 |
|
|
|
| Autor |
Nachricht |
Dr.Wackelzahn
Anmeldungsdatum: 03.03.2005
Beiträge: 60
|
 Verfasst am:
Mi 06 Aug, 2008 22:05 |
  |
|
Hallo,
ich versuche gerade über das Internet eine VPN Verbindung zur Uni herzustellen. Mit dem Cisco Client funktionierte das bisher gut. Jetzt bin ich auf den AVC umgestiegen und kann keine Verbindung mehr herstellen.
Folgender Fehler erscheint im Log:
06.08.2008 21:56:41 IPSDIALCHAN::start building connection
06.08.2008 21:56:41 IPSDIAL::DNSREQ: resolving dnserver over lan: xxx.uni.de
06.08.2008 21:56:41 IPSDIAL->DNSREQ: resolved ipadr: 1xx.1xx.0xx.2xx
06.08.2008 21:56:41 NCPIKE-phase1:name(Uni) - outgoing connect request - aggressive mode.
06.08.2008 21:56:41 XMIT_MSG1_AGGRESSIVE - Uni
06.08.2008 21:56:42 RECV_MSG2_AGGRESSIVE - Uni
06.08.2008 21:56:42 IKE phase I: Setting LifeTime to 28800 seconds
06.08.2008 21:56:42 Turning on XAUTH mode - Uni
06.08.2008 21:56:42 Uni ->Support for NAT-T version - 2
06.08.2008 21:56:42 Turning on NATD mode - Uni - 1
06.08.2008 21:56:42 Turning on IKE fragment mode - Uni
06.08.2008 21:56:42 IPSDIAL->FINAL_TUNNEL_ENDPOINT:1xx.1xx.0xx.2xx
06.08.2008 21:56:42 XMIT_MSG3_AGGRESSIVE - Uni
06.08.2008 21:56:42 Turning on DPD mode - Uni
06.08.2008 21:56:42 NCPIKE-phase1:name(Uni) - connected
06.08.2008 21:56:42 Phase1 is Ready: IkeIndex = 0000000a
06.08.2008 21:57:01 IKE(isakmp) - :Decrypt error(2)
Wo ist denn die Falscheingabe zu suchen?
Vielen Dank! |
|
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4568
Wohnort: Aachen
|
| Verfasst am:
Do 07 Aug, 2008 11:50 |
|
|
Hi Dr.Wackelzahn
| Zitat:
|
|
06.08.2008 21:57:01 IKE(isakmp) - :Decrypt error(2)
|
hier düfte wohl der Gruppenkey falsch sein...
Gruß
Backslash |
|
|
 |
|
Dr.Wackelzahn
Anmeldungsdatum: 03.03.2005
Beiträge: 60
|
| Verfasst am:
Do 07 Aug, 2008 13:09 |
|
|
Hmmm, seltsam.
Als Vorlage dient folgender Konfigurationshinweis:
http://www.rz.ruhr-uni-bochum.de/dienste/netze/vpn-konf.html
Demnach habe ich wie folgt konfiguriert:
Grundeinstellungen
- Name: Uni
- * VPN zu IPSec-Gegenstelle
- Medium: LAN (over IP)
Line Management
- Verbindungsaufbau: Manuell
- Timeout: 100
- O EAP-Authentisierung
- O HTTP-Authentisierung
IPsec-Einstellungen
- Gateway: cisco-vpn-1.rz.ruhr-uni-bochum.de
- IKE-Richtlinien: Auto
- IPSec-Richtlinie: Auto
- Exch. Mode: Aggressive Mode
- PFS-Gruppe: DH-Gruppe 2 (1024Bit)
Erweiterte IPsec-Optionen
- O IP-Kompression
- O Deaktiviere DPD
- O UDP Encapsulation
Identität
- Typ: Freier String für Gruppen Identifizierung
- ID: RUBBIB
- * Pre-Shared-Key verwenden:
- Shared-Secret: csmvpn3000
- * Extended Authentication (XAUTH):
- Benutername: Name
- Password: Geheim
- aus obiger Konfiguration
IP-Adressen Zuweisung
- DHCP über IPSec
VPN IP Netze
- leer
Zertifikats-Überprüfung
- leer
Link Firewall
- Stateful Inspection: aus
Jetzt frage ich mich nur woran es liegt?
* steht für Markiert
und
O steht für nicht Markiert |
|
|
|
|
Dr.Wackelzahn
Anmeldungsdatum: 03.03.2005
Beiträge: 60
|
| Verfasst am:
So 10 Aug, 2008 19:54 |
|
|
Also der Gruppenkey ist nach mehrfacher kontrolle richtig.
Weiß jemand, wo der Hase im Pfeffer liegt? |
|
|
|
|
meichertom
Anmeldungsdatum: 26.06.2006
Beiträge: 81
Wohnort: Nuernberg
|
| Verfasst am:
Mo 11 Aug, 2008 09:35 |
|
|
Hallo,
bitte erstelle für die IKE und IPSec-Richtlinie eine feste Richtlinie mit den entsprechenden Einstellungen und verwende diese. Bei der IP-Adressen Zuweisung verwende bitte den IKE Config Mode und poste nach den Änderungen nochmal das Logfile.
Gruß
Thomas |
|
|
 |
|
Dr.Wackelzahn
Anmeldungsdatum: 03.03.2005
Beiträge: 60
|
| Verfasst am:
Mo 11 Aug, 2008 15:19 |
|
|
Okay, jetzt habe ich zu meiner Verbindung unter IPSec-Einstellungen -> Editor bei IKE-Richtlinien einen "Pre-shared Key" und bei IPSec Richtlinien einen "IPSec" Eintrag erstellt.
Diese Einträge habe ich dann bei der Verbindung anstelle des "Automatischen Modus" angegeben.
Jetzt fragt sich nur was bei Verschlüsselung, Hash, DH-Gruppe, Transformation, Authentisierung einzustellen ist.
Da ich diese Angaben beim Cisco Client nicht finde wird es schwierig die heraus zu bekommen.
Kennt jemand die nötigen Einstellungen? |
|
|
|
|
meichertom
Anmeldungsdatum: 26.06.2006
Beiträge: 81
Wohnort: Nuernberg
|
| Verfasst am:
Mo 11 Aug, 2008 15:31 |
|
|
Hallo,
die Einstellungen kann dir nur der Admin der Gegenseite geben. Hast du evenutell vom Cisco ein pcf-File bekommen?
Gruß
Thomas |
|
|
|
|
Dr.Wackelzahn
Anmeldungsdatum: 03.03.2005
Beiträge: 60
|
| Verfasst am:
Mo 11 Aug, 2008 15:34 |
|
|
Nein, lediglich die Logindaten und das was auf der Homepage der Uni steht.
Hatte ich mir aber schon gedacht und bereits eine eMail an den "Helpdesk" geschrieben.
Mal schaun wie schnell diese Mühlen dort arbeiten.
Könnte vielleicht Monate dauern, wenn das überhaupt jemand weiß! |
|
|
|
|
meichertom
Anmeldungsdatum: 26.06.2006
Beiträge: 81
Wohnort: Nuernberg
|
| Verfasst am:
Mo 11 Aug, 2008 15:59 |
|
|
Hallo,
ich bin nochmal die Anleitung von der Homepage durchgegangen. Liegt vermutlich daran, dass die IPSec over TCP machen. Das unterstützt der LANCOM-Client nicht. Die müssten IPSec over UDP machen (siehe Einstellungen auf der Homepage unter dem Register Transport).
Gruß
Thomas |
|
|
|
|
Dr.Wackelzahn
Anmeldungsdatum: 03.03.2005
Beiträge: 60
|
| Verfasst am:
Mo 11 Aug, 2008 16:05 |
|
|
Aber bei der Kompatibilitätsliste (was für ein Wort!) vom Lancom Advanced VPN Client steht der Cisco Client mit dabei.
Sollte man dann doch davon ausgehen, dass es irgendwie möglich ist.
Wäre ja wirklich schade wenn es nicht gehen würde...
Hmmmm....
Außerdem ist diese Einstellung nur zu wählen wenn man hinter einen Router sitzt. Soweit ich weiss habe ich damals die Einstellung nicht aktiviert, obwohl ich hinter einem Router sitze.
Wer geht denn heute noch ohne Router ins Internet? |
|
|
|
|
meichertom
Anmeldungsdatum: 26.06.2006
Beiträge: 81
Wohnort: Nuernberg
|
| Verfasst am:
Mo 11 Aug, 2008 16:11 |
|
|
Hallo,
gegen Cisco kann man sich auch verbinden. Wenn du über ISDN / Modem / PPPoE dich verbindest, dann sollte es auch funktionieren, bzw. solltest Du mit deinen jetzigen Einstellungen weiter kommen. Aber sobald du über LAN / UMTS gehst wirst du immer an diesem Punkt scheitern, außer die Cisco-Admins stellen etwas um.
Gruß
Thomas |
|
|
|
|
Dr.Wackelzahn
Anmeldungsdatum: 03.03.2005
Beiträge: 60
|
| Verfasst am:
Mo 11 Aug, 2008 16:14 |
|
|
Also mal ganz ehrlich, wir fliegen auf den Mond und schaffen es immer noch nicht mehrere VPN Clients nebeneinander zu nutzen.
Ja wo samma denn? |
|
|
|
|
LoUiS
Site Admin
Anmeldungsdatum: 07.11.2004
Beiträge: 3989
Wohnort: Aix la Chapelle
|
| Verfasst am:
Mo 11 Aug, 2008 22:16 |
|
|
Lol,
was fuer ein grandioser Vergleich. Es gibt nun mal Szenarien, in denen der VPN Client _nicht_ alles abdecken kann. Egal ob wir auf den Mond geflogen sind oder nicht.
Ciao
LoUiS |
_________________
| Dr.House hat folgendes geschrieben:
|
Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
|
|
|
|
|
Dr.Wackelzahn
Anmeldungsdatum: 03.03.2005
Beiträge: 60
|
| Verfasst am:
Mo 18 Aug, 2008 11:57 |
|
|
Naja, aber man sollte doch meinen, dass es wenigstens einen VPN Client gibt der alles kann, oder? |
|
|
|
|
|
|
|
|
| |
|
|
