7100VPN VPN-Verbindungsaufbau wählt falsche Konfiguration

[peser]

Hallo,

ich habe ein Gateway 7100VPN mit LCOS 8.84.0132Rel in Betrieb.
Ich habe einen stehenden VPN-Tunnel "VPN-CLIENT-TEST" im Main Mode am laufen.
Wenn ich jetzt einen weiteren VPN-Tunnel mit anderer Konfiguration im Agressive Mode öffne, erhalte
ich die Fehlermeldung:

[VPN-Status] 2014/02/21 10:33:00,814 Devicetime: 2014/02/21 10:33:00,468
IKE info: Phase-1 failed for peer VPN-CLIENT-TEST: remote side has AGGRESSIVE mode, local side has MAIN mode
IKE log: 103300.468963 Default exchange_setup_p1: expected exchange type MAIN got AGGRESSIVE

Das Gateway hat also die neue Verbindung mit ganz anderem Identifier irgendwie der bestehenden zugeordnet und natürlich abgelehnt. Lösche ich die Konfiguration für "VPN-CLIENT-TEST", funktioniert die zweite Verbindung auch. Jetzt kommts: Beide VPN-Verbindungen werden von der gleichen Internet-IP aufgebaut, haben also auch Nat-Erkennung: Entferntes Gateway.

Bin für jede Idee dankbar.

Gruß, Peter

[Jirka]

Hallo Peter,

Du hast es doch schon selber in Fettdruck hingeschrieben... Das liegt daran, dass diese beiden VPN-Verbindungen von der gleichen IP der Gegenseite aus aufgebaut werden. Das LANCOM kann die dann nicht unterscheiden. Das ist also völlig normal.
Willst Du von einer IP aus unterschiedliche VPN-Tunnel aufbauen, musst Du mit Zertifikaten arbeiten, dann ist das kein Problem.

Viele Grüße,
Jirka

[Dr.Einstein]

Oder beide Tunnel im aggressiv - Mode mit unterschiedlichen IDs betreiben

Gruß Dr.Einstein

[peser]

Danke für die schnelle Hilfe,

die Main-Mode Verbindungen sind Aussenstellen, die Aggressive-Mode Verbindungen Road-Warriors, beide momentan mit PSKs.
Wenn dann ein Road-Warrior in einer Aussenstelle hockt und deren Internetanschluss nutzt, dann tritt das Problem auf. Ich werde versuchen, die Aussenstellen auf Zertifikate umzustellen.

Nochmals Danke und Gruß, Peter