 |
|
|
|
| Autor |
Nachricht |
COMCARGRU
Anmeldungsdatum: 10.11.2004
Beiträge: 976
Wohnort: Hessen
|
 Verfasst am:
Fr 10 Jun, 2011 13:34 |
  |
|
Hallo zusammen,
versuche ein Andorid mit Lancom zu verbinden und das schlägt fehl.
Lancom Trace:
| Zitat:
|
[VPN-Status] 2011/06/10 10:37:31,016 Devicetime: 2011/06/10 10:37:30,920
IKE info: The remote server 89.204.117.xxx:39657 (UDP) peer def-aggr-peer id <no_id> supports NAT-T in mode draft
IKE info: The remote server 89.204.117.xxx:39657 (UDP) peer def-aggr-peer id <no_id> supports NAT-T in mode draft
IKE info: The remote server 89.204.117.xxx:39657 (UDP) peer def-aggr-peer id <no_id> supports NAT-T in mode rfc
IKE info: The remote server 89.204.117.xxx:39657 (UDP) peer def-aggr-peer id <no_id> supports draft-ietf-ipsec-isakmp-xauth
IKE info: The remote server 89.204.117.xxx:39657 (UDP) peer def-aggr-peer id <no_id> negotiated rfc-3706-dead-peer-detection
[VPN-Status] 2011/06/10 10:37:31,016 Devicetime: 2011/06/10 10:37:30,920
IKE info: phase-1 proposal failed: remote No 1 hash algorithm = SHA <-> local No 1 hash algorithm = MD5
IKE info: Phase-1 remote proposal 1 for peer def-aggr-peer matched with local proposal 2
[VPN-Status] 2011/06/10 10:37:31,307 Devicetime: 2011/06/10 10:37:31,270
IKE info: Phase-1 [responder] for peer ANDROID_TEST between initiator id androtest, responder id androtest done
IKE info: NAT-T enabled in mode rfc, we are not behind a nat, the remote side is behind a nat
IKE info: SA ISAKMP for peer ANDROID_TEST encryption aes-cbc authentication sha1
IKE info: life time ( 86400 sec/ 0 kb)
[VPN-Status] 2011/06/10 10:37:31,307 Devicetime: 2011/06/10 10:37:31,270
IKE info: Phase-1 SA Rekeying Timeout (Soft-Event) for peer ANDROID_TEST set to 77760 seconds (Responder)
[VPN-Status] 2011/06/10 10:37:31,307 Devicetime: 2011/06/10 10:37:31,270
IKE info: Phase-1 SA Timeout (Hard-Event) for peer ANDROID_TEST set to 86400 seconds (Responder)
[VPN-Status] 2011/06/10 10:37:31,507 Devicetime: 2011/06/10 10:37:31,400
IKE info: IKE-CFG: Attribute XAUTH_TYPE len 2 value XAUTH_TYPE_GENERIC received
[VPN-Status] 2011/06/10 10:37:31,507 Devicetime: 2011/06/10 10:37:31,400
IKE info: IKE-CFG: Attribute XAUTH_USER_NAME len 6 value androtest received
[VPN-Status] 2011/06/10 10:37:31,507 Devicetime: 2011/06/10 10:37:31,400
IKE info: IKE-CFG: Attribute XAUTH_PASSWORD len 12 value * received
[VPN-Status] 2011/06/10 10:37:31,708 Devicetime: 2011/06/10 10:37:31,540
IKE info: Delete Notification received for Phase-1 SA isakmp-peer-ANDROID_TEST peer ANDROID_TEST cookies [c1488f8532ff9f97 e6b710e310cfe232]
[VPN-Status] 2011/06/10 10:37:31,708 Devicetime: 2011/06/10 10:37:31,540
IKE info: Phase-1 SA removed: peer ANDROID_TEST rule ANDROID_TEST removed
[VPN-Status] 2011/06/10 10:37:31,708 Devicetime: 2011/06/10 10:37:31,550
VPN: ANDROID_TEST (0.0.0.0) disconnected
|
Auf Seiten Android sieht man nur:
"IKE negotiation failed"
Wo läuft es schief?
Danke
COMCARGRU |
_________________
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet??? |
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4568
Wohnort: Aachen
|
| Verfasst am:
Fr 10 Jun, 2011 16:45 |
|
|
Hi COMCARGRU,
vermutlich sind Username und/oder Paßwort im XAUTH nicht korrekt... Ich hab es gerade mal mit dem AVC ausprobiert: Das LANCOM teilt im Trace leider nicht mit, ob es die Verbindung annimt oder nicht. Wenn ich ein falsches Paßwort übermittel, dann sieht der Trace genau so aus, wie bei dir, d.h. der AVC sendet eine Delete-Notification - ich hätte es eigentlich anders herum erwartet, also daß das LANCOM die Verbindung aktiv trennt...
Gruß
Backlsash |
|
|
|
|
COMCARGRU
Anmeldungsdatum: 10.11.2004
Beiträge: 976
Wohnort: Hessen
|
| Verfasst am:
Sa 11 Jun, 2011 13:57 |
|
|
Hi,
vielen Dank, aber leider scheint es das wohl nicht zu sein. Für den Test habe ich absichtlich eher kurze und einfache Passwörter und PSKs genommen. Die habe ich nochmals vereinfacht und getestet, aber es bleibt bei dem Fehler.
Nur ist bei Android praktisch nichts konfigurierbar und im Bereich Protokoll herrscht gähnende Leere.
Ich werde noch etwas damit rumspielen, aber habe erstmal wenig Hoffnung.
Vielen Dank
COMCARGRU |
_________________
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet??? |
|
|
|
rie.lacs
Anmeldungsdatum: 16.01.2011
Beiträge: 4
|
| Verfasst am:
Mo 11 Jul, 2011 20:32 |
|
|
Hallo,
Was benutzt du denn für einen VPN-Client auf Android und wie hast du die Einwahl im Lancom konfiguriert?
Ich habe lange probiert und es geschafft eine VPN-Verbindung aufzubauen zwischen Android Smartphone und Lancom 7111.
Als Client benutze ich auf dem Smartphone vpn connections 0.99. Um diesen Client nutzen zu können, muss das Handy gerootet sein.
Das Einwahlprofil im Lancom habe ich so erstellt, wie es auch beim IPhone gemacht wird.
Dann die Daten in den o.g. Client eintragen und das war es.
Gruß |
|
|
|
|
tom-1
Anmeldungsdatum: 28.12.2005
Beiträge: 76
|
| Verfasst am:
Di 09 Aug, 2011 18:04 |
|
|
| rie.lacs hat folgendes geschrieben:
|
...
Ich habe lange probiert und es geschafft eine VPN-Verbindung aufzubauen zwischen Android Smartphone und Lancom 7111.
Als Client benutze ich auf dem Smartphone vpn connections 0.99. Um diesen Client nutzen zu können, muss das Handy gerootet sein.
Das Einwahlprofil im Lancom habe ich so erstellt, wie es auch beim IPhone gemacht wird.
Dann die Daten in den o.g. Client eintragen und das war es.
|
Jetzt bin ich verblüfft und überrascht. "Bravestarr" vom Lancom 2nd Level hat vor einiger Zeit eine Anleitung für eine unverschlüsselte PPTP Verbindung geschrieben - mein Stand war bisher dass man mit einem Android kein IPSec VPN zu einem Lancom VPN Router aufbauen kann. Selbst NCP zickt herum und hat nichts verwendbaren anzubieten.
Wäre es eventuell - bitte - möglich dass du genaueres schreibst, und/oder vielleicht Bravestarr oder ein anderer Lancom Mitarbeiter mitliest und freundlicherweise eine Anleitung analog wie beim iPhone anfertigen könnte?
Wenn das geht... ich halte es nicht aus...
tom |
|
|
|
|
COMCARGRU
Anmeldungsdatum: 10.11.2004
Beiträge: 976
Wohnort: Hessen
|
| Verfasst am:
Mi 10 Aug, 2011 10:09 |
|
|
Tach,
also ich benutze den IPSec Client, der mitgeliefert wird und mit dem läuft es nicht. Mangels Logfiles auf dem Telefon, lässt sich der Fehler auch nicht finden. Zumindest von den Konfigurationsoptionen her sollte es theoretisch laufen.
Das rooten kommt nicht in Frage für unsere Umgebung - man auch kaum verlangen, das man in Corporate Umgebungen sämtliche Geräte rooted.
Ich frage mich eher was für eine penliche Vorstellung hier sämtliche Smartphone Hersteller und Systemlieferanten abliefern. Von Android, über WMP7 bis iOS ein übels Bild für den Business Einsatz. Aber jetzt wird es OT...
Gruß
COMCARGRU |
_________________
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet??? |
|
|
|
tom-1
Anmeldungsdatum: 28.12.2005
Beiträge: 76
|
| Verfasst am:
Mi 10 Aug, 2011 18:21 |
|
|
| COMCARGRU hat folgendes geschrieben:
|
Tach,
also ich benutze den IPSec Client, der mitgeliefert wird...
|
Mit dem kann es meines Wissens nicht gehen, aber "rie.lacs" nutzt ja einen anderen. Da das leidige Thema des Threads bereits seit unzähligen Monaten durch das Forum geistert und ncp auch nichts hat, hoffe ich einfach dass sich ein Wissender - eventuell gar jemand vom Lancom Support - des Themas neu annimmt, prüft und ggf. auch ähnlich wie beim iPhone aufbereitet. "Rooten" ist unangenehm, aber wenn es der einzige Weg zum Ziel VPN ist...
hoffend - tom |
|
|
|
|
COMCARGRU
Anmeldungsdatum: 10.11.2004
Beiträge: 976
Wohnort: Hessen
|
| Verfasst am:
Mi 10 Aug, 2011 19:33 |
|
|
| Zitat:
|
|
Mit dem kann es meines Wissens nicht gehen, aber "rie.lacs" nutzt ja einen anderen.
|
Dann stellt sich nur die Frage warum? Alle nötigen Optionen sind vorhanden. Das Log des Lancom könnte dann somit auf einen schnöden Bug in dem Client hindeuten und nicht auf ein grundsätzliches Problem.
Ich glaube auch nicht, das es ein grundsätzliches Problem ist IPSec ist IPSec - ja ja ich weis - aber es ist IPSec.
Was ich noch nicht probietr habe, ist die Variante mit Zertifikaten. Das könnte ich nochmal tun. Ich werde mal mein altes 1821 mit dem defektem Modem aus dem Schrank holen und dort mal Zertifikate einrichten - dann sehen wir weiter...
Gruß
COMCARGRU |
_________________
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet??? |
|
|
|
tom-1
Anmeldungsdatum: 28.12.2005
Beiträge: 76
|
| Verfasst am:
Mi 10 Aug, 2011 19:42 |
|
|
|
|
|
COMCARGRU
Anmeldungsdatum: 10.11.2004
Beiträge: 976
Wohnort: Hessen
|
| Verfasst am:
Mi 10 Aug, 2011 19:44 |
|
|
Der vorhandene Client ist kein L2TP IPSec sondern echtes IPSec.
L2TP war es bis Android 2.1 auf meinem Telefon, seit dem Update auf Android 2.2 steht auch der bislang fehlende Rest zur Verfügung. Insbesondere die Variante mit XAuth wie beim iPhone...
Gruß
COMCARGRU |
_________________
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet??? |
|
|
|
tom-1
Anmeldungsdatum: 28.12.2005
Beiträge: 76
|
| Verfasst am:
Fr 12 Aug, 2011 13:13 |
|
|
| COMCARGRU hat folgendes geschrieben:
|
Der vorhandene Client ist kein L2TP IPSec sondern echtes IPSec.
L2TP war es bis Android 2.1 auf meinem Telefon, seit dem Update auf Android 2.2 steht auch der bislang fehlende Rest zur Verfügung. Insbesondere die Variante mit XAuth wie beim iPhone...
|
Komisch, bei einem Samsung 550 mit 2.2 Froyo sehe ich bei VPN 4 Einträge. davon IPSec nur 2x und jeweils mit L2TP (1x PSK und einmal Cert).
Welche sind denn der fehlende Rest den du auf deinem Froyo Droiden siehst?
tom |
|
|
|
|
COMCARGRU
Anmeldungsdatum: 10.11.2004
Beiträge: 976
Wohnort: Hessen
|
| Verfasst am:
Sa 13 Aug, 2011 12:09 |
|
|
Tach,
ich habe zwei Hauptpunkte:
- Grundlegendes VPN und
- Erweitertes IPSec VPN.
Unter grundlegendem VPN steht:
- PPTP-VPN
- L2TP-VPN
- L2TP/IPSEC PSK-VPN
- L2TP/IPSEC CRT-VPN
Unter erweitertem VPN gibt es nur den Punkt "Neu", diesen aber mit folgenden "Verbindungsvorlagen":
- Certificate v1 (AES)
- Certificate v1 (AES, aggresive)
- Certificate v1 (AES, xauth)
- Certificate v2 (AES)
- L2TP Certificate v1 (AES)
- L2TP PSK v1 (AES)
- PSK v1 (AES)
- PSK v1 (AES, xauth)
- PSK v1 (AES, xauth, aggressive)
- PSK v2 (AES)
Ich denke der Punkt "PSK v1 (AES, xauth, aggressive)" sollte eigentlich dem des iPhone entsprechen...
Gruß
COMCARGRU |
_________________
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet??? |
|
|
|
tom-1
Anmeldungsdatum: 28.12.2005
Beiträge: 76
|
| Verfasst am:
Mi 17 Aug, 2011 17:48 |
|
|
| COMCARGRU hat folgendes geschrieben:
|
Tach,
ich habe zwei Hauptpunkte:
- Grundlegendes VPN und
- Erweitertes IPSec VPN.
|
Im Netz habe ich dazu nur einen Hinweis zu einem Motorola Defy gefunden. Ich habe ein neues Samsung Nexus , mit 2.3.4 Gingerbread, da sehe ich auch keinen Punkt erweitertes VPN. Da original Google, sollte es auch alle aktuellen updates sofort bekommen.
Hast du ein Defy? Wo ist der Eintrag mit dem erweiterten VPN?
tom |
|
|
|
|
rie.lacs
Anmeldungsdatum: 16.01.2011
Beiträge: 4
|
| Verfasst am:
Di 27 Sep, 2011 12:22 |
|
|
Hallo,
Meine Konfiguration:
Lancom Router über Wizard:
Einwahlzugang bereitstellen
---
VPN-Verbindung über das Internet
---
VPN-Client mit benutzerdefinierten Parametern
---
Profilname vergeben
---
PSK vergeben
---
Standard-IKE Parameter veränderen - kein Haken
---
Lokaler ID-Typ: Key ID
Lokale ID: gleicher Name
Entfernter ID-Typ: Key ID
Entfernte ID: gleicher Name
---
PFS-Verfahren - Haken raus
---
Verschlüsselung: AES, Blowfish, 3DES, HMAC-MD5-96 - Haken rein
Rest - Haken raus
---
Authentifizierung: kein AH
Kompression: kein IPCOMP
---
IP-Adresse
---
Konfiguration manuell bearbeiten:
VPN/Allgemein/Verbindungsliste - Gegenstelle wählen und Xauth auf Server stellen
---
Kommunikation/Protokolle/PPP-Liste
Hinzufügen-Gegenstelle auswählen-Benutzername freilassen-Passwort vergeben-IP-Routing Haken rein- Den Rest so lassen
---
Einstellungen Smartphone Android:
Handy muss gerootet sein
App (nicht im Market vorhanden) "vpn connections 0.99" herunterladen und installieren
---
Add another network auswählen
---
connection name: egal
---
IPSec gateway address: öffentliche IP
---
IPSec ID: gleicher Name (Eintrag bei Key-ID Gruppenname)
---
IPSec Secret: PSK
---
Username: Profilname
---
Password: Passwort was bei Kommunikation/PPP-Liste vergeben wurde
---
Add
---
Danach länger auf das Profil drücken und Connect wählen.
Mit dieser Verfahrensweise funktioniert es bei mir.
Gruss |
|
|
|
|
COMCARGRU
Anmeldungsdatum: 10.11.2004
Beiträge: 976
Wohnort: Hessen
|
| Verfasst am:
Fr 21 Okt, 2011 16:49 |
|
|
Tach,
nur mal so: Interressant sind Lösungen ohne "root" - alles andere ist in Business Umgebungen nicht tragbar.
Wäre also nett, wenn wir den Thread auf "Non-Root-Lösungen" beschränken...
Gruß
COMCARGRU |
_________________
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet??? |
|
|
|
|
|
|
|
| |
|
|
