Ich habe bei einem Kunden ein LANCOM 1811 Wireless DSL Router installiert, der per Ethernet mit einem Cisco-Router der DTAG mit dem Internet verbunden ist.
Der LANCOM hat eine öffentliche IP, die auch erreichbar ist.
Ich wollte eine VPN-Verbindung einrichten und habe dazu mit dem Setup-Assistenten den VPN-Zugang installiert und exakt gem. Anleitung den Advanced VPN-Client installiert und das Profil eingerichtet.
Für den Client haben wir die IP-Adresse 192.168.1.180 eingestellt. Das interne Netz hat den IP-Bereich 192.168.1.0/24.
Ich habe die Authentifizierung über Preshared Key mit FQUN eingerichtet. Ich habe dazu einfach eine Fake-Emailadresse vergeben, die bei Router und Client-Installation identisch ist, genau wie das Preshared Secret.
Wenn ich mich nun mit dem Advanced VPN Client über das Internet verbinde, erhalte ich im Client folgende Fehlermeldung:
IKE Fehler (Phase 1).
Im Log steht:
31.03.2006 18:00:30 IPSDIALCHAN::start building connection
31.03.2006 18:00:30 NCPIKE-phase1:name(FirmaVPN) - outgoing connect request - aggressive mode.
31.03.2006 18:00:30 XMIT_MSG1_AGGRESSIVE - FirmaVPN
31.03.2006 18:00:48 NCPIKE-phase1:name(FirmaVPN) - error - retry timeout - max retries
31.03.2006 18:00:48 NCPIKE-phase2:name(FirmaVPN) - error - cleared by phase1
31.03.2006 18:00:48 IPSDIAL - disconnected from FirmaVPN on channel 1.
Auf dem Router habe ich per trace # vpn-st folgende Meldungen erhalten:
IKE info: Phase-1 negotiation failed: no configuration found for incoming peer 217.91.75.100
IKE info: dropped message from peer unknown 217.91.75.100 port -3490 due to notification type INVALID_MESSAGE_ID
Für den Client können wir keine feste IP-Adresse voraussetzen.
Was mache ich falsch?
VPN-Verbindung schlägt mit IKE-Fehler (Phase 1)
Moderator: Lancom-Systems Moderatoren
Hallo bohndorf,
Gruss
Mario
sieh mal an der Konsole des 1811, ob dort bei 'show vpn' noch die Regeln für die VPN-Verbindung des ADV-Clients angezeigt werden. Falls nicht, sollte ein Warmstart des Lancoms das Problem beheben - bis zur nächsten Änderung der Konfiguration...Auf dem Router habe ich per trace # vpn-st folgende Meldungen erhalten:
IKE info: Phase-1 negotiation failed: no configuration found for incoming peer 217.91.75.100
Gruss
Mario
Hallo Mario,
da erscheinen 3 Regeln:
VPN SPD and IKE configuration:
# of connections = 3
Connection #1 0.0.0.0/255.255.255.255:0 <-> 192.168.1.180/255.
255.255.255:0 any
Name: EXIMOVPN
Unique Id: ipsec-1-EXIMOVPN-pr0-l0-r0
Flags: aggressive-mode ikecfg
Local Network: IPV4_ADDR(any:0, 0.0.0.0/255.255.255.255)
Local Gateway: IPV4_ADDR(any:0, 212.16.132.220)
Remote Gateway: IPV4_ADDR(any:0, 0.0.0.0)
Remote Network: IPV4_ADDR(any:0, 192.168.1.180/255.255.255.255)
Connection #2 0.0.0.0/255.255.255.255:0 <-> 192.168.1.180/255.
255.255.255:0 any
Name: EXIMOVPN
Unique Id: ipsec-0-EXIMOVPN-pr0-l0-r0
Flags: aggressive-mode ikecfg
Local Network: IPV4_ADDR(any:0, 0.0.0.0/255.255.255.255)
Local Gateway: IPV4_ADDR(any:0, 212.16.132.220)
Remote Gateway: IPV4_ADDR(any:0, 0.0.0.0)
Remote Network: IPV4_ADDR(any:0, 192.168.1.180/255.255.255.255)
Connection #3 0.0.0.0/255.255.255.255:0 <-> 0.0.0.0/0.0.0.0:0
any
Name: EXIMOVPN
Unique Id: ipsec-2-EXIMOVPN-pr0-l0-r0
Flags: aggressive-mode ikecfg
Local Network: IPV4_ADDR(any:0, 0.0.0.0/255.255.255.255)
Local Gateway: IPV4_ADDR(any:0, 212.16.132.220)
Remote Gateway: IPV4_ADDR(any:0, 0.0.0.0)
Remote Network: IPV4_ADDR_SUBNET(any:0, 0.0.0.0/0.0.0.0)
Was sagen die mir?
Und ganz dumme Frage: Wie lautet das Kommando zum Warmstart auf der Console? reboot, shutdown usw. sehe ich bei help nicht...
Danke für Deine Hilfe,
Alexander
da erscheinen 3 Regeln:
VPN SPD and IKE configuration:
# of connections = 3
Connection #1 0.0.0.0/255.255.255.255:0 <-> 192.168.1.180/255.
255.255.255:0 any
Name: EXIMOVPN
Unique Id: ipsec-1-EXIMOVPN-pr0-l0-r0
Flags: aggressive-mode ikecfg
Local Network: IPV4_ADDR(any:0, 0.0.0.0/255.255.255.255)
Local Gateway: IPV4_ADDR(any:0, 212.16.132.220)
Remote Gateway: IPV4_ADDR(any:0, 0.0.0.0)
Remote Network: IPV4_ADDR(any:0, 192.168.1.180/255.255.255.255)
Connection #2 0.0.0.0/255.255.255.255:0 <-> 192.168.1.180/255.
255.255.255:0 any
Name: EXIMOVPN
Unique Id: ipsec-0-EXIMOVPN-pr0-l0-r0
Flags: aggressive-mode ikecfg
Local Network: IPV4_ADDR(any:0, 0.0.0.0/255.255.255.255)
Local Gateway: IPV4_ADDR(any:0, 212.16.132.220)
Remote Gateway: IPV4_ADDR(any:0, 0.0.0.0)
Remote Network: IPV4_ADDR(any:0, 192.168.1.180/255.255.255.255)
Connection #3 0.0.0.0/255.255.255.255:0 <-> 0.0.0.0/0.0.0.0:0
any
Name: EXIMOVPN
Unique Id: ipsec-2-EXIMOVPN-pr0-l0-r0
Flags: aggressive-mode ikecfg
Local Network: IPV4_ADDR(any:0, 0.0.0.0/255.255.255.255)
Local Gateway: IPV4_ADDR(any:0, 212.16.132.220)
Remote Gateway: IPV4_ADDR(any:0, 0.0.0.0)
Remote Network: IPV4_ADDR_SUBNET(any:0, 0.0.0.0/0.0.0.0)
Was sagen die mir?
Und ganz dumme Frage: Wie lautet das Kommando zum Warmstart auf der Console? reboot, shutdown usw. sehe ich bei help nicht...
Danke für Deine Hilfe,
Alexander
Muss ich denn in dem Router noch irgendetwas anderes machen als die VPN-Verbindung über den Setup-Assistenten einzurichten? Muss ich manuell noch irgendwelche Routen definieren oder Firewall-Regeln einstellen? In der Doku klang das nicht so...
Der Zugriff von außen erfolgt übrigens auch über ein anderes Firmennetz, welches per NAT mit einer einzigen IP nach außen erreichbar ist. Die ist auch nicht statisch, sondern wechselt alle 24 Std.
Alexander
Der Zugriff von außen erfolgt übrigens auch über ein anderes Firmennetz, welches per NAT mit einer einzigen IP nach außen erreichbar ist. Die ist auch nicht statisch, sondern wechselt alle 24 Std.
Alexander
Hallo Alexander,
do boot
Gruß
Mario
Also der Assistent legt so einen Quark nicht an. Am besten löscht Du per Assistent die VPN-Verbindung und richtest sie neu ein. Bei IP-Adresse für den Client gibst Du die 192.168.1.180 an und im folgenden Fenster 'folgendes IP-Netzwerk' und belässt den Vorschlag für Dein Netz 192.168.1.0/24.Connection #1 0.0.0.0/255.255.255.255:0 <-> 192.168.1.180/255.
255.255.255:0 any
Name: EXIMOVPN
Unique Id: ipsec-1-EXIMOVPN-pr0-l0-r0
Flags: aggressive-mode ikecfg
Local Network: IPV4_ADDR(any:0, 0.0.0.0/255.255.255.255)
Local Gateway: IPV4_ADDR(any:0, 212.16.132.220)
Remote Gateway: IPV4_ADDR(any:0, 0.0.0.0)
Remote Network: IPV4_ADDR(any:0, 192.168.1.180/255.255.255.255)
cd otherWie lautet das Kommando zum Warmstart auf der Console?
do boot
Gruß
Mario
Hallo,
Sorry wenn ich mich hier mit hereinhänge, aber ich habe exakt das gleiche Problem (IKE-Fehler - Phase 1) und konnte es bisher nicht lösen. Auch diverse Neueinrichtungen mit dem Setup-Assistenten und Warm- sowie Kaltstarts haben nicht gebracht. Immer derselbe Fehler. Hast Du es mittlerweile hinbekommen, Alexander? Und wenn, WIE???
Gruß
Christian
Sorry wenn ich mich hier mit hereinhänge, aber ich habe exakt das gleiche Problem (IKE-Fehler - Phase 1) und konnte es bisher nicht lösen. Auch diverse Neueinrichtungen mit dem Setup-Assistenten und Warm- sowie Kaltstarts haben nicht gebracht. Immer derselbe Fehler. Hast Du es mittlerweile hinbekommen, Alexander? Und wenn, WIE???
Gruß
Christian
Hallo,
bei mir hatte ein Warmstart des Routers den gewünschten Erfolg gebracht. Ich habe dann einen Test über eine Direktverbindung zum ADSL-Modem ohne zwischengeschalteten Router gemacht, der dann erfolgreich verlaufen ist. Die Firewall auf unserem Router führte auch zu dem genannten Problem. Um das Problem auszuschließen, dass es an Deiner Firewall liegt, solltest Du also mal einen Test mit einer direkten Modemverbindung machen. Ggf. auch mal ganz kurz evtl. vorhandene Desktop-Firewalls zum Test deaktivieren. Es gibt auch diverse Probleme bis hin zu Bluescreens, wenn Du mehrere VPN-Clients auf einem Rechner installiert hast.
bei mir hatte ein Warmstart des Routers den gewünschten Erfolg gebracht. Ich habe dann einen Test über eine Direktverbindung zum ADSL-Modem ohne zwischengeschalteten Router gemacht, der dann erfolgreich verlaufen ist. Die Firewall auf unserem Router führte auch zu dem genannten Problem. Um das Problem auszuschließen, dass es an Deiner Firewall liegt, solltest Du also mal einen Test mit einer direkten Modemverbindung machen. Ggf. auch mal ganz kurz evtl. vorhandene Desktop-Firewalls zum Test deaktivieren. Es gibt auch diverse Probleme bis hin zu Bluescreens, wenn Du mehrere VPN-Clients auf einem Rechner installiert hast.
. Trotzdem komme ich über diesen beschriebenen Punkt nicht hinweg. Muß ich halt weiter probieren. Trotzdem vielen Dank.Ich kann mir auch nur Vorstellen dass es an Deiner Konfig liegt. Kannst Du bitte einmal Deine Parameter im Router und im ADV Client prüfen?
Unter Lanconfig unter der Rubrik VPN bitte einmal die Verbindungsliste ansehen und schauen was im IKE-Exchange steht (Aggr.Mode) und ADV Client auch prüfen. Ich Tippe dass im Router der Main Mode steht.
Unter Lanconfig unter der Rubrik VPN bitte einmal die Verbindungsliste ansehen und schauen was im IKE-Exchange steht (Aggr.Mode) und ADV Client auch prüfen. Ich Tippe dass im Router der Main Mode steht.
Kaum macht man es richtig, schon funktionierts.