 |
|
|
|
| Autor |
Nachricht |
schnork
Anmeldungsdatum: 05.09.2005
Beiträge: 2
|
 Verfasst am:
Mo 05 Sep, 2005 20:43 |
  |
|
Ich habe hier einen Lancom 1611 und möchte von einem Notebook mit Advanced VPN Client von zu Hause aus auf das Netzwerk zugreifen. Ich habe die Konfiguration exakt so durchgeführt, wie in der Anleitung zum Advanced VPN Client beschrieben. Dennoch funktioniert der Verbindungsaufbau nicht.
Der Router verfügt über eine dynamische IP-Adresse (DynDNS), das Notebook auf der Gegenseite befindet sich hinter einem Router und hat ebenfalls nur eine Dynamische IP. Wenn ich nun versuche, vom Notebook aus eine Verbindung aufzubauen, erhalte ich die Fehlermeldung: IKE-Fehler (Phase 1) Kontakt zur Gegenstelle verloren.
Ein Trace auf dem Router (trace + vpn-status) hat folgendes ergeben:
[VPN-Status] 2005/09/05 19:39:57,580
IKE info: Phase-1 negotiation failed: no configuration found for incoming peer 83.xx.xx.xx
[VPN-Status] 2005/09/05 19:40:03,570
IKE log: 194003 Default message_recv: invalid message id
[VPN-Status] 2005/09/05 19:40:03,570
IKE log: 194003 Default dropped message from 83.xx.xx.xx port 500 due to notification type INVALID_MESSAGE_ID
Wo könnte der Fehler liegen? Es scheint ja bald so, als könne der Router die eingehende Anfrage überhaupt nicht zuordnen. |
|
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
eddia
Anmeldungsdatum: 15.11.2004
Beiträge: 1239
|
| Verfasst am:
Mo 05 Sep, 2005 21:48 |
|
|
Hallo schnork,
| Zitat:
|
[VPN-Status] 2005/09/05 19:40:03,570
IKE log: 194003 Default dropped message from 83.xx.xx.xx port 500 due to notification type INVALID_MESSAGE_ID
|
Sieh mal nach, ob die Einträge am Lancom (unter IKE-Schlüssel) für remote Typ und remote Identität mit denen im Advanced Client unter lokale Identität übereinstimmen.
Gruß
Mario |
|
|
|
|
schnork
Anmeldungsdatum: 05.09.2005
Beiträge: 2
|
| Verfasst am:
Di 06 Sep, 2005 09:10 |
|
|
| Zitat:
|
|
Sieh mal nach, ob die Einträge am Lancom (unter IKE-Schlüssel) für remote Typ und remote Identität mit denen im Advanced Client unter lokale Identität übereinstimmen.
|
Ja, die Einträge stimmen absolut überein, das habe ich schon mehrfach geprüft. |
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Di 06 Sep, 2005 12:01 |
|
|
Hi schnork
| Zitat:
|
|
IKE info: Phase-1 negotiation failed: no configuration found for incoming peer 83.xx.xx.xx
|
Das LANCOM kann schon die Adresse nicht zuordnen. Willst du etwas Main-Mode mit Pre-Shared-Key von einer dynamischen Adresse machen?
Das funktioniert nicht. Bei dynamischen Adressen funktionieren nur folgende Kombinationen:
- Main-Mode und Zertifikat
- Aggressive-Mode und Zertifikat
- Aggressive-Mode und Pre-Shared-Key
Stell den Client auf Aggressive-Mode um oder verwende Zertifikate
Gruß
Backlsash |
|
|
|
|
PX166
Anmeldungsdatum: 07.09.2005
Beiträge: 184
|
| Verfasst am:
Mi 07 Sep, 2005 20:11 |
|
|
Hi, ich habe ähnlich wie "schnork" auch diese Probleme, allerdings habe ich eine feste IP und bekomme es trotz Abarbeiten der Anleitung nicht hin. Ich bekomme den Fehler:" IKE-Fehler (Phase 1) Kontakt zur Gegenstelle verloren"
Warum geht das denn nicht? Habe im Router alles mit dem Assistenten eingerichtet, viel falsch machen kann man da ja eigentlich nicht. Wird ja alles abgefragt. Ebenso beim Client. Und über die Boardmittel von XP habe ich es schon hinbekommen. Warum dann nicht auch über den Adv. Client? |
_________________
Viele Grüße,
px166 |
|
|
|
no idea
Anmeldungsdatum: 31.08.2005
Beiträge: 16
Wohnort: Alpha Centauri
|
| Verfasst am:
Fr 09 Sep, 2005 11:42 |
|
|
Habe das selbe problem und habe schon ein dutzend mal alles nach der doku eingerichtet [router+client] und es funktioniert ums verrecken nicht.
Bin im Moment im Kontakt mit dem support von LANCOM und bin echt gespannt ob die mir helfen können.
P.s.: @ Backslash: wenn man schon den client nach der doku einrichtet, wird bereits der aggressive-mode + pre-shared verwendet |
_________________
Wir brauchen dringend einige Verrückte. Guckt euch an, wo uns die Normalen hingebracht haben.
George Bernard Shaw (1856-1950) |
|
|
|
omd
Anmeldungsdatum: 18.07.2005
Beiträge: 105
|
| Verfasst am:
Fr 09 Sep, 2005 11:54 |
|
|
Hatte auch einige Probleme, das IPSec zu durchschauen und einzurichten. Ein Problem war z.B. mal, dass eine falsches IKE-Proposal(-Liste?) gewählt war. Es hatte zwar den Anschein richtig zu sein, tatsächlich gab es das Proposal aber überhaupt nicht mehr (in der Liste), es war halt nur trotzdem noch eingetragen. Anfänglich schwer, sowas zu finden, wenn man nicht drauf gestoßen wird.
Grundsätzlich sind die Router-Traces hilfreich. Soweit ich sehe hat PX166 ein solches ja noch gar nicht angeschaut bzw. vorgezeigt. 
Gruß,
omd |
_________________
LC 1811 / LCOS 5.08 |
|
 |
|
PX166
Anmeldungsdatum: 07.09.2005
Beiträge: 184
|
| Verfasst am:
Fr 09 Sep, 2005 11:56 |
|
|
Das mit dem Proposal war auch bei mir der Fehler. klappt jetzt. Noch nicht mal der Lancom Support hat davon gewußt oder es kontrolliert, obwohl es seit einem Jahr in der KnowledgeBase veröffentlicht ist. |
_________________
Viele Grüße,
px166 |
|
|
|
no idea
Anmeldungsdatum: 31.08.2005
Beiträge: 16
Wohnort: Alpha Centauri
|
| Verfasst am:
Fr 09 Sep, 2005 14:14 |
|
|
-wie mach ich so einen trace überhaupt?
@PX166 kannste mir mal den passenden link für diese proposal geschichte geben? Glaube nämlich, das ich das bereits kontrolliert hatte |
_________________
Wir brauchen dringend einige Verrückte. Guckt euch an, wo uns die Normalen hingebracht haben.
George Bernard Shaw (1856-1950) |
|
|
|
omd
Anmeldungsdatum: 18.07.2005
Beiträge: 105
|
| Verfasst am:
Fr 09 Sep, 2005 14:26 |
|
|
| no idea hat folgendes geschrieben:
|
|
-wie mach ich so einen trace überhaupt?
|
Steht im ersten Posting dieses Threads... auf der Konsole (d.h. Telnet- bzw. SSH-Verbindung zum Router) "trace + vpn-status" eingeben. Ein Ereignisprotokoll wird dann auf der Konsole ausgegeben
Gruß,
omd |
_________________
LC 1811 / LCOS 5.08 |
|
|
|
no idea
Anmeldungsdatum: 31.08.2005
Beiträge: 16
Wohnort: Alpha Centauri
|
| Verfasst am:
Fr 09 Sep, 2005 16:22 |
|
|
danke, dachte das wäre einfach nur eine aufzählung gewesen. |
_________________
Wir brauchen dringend einige Verrückte. Guckt euch an, wo uns die Normalen hingebracht haben.
George Bernard Shaw (1856-1950) |
|
|
|
PX166
Anmeldungsdatum: 07.09.2005
Beiträge: 184
|
| Verfasst am:
Fr 09 Sep, 2005 17:08 |
|
|
| no idea hat folgendes geschrieben:
|
-wie mach ich so einen trace überhaupt?
@PX166 kannste mir mal den passenden link für diese proposal geschichte geben? Glaube nämlich, das ich das bereits kontrolliert hatte
|
Hier der Link:
LANCOM-Knowledgebase
Ich weiß nur eins, wenn ich das nicht gefunden hätte, wäre ich jetzt immer noch am probieren bis mir der Kopf raucht...
Viel Spaß damit... |
|
|
|
|
no idea
Anmeldungsdatum: 31.08.2005
Beiträge: 16
Wohnort: Alpha Centauri
|
| Verfasst am:
Sa 10 Sep, 2005 16:04 |
|
|
das hatte ich mir schoneinmal durchgelesen und probiert aber standard mässig sieht es bei mir bereits so aus: |
_________________
Wir brauchen dringend einige Verrückte. Guckt euch an, wo uns die Normalen hingebracht haben.
George Bernard Shaw (1856-1950) |
|
|
|
PX166
Anmeldungsdatum: 07.09.2005
Beiträge: 184
|
| Verfasst am:
Sa 10 Sep, 2005 17:15 |
|
|
Hmmm... Was für eine Fehlermeldung erhälst du denn eigentlich? |
_________________
Viele Grüße,
px166 |
|
|
|
no idea
Anmeldungsdatum: 31.08.2005
Beiträge: 16
Wohnort: Alpha Centauri
|
| Verfasst am:
Mo 12 Sep, 2005 12:51 |
|
|
Die konfiguration habe ich nach folgender dokumentation vorgenommen:
http://www2.lancom.de/kb.nsf/a5ddf4817397f...ide-DE.pdf |
_________________
Wir brauchen dringend einige Verrückte. Guckt euch an, wo uns die Normalen hingebracht haben.
George Bernard Shaw (1856-1950)
Zuletzt bearbeitet von no idea am Mo 12 Sep, 2005 16:06, insgesamt einmal bearbeitet |
|
|
|
|
|
|
|
| |
|
|
