VPN-Verbindung zwischen LANCOM und IPCOP

Anmeldungsdatum: 07.09.2005 Beiträge: 184

Hallo zusammen,

ich habe einen 1711+ der mit einem IPCOP per VPN verbunden ist. Beide haben eine feste IP und einen DNS-Namen.

Leider ist seit der Einrichtung der VPN-Verbindnug alle 5 Min eine Trennung der VPN-Verbindung zu sehen. Auch wenn Daten übertragen werden. Hier wird nach dem neuen Aufbau der Verbindung weiter übertragen, aber komisch finde ich das schon und ich finde einfach den Grund nicht.

Kann mir vielleicht jemand einen Tipp geben?

Habe im Internet eine schöne (aber veraltete) Anleitung für LANCOM mit IPCOP gefunden, habe diese aber nicht befolgt, da die VPN-Verbindung ja zu stande kommt. HIer der Link: http://www.nwlab.net/tutorials/LANCOM-IPCOP-VPN/

Moderator Anmeldungsdatum: 08.11.2004 Beiträge: 4568 Wohnort: Aachen

Hi PX166

Zitat:

Kann mir vielleicht jemand einen Tipp geben?

als erstes solltest du mal ein VPN-Status-Trace auf dem LANCOM machen, um zu sehen, was genau passiert.

Gruß
Backslash

Anmeldungsdatum: 07.09.2005 Beiträge: 184

Hi Backslash,

anbei wie gewünscht, der Trace:

Code:

DEVICE: LANCOM 1711+ VPN
HW-RELEASE: G
VERSION: 8.00.0221RU2 / 07.10.2010

[VPN-Status] 2011/05/13 09:36:43,557 Devicetime: 2011/05/13 09:35:14,880
IKE info: Delete Notification received for Phase-2 SA ipsec-0-VPN-Name-pr0-l0-r0 peer VPN-Name spi [0xa3ab4888]

[VPN-Status] 2011/05/13 09:36:43,557 Devicetime: 2011/05/13 09:35:14,880
IKE info: Phase-2 SA removed: peer VPN-Name rule ipsec-0-VPN-Name-pr0-l0-r0 removed
IKE info: containing Protocol IPSEC_ESP, with spis [a3ab4888 ] [288d2e12 ]

[VPN-Status] 2011/05/13 09:36:43,557 Devicetime: 2011/05/13 09:35:14,890
IKE info: Delete Notification received for Phase-1 SA isakmp-peer-VPN-Name peer VPN-Name cookies [fab42a25a2fe16d8 c92f4a5576695349]

[VPN-Status] 2011/05/13 09:36:43,557 Devicetime: 2011/05/13 09:35:14,890
IKE info: Phase-1 SA removed: peer VPN-Name rule VPN-Name removed

[VPN-Status] 2011/05/13 09:36:43,557 Devicetime: 2011/05/13 09:35:14,890
VPN: VPN-Name (IP-Adresse) disconnected

[VPN-Status] 2011/05/13 09:36:43,733 Devicetime: 2011/05/13 09:35:14,930
selecting first remote gateway using strategy eFirst for VPN-Name
=> CurrIdx=0, IpStr=>gate2.etamax.de<, IpAddr=IP-Adresse, IpTtl=43494s

[VPN-Status] 2011/05/13 09:36:43,733 Devicetime: 2011/05/13 09:35:14,930
VPN: installing ruleset for VPN-Name (IP-Adresse)

[VPN-Status] 2011/05/13 09:36:43,733 Devicetime: 2011/05/13 09:35:14,940
IKE info: The remote server IP-Adresse:500 (UDP) peer VPN-Name id <no_id> supports NAT-T in mode rfc
IKE info: The remote server IP-Adresse:500 (UDP) peer VPN-Name id <no_id> supports NAT-T in mode rfc
IKE info: The remote server IP-Adresse:500 (UDP) peer VPN-Name id <no_id> supports NAT-T in mode rfc
IKE info: The remote server IP-Adresse:500 (UDP) peer VPN-Name id <no_id> supports NAT-T in mode rfc
IKE info: The remote server IP-Adresse:500 (UDP) peer VPN-Name id <no_id> negotiated rfc-3706-dead-peer-detection

[VPN-Status] 2011/05/13 09:36:43,733 Devicetime: 2011/05/13 09:35:14,940
IKE info: phase-1 proposal failed: remote No 1 hash algorithm = SHA <-> local No 1 hash algorithm = MD5
IKE info: Phase-1 remote proposal 1 for peer VPN-Name matched with local proposal 2

[VPN-Status] 2011/05/13 09:36:44,052 Devicetime: 2011/05/13 09:35:15,550
IKE info: Phase-1 [responder] for peer VPN-Name between initiator id IP-Adresse, responder id IP-Adresse done
IKE info: SA ISAKMP for peer VPN-Name encryption aes-cbc authentication sha1
IKE info: life time ( 3600 sec/ 0 kb)

[VPN-Status] 2011/05/13 09:36:44,052 Devicetime: 2011/05/13 09:35:15,550
IKE info: Phase-1 SA Rekeying Timeout (Soft-Event) for peer VPN-Name set to 3240 seconds (Responder)

[VPN-Status] 2011/05/13 09:36:44,052 Devicetime: 2011/05/13 09:35:15,550
IKE info: Phase-1 SA Timeout (Hard-Event) for peer VPN-Name set to 3600 seconds (Responder)

[VPN-Status] 2011/05/13 09:36:44,292 Devicetime: 2011/05/13 09:35:15,580
IKE info: Phase-2 proposal failed: remote No 1, esp hmac HMAC_SHA <-> local No 1, esp hmac HMAC_MD5
IKE info: Phase-2 proposal failed: remote No 1, esp algorithm AES <-> local No 2, esp algorithm BLOWFISH
IKE info: Phase-2 proposal failed: remote No 1, number of protos 1 <-> local No 3, number of protos 2
IKE info: Phase-2 proposal failed: remote No 1, esp algorithm AES <-> local No 4, esp algorithm 3DES
IKE info: Phase-2 proposal failed: remote No 1, esp hmac HMAC_SHA <-> local No 4, esp hmac HMAC_MD5
IKE info: Phase-2 proposal failed: remote No 1, esp algorithm AES <-> local No 5, esp algorithm 3DES
IKE info: Phase-2 remote proposal 1 failed for peer VPN-Name
IKE info: Phase-2 remote proposal 2 for peer VPN-Name matched with local proposal 1

[VPN-Status] 2011/05/13 09:36:44,443 Devicetime: 2011/05/13 09:35:15,930
VPN: connecting to VPN-Name (IP-Adresse)

[VPN-Status] 2011/05/13 09:36:44,579 Devicetime: 2011/05/13 09:35:15,990
VPN: installing ruleset for VPN-Name (IP-Adresse)

[VPN-Status] 2011/05/13 09:36:44,715 Devicetime: 2011/05/13 09:35:16,190
IKE info: Phase-2 SA Rekeying Timeout (Soft-Event) for peer VPN-Name set to 25920 seconds (Responder)

[VPN-Status] 2011/05/13 09:36:44,715 Devicetime: 2011/05/13 09:35:16,190
IKE info: Phase-2 SA Timeout (Hard-Event) for peer VPN-Name set to 28800 seconds (Responder)

[VPN-Status] 2011/05/13 09:36:44,715 Devicetime: 2011/05/13 09:35:16,190
IKE info: Phase-2 [responder] done with 2 SAS for peer VPN-Name rule ipsec-0-VPN-Name-pr0-l0-r0
IKE info: rule:' ipsec 192.168.1.0/255.255.255.0 <-> 192.168.135.0/255.255.255.0 '
IKE info: SA ESP [0xa3ab4889] alg AES keylength 128 +hmac HMAC_MD5 outgoing
IKE info: SA ESP [0x443f5ba9] alg AES keylength 128 +hmac HMAC_MD5 incoming
IKE info: life soft( 25920 sec/0 kb) hard (28800 sec/0 kb)
IKE info: tunnel between src: IP-Adresse dst: IP-Adresse

[VPN-Status] 2011/05/13 09:36:44,715 Devicetime: 2011/05/13 09:35:16,190
VPN: start IKE negotiation for VPN-Name (IP-Adresse)

[VPN-Status] 2011/05/13 09:36:44,715 Devicetime: 2011/05/13 09:35:16,220
VPN: ruleset installed for VPN-Name (IP-Adresse)

[VPN-Status] 2011/05/13 09:36:45,409 Devicetime: 2011/05/13 09:35:17,230
VPN: VPN-Name (IP-Adresse) connected

[TraceStopped] 2011/05/13 09:36:57,469
Used config:
# Trace config
trace + VPN-Status @ + VPN-Name

# Show commands
show bootlog
[Index] 2009/07/09 00:00:00,000
103,137,7;110,607,28;106,913,31;8,190,3;8,240,4;8,211,3;8,144,3;8,123,3;8,225,4;8,132,3;8,620,7;8,267,4;8,314,5;8,179,3;8,170,3;8,840,10;8,123,3;8,132,3;
8,180,3;8,171,3;8,541,8;8,135,3;8,131,3;8,120,4;104,137,7;

Moderator Anmeldungsdatum: 08.11.2004 Beiträge: 4568 Wohnort: Aachen

Hi PX166

ich hätte zwar lieber einen ganzen Trace, vom Start der Verbindung, bis zu deren Ende (und nicht wie hier das Ende der Alten und den Start der Neuen), aber hier sieht man zumindest daß die Verbimndung vom IPCOP getrennt wird:

Code:

[VPN-Status] 2011/05/13 09:36:43,557 Devicetime: 2011/05/13 09:35:14,880
IKE info: Delete Notification received for Phase-2 SA ipsec-0-VPN-Name-pr0-l0-r0 peer VPN-Name spi [0xa3ab4888]

(...)

[VPN-Status] 2011/05/13 09:36:43,557 Devicetime: 2011/05/13 09:35:14,890
IKE info: Delete Notification received for Phase-1 SA isakmp-peer-VPN-Name peer VPN-Name cookies [fab42a25a2fe16d8 c92f4a5576695349]

Warum der IPCOP hier getrennt hat, das sieht man allerdings nicht. Zum IPCOP kann ich leider nicht viel sagen, wenn er aber eine Trace-Möglichkeit hat oder ausführliche Logs schreibt, dann solltest du da mal reinschauen

Gruß
Backslash

Anmeldungsdatum: 07.09.2005 Beiträge: 184

Hi Backslash,

danke für deine Antwort.
Sorry, das habe ich gar nicht bemerkt.

Vielleicht liegt es am NAT? Vielleicht sollte ich die Verbindung noch mal einrichten ohne NAT. Der IPCOP unterstützt dies glaub ich so nicht...