Hallo,
ich versuche gerade über das Internet eine VPN Verbindung zur Uni herzustellen. Mit dem Cisco Client funktionierte das bisher gut. Jetzt bin ich auf den AVC umgestiegen und kann keine Verbindung mehr herstellen.
Folgender Fehler erscheint im Log:
06.08.2008 21:56:41 IPSDIALCHAN::start building connection
06.08.2008 21:56:41 IPSDIAL::DNSREQ: resolving dnserver over lan: xxx.uni.de
06.08.2008 21:56:41 IPSDIAL->DNSREQ: resolved ipadr: 1xx.1xx.0xx.2xx
06.08.2008 21:56:41 NCPIKE-phase1:name(Uni) - outgoing connect request - aggressive mode.
06.08.2008 21:56:41 XMIT_MSG1_AGGRESSIVE - Uni
06.08.2008 21:56:42 RECV_MSG2_AGGRESSIVE - Uni
06.08.2008 21:56:42 IKE phase I: Setting LifeTime to 28800 seconds
06.08.2008 21:56:42 Turning on XAUTH mode - Uni
06.08.2008 21:56:42 Uni ->Support for NAT-T version - 2
06.08.2008 21:56:42 Turning on NATD mode - Uni - 1
06.08.2008 21:56:42 Turning on IKE fragment mode - Uni
06.08.2008 21:56:42 IPSDIAL->FINAL_TUNNEL_ENDPOINT:1xx.1xx.0xx.2xx
06.08.2008 21:56:42 XMIT_MSG3_AGGRESSIVE - Uni
06.08.2008 21:56:42 Turning on DPD mode - Uni
06.08.2008 21:56:42 NCPIKE-phase1:name(Uni) - connected
06.08.2008 21:56:42 Phase1 is Ready: IkeIndex = 0000000a
06.08.2008 21:57:01 IKE(isakmp) - :Decrypt error(2)
Wo ist denn die Falscheingabe zu suchen?
Vielen Dank!
Verbindung zur Uni (Cisco) endet mit Fehler: IKE(isakmp) ...
Moderator: Lancom-Systems Moderatoren
-
Dr.Wackelzahn
- Beiträge: 79
- Registriert: 03 Mär 2005, 20:29
-
Dr.Wackelzahn
- Beiträge: 79
- Registriert: 03 Mär 2005, 20:29
Hmmm, seltsam.
Als Vorlage dient folgender Konfigurationshinweis:
http://www.rz.ruhr-uni-bochum.de/dienst ... -konf.html
Demnach habe ich wie folgt konfiguriert:
Grundeinstellungen
- Name: Uni
- * VPN zu IPSec-Gegenstelle
- Medium: LAN (over IP)
Line Management
- Verbindungsaufbau: Manuell
- Timeout: 100
- O EAP-Authentisierung
- O HTTP-Authentisierung
IPsec-Einstellungen
- Gateway: cisco-vpn-1.rz.ruhr-uni-bochum.de
- IKE-Richtlinien: Auto
- IPSec-Richtlinie: Auto
- Exch. Mode: Aggressive Mode
- PFS-Gruppe: DH-Gruppe 2 (1024Bit)
Erweiterte IPsec-Optionen
- O IP-Kompression
- O Deaktiviere DPD
- O UDP Encapsulation
Identität
- Typ: Freier String für Gruppen Identifizierung
- ID: RUBBIB
- * Pre-Shared-Key verwenden:
- Shared-Secret: csmvpn3000
- * Extended Authentication (XAUTH):
- Benutername: Name
- Password: Geheim
- aus obiger Konfiguration
IP-Adressen Zuweisung
- DHCP über IPSec
VPN IP Netze
- leer
Zertifikats-Überprüfung
- leer
Link Firewall
- Stateful Inspection: aus
Jetzt frage ich mich nur woran es liegt?
* steht für Markiert
und
O steht für nicht Markiert
Als Vorlage dient folgender Konfigurationshinweis:
http://www.rz.ruhr-uni-bochum.de/dienst ... -konf.html
Demnach habe ich wie folgt konfiguriert:
Grundeinstellungen
- Name: Uni
- * VPN zu IPSec-Gegenstelle
- Medium: LAN (over IP)
Line Management
- Verbindungsaufbau: Manuell
- Timeout: 100
- O EAP-Authentisierung
- O HTTP-Authentisierung
IPsec-Einstellungen
- Gateway: cisco-vpn-1.rz.ruhr-uni-bochum.de
- IKE-Richtlinien: Auto
- IPSec-Richtlinie: Auto
- Exch. Mode: Aggressive Mode
- PFS-Gruppe: DH-Gruppe 2 (1024Bit)
Erweiterte IPsec-Optionen
- O IP-Kompression
- O Deaktiviere DPD
- O UDP Encapsulation
Identität
- Typ: Freier String für Gruppen Identifizierung
- ID: RUBBIB
- * Pre-Shared-Key verwenden:
- Shared-Secret: csmvpn3000
- * Extended Authentication (XAUTH):
- Benutername: Name
- Password: Geheim
- aus obiger Konfiguration
IP-Adressen Zuweisung
- DHCP über IPSec
VPN IP Netze
- leer
Zertifikats-Überprüfung
- leer
Link Firewall
- Stateful Inspection: aus
Jetzt frage ich mich nur woran es liegt?
* steht für Markiert
und
O steht für nicht Markiert
-
Dr.Wackelzahn
- Beiträge: 79
- Registriert: 03 Mär 2005, 20:29
-
meichertom
- Beiträge: 81
- Registriert: 26 Jun 2006, 14:08
- Wohnort: Nuernberg
-
Dr.Wackelzahn
- Beiträge: 79
- Registriert: 03 Mär 2005, 20:29
Okay, jetzt habe ich zu meiner Verbindung unter IPSec-Einstellungen -> Editor bei IKE-Richtlinien einen "Pre-shared Key" und bei IPSec Richtlinien einen "IPSec" Eintrag erstellt.
Diese Einträge habe ich dann bei der Verbindung anstelle des "Automatischen Modus" angegeben.
Jetzt fragt sich nur was bei Verschlüsselung, Hash, DH-Gruppe, Transformation, Authentisierung einzustellen ist.
Da ich diese Angaben beim Cisco Client nicht finde wird es schwierig die heraus zu bekommen.
Kennt jemand die nötigen Einstellungen?
Diese Einträge habe ich dann bei der Verbindung anstelle des "Automatischen Modus" angegeben.
Jetzt fragt sich nur was bei Verschlüsselung, Hash, DH-Gruppe, Transformation, Authentisierung einzustellen ist.
Da ich diese Angaben beim Cisco Client nicht finde wird es schwierig die heraus zu bekommen.
Kennt jemand die nötigen Einstellungen?
-
meichertom
- Beiträge: 81
- Registriert: 26 Jun 2006, 14:08
- Wohnort: Nuernberg
-
Dr.Wackelzahn
- Beiträge: 79
- Registriert: 03 Mär 2005, 20:29
-
meichertom
- Beiträge: 81
- Registriert: 26 Jun 2006, 14:08
- Wohnort: Nuernberg
-
Dr.Wackelzahn
- Beiträge: 79
- Registriert: 03 Mär 2005, 20:29
Aber bei der Kompatibilitätsliste (was für ein Wort!) vom Lancom Advanced VPN Client steht der Cisco Client mit dabei.
Sollte man dann doch davon ausgehen, dass es irgendwie möglich ist.
Wäre ja wirklich schade wenn es nicht gehen würde...
Hmmmm....
Außerdem ist diese Einstellung nur zu wählen wenn man hinter einen Router sitzt. Soweit ich weiss habe ich damals die Einstellung nicht aktiviert, obwohl ich hinter einem Router sitze.
Wer geht denn heute noch ohne Router ins Internet?
Sollte man dann doch davon ausgehen, dass es irgendwie möglich ist.
Wäre ja wirklich schade wenn es nicht gehen würde...
Hmmmm....
Außerdem ist diese Einstellung nur zu wählen wenn man hinter einen Router sitzt. Soweit ich weiss habe ich damals die Einstellung nicht aktiviert, obwohl ich hinter einem Router sitze.
Wer geht denn heute noch ohne Router ins Internet?
-
meichertom
- Beiträge: 81
- Registriert: 26 Jun 2006, 14:08
- Wohnort: Nuernberg
Hallo,
gegen Cisco kann man sich auch verbinden. Wenn du über ISDN / Modem / PPPoE dich verbindest, dann sollte es auch funktionieren, bzw. solltest Du mit deinen jetzigen Einstellungen weiter kommen. Aber sobald du über LAN / UMTS gehst wirst du immer an diesem Punkt scheitern, außer die Cisco-Admins stellen etwas um.
Gruß
Thomas
gegen Cisco kann man sich auch verbinden. Wenn du über ISDN / Modem / PPPoE dich verbindest, dann sollte es auch funktionieren, bzw. solltest Du mit deinen jetzigen Einstellungen weiter kommen. Aber sobald du über LAN / UMTS gehst wirst du immer an diesem Punkt scheitern, außer die Cisco-Admins stellen etwas um.
Gruß
Thomas
-
Dr.Wackelzahn
- Beiträge: 79
- Registriert: 03 Mär 2005, 20:29
Lol,
was fuer ein grandioser Vergleich. Es gibt nun mal Szenarien, in denen der VPN Client _nicht_ alles abdecken kann. Egal ob wir auf den Mond geflogen sind oder nicht.
Ciao
LoUiS
was fuer ein grandioser Vergleich. Es gibt nun mal Szenarien, in denen der VPN Client _nicht_ alles abdecken kann. Egal ob wir auf den Mond geflogen sind oder nicht.
Ciao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
-
Dr.Wackelzahn
- Beiträge: 79
- Registriert: 03 Mär 2005, 20:29