VPN Verbindung Lancom 1781A zu einem Linksys Router (RV042)

[spacemaster]

Hallo zusammen,

ich nutze zurzeit einen Linksys RV042 wgen einem Büro-Umzug kann ich diesen nicht mehr nutzen. Ich habe die Empfehlung für einen Lancom 1781A bekommen und mir diesen zugelegt.
Mit dem Linksys habe ich 3 VPN Gateway-Gateway Tunnel zu Kunden genutzt. Nun muss ich diese Tunnel natürlich am Lancom auch wieder einrichten. Und da fängt nun mein Problem an.
Die Konfiguration des Lancom ist um einiges Komplizierter als beim Linksys. Dort hatte ich nur eine HTML Seite mit Einstellungen. Nun muss man wohl an vielen unterschiedlichen Stellen die Einstellungen vornehmen. Nun hoffe ich, dass jemand hier im Forum mir ein paar Tips geben kann wie ich die folgenden Einstellungen auch am Lancom wieder einrichten kann.

Einstellungen am Linksys (Exemplarisch für einen Tunnel):

Local Security gateway Type: IP Only
IP Adress: 212.168.X.X (Meine feste IP des Providers)
Local Security Group Type: Subnet
IP Adress: 192.168.64.0
Subnet Mask: 255.255.255.0

Remote Security Gateway Type: IP Only
IP Adress: 217.7.X.X
Remote Security Group Type: Subnet
IP Adress: 192.168.1.0
Subnet Mask: 255.255.0.0

Keying Mode: IKE with Preshared key
Phase1 DH Group: Group1
Phase1 Encryption: 3DES
Phase1 Authentication: SHA1
Phase1 SA Life Time: 28800 seconds
Perfect Forward Secrecy: yes
Phase2 DH Group: Group1
Phase2 Encryption: 3DES
Phase2 Authentication: SHA1
Phase2 SA Life Time: 3600 seconds
Preshared Key: MEIN-KEY-EBEN

Aggresive Mode: No
Compress: No
Keep Alive: No
AH Hash Algorithm MD5: No
NetBIOS broadcast: No
NAT Traversal: No
Dead Peer Detection (DPD) Interval 10 seconds: Yes

Soweit zu den bisherigen Einstellungen. Ich wäre nun sehr Dankbar wenn mir jemand auf die Sprünge helfen kann. Eine Schnelleinrichtung via Assistent brachte keinen Erfolg. Ich gehe also davon aus, dass man diese Einstellungen manuell konfigurieren muss. Nur wie und wo?

Besten Dank schon einmal

Thomas

[MariusP]

Hi,
Es gibt 3 Möglichkeiten der manuellen Konfiguration eines Lancoms.
1 Lanconfig Windowstool, welches optimal für Neueinsteiger ist (mit Hilfetexten usw.) ftp://ftp.lancom.de/LANCOM-Releases/LANtools/
2 Webconfig, Zugriff über einen Browser durch Eingabe der Lancom-IP
3 Kommandozeile, Zugriff über SSH oder Telnet (um die wichtigsten zu nennen) bietet am meisten Aber ist auch ohne Hilfe. Ist für geübte Admins meist die schnellere Variante.

Welche Geräte stehen denn auf der anderen Seite?
Dies ist auch interessant um zu wissen welche Verschlüsselungsverfahren die Gegenseite beherrscht.

Phase1 DH Group: Group1
Verwende am beste Gruppe 14 oder zumindestens Gruppe 5, da diese Aufgrund der größeren Länge mehr Sicherheit bieten und kaum Einbußen beim Verbindungsaufbau erzeugen.
Der Lancom den du hast unterstützt bis Gruppe 16 in Hardware.

Auch würde ich generell auf AES wechseln auch wenn ich bisher noch von keinem erfolgreichen Angriff auf 3DES gehört habe.
Selbiges gilt für SHA1 und SHA2.


Ansonsten lies dir bitte https://www2.lancom.de/kb.nsf/1275/2A40 ... enDocument durch.

Lancom bietet eine http://www.lancom-systems.de/service-su ... ledgebase/
Dort kannst du unter Volltextsuche nach VPN suchen und findest sehr viele Anleitungen zu VPN und Lancom.

Gruß

[spacemaster]

Danke für die Nachricht. Ich habe mir die Tools alle schon angeschaut. Meine versuche scheiterten leider eine Verbindung aufzubauen. Bei 2 gegenstellen sind auch linksys rv042 im Einsatz. Bei den anderen beiden keine Ahnung. Die konfig die ich geschrieben habe ist von Kunden so vorgegeben daran kann ich nichts ändern. Deshalb ja meine Frage wie ich das im lancom manuell einstelle.

Gruß

[MariusP]

Hi,
Achso du darfst die Gegenstellen nicht konfigurieren. Wenn nein würde ich dennoch dem Kunden vorschlagen die DH Gruppe auf 5 anzupassen.
Zur Fehlersuche beim Aufbau:
https://www2.lancom.de/kb.nsf/bf0ed2a4d ... enDocument
Mit dem Trace siehst du die Ereignisse im VPN.
https://www2.lancom.de/kb.nsf/b8f10fe56 ... enDocument
Damit siehst du wie du per Lanconfig tracen kannst.
https://www2.lancom.de/kb.nsf/ac9686032 ... enDocument
Und so machst du es per Konsole.

Anhand der Ausgabe im Trace solltest du das Problem finden.
Wie man die Probleme dann behebt, können wir, solltest du es anhand meiner vorher geposteten Anleitung nicht nachvollziehen können, hier besprechen.

Deshalb ja meine Frage wie ich das im lancom manuell einstelle.

Ansonsten lies dir bitte https://www2.lancom.de/kb.nsf/1275/2A40 ... enDocument durch.

Gruß

[spacemaster]

Hallo,

ich habe nun alles Mögliche versucht anhand der KB die Verbindungen einzurichten. Leider ohne Erfolg. Ich habe mal einen Trace gemacht. Darin kommt die Meldung "INVALID_KEY_INFORMATION". Habe aber des PSK mehrfach kontrolliert. Das stimmt alles. Ich vermute, dass da noch irgendwo eine andere Einstellung fehlerhaft ist. hier mal ein Auszug aus dem Trace

Code: Alles auswählen

[VPN-Status] 2015/06/01 11:00:48,077  Devicetime: 2015/06/01 11:00:46,299
VPN: WAN state changed to WanProtocol for Zentrale (145.243.191.4), called by: 009ca11c

[VPN-Status] 2015/06/01 11:00:48,077  Devicetime: 2015/06/01 11:00:46,301
IKE info: Phase-1 negotiation started for peer Zentrale rule isakmp-peer-Zentrale using MAIN mode

[VPN-Status] 2015/06/01 11:00:48,077  Devicetime: 2015/06/01 11:00:46,343
IKE info: Phase-1 remote proposal 1 for peer Zentrale matched with local proposal 1

[VPN-Status] 2015/06/01 11:00:48,217  Devicetime: 2015/06/01 11:00:46,437
IKE info: Phase-1 [initiator] for peer Zentrale initiator id  212.168.171.29, responder id  145.143.191.4
IKE info: initiator cookie: 0x2e5e451a6b4fe2cf, responder cookie: 0x4091ae2225f1f07c
IKE info: SA ISAKMP for peer Zentrale encryption 3des-cbc authentication MD5
IKE info: life time ( 108000 sec/ 0 kb)

[VPN-Status] 2015/06/01 11:00:48,217  Devicetime: 2015/06/01 11:00:46,437
IKE info: Phase-1 SA Rekeying Timeout (Soft-Event) for peer Zentrale set to 86400 seconds (Initiator)

[VPN-Status] 2015/06/01 11:00:48,217  Devicetime: 2015/06/01 11:00:46,437
IKE info: Phase-1 SA Timeout (Hard-Event) for peer Zentrale set to 108000 seconds (Initiator)

[VPN-Status] 2015/06/01 11:00:48,217  Devicetime: 2015/06/01 11:00:46,480
IKE info: NOTIFY received of type INVALID_KEY_INFORMATION for peer Zentrale

[VPN-Status] 2015/06/01 11:01:18,035  Devicetime: 2015/06/01 11:01:16,299
VPN: connection for Zentrale (145.143.191.4) timed out: no response

[VPN-Status] 2015/06/01 11:01:18,035  Devicetime: 2015/06/01 11:01:16,299
VPN: Error: IFC-I-Connection-timeout-IKE-IPSEC (0x1106) for Zentrale (145.143.191.4)

[VPN-Status] 2015/06/01 11:01:18,035  Devicetime: 2015/06/01 11:01:16,299
VPN: disconnecting Zentrale (145.143.191.4)

[VPN-Status] 2015/06/01 11:01:18,035  Devicetime: 2015/06/01 11:01:16,299
VPN: Error: IFC-I-Connection-timeout-IKE-IPSEC (0x1106) for Zentrale (145.143.191.4)

[VPN-Status] 2015/06/01 11:01:18,035  Devicetime: 2015/06/01 11:01:16,301
IKE info: Delete Notification sent for Phase-1 SA to peer Zentrale, cookies [0x2e5e451a6a4fe2cf 0x4091ae2225f1h07c]

[VPN-Status] 2015/06/01 11:01:18,035  Devicetime: 2015/06/01 11:01:16,301
IKE info: Phase-1 SA removed: peer Zentrale rule Zentrale removed

[VPN-Status] 2015/06/01 11:01:18,035  Devicetime: 2015/06/01 11:01:16,312
VPN: Zentrale (145.143.191.4)  disconnected

mich irritiert auch, dass ich bei der Lifetime nicht mehr als 9999 Sekunden angeben kann. Bei meiner "alten" Einstellung im Linksys musste ich bei
Phase1 SA Life Time 28800 Sekunden angeben. Wonach könnte ich denn noch suchen? Achja, dieser Trace ist aus einer Konfig eines anderen Tunnel der von den Einstellungen meines ersten Posts minimal abweicht.

Für eine Hilfe wäre ich sehr dankbar. Momentan bereue ich etwas, einen Lancom gekauft zu haben. Sicher ein Top Gerät, aber die Administration wesentlich komplizierter als bei seinem Vorgänger Linksys.

Gruß Thomas

[MariusP]

Hi,
Lifetime ist nicht das selbe wie Short-hold-time.
du suchst folgenden Pfad: Setup/VPN/Proposals/IPSEC
oder Setup/VPN/Proposals/IKE je nachdem ob du Phase 1 oder Phase 2 meinst.

Fünfter Treffer für "Lifetime" im Menühandbuch.
http://www.lancom-systems.de/download/d ... 900-EN.pdf

Bitte poste: Setup/VPN/Certificates-and-Keys/ und Setup/VPN/Layer/
Dein Key sollte nur als * ausgegeben werden.
Da wir es mit einer Art Blackbox(Kundengerät) zu tun haben, wissen wir nicht warum er mit den Key Informations unzufrieden ist. Oder gibt es eine Möglichkeit auf dem Kundengerät eine Art Trace zu starten oder gibt es einen Log?

Wenn du genau sehen möchtest welche welche Daten übertragen werden kannst du dir den vpn-ike Trace anschauen. Nur zu empfehlen wenn du dich mit dem IKE Protokol ein wenig auskennst.
Gruß

[spacemaster]

Wo kann ich denn "PerfectForwardSecrecy" festlegen?
Evtl. könnte es damit etwas zu tun haben.

[MariusP]

Hi,
PFS findest du unter Setup/VPN/Layer.
Ein bisschen eigenes Engagement würde ich mir doch wünschen.
Ich habe die Menüreferenz gepostet, da hättest du nach deinem Begriff suchen können und es selber finden können.
Gruß

[spacemaster]

Besten Dank.

Ja leider sieht man vor lauter Bäumen den Wald nicht mehr
Über den Web-Zugang findet man die Begrifflichkeiten etwas besser als über den Windows Client. Das werde mir wohl angewöhnen.
Ich war gewohnt bei PFS eine Haken zu setzen. Hier muss man nun in der Auswahlliste "Kein PFS" auswählen. Siehe da, der Tunnel steht
Kleine Ursache große Wirkung. PFS ist per Default an. Das Gateway des Kunden lehnt das aber ab.

Vielen Dank nochmal.

[MariusP]

Hi,
Bei Lanconfig finde ich es sehr angenehm, das man in der Suche nach Begriffen und nach Einträgen suchen kann.

Zum Thema PFS, stand in deiner Liste von Parametern der Gegenseite nicht das PFS aktiv sein soll?
PFS sollte laut aktueller Meinung der "Experten" verwendet werden um ein nachträgliches Entschlüsselns ein Session zu verhindern, sollten z.b. die Passwörter geknackt werden.
Zumal es den Aufwand des Verhandlungsaufbau um maximal 0,5s verzögert (Je nach Hardware und Gruppe).
Aus diesem Grund ist in dem Standarttabelleneintrag eingeschaltet.
Gruß