VPN zw. 1611+ und Bintec

andreas · Beitrag von **andreas** » 24 Jul 2010, 15:41

Hallo zusammen,

ich habe ein VPN zwischen einem Lancom 1611+ (8.0) und einem Bintec-Router gemäß der KB von Lancom eingerichtet, leider komme ich nicht weiter.

Das VPN baut sich nicht auf, der Lanmonitor zeigt:
Zeitüberschreitung während IKE- oder IPSEC- Verhandlung

Ich muß zugeben, dass ich von der Einrichtung von VPNs wenig Ahnung habe. Auf dem 1611+ sind zwar 7 VPN-Verbindungen aktiv aber alle zwischen Lancoms...

Vielleicht hat ja jemand Zeit sich den Trace anzuschauen und mir einen Tipp zu geben wonach ich als nächstes suchen kann.

Code: Alles auswählen

VPN: connecting to VOIPGATE2 (84.110.148.36)
[VPN-Status] 2010/07/24 15:01:22,311  Devicetime: 2010/07/24 15:01:21,960
VPN: start dynamic VPN negotiation for VOIPGATE2 (84.110.148.36) via ICMP/UDP
[VPN-Status] 2010/07/24 15:01:22,311  Devicetime: 2010/07/24 15:01:21,960
VPN: create dynamic VPN V2 authentication packet for VOIPGATE2 (84.110.148.36)
     DNS: 192.168.4.201, 192.168.1.209
     NBNS: 192.168.4.250, 192.168.4.201
     polling address: 192.168.4.250
[VPN-Status] 2010/07/24 15:01:22,311  Devicetime: 2010/07/24 15:01:21,960
VPN: installing ruleset for VOIPGATE2 (84.110.148.36)
[VPN-Status] 2010/07/24 15:01:22,311  Devicetime: 2010/07/24 15:01:21,960
VPN: start IKE negotiation for VOIPGATE2 (84.110.148.36)
[VPN-Status] 2010/07/24 15:01:22,311  Devicetime: 2010/07/24 15:01:21,970
IKE info: Phase-1 negotiation started for peer VOIPGATE2 rule isakmp-peer-VOIPGATE2 using AGGRESSIVE mode
[VPN-Status] 2010/07/24 15:01:22,311  Devicetime: 2010/07/24 15:01:22,000
VPN: ruleset installed for VOIPGATE2 (84.110.148.36)
[VPN-Status] 2010/07/24 15:01:52,187  Devicetime: 2010/07/24 15:01:52,000
VPN: connection for VOIPGATE2 (84.110.148.36) timed out: no response
[VPN-Status] 2010/07/24 15:01:52,187  Devicetime: 2010/07/24 15:01:52,000
VPN: Error: IFC-I-Connection-timeout-IKE-IPSEC (0x1106) for VOIPGATE2 (84.110.148.36)
[VPN-Status] 2010/07/24 15:01:52,390  Devicetime: 2010/07/24 15:01:52,000
VPN: disconnecting VOIPGATE2 (84.110.148.36)
[VPN-Status] 2010/07/24 15:01:52,390  Devicetime: 2010/07/24 15:01:52,000
VPN: Error: IFC-I-Connection-timeout-IKE-IPSEC (0x1106) for VOIPGATE2 (84.110.148.36)
[VPN-Status] 2010/07/24 15:01:52,390  Devicetime: 2010/07/24 15:01:52,030
VPN: VOIPGATE2 (84.110.148.36)  disconnected
[VPN-Status] 2010/07/24 15:01:52,390  Devicetime: 2010/07/24 15:01:52,060
selecting next remote gateway using strategy eFirst for VOIPGATE2
     => no remote gateway selected
[VPN-Status] 2010/07/24 15:01:52,390  Devicetime: 2010/07/24 15:01:52,060
selecting first remote gateway using strategy eFirst for VOIPGATE2
     => CurrIdx=0, IpStr=>84.110.148.36<, IpAddr=84.110.148.36, IpTtl=0s
[VPN-Status] 2010/07/24 15:01:52,390  Devicetime: 2010/07/24 15:01:52,060
VPN: installing ruleset for VOIPGATE2 (84.110.148.36)
[VPN-Status] 2010/07/24 15:01:53,265  Devicetime: 2010/07/24 15:01:53,060
VPN: connecting to VOIPGATE2 (84.110.148.36)
[VPN-Status] 2010/07/24 15:01:53,499  Devicetime: 2010/07/24 15:01:53,080
VPN: start dynamic VPN negotiation for VOIPGATE2 (84.110.148.36) via ICMP/UDP
[VPN-Status] 2010/07/24 15:01:53,499  Devicetime: 2010/07/24 15:01:53,080
VPN: create dynamic VPN V2 authentication packet for VOIPGATE2 (84.110.148.36)
     DNS: 192.168.4.201, 192.168.1.209
     NBNS: 192.168.4.250, 192.168.4.201
     polling address: 192.168.4.250
[VPN-Status] 2010/07/24 15:01:53,499  Devicetime: 2010/07/24 15:01:53,080
VPN: installing ruleset for VOIPGATE2 (84.110.148.36)
[VPN-Status] 2010/07/24 15:01:53,499  Devicetime: 2010/07/24 15:01:53,080
VPN: start IKE negotiation for VOIPGATE2 (84.110.148.36)
[VPN-Status] 2010/07/24 15:01:53,499  Devicetime: 2010/07/24 15:01:53,080
IKE info: Phase-1 negotiation started for peer VOIPGATE2 rule isakmp-peer-VOIPGATE2 using AGGRESSIVE mode
[VPN-Status] 2010/07/24 15:01:53,499  Devicetime: 2010/07/24 15:01:53,120
VPN: ruleset installed for VOIPGATE2 (84.110.148.36)
[VPN-Status] 2010/07/24 15:02:23,313  Devicetime: 2010/07/24 15:02:23,120
VPN: connection for VOIPGATE2 (84.110.148.36) timed out: no response
[VPN-Status] 2010/07/24 15:02:23,313  Devicetime: 2010/07/24 15:02:23,120
VPN: Error: IFC-I-Connection-timeout-IKE-IPSEC (0x1106) for VOIPGATE2 (84.110.148.36)
[VPN-Status] 2010/07/24 15:02:23,469  Devicetime: 2010/07/24 15:02:23,120
VPN: disconnecting VOIPGATE2 (84.110.148.36)
[VPN-Status] 2010/07/24 15:02:23,469  Devicetime: 2010/07/24 15:02:23,120
VPN: Error: IFC-I-Connection-timeout-IKE-IPSEC (0x1106) for VOIPGATE2 (84.110.148.36)
[VPN-Status] 2010/07/24 15:02:23,469  Devicetime: 2010/07/24 15:02:23,150
VPN: VOIPGATE2 (84.110.148.36)  disconnected
[VPN-Status] 2010/07/24 15:02:23,469  Devicetime: 2010/07/24 15:02:23,190
selecting next remote gateway using strategy eFirst for VOIPGATE2
     => no remote gateway selected
[VPN-Status] 2010/07/24 15:02:23,469  Devicetime: 2010/07/24 15:02:23,190
selecting first remote gateway using strategy eFirst for VOIPGATE2
     => CurrIdx=0, IpStr=>84.110.148.36<, IpAddr=84.110.148.36, IpTtl=0s
[VPN-Status] 2010/07/24 15:02:23,469  Devicetime: 2010/07/24 15:02:23,190
VPN: installing ruleset for VOIPGATE2 (84.110.148.36)
[VPN-Status] 2010/07/24 15:02:24,407  Devicetime: 2010/07/24 15:02:24,190

Ich habe mal versucht den Trace zu entschlüsseln.. in der KB "VPN-Status-Trace aufgeschlüsselt" steht zu "IFC-I-Connection-timeout":
Mögliche Ursachen:
- Die Gateway-Adresse ist nicht korrekt.....
Habe die IP mehrfach kontrolliert, sie stimmt
- Die Gegenseite ist für diese Verbindung nicht konfiguriert, und kann die Verbindungsanfrage nicht zuordnen. Daher antwortet sie nicht.
Tja.. konfiguriert ist sie...
- Eine Firewall verhindert, das die Anfragepakete den LANCOM der Gegenseite erreichen.
Ne, da sollte nichts sein

Ich habe auf dem Bintec auch mal einen Trace gemacht:

Code: Alles auswählen

15:30:23 INFO/IPSEC: P1: peer 0 () sa 451 (R): delete ip 84.110.148.36 <- ip 84.87.2.154: Lifetime expired
15:30:30 DEBUG/IPSEC: P1: peer 0 () sa 500 (R): new ip 84.110.148.36 <- ip 84.87.2.154
15:30:30 DEBUG/IPSEC: P1: peer 1 (idefix) sa 500 (R): identified ip 84.110.148.36 <- ip 84.87.2.154
15:30:30 INFO/IPSEC: P1: peer 1 (idefix) sa 500 (R): failed ip 84.110.148.36 <- ip 84.87.2.154 (Invalid flags)
15:30:30 INFO/IPSEC: P1: peer 1 (idefix) sa 500 (R): delete ip 84.110.148.36 <- ip 84.87.2.154: Lifetime expired
15:30:33 DEBUG/INET: NAT: delete session on ifc 1100 prot 1 84.110.148.36:185/84.110.148.36:185 <-> 84.87.2.154:0
15:30:34 DEBUG/INET: NAT: new incoming session on ifc 1100 prot 1 84.110.148.36:189/84.110.148.36:189 <- 84.87.2.154:0
15:30:34 DEBUG/IPSEC: P1: peer 0 () sa 501 (R): new ip 84.110.148.36 <- ip 84.87.2.154
15:30:34 INFO/IPSEC: P1: peer 0 () sa 501 (R): Vendor ID: 84.87.2.154:500 (No Id) is 'eeefa37809e32ad4de4f6b010c26a640'
15:30:34 INFO/IPSEC: P1: peer 0 () sa 501 (R): Vendor ID: 84.87.2.154:500 (No Id) is 'draft-ietf-ipsec-nat-t-ike-02'
15:30:34 INFO/IPSEC: P1: peer 0 () sa 501 (R): Vendor ID: 84.87.2.154:500 (No Id) is 'draft-ietf-ipsec-nat-t-ike-03'
15:30:34 INFO/IPSEC: P1: peer 0 () sa 501 (R): Vendor ID: 84.87.2.154:500 (No Id) is '4a131c81070358455c5728f20e95452f'
15:30:34 INFO/IPSEC: P1: peer 0 () sa 501 (R): Vendor ID: 84.87.2.154:500 (No Id) is 'draft-ietf-ipsra-isakmp-xauth-06'
15:30:34 INFO/IPSEC: P1: peer 0 () sa 501 (R): Vendor ID: 84.87.2.154:500 (No Id) is 'Dead Peer Detection (DPD, RFC 3706
)'
15:30:34 DEBUG/IPSEC: SPD: dynamic peers not allowed
15:30:34 DEBUG/IPSEC: P1: peer 0 () sa 501 (R): ip 84.110.148.36 <- ip 84.87.2.154: no proposal
15:30:34 INFO/IPSEC: P1: peer 0 () sa 501 (R): failed ip 84.110.148.36 <- id fqdn(any:0,[0..9]=idefix.vpn) (No proposal
chosen)
15:30:34 DEBUG/IPSEC: P1: peer 0 () sa 502 (R): new ip 84.110.148.36 <- ip 84.87.2.154
15:30:34 DEBUG/IPSEC: P1: peer 1 (idefix) sa 502 (R): identified ip 84.110.148.36 <- ip 84.87.2.154
15:30:34 INFO/IPSEC: P1: peer 1 (idefix) sa 502 (R): failed ip 84.110.148.36 <- ip 84.87.2.154 (Invalid flags)
15:30:34 INFO/IPSEC: P1: peer 1 (idefix) sa 502 (R): delete ip 84.110.148.36 <- ip 84.87.2.154: Lifetime expired
15:30:42 DEBUG/IPSEC: P1: peer 0 () sa 503 (R): new ip 84.110.148.36 <- ip 84.87.2.154
15:30:42 DEBUG/IPSEC: P1: peer 1 (idefix) sa 503 (R): identified ip 84.110.148.36 <- ip 84.87.2.154
15:30:42 INFO/IPSEC: P1: peer 1 (idefix) sa 503 (R): failed ip 84.110.148.36 <- ip 84.87.2.154 (Invalid flags)
15:30:42 INFO/IPSEC: P1: peer 1 (idefix) sa 503 (R): delete ip 84.110.148.36 <- ip 84.87.2.154: Lifetime expired
15:30:51 DEBUG/IPSEC: P1: peer 0 () sa 504 (R): new ip 84.110.148.36 <- ip 84.87.2.154
15:30:51 DEBUG/IPSEC: P1: peer 1 (idefix) sa 504 (R): identified ip 84.110.148.36 <- ip 84.87.2.154
15:30:51 INFO/IPSEC: P1: peer 1 (idefix) sa 504 (R): failed ip 84.110.148.36 <- ip 84.87.2.154 (Invalid flags)
15:30:51 INFO/IPSEC: P1: peer 1 (idefix) sa 504 (R): delete ip 84.110.148.36 <- ip 84.87.2.154: Lifetime expired

15:30:54 INFO/IPSEC: P1: peer 0 () sa 456 (R): delete ip 84.110.148.36 <- ip 84.87.2.154: Lifetime expired
15:31:02 DEBUG/IPSEC: P1: peer 0 () sa 505 (R): new ip 84.110.148.36 <- ip 84.87.2.154
15:31:02 DEBUG/IPSEC: P1: peer 1 (idefix) sa 505 (R): identified ip 84.110.148.36 <- ip 84.87.2.154
15:31:02 INFO/IPSEC: P1: peer 1 (idefix) sa 505 (R): failed ip 84.110.148.36 <- ip 84.87.2.154 (Invalid flags)
15:31:02 INFO/IPSEC: P1: peer 1 (idefix) sa 505 (R): delete ip 84.110.148.36 <- ip 84.87.2.154: Lifetime expired
15:31:04 DEBUG/INET: NAT: delete session on ifc 1100 prot 1 84.110.148.36:186/84.110.148.36:186 <-> 84.87.2.154:0
15:31:06 DEBUG/INET: NAT: new incoming session on ifc 1100 prot 1 84.110.148.36:190/84.110.148.36:190 <- 84.87.2.154:0
15:31:06 DEBUG/IPSEC: P1: peer 0 () sa 506 (R): new ip 84.110.148.36 <- ip 84.87.2.154
15:31:06 INFO/IPSEC: P1: peer 0 () sa 506 (R): Vendor ID: 84.87.2.154:500 (No Id) is 'eeefa37809e32ad4de4f6b010c26a640'
15:31:06 INFO/IPSEC: P1: peer 0 () sa 506 (R): Vendor ID: 84.87.2.154:500 (No Id) is 'draft-ietf-ipsec-nat-t-ike-02'
15:31:06 INFO/IPSEC: P1: peer 0 () sa 506 (R): Vendor ID: 84.87.2.154:500 (No Id) is 'draft-ietf-ipsec-nat-t-ike-03'
15:31:06 INFO/IPSEC: P1: peer 0 () sa 506 (R): Vendor ID: 84.87.2.154:500 (No Id) is '4a131c81070358455c5728f20e95452f'
15:31:06 INFO/IPSEC: P1: peer 0 () sa 506 (R): Vendor ID: 84.87.2.154:500 (No Id) is 'draft-ietf-ipsra-isakmp-xauth-06'
15:31:06 INFO/IPSEC: P1: peer 0 () sa 506 (R): Vendor ID: 84.87.2.154:500 (No Id) is 'Dead Peer Detection (DPD, RFC 3706
)'
15:31:06 DEBUG/IPSEC: SPD: dynamic peers not allowed
15:31:06 DEBUG/IPSEC: P1: peer 0 () sa 506 (R): ip 84.110.148.36 <- ip 84.87.2.154: no proposal
15:31:06 INFO/IPSEC: P1: peer 0 () sa 506 (R): failed ip 84.110.148.36 <- id fqdn(any:0,[0..9]=idefix.vpn) (No proposal
chosen)
15:31:06 DEBUG/IPSEC: P1: peer 0 () sa 507 (R): new ip 84.110.148.36 <- ip 84.87.2.154
15:31:06 DEBUG/IPSEC: P1: peer 1 (idefix) sa 507 (R): identified ip 84.110.148.36 <- ip 84.87.2.154
15:31:06 INFO/IPSEC: P1: peer 1 (idefix) sa 507 (R): failed ip 84.110.148.36 <- ip 84.87.2.154 (Invalid flags)
15:31:06 INFO/IPSEC: P1: peer 1 (idefix) sa 507 (R): delete ip 84.110.148.36 <- ip 84.87.2.154: Lifetime expired

Was bedeutet hier "No Proposal chosen"? seufz...

Vielen Dank!

ft2002 · Beitrag von **ft2002** » 24 Jul 2010, 20:52

Wird die Verbindung zum oder von dem Lancom ausgelöst ?

Nach dem Trace wird ich sagen vom Lancom .

Mach mal die Verbindung zum Lancom und dann im Lancom ein Trace auf die Verbindung.

Da immer der Annehmende sagt was Ihm nicht passt.

Es ist alles interressant was ab dem 1. Error drin steht.
Alle anderen Fehler reihen sich dann natürlich dahinter ein weil der Ablauf nicht stimmt.

No Proposel bedeutet Du hast kein Proposels eingerichtet für die Verbindung für IPSec oder IKE .

Hast Du die Verbindung von Hand angelegt ?

Welches Dokument hast Du denn genommen ? zum draufschauen !

andreas · Beitrag von **andreas** » 25 Jul 2010, 10:07

ft2002 hat geschrieben:Wird die Verbindung zum oder von dem Lancom ausgelöst ?

Vom Lancom aus.

ft2002 hat geschrieben:Mach mal die Verbindung zum Lancom und dann im Lancom ein Trace auf die Verbindung.

Das oben sollte der Trace sein... was fehlt denn da? Wie gesagt, bin nicht so der Tracespecialist... Ich hab den mit dem Assistenten erstellt und die betreffende Gegenstelle genommen.

ft2002 hat geschrieben:Hast Du die Verbindung von Hand angelegt ?

Quasi halbmanuel.. siehe das Dokument unten

ft2002 hat geschrieben:Welches Dokument hast Du denn genommen ? zum draufschauen !

Dieses:
http://www2.lancom.de/kb.nsf/0/ab692a6a ... enDocument

Vielen Dank für Deine Unterstützung

ft2002 · Beitrag von **ft2002** » 25 Jul 2010, 10:52

Mach mal die Verbindung so das der Bintec vom zum Lancom läuft !

Laut dem Dokument sollte es so sein ; mach mal ein Dauer-Ping auf das Netz im Lancom vom Bintec aus

Hast Du drauf geachtet das in Identität local und entfernt auch jeweils richtig herrum im Bintec und auch im Lancom steht.....

Dann Tracen.

Kannst Du im LanMonitor rechte Maustaste auf das Gerät Tracen und den Hacken auf VPN-Status und Start

Hast Du die SA kontrolliert . Mal per Telnet auf den Router und gleich nach der Passworteingabe show vpn.
Jetzt solltest Du die Netzbeziehung sehen IP-Netz Lancom zum IP-Netz Bintec

andreas · Beitrag von **andreas** » 25 Jul 2010, 13:04

So, bin einen Schritt weiter.

Das VPN steht "fast" ich bin nochmal alles durchgegangen. Es gibt vermutlich einen Fehler in der KB von Lancom.

Hier steht "lancom.test"
http://www2.lancom.de/kb.nsf/0/ab692a6a ... ody/28.594

und hier "lancom" bei Peer-ID
http://www2.lancom.de/kb.nsf/0/ab692a6a ... dy/43.3EF2

seit das auf beiden Seiten lancom.test ist, steht der Tunnel.

Jetzt gibt es noch die Fehlermeldung "Kein übereinstimmendes Proposal gefunden"

Wo wäre da die erste Stelle zum Suchen?

Hier der VPN-Trace

Code: Alles auswählen

[VPN-Status] 2010/07/25 12:50:30,311  Devicetime: 2010/07/25 12:50:29,760
IKE info: ISAKMP_NOTIFY_DPD_R_U_THERE sent for Phase-1 SA to peer BINTEC, sequence nr 0xd2223fe
[VPN-Status] 2010/07/25 12:50:30,514  Devicetime: 2010/07/25 12:50:29,780
IKE info: NOTIFY received of type ISAKMP_NOTIFY_DPD_R_U_THERE_ACK for peer BINTEC Seq-Nr 0xd2223fe, expected 0xd2223fe
[VPN-Status] 2010/07/25 12:51:30,328  Devicetime: 2010/07/25 12:51:29,780
IKE info: ISAKMP_NOTIFY_DPD_R_U_THERE sent for Phase-1 SA to peer BINTEC, sequence nr 0xd2223ff
[VPN-Status] 2010/07/25 12:51:30,468  Devicetime: 2010/07/25 12:51:29,800
IKE info: NOTIFY received of type ISAKMP_NOTIFY_DPD_R_U_THERE_ACK for peer BINTEC Seq-Nr 0xd2223ff, expected 0xd2223ff
[VPN-Status] 2010/07/25 12:52:29,923  Devicetime: 2010/07/25 12:52:29,370
IKE info: ISAKMP_NOTIFY_DPD_R_U_THERE sent for Phase-1 SA to peer BINTEC, sequence nr 0xd222400
[VPN-Status] 2010/07/25 12:52:30,110  Devicetime: 2010/07/25 12:52:29,390
IKE info: NOTIFY received of type ISAKMP_NOTIFY_DPD_R_U_THERE_ACK for peer BINTEC Seq-Nr 0xd222400, expected 0xd222400
[VPN-Status] 2010/07/25 12:53:30,142  Devicetime: 2010/07/25 12:53:29,580
IKE info: ISAKMP_NOTIFY_DPD_R_U_THERE sent for Phase-1 SA to peer BINTEC, sequence nr 0xd222401
[VPN-Status] 2010/07/25 12:53:30,361  Devicetime: 2010/07/25 12:53:29,600
IKE info: NOTIFY received of type ISAKMP_NOTIFY_DPD_R_U_THERE_ACK for peer BINTEC Seq-Nr 0xd222401, expected 0xd222401
[VPN-Status] 2010/07/25 12:54:09,861  Devicetime: 2010/07/25 12:54:09,300
IKE info: Phase-2 SA Soft-Event occured for peer BINTEC (Initiator)
[VPN-Status] 2010/07/25 12:54:10,158  Devicetime: 2010/07/25 12:54:09,590
IKE info: Phase-2 SA Rekeying Timeout (Soft-Event) for peer BINTEC set to 1600 seconds (Initiator)
[VPN-Status] 2010/07/25 12:54:10,158  Devicetime: 2010/07/25 12:54:09,590
IKE info: Phase-2 SA Timeout (Hard-Event) for peer BINTEC set to 2000 seconds (Initiator)
[VPN-Status] 2010/07/25 12:54:10,158  Devicetime: 2010/07/25 12:54:09,590
IKE info: Phase-2 [inititiator] done with 2 SAS for peer BINTEC rule ipsec-1-BINTEC-pr0-l0-r0
IKE info: rule:' ipsec 192.168.4.0/255.255.255.0 <-> 192.168.8.0/255.255.255.0 '
IKE info: SA ESP [0x01a72d9b]  alg 3DES keylength 192 +hmac HMAC_MD5 outgoing
IKE info: SA ESP [0x419a7db4]  alg 3DES keylength 192 +hmac HMAC_MD5 incoming
IKE info: life soft( 1600 sec/160000 kb) hard (2000 sec/200000 kb)
IKE info: tunnel between src: 1.1.2.154 dst: 1.1.148.36

und hier "show vpn"

Code: Alles auswählen

  Connection #13                 192.168.4.0/255.255.255.0:0 <-> 192.168.8.0/255.255.255.0:0 any

    Name:                       VOIPGATE2
    Unique Id:                  ipsec-1-VOIPGATE2-pr0-l0-r0
    Flags:                      aggressive-mode
    Local  Network:             IPV4_ADDR_SUBNET(any:0, 192.168.4.0/255.255.255.0)
    Local  Gateway:             IPV4_ADDR(any:0, 1.1.2.154)
    Remote Gateway:             IPV4_ADDR(any:0, 1.1.148.36)
    Remote Network:             IPV4_ADDR_SUBNET(any:0, 192.168.8.0/255.255.255.0)



Connection #14                 0.0.0.0/0.0.0.0:0 <-> 192.168.8.0/255.255.255.0:0 any

    Name:                       VOIPGATE2
    Unique Id:                  ipsec-0-VOIPGATE2-pr0-l0-r0
    Flags:                      aggressive-mode
    Local  Network:             IPV4_ADDR_SUBNET(any:0, 0.0.0.0/0.0.0.0)
    Local  Gateway:             IPV4_ADDR(any:0, 1.1.2.154)
    Remote Gateway:             IPV4_ADDR(any:0, 1.1.148.36)
    Remote Network:             IPV4_ADDR_SUBNET(any:0, 192.168.8.0/255.255.255.0)

hmm, wo kommt die zweite Verbindung her??

ft2002 · Beitrag von **ft2002** » 25 Jul 2010, 13:25

Der Tunnel steht und dann kommt die Fehlermeldung !

Da kann was mit der SA nicht stimmen .
Hast Du auf beiden Seiten nur ein Netz ? Meistens ist das wenn man mehr als ein Netz hat und alles auf Automatic steht . Dann trägt man nur ein Netz ein und der Lancom Versucht das zweite Netz auch eine SA Aushandlung und das funzt nicht.

Im Lancom CM unter :
VPN / Verbindungsliste die VPN Verbindung auf Manuell stellen

Firewall / Regel eine neue Regel erstellen
1.Reiter : Hacken 2 und 4
2.Reiter : Acceppt
3.Reiter : nichts
4.Reiter : von die IP des Netzes im Lancom an den Verbindungsnamen zum Bintec oder die IP
5.Reiter : nichts

Routingtabelle sollte der Routingeintrag schon drin sein

das war es und per show vpn überprüfen, sollte wenn Du nur ein Tunnel hast auch nur 1 Eintrag drin sein.
Tunnel trennen damit er sich neu Aufbaut und alles ist gut,