 |
|
|
|
| Autor |
Nachricht |
TheCloud
Anmeldungsdatum: 22.11.2007
Beiträge: 193
|
 Verfasst am:
Mi 28 Nov, 2007 13:46 |
  |
|
Hallo Pmeger,
wie hast Du die Gegenstelle auf dem LANCOM eingerichtet? Hast Du dafür einen LANconfig-Wizard benutzt?
Dein Draytek versucht die Verbindung im Aggressive-Mode aufzubauen. Beim LANCOM wird aber standardmäßig der sichere Main-Mode verwendet. Daher würde ich den Draytek umkonfigurieren, sofern beide Seiten eine feste IP oder einen dynDNS Account haben, denn der Aggressive-Mode ist offline angreifbar.
Gruß
TC |
|
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
Pmeger
Anmeldungsdatum: 09.07.2007
Beiträge: 23
|
| Verfasst am:
Mi 28 Nov, 2007 13:53 |
|
|
Ne, habe es nicht mit dem Wizzard gemacht.
Main Mode geht leider nicht, da die Außenstellen keine festen IPs haben und auch kein DynDNS.
Habe beide Seiten daher auf "aggressive" gestellt
Der Draytek steht auf:
Hoch(ESP) - DES (ohne Authentifizierung)
Phase1: DES - MD5
Phase2: DES - MD5 |
|
|
|
|
Pmeger
Anmeldungsdatum: 09.07.2007
Beiträge: 23
|
| Verfasst am:
Mi 28 Nov, 2007 17:22 |
|
|
Hab jetzt mal auf Mainmode geschaltet, dann kommt:
| Code:
|
[VPN-Status] 2007/11/28 16:21:18,880 : IKE info: The remote server 80.83.106.28:500 peer def-main-peer id <no_id> negotiated rfc-3706-dead-peer-detection
[VPN-Status] 2007/11/28 16:21:18,880 : IKE info: Phase-1 remote proposal 1 for peer def-main-peer matched with local proposal 1
|
Gruß |
|
|
|
|
TheCloud
Anmeldungsdatum: 22.11.2007
Beiträge: 193
|
| Verfasst am:
Mi 28 Nov, 2007 21:58 |
|
|
Hallo Pmeger,
ok, wenn DU keine festen öffentlichen IPs hat, und Du auch kein DynDNS nutzen willst, wird Dir nichts anderes übrig bleiben (ausser den Draytek auch durch ein LANCOM zu ersetzten  ).
Was man in dem Traceausschnitt sieht (def-aggr-peer), bedeutet, dass die einkommende Verbindung mit den Default-Proposals angenommen wird. Eigentlich müsste das LANCOM nun die Gegenseite anhand der übermittelten Identität erkennen und mit der konfigurierten Gegenstelle weiter verhandeln.
Da das aber nicht geschieht, würde ich vermuten, dass die Erkennung der Gegenstelle fehlschlägt. Hast Du die Identitäten auf beiden Seiten entsprechend über Kreuz (remote und local Identity) konfiguriert?
Gruß
TC |
|
|
|
|
Pmeger
Anmeldungsdatum: 09.07.2007
Beiträge: 23
|
| Verfasst am:
Do 29 Nov, 2007 09:24 |
|
|
Also die ID hat schon gepasst, denn wenn ich auf einer Seite eine andere eintrage kommt folgendes:
| Code:
|
[VPN-Status] 2007/11/29 08:21:29,670
IKE info: dropped message from peer unknown 80.83.106.28 port 500 due to notification type INVALID_ID_INFORMATION
|
Wenn die ID wieder übereinstimmt, sieht es so aus:
| Code:
|
[VPN-Status] 2007/11/29 08:23:21,430 : IKE info: Phase-1 remote proposal 1 for peer def-aggr-peer matched with local proposal 1
|
Was mache ich falsch?
Danke! |
|
|
|
|
Pmeger
Anmeldungsdatum: 09.07.2007
Beiträge: 23
|
| Verfasst am:
Do 29 Nov, 2007 14:18 |
|
|
Hab nen Firmwareupdate auf dem Draytek gemacht.
Jetzt steht die Verbindung mit DES und Authentifizierung. |
|
|
|
|
thorsten
Anmeldungsdatum: 20.03.2007
Beiträge: 21
Wohnort: Berlin
|
| Verfasst am:
Fr 14 Dez, 2007 17:51 |
|
|
| Pmeger hat folgendes geschrieben:
|
Also bleibt er irgendwo bei Phase1 hängen?
|
Ja, danach müßte so etwas kommen (aus einem Trace mit meinem Shrew VPN Client):
| Code:
|
[VPN-Status] 2007/12/14 16:43:25,050
IKE info: Phase-1 remote proposal 1 for peer def-aggr-peer matched with local proposal 1
[VPN-Status] 2007/12/14 16:43:25,140
IKE info: Phase-1 [responder] for peer SHREWTA between initiator id shrewta.thal.intern, responder id lancom.m.intern done
IKE info: NAT-T enabled in mode rfc, we are not behind a nat, the remote side is behind a nat
IKE info: SA ISAKMP for peer SHREWTA encryption aes-cbc authentication md5
IKE info: life time ( 86400 sec/ 0 kb)
|
Und ich wollte mir auch gerade einen Draytek 2700 zulegen... Übrigens gibt es in der Knowledge Base eine Anleitung zur Kopplung zwischen Lancom und Draytek.
Thorsten |
|
|
|
|
|
|
|
|
| |
|
|
