-peer
IKE info: phase-1 proposal failed: remote No 2 hash algorithm = SHA1 <-> local No 1 hash algorithm = MD5
IKE info: phase-1 proposal failed: remote No 2 group = 14 <-> local No 2 group = 2
IKE info: phase-1 proposal failed: remote No 2 encryption algorithm = AES_CBC <-> local No 3 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 2 encryption algorithm = AES_CBC <-> local No 4 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 2 encryption algorithm = AES_CBC <-> local No 5 encryption algorithm = CAST_CBC
IKE info: phase-1 proposal failed: remote No 2 encryption algorithm = AES_CBC <-> local No 6 encryption algorithm = CAST_CBC
IKE info: phase-1 proposal failed: remote No 2 encryption algorithm = AES_CBC <-> local No 7 encryption algorithm = 3DES_CBC
IKE info: phase-1 proposal failed: remote No 2 encryption algorithm = AES_CBC <-> local No 8 encryption algorithm = 3DES_CBC
IKE info: Phase-1 remote proposal 2 failed for peer def-aggr-peer
IKE info: phase-1 proposal failed: remote No 3 group = 14 <-> local No 1 group = 2
IKE info: phase-1 proposal failed: remote No 3 hash algorithm = MD5 <-> local No 2 hash algorithm = SHA1
IKE info: phase-1 proposal failed: remote No 3 encryption algorithm = AES_CBC <-> local No 3 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 3 encryption algorithm = AES_CBC <-> local No 4 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 3 encryption algorithm = AES_CBC <-> local No 5 encryption algorithm = CAST_CBC
IKE info: phase-1 proposal failed: remote No 3 encryption algorithm = AES_CBC <-> local No 6 encryption algorithm = CAST_CBC
IKE info: phase-1 proposal failed: remote No 3 encryption algorithm = AES_CBC <-> local No 7 encryption algorithm = 3DES_CBC
IKE info: phase-1 proposal failed: remote No 3 encryption algorithm = AES_CBC <-> local No 8 encryption algorithm = 3DES_CBC
IKE info: Phase-1 remote proposal 3 failed for peer def-aggr-peer
IKE info: phase-1 proposal failed: remote No 4 hash algorithm = SHA-512 <-> local No 1 hash algorithm = MD5
IKE info: phase-1 proposal failed: remote No 4 hash algorithm = SHA-512 <-> local No 2 hash algorithm = SHA1
IKE info: phase-1 proposal failed: remote No 4 encryption algorithm = AES_CBC <-> local No 3 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 4 encryption algorithm = AES_CBC <-> local No 4 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 4 encryption algorithm = AES_CBC <-> local No 5 encryption algorithm = CAST_CBC
IKE info: phase-1 proposal failed: remote No 4 encryption algorithm = AES_CBC <-> local No 6 encryption algorithm = CAST_CBC
IKE info: phase-1 proposal failed: remote No 4 encryption algorithm = AES_CBC <-> local No 7 encryption algorithm = 3DES_CBC
IKE info: phase-1 proposal failed: remote No 4 encryption algorithm = AES_CBC <-> local No 8 encryption algorithm = 3DES_CBC
IKE info: Phase-1 remote proposal 4 failed for peer def-aggr-peer
IKE log: 201824.078524 Default message_negotiate_sa: no compatible proposal found
IKE log: 201824.078549 Default dropped message from 91.35.2XX.YY port 500 due to notification type NO_PROPOSAL_CHOSEN
[VPN-Status] 2020/01/03 20:18:19,883 Devicetime: 2020/01/03 20:18:24,079
Phase-1 SA (UNKNOWN, 'UNKNOWN' IPSEC_IKE Cookies 0x77F10B4E83FC76028F27F101075DDC3B) entered to SADB
[VPN-Status] 2020/01/03 20:18:19,946 Devicetime: 2020/01/03 20:18:24,131
IKE info: The remote peer def-aggr-peer supports NAT-T in RFC mode
IKE info: The remote peer def-aggr-peer supports NAT-T in draft mode
IKE info: The remote peer def-aggr-peer supports NAT-T in draft mode
IKE info: The remote server 91.35.2XX.YY:500 (UDP) peer def-aggr-peer id <no_id> supports draft-ietf-ipsec-isakmp-xauth
IKE info: The remote server 91.35.2XX.YY:500 (UDP) peer def-aggr-peer id <no_id> negotiated rfc-3706-dead-peer-detection
[VPN-Status] 2020/01/03 20:18:19,946 Devicetime: 2020/01/03 20:18:24,131
IKE info: phase-1 proposal failed: remote No 1 hash algorithm = SHA1 <-> local No 1 hash algorithm = MD5
IKE info: Phase-1 remote proposal 1 for peer def-aggr-peer matched with local proposal 2
[VPN-Status] 2020/01/03 20:18:19,946 Devicetime: 2020/01/03 20:18:24,141
Phase-1 SA (UNKNOWN, 'UNKNOWN' IPSEC_IKE Cookies 0xB52FCA7CCFB934A14C472E78A3698553) entered to SADB
[VPN-Status] 2020/01/03 20:18:19,977 Devicetime: 2020/01/03 20:18:24,172
IKE info: Phase-1 SA Rekeying Timeout (Soft-Event) for peer MYVPNSTEFDXL set to 3240 seconds (Responder)
[VPN-Status] 2020/01/03 20:18:19,977 Devicetime: 2020/01/03 20:18:24,172
IKE info: Phase-1 SA Timeout (Hard-Event) for peer MYVPNSTEFDXL set to 3600 seconds (Responder)
[VPN-Status] 2020/01/03 20:18:19,977 Devicetime: 2020/01/03 20:18:24,172
Phase-1 [responder] for peer MYVPNSTEFDXL initiator id MYVPNSTEFDXL, responder id 91.63.31.39
initiator cookie: 0xB52FCA7CCFB934A1, responder cookie: 0x4C472E78A3698553
NAT-T enabled in mode rfc. We are not behind a nat, the remote side is behind a nat
SA ISAKMP for peer MYVPNSTEFDXL encryption aes-cbc authentication SHA1
life time soft 01/03/2020 21:12:24 (in 3240 sec) / 0 kb
life time hard 01/03/2020 21:18:24 (in 3600 sec) / 0 kb
DPD: 90 sec
[VPN-Status] 2020/01/03 20:18:19,977 Devicetime: 2020/01/03 20:18:24,174
IKE info: NOTIFY received of type INITIAL_CONTACT for peer MYVPNSTEFDXL
[VPN-Status] 2020/01/03 20:18:19,977 Devicetime: 2020/01/03 20:18:24,174
IKE info: Phase-1 [responder] got INITIAL-CONTACT from peer MYVPNSTEFDXL (91.35.2XX.YY:58254)
[VPN-Status] 2020/01/03 20:18:19,977 Devicetime: 2020/01/03 20:18:24,175
Phase-1 SA (MYVPNSTEFDXL, 'ISAKMP-PEER-MYVPNSTEFDXL' IPSEC_IKE Cookies 0xB52FCA7CCFB934A14C472E78A3698553) removed from SADB
Phase-1 SA (MYVPNSTEFDXL, 'ISAKMP-PEER-MYVPNSTEFDXL' IPSEC_IKE Cookies 0xB52FCA7CCFB934A14C472E78A3698553) entered to SADB
[VPN-Status] 2020/01/03 20:18:19,977 Devicetime: 2020/01/03 20:18:24,198
IKE log: 201824.198735 Default xauth_initiator_recv_ATTR: cfg packet ID did not match!
[VPN-Status] 2020/01/03 20:18:19,977 Devicetime: 2020/01/03 20:18:24,198
IKE info: IKE-CFG: Attribute XAUTH_USER_NAME len 12 value MYVPNSTEFDXL received
[VPN-Status] 2020/01/03 20:18:19,977 Devicetime: 2020/01/03 20:18:24,198
IKE info: IKE-CFG: Attribute XAUTH_PASSWORD len 4 value * received
[VPN-Status] 2020/01/03 20:18:20,085 Devicetime: 2020/01/03 20:18:24,223
IKE info: IKE-CFG: Attribute XAUTH_STATUS len 2 value FAIL received
[VPN-Status] 2020/01/03 20:18:20,085 Devicetime: 2020/01/03 20:18:24,223
IKE info: IKE-CFG: Received REQUEST message with id 37435 from peer MYVPNSTEFDXL
IKE info: IKE-CFG: Attribute INTERNAL_IP4_ADDRESS len 0 value (none) received
IKE info: IKE-CFG: Attribute INTERNAL_IP4_NETMASK len 0 value (none) received
IKE info: IKE-CFG: Attribute INTERNAL_IP4_DNS len 0 value (none) received
IKE info: IKE-CFG: Attribute INTERNAL_IP4_NBNS len 0 value (none) received
IKE info: IKE-CFG: Attribute INTERNAL_ADDRESS_EXPIRY len 0 value (none) received
IKE info: IKE-CFG: Attribute APPLICATION_VERSION len 39 value Cisco Systems VPN Client 13.3:iPhone OS received
IKE info: IKE-CFG: Attribute <Unknown 28672> len 0 is private -> ignore
IKE info: IKE-CFG: Attribute <Unknown 28674> len 0 is private -> ignore
IKE info: IKE-CFG: Attribute <Unknown 28675> len 0 is private -> ignore
IKE info: IKE-CFG: Attribute <Unknown 28676> len 0 is private -> ignore
IKE info: IKE-CFG: Attribute <Unknown 28678> len 0 is private -> ignore
IKE info: IKE-CFG: Attribute <Unknown 28679> len 0 is private -> ignore
IKE info: IKE-CFG: Attribute <Unknown 28673> len 0 is private -> ignore
IKE info: IKE-CFG: Attribute <Unknown 28680> len 0 is private -> ignore
IKE info: IKE-CFG: Attribute <Unknown 28681> len 0 is private -> ignore
IKE info: IKE-CFG: Attribute <Unknown 28683> len 0 is private -> ignore
[VPN-Status] 2020/01/03 20:18:20,085 Devicetime: 2020/01/03 20:18:24,224
IKE info: IKE-CFG: Creating REPLY message with id 37435 for peer MYVPNSTEFDXL
IKE info: Assigned IPv4 config payload parameters to MYVPNSTEFDXL:
IP: 10.XYZ.1XY.12
DNS: 192.168.201.254, 0.0.0.0
NBNS: 0.0.0.0, 0.0.0.0
IKE info: IKE-CFG: Attribute APPLICATION_VERSION len 0 skipped
IKE info: IKE-CFG: Attribute INTERNAL_ADDRESS_EXPIRY len 4 value 1200 added
IKE info: IKE-CFG: Attribute INTERNAL_IP4_NBNS len 0 skipped
IKE info: IKE-CFG: Attribute INTERNAL_IP4_DNS len 4 value 192.168.201.254 added
IKE info: IKE-CFG: Attribute INTERNAL_IP4_NETMASK len 0 skipped
IKE info: IKE-CFG: Attribute INTERNAL_IP4_ADDRESS len 4 value 10.146.165.12 added
IKE info: IKE-CFG: Sending message
[VPN-Status] 2020/01/03 20:18:20,165 Devicetime: 2020/01/03 20:18:24,356
IKE info: Phase-2 proposal failed: remote No 1, esp hmac HMAC-SHA-256 <-> local No 1, esp hmac HMAC-SHA1
IKE info: Phase-2 proposal failed: remote No 1, esp hmac HMAC-SHA-256 <-> local No 2, esp hmac HMAC-MD5
IKE info: Phase-2 proposal failed: remote No 1, esp algorithm AES_CBC <-> local No 3, esp algorithm BLOWFISH
IKE info: Phase-2 proposal failed: remote No 1, esp hmac HMAC-SHA-256 <-> local No 3, esp hmac HMAC-MD5
IKE info: Phase-2 proposal failed: remote No 1, esp algorithm AES_CBC <-> local No 4, esp algorithm 3DES
IKE info: Phase-2 proposal failed: remote No 1, esp hmac HMAC-SHA-256 <-> local No 4, esp hmac HMAC-MD5
IKE info: Phase-2 remote proposal 1 failed for peer MYVPNSTEFDXL
IKE info: Phase-2 remote proposal 2 for peer MYVPNSTEFDXL matched with local proposal 1
Aus irgendeinem Grund wird beim Verbindungsaufbau der aufzubauende fünfte lizenzierte Tunnel als unlizenzierter 6. Tunnel gewertet.
Ich denke mal "All VPN licenses are currently in use => Reject" ist eigentlich eindeutig.
Ohne das ich übermässig Ahnung davon habe was da passiert, ich rate mal:
Beiden Logs gemeinsam ist das er es erstmal nicht durch die Phase1 hindurch schafft. Remote Proposal 1 und Local 2 matcht erst mal nicht. Wenn bereits 4 Tunnel aufgebaut sind wird dieser erste Versuch als Tunnel Nr.5 gewertet und dann würde die Nachverhandlung als 6. Tunnel gewertet.
Wenn nur 3 Tunnel aufgebaut sind kann sich das Iphone verbinden, auch hier ist es erst mal so das kein Proposal-match ausgehandelt werden kann. Weiter unten konnte man sich trotzdem auf diese Proposal-Kombination (Remote Proposal 1 und Local 2 ) einigen und dann gehts eben...
Vor dem Verbindungsaufbau des iPhones: /Status/VPN/Licenses "in use 3", der Zähler springt dann sobald sich das iPhone verbunden hat auf auf 5 um nach ca einer Minute wieder auf 4 zu gehen. Es werden also erst mal zwei Lizenzen belegt.
Re: VPN Lizenz erlaubt nur 4 Tunnel
Hallo,
sorry, ich habe keine Zeit, mir das komplett durchzulesen. Überlicherweise liegt hier ein Problem beim VPN-Aufbau vor, der dazu führt. Das ist ein bekanntes Problem: fragen-zum-thema-vpn-f14/vpn-lancom-fri ... tml#p84611
Du müsstest also die Traces ordentlich auswerten und versuchen, die Probleme zu eliminieren.
Viele Grüße,
Jirka
sorry, ich habe keine Zeit, mir das komplett durchzulesen. Überlicherweise liegt hier ein Problem beim VPN-Aufbau vor, der dazu führt. Das ist ein bekanntes Problem: fragen-zum-thema-vpn-f14/vpn-lancom-fri ... tml#p84611
Du müsstest also die Traces ordentlich auswerten und versuchen, die Probleme zu eliminieren.
Viele Grüße,
Jirka