Haltezeiteinstellung - ist so genau gemacht, ebenso DPD.
Bzgl. der Einschaltung der Proposals - ich hatte die Hoffnung, dass er dann vielleicht endlich mir sagt, was bei Aufbau
Initiator LC - Responder Digibox genommen wird.
Der Aufbau
Initiator Digibox - Responder LC wird ja vorgenommen.
Hinweise, welche Proposals vom BSI empfohlen werden sind schön, aber leider hier nicht hilfreich. Vor allen Dingen- die andere Digibox (Bautyp und SW-Release identisch) baut ja auf, - aber halt nur als Initiator.
Und dann sieht der Trace wie folgt aus
Code: Alles auswählen
[VPN-Status] 2023/06/16 22:25:22,094
Peer DEFAULT [responder]: Received an IKE_AUTH-REQUEST of 544 bytes (encrypted)
Gateways: Lancom:500<--Digibox2:500
SPIs: 0x292E1BE8B676AB17CD441280386D1473, Message-ID 1
CHILD_SA ('', '' ) entered to SADB
Received 3 notifications:
+INITIAL_CONTACT (STATUS)
+EAP_ONLY_AUTHENTICATION (STATUS)
+MESSAGE_ID_SYNC_SUPPORTED (STATUS)
+Received-ID digibox2-fqdn:FQDN matches the Expected-ID digibox2.fqdn:FQDN
+Peer identified: DIGIBOX-ID
+Peer uses AUTH(PSK)
+Authentication successful
IKE_SA ('DIGIBOX-ID', 'ISAKMP-PEER-DIGIBOX-ID' IPSEC_IKE SPIs 0x292E1BE8B676AB17CD441280386D1473) removed from SADB
IKE_SA ('DIGIBOX-ID', 'ISAKMP-PEER-CDIGIBOX-ID' IPSEC_IKE SPIs 0x292E1BE8B676AB17CD441280386D1473) entered to SADB
TSi: ( 0, 0-65535, 192.168.8.0-192.168.8.255 )
TSr: ( 0, 0-65535, 192.168.0.0-192.168.0.255 )
+CHILD-SA:
ESP-Proposal-1 Peer-SPI: 0xCFC045FE (13 transforms)
ENCR : ENCR-AES-CCM-16 ENCR-AES-CCM-16 ENCR-AES-CCM-16 ENCR-AES-CCM-12 ENCR-AES-CCM-12 ENCR-AES-CCM-12 AES-GCM-16-128 AES-GCM-16-192 AES-GCM-16-256 AES-GCM-12 AES-GCM-12 AES-GCM-12
ESN : NONE
ESP-Proposal-2 Peer-SPI: 0xCFC045FE (11 transforms)
ENCR : AES-CBC-128 AES-CBC-192 AES-CBC-256 AES-128-CTR AES-128-CTR AES-128-CTR
INTEG: HMAC-SHA-256 HMAC-SHA-384 HMAC-SHA-512 AES-XCBC-96
ESN : NONE
[VPN-Status] 2023/06/16 22:25:22,097
Peer DIGIBOX-ID: Constructing an IKE_AUTH-RESPONSE for send
+Local-ID lancom-fqdn:FQDN
+I use AUTH(PSK)
IKE_SA_INIT [responder] for peer COWOKI-DSP2-NEO initiator id digibox2-fqdn, responder id lancom-fqdn
initiator cookie: 0x292E1BE8B676AB17, responder cookie: 0xCD441280386D1473
SA ISAKMP for peer Digibox-ID
Und dass sucht sich dann die Digibox heraus.
[b] Encryption : AES-CBC-256
Integrity : AUTH-HMAC-SHA-256
IKE-DH-Group : 14
PRF : PRF-HMAC-SHA-256[/b]
life time soft 06/18/2023 01:25:22 (in 97200 sec) / 0 kb
life time hard 06/18/2023 04:25:22 (in 108000 sec) / 0 kb
DPD: 31 sec
Negotiated: IKEV2_FRAGMENTATION
+TSi 0: ( 0, 0-65535, 192.168.8.0-192.168.8.255 )
+TSr 0: ( 0, 0-65535, 192.168.0.0-192.168.0.255 )
Wie schon gesagt, ich hatte früher schon immer Spaß mit den Bintec/Elmeg und jetzt Zyxel-Boxen (irre, wie die herumgereicht wurden).
Und da waren VPN-Tunnel immer spassig.
Aber auf jeden Fall Danke für die vielen Hinweise.
Ach ja, kann man irgendwo diesen Parameter beeinflussen?
Code: Alles auswählen
[VPN-Status] 2023/06/17 12:00:52,544
VPN: connection backoff wait timer blocks DIGIBOX2 (5 seconds remaining)