8011 VPN - Draytek 2700 (VPN Verbindung)

TheCloud · Beitrag von **TheCloud** » 28 Nov 2007, 12:46

Hallo Pmeger,

wie hast Du die Gegenstelle auf dem LANCOM eingerichtet? Hast Du dafür einen LANconfig-Wizard benutzt?

Dein Draytek versucht die Verbindung im Aggressive-Mode aufzubauen. Beim LANCOM wird aber standardmäßig der sichere Main-Mode verwendet. Daher würde ich den Draytek umkonfigurieren, sofern beide Seiten eine feste IP oder einen dynDNS Account haben, denn der Aggressive-Mode ist offline angreifbar.

Gruß

TC

Pmeger · Beitrag von **Pmeger** » 28 Nov 2007, 12:53

Ne, habe es nicht mit dem Wizzard gemacht.
Main Mode geht leider nicht, da die Außenstellen keine festen IPs haben und auch kein DynDNS.
Habe beide Seiten daher auf "aggressive" gestellt

Der Draytek steht auf:
Hoch(ESP) - DES (ohne Authentifizierung)

Phase1: DES - MD5
Phase2: DES - MD5

Pmeger · Beitrag von **Pmeger** » 28 Nov 2007, 16:22

Hab jetzt mal auf Mainmode geschaltet, dann kommt:

Code: Alles auswählen

[VPN-Status] 2007/11/28 16:21:18,880 : IKE info: The remote server 80.83.106.28:500 peer def-main-peer id <no_id> negotiated rfc-3706-dead-peer-detection

[VPN-Status] 2007/11/28 16:21:18,880 : IKE info: Phase-1 remote proposal 1 for peer def-main-peer matched with local proposal 1

Gruß

TheCloud · Beitrag von **TheCloud** » 28 Nov 2007, 20:58

Hallo Pmeger,

ok, wenn DU keine festen öffentlichen IPs hat, und Du auch kein DynDNS nutzen willst, wird Dir nichts anderes übrig bleiben (ausser den Draytek auch durch ein LANCOM zu ersetzten

).

Was man in dem Traceausschnitt sieht (def-aggr-peer), bedeutet, dass die einkommende Verbindung mit den Default-Proposals angenommen wird. Eigentlich müsste das LANCOM nun die Gegenseite anhand der übermittelten Identität erkennen und mit der konfigurierten Gegenstelle weiter verhandeln.

Da das aber nicht geschieht, würde ich vermuten, dass die Erkennung der Gegenstelle fehlschlägt. Hast Du die Identitäten auf beiden Seiten entsprechend über Kreuz (remote und local Identity) konfiguriert?

Gruß

TC

Pmeger · Beitrag von **Pmeger** » 29 Nov 2007, 08:24

Also die ID hat schon gepasst, denn wenn ich auf einer Seite eine andere eintrage kommt folgendes:

Code: Alles auswählen

[VPN-Status] 2007/11/29 08:21:29,670
IKE info: dropped message from peer unknown 80.83.106.28 port 500 due to notification type INVALID_ID_INFORMATION

Wenn die ID wieder übereinstimmt, sieht es so aus:

Code: Alles auswählen

[VPN-Status] 2007/11/29 08:23:21,430 : IKE info: Phase-1 remote proposal 1 for peer def-aggr-peer matched with local proposal 1

Was mache ich falsch?

Danke!

Pmeger · Beitrag von **Pmeger** » 29 Nov 2007, 13:18

Hab nen Firmwareupdate auf dem Draytek gemacht.

Jetzt steht die Verbindung mit DES und Authentifizierung.

thorsten · Beitrag von **thorsten** » 14 Dez 2007, 16:51

Pmeger hat geschrieben:Also bleibt er irgendwo bei Phase1 hängen?

Ja, danach müßte so etwas kommen (aus einem Trace mit meinem Shrew VPN Client):

Code: Alles auswählen

[VPN-Status] 2007/12/14 16:43:25,050
IKE info: Phase-1 remote proposal 1 for peer def-aggr-peer matched with local proposal 1


[VPN-Status] 2007/12/14 16:43:25,140
IKE info: Phase-1 [responder] for peer SHREWTA between initiator id shrewta.thal.intern, responder id lancom.m.intern done
IKE info: NAT-T enabled in mode rfc, we are not behind a nat, the remote side is behind a nat
IKE info: SA ISAKMP for peer SHREWTA encryption aes-cbc authentication md5
IKE info: life time ( 86400 sec/ 0 kb)

Und ich wollte mir auch gerade einen Draytek 2700 zulegen... Übrigens gibt es in der Knowledge Base eine Anleitung zur Kopplung zwischen Lancom und Draytek.

Thorsten