1611 Office / Advanced Client / IKE Fehler Phase 1

Trymon · Beitrag von **Trymon** » 16 Nov 2005, 11:32

Hallo,

ich habe das Problem dass manche Clients keine VPN Verbindung aufbauen können.
Folgende Fehler erhalte ich
Telnet:
[VPN-Status] 1900/01/01 01:34:52,450
IKE info: The remote server 213.6.125.25:500 peer def-aggr-peer id <no_id> suppo
rts draft-ietf-ipsec-isakmp-xauth
IKE info: The remote server 213.6.125.25:500 peer def-aggr-peer id <no_id> negot
iated rfc-3706-dead-peer-detection
IKE info: The remote client 213.6.125.25:500 peer def-aggr-peer id <no_id> is NC
P LANCOM Serial Number Protocol 1.0 with serial number xxxxxx

[VPN-Status] 1900/01/01 01:34:52,460
IKE info: Phase-1 remote proposal 1 for peer def-aggr-peer matched with local pr
oposal 1

[VPN-Status] 1900/01/01 01:34:52,480
IKE log: 013452 Default dropped message from 213.6.125.25 port 500 due to notifi
cation type INVALID_ID_INFORMATION

[VPN-Status] 1900/01/01 01:34:52,480
IKE info: dropped message from peer unknown 213.6.125.25 port 500 due to notific
ation type INVALID_ID_INFORMATION

Log:
16.11.2005 11:35:53 IPSDIALCHAN::start building connection
16.11.2005 11:35:53 NCPIKE-phase1:name(schlicker) - outgoing connect request - aggressive mode.
16.11.2005 11:35:53 XMIT_MSG1_AGGRESSIVE - schlicker
16.11.2005 11:36:22 NCPIKE-phase1:name(schlicker) - error - retry timeout - max retries
16.11.2005 11:36:22 NCPIKE-phase2:name(schlicker) - error - cleared by phase1
16.11.2005 11:36:22 IPSDIAL - disconnected from schlicker on channel 1.
16.11.2005 11:36:31 WmPowerBroadCast: WParam = 10

Die IDs sind absolut identisch. An denen kann es also nicht liegen.
Ich hoffe es kann mir jemand dabei helfen. So langsam weiss ich nicht mehr weiter.

Trymon · Beitrag von **Trymon** » 16 Nov 2005, 12:50

*gelöscht*

eddia · Beitrag von **eddia** » 16 Nov 2005, 18:29

Hallo Trymon,

Die IDs sind absolut identisch.

Sind es die ID-Typen ebenfalls?

Gruß

Mario

Trymon · Beitrag von **Trymon** » 17 Nov 2005, 07:59

Die IDs sind bei Router und Client Full Qualifies Username.
Daran sollte es somit auch nicht scheitern.

eddia · Beitrag von **eddia** » 17 Nov 2005, 18:53

Hallo Trymon,

Die IDs sind bei Router und Client Full Qualifies Username.

Nur sicherheitshalber, um einen möglichen Fehler auszuschliessen: Die lokale Identität im VPN-Client muss mit der entfernten Identität im Lancom übereinstimmen. Die lokale Identität im Lancom ist für Verbindungen zum VPN-Client ohne Bedeutung.

Gruß

Mario

Trymon · Beitrag von **Trymon** » 18 Nov 2005, 08:58

Ich war sogar so weit dass ich den Laptop ans Netzt gehängt habe, ne Remote Verbindung zum Server, der den Config Zungang zum Lancom hat, aufgebaut habe und mit Copy & Paste gearbeitet habe. Die Identitäten sind mit Sicherheit zu 100% identisch.

Nachtrag: Ich habe jetzt noch ein paar Zugänge eingerichtet und alle neuen Zugänge gehen nicht mehr. Alle alten gehen weiterhin wie gehabt. Ich habe übrigens die Firmware 5.06

Trymon · Beitrag von **Trymon** » 22 Nov 2005, 09:08

Lösung gefunden:

Ich habe endlich jemanden telefonisch bei LANCOM erreicht. Der Router hatte nur seine standard 5 Zugriffs Lizens. Mit dieser macht er bei 20 Accounts dicht und lässt nicht mehr zu bevor man nicht die 25er Option kauft.
Schön dass das nirgends steht.

eddia · Beitrag von **eddia** » 22 Nov 2005, 18:06

Hallo Trymon,

Der Router hatte nur seine standard 5 Zugriffs Lizens. Mit dieser macht er bei 20 Accounts dicht und lässt nicht mehr zu bevor man nicht die 25er Option kauft.

Nur mal zum Verständnis: Du hast mehr als 20 VPN-Verbindungen konfiguriert und beim Aufbauversuch mit einer Konfiguration über den 20 angelegten kommt dieser Fehler auch wenn die 5 Lizenzen gleichzeitig noch nicht ausgeschöpft sind?

Schön dass das nirgends steht.

Manchmal sind die Lancoms eben für eine Überraschung gut.

Gruß

Mario

Beitrag von **LoUiS** » 22 Nov 2005, 19:10

Hi,

eddia hat geschrieben:Nur mal zum Verständnis: Du hast mehr als 20 VPN-Verbindungen konfiguriert und beim Aufbauversuch mit einer Konfiguration über den 20 angelegten kommt dieser Fehler auch wenn die 5 Lizenzen gleichzeitig noch nicht ausgeschöpft sind? ?

Na das stimmt so nicht. Es koennen 25 Verbindungen angelegt werden! Deshalb ist ja die VPN Gegenstellenliste 25 Eintraege gross. Es koennen nur nicht mehr als 5 Verbindungen gleichzeitig aufgebaut werden.

Trymon moege doch mal bitte erklaeren wieviele Verbindungen jeweils aufgebaut waren als er getestet hat. Jeweils alle Verbindungen nach der 5ten aufgebauten Verbindungen werden dann nicht mehr aufgebaut.

hier ein 1721 Router mit der default 5er VPN:

Operating VALUE: no
NAT-T-Operating VALUE: no
VPN-Peers TABLE: 25 x [Peer,SH-Time,..]
Additional-Gateways TABLE: 25 x [Peer,Remote-Gateway-1,..]
Layer TABLE:
...

und hier ein 1611 mit VPN 25:

root@LC1611:/Setup/VPN
> l

Operating VALUE: no
NAT-T-Operating VALUE: no
VPN-Peers TABLE: 50 x [Peer,SH-Time,..]
Additional-Gateways TABLE: 50 x [Peer,Remote-Gateway-1,..]
Layer TABLE:
Proposals MENU:
Certificates-and-Keys MENU:
Isakmp MENU:
...

Ciao
LoUiS

Trymon · Beitrag von **Trymon** » 23 Nov 2005, 08:35

Hallo,
ums ganz deutlich zu machen alle Zugänge von x.x.x.51 bis x.x.x.72 liefen einwandfrei. Alles was ich danach angelegt hatte ging nicht. Erst mit der 25er Option können nun auch diese VPN nutzen.
Bei meinen Tests war zu der Zeit höhstens mal ein User eingelogt.

LoUiS wenn ich die 1611er Config richtig lese macht der bei 50 Accounts wieder dicht. Stimmt das?

Beitrag von **LoUiS** » 23 Nov 2005, 13:27

LoUiS wenn ich die 1611er Config richtig lese macht der bei 50 Accounts wieder dicht. Stimmt das?

Ja, so ist es gewollt. Es duerfen 50 angelegt werden und 25 gleichzeitig genutzt werden.

Ciao
LoUiS