Hallo Leutz,
wollte meinem 1711 mal beibringen den Verkehr zwischen 2 Netzen zu tunneln. Gegenstelle bildet eine Linux-Maschine mit FreeSwan.
Die Linux-Maschine hat schon bestimmte VPNs, die funktionieren. Nur mit meinem (neuen) Lancom-VPN-Tunnel gibts Probleme, daher muss ich erstmal auf "meiner" Seite suchen.
Hier mal ein Trace-Ausschnitt:
[VPN-Status] 1900/01/01 03:26:19,880
VPN: installing ruleset for ZU_UWE (192.168.211.2)
[VPN-Status] 1900/01/01 03:26:19,890
VPN: rulesets installed
[VPN-Status] 1900/01/01 03:26:29,890
IKE info: Phase-2 failed for peer ZU_UWE: no rule matches the phase-2 ids 192.168.212.0/255.255.255.0 <-> 192.168.35.0/255.255.255.0
IKE log: 032629 Default message_negotiate_sa: no compatible proposal found
IKE log: 032629 Default dropped message from 192.168.211.2 port 500 due to notification type NO_PROPOSAL_CHOSEN
IKE info: dropped message from peer ZU_UWE 192.168.211.2 port 500 due to notification type NO_PROPOSAL_CHOSEN
Infos:
meine Seite:
mein Netz: 192.168.35.0
lokales Routerbein: 192.168.35.59
WAN/Tunnel-Routerbein: 192.168.211.1
ferne Seite:
fernes Netz: 192.168.212.0
WAN/Tunnel-Gegenstelle (FreeSwan): 192.168.211.2
Kann mir einer n Tip geben, was "no rule matches the phase-2 ids" bedeutet?
Und wie man laut "no compatible proposal found" ein passendes Proposal für beide Seiten findet?
Verzweifelte Grüße
Albert
VPN-Tunnel zu FreeSwan-Gateway: Problem bei Phase 2
Moderator: Lancom-Systems Moderatoren
Ich weiß jetzt nicht, was du mit "fordern" meinst.backslash hat geschrieben:Hi 1711-User
nun ja, die Netzbeziehungen stimme nicht:
Die Gegeseite fordert das Netz 192.168.212.0 und du hast konfigureirt, daß auf der Gegenseite das Netz 192.168.211.1 ist. Das kann nicht passen...
211 ist das Transitnetz (das sehen nur die Router unter sich) und von dort routet die Linuxmaschine weiter ins "hinter ihr liegende" 212er Netz.
Hi 1711-User,
Der Linuxrechner sagt: er wäre im 192.168.212.0/24 Netz und dein LANCOM hat im 192.168.35.0/24 Netz zu stehen...
Dazu muß im LANCOM eine passende Regel existieren (LANCOM steht im 192.168.35.0/24 Netz und der Linuxrechner hat im 192.168.212.0/24 Netz zu stehen). Diese Regel erzeugt das LANCOM normalerweise automatisch aus seiner Intranetadresse/-Netzmaske und dem Eintrag in der Routing-Tabelle...
- hast du denn im LANCOM auch eine Route zum 212-Netz gelegt?
- hast du dich da auch nicht vertippt?
- was hast du in der VPN-Namenliste für die Verbindung beim Feld Regelerzeugung stehen? Dort sollte "automatisch" stehen.
- steht dein LANCOM überhaupt im 192.168.35.0/24 Netz?
Gruß
Backslash
fordern meint:Ich weiß jetzt nicht, was du mit "fordern" meinst.
Der Linuxrechner sagt: er wäre im 192.168.212.0/24 Netz und dein LANCOM hat im 192.168.35.0/24 Netz zu stehen...
Dazu muß im LANCOM eine passende Regel existieren (LANCOM steht im 192.168.35.0/24 Netz und der Linuxrechner hat im 192.168.212.0/24 Netz zu stehen). Diese Regel erzeugt das LANCOM normalerweise automatisch aus seiner Intranetadresse/-Netzmaske und dem Eintrag in der Routing-Tabelle...
- hast du denn im LANCOM auch eine Route zum 212-Netz gelegt?
- hast du dich da auch nicht vertippt?
- was hast du in der VPN-Namenliste für die Verbindung beim Feld Regelerzeugung stehen? Dort sollte "automatisch" stehen.
- steht dein LANCOM überhaupt im 192.168.35.0/24 Netz?
Gruß
Backslash