Hallo,
ich ringe seit Tagen darum, eine VPN-Verbindung zwischen einem Notebook mit Vodafone Mobile Connect 3G Modem (UMTS) und einem Lancom DSL/I 1611 Router eingerichtet zu bekommen. Leider steht mir das Notebook dabei nur in Intervallen zur Verfügung.
Erst hatte ich auf dem Notebook den NCP-Client installiert. Weil ich mir mehr "Harmonie" und Support versprach, läuft (naja,...) jetzt die Testphase des Lancom-Clients - der möglicherweise ein modifizierter NCP-Client ist, wenn man die Logos sieht.
Zur Situation:
Habe an beiden Stellen die Assistenten arbeiten lassen und die mir passend erscheinenden Antworten gemacht. Offenbar reicht oder paßt das trotzdem nicht.
Es gibt ein ziemliches Ungleichgewicht an Einstellmöglichkeiten zwischen beiden Anwendungen. Und auch die verwendeten Bezeichnungen scheinen sich nicht immer zu decken. Daraus leiten sich die erste Fragen ab:
Wenn immer zu lesen ist, daß die Proposals übereinstimmen müssen - gilt das auch für die Bezeichnung der Listen oder nur für die Inhalte? Und müssen wirklich alle auf beiden Seiten gelistet sein? Dürfte es nicht reichen, wenn eine ausreichende Schnittmenge vorliegt?
Folgende Einstellungen habe ich getroffen:
Router:
Bezeichnung: P-NB_UMTS
PFS-Gruppe: 2 (MODP-1024)
IKE-Gruppe: 2 (MODP-1024)
IKE-Proposals: WIZ-IKE-ADVCLIENT
IKE-Schlüssel: KEY-NB_UMTS
IPSec-Proposals: WIZ-IPS-ADVCLIENT
Client:
Profil: NB1_UMTS
IKE-Richtlinie: Preshared Key
IPSec-Richtlinie: ESP-AES128-MD5 (auch schon Automatischer Modus)
Exch.mode: Aggressive Mode
PFS-Gruppe: DH-Gruppe 2 (1024 Bit)
Bei dem Versuch der Verbindungsaufnahme durch den Client gibt es die Fehlermeldung:
"IKE-Fehler (Phase 1); Ungültiger Hash-Wert im Preshared Key-Modus".
Die Log-Anzeige beim Client zeigt u.a.
25.09.2006 12:46:08 IPSDIAL::DNSREQ: resolving dnserver over lan: accountname.dyndns.org
25.09.2006 12:46:08 IPSDIAL->DNSREQ: resolved ipadr: 217.088.147.013
25.09.2006 12:46:08 NCPIKE-phase1:name(NB1_UMTS) - outgoing connect request - aggressive mode.
25.09.2006 12:46:08 XMIT_MSG1_AGGRESSIVE - NB1_UMTS
25.09.2006 12:46:13 RECV_MSG2_AGGRESSIVE - NB1_UMTS
25.09.2006 12:46:13 IPSDIAL->FINAL_TUNNEL_ENDPOINT:217.088.147.013
25.09.2006 12:46:13 IKE phase I: Setting LifeTime to 28800 seconds
25.09.2006 12:46:13 NCPIKE-phase1:name(NB1_UMTS) - error - INVALID_HASH_INFORMATION
25.09.2006 12:46:13 AUTOMEDIA DETECT - Tried all avaliable media types
25.09.2006 12:46:13 IPSDIAL - disconnected from NB1_UMTS on channel 1.
25.09.2006 12:46:21 NCPIKE-phase1:name() - incoming connect request.
25.09.2006 12:46:21 RECV_MSG1_AGGRESSIVE -
25.09.2006 12:46:21 NCPIKE-phase1:name() - error - ATTRIBUTES_NOT_SUPPORTED
Auf Routerseite meldet die Trace-Datei:
[VPN-Status] 2006/09/25 12:45:14,650
IKE info: The remote server 80.226.228.198:500 peer def-aggr-peer id <no_id> supports NAT-T in mode draft
IKE info: The remote server 80.226.228.198:500 peer def-aggr-peer id <no_id> supports NAT-T in mode draft
IKE info: The remote server 80.226.228.198:500 peer def-aggr-peer id <no_id> supports NAT-T in mode draft
IKE info: The remote server 80.226.228.198:500 peer def-aggr-peer id <no_id> supports NAT-T in mode rfc
IKE info: The remote server 80.226.228.198:500 peer def-aggr-peer id <no_id> negotiated rfc-3706-dead-peer-detection
IKE info: The remote server 80.226.228.198:500 peer def-aggr-peer id <no_id> supports NAT-T in mode rfc
IKE info: The remote server 80.226.228.198:500 peer def-aggr-peer id <no_id> supports NAT-T in mode rfc
[VPN-Status] 2006/09/25 12:45:14,670
IKE info: phase-1 proposal failed: remote No 1 hash algorithm = SHA <-> local No 1 hash algorithm = MD5
IKE info: Phase-1 remote proposal 1 for peer def-aggr-peer matched with local proposal 2
[VPN-Status] 2006/09/25 12:45:15,880
IKE log: 124515 Default ipsec_get_keystate: no keystate in ISAKMP SA 0083ffd0
[VPN-Status] 2006/09/25 12:45:23,680
IKE log: 124523 Default message_recv: invalid cookie(s) f93a7565719ee7e7 a33f956b6c5bda35
[VPN-Status] 2006/09/25 12:45:23,680
IKE log: 124523 Default dropped message from 80.226.228.198 port 500 due to notification type INVALID_COOKIE
Ich hatte aber auch schon:
[IKE info:...]
[VPN-Status] 2006/09/25 12:35:58,180
IKE info: Phase-1 remote proposal 1 for peer def-aggr-peer matched with local proposal 1
[VPN-Status] 2006/09/25 12:35:59,580
IKE log: 123559 Default ipsec_get_keystate: no keystate in ISAKMP SA 008312f0
[VPN-Status] 2006/09/25 12:36:07,740
IKE log: 123607 Default message_recv: invalid cookie(s) 4c60b2f43436d795 488948e84972c2b6
[VPN-Status] 2006/09/25 12:36:07,740
IKE log: 123607 Default dropped message from 80.226.228.198 port 500 due to notification type INVALID_COOKIE
Ganz am Anfang des Logs vom Client steht eine Zeile:
Warning: could not open file - c:\crypt.key
Kann dort die Ursache liegen (die Installation lief eigentlich normal)? Oder wo muß ich noch nachbessern?
Ich bin mir ziemlich sicher, daß ich bei beiden dasselbe Schlüsselwort eingegeben habe.
Herzlichen Dank im voraus für Hilfe.
Mit freundlichen Grüßen
Wolfgang Meyer
Advanced VPN Client über UMTS an DSL/I 1611
Moderator: Lancom-Systems Moderatoren
Hallo Wolfgang,
Gruß
Mario
So ist es. Die Namen sind egal - es ist nur wichtig, dass auf jeder Seite mindestens ein Proposal mit identischen Parametern vorliegt.Wenn immer zu lesen ist, daß die Proposals übereinstimmen müssen - gilt das auch für die Bezeichnung der Listen oder nur für die Inhalte? Und müssen wirklich alle auf beiden Seiten gelistet sein? Dürfte es nicht reichen, wenn eine ausreichende Schnittmenge vorliegt?
Prüfe mal, ob der Identitätstyp und die Identität im Advanced Client identisch mit den Einträgen bei der Remote-Identität im Lancom (IKE-Schlüssel und Identitäten) ist.Ich bin mir ziemlich sicher, daß ich bei beiden dasselbe Schlüsselwort eingegeben habe.
Gruß
Mario
Hallo Mario,
vielen Dank für die Antwort.
Es verwirrt mich z.B., daß ich beim Router eine lokale und eine entfernte Identität angeben sollte, bei dem Advanced Client aber nur eine lokale. (Ich finde jedenfalls bei den Profileinstellungen keine passende Stelle für Angaben zur entfernten Identität.)
Ich habe an allen drei Stellen dasselbe angegeben:
Typ: Fully Qualified Username
ID: user@domainname.de
Möglicherweise ist das falsch. Vermutlich ist immer bei dem einen lokal, was für den anderen remote ist. Und sie dürfen dann nicht identisch sein, weil die Identitäten sonst "mit sich selbst" reden würden/müßten?
Das kann hier doch nur heißen, daß der Router keine Identität bekommen kann, weil der Client keinen Eintrag dafür hat?
Werde ich ausprobieren, wenn ich das Notebook wieder in die Finger bekomme.
Dank im voraus für Korrekturen.
Viele Grüße
Wolfgang
vielen Dank für die Antwort.
Ich kann mir durchaus vorstellen, daß dort etwas durcheinander ist.Prüfe mal, ob der Identitätstyp und die Identität im Advanced Client identisch mit den Einträgen bei der Remote-Identität im Lancom (IKE-Schlüssel und Identitäten) ist.
Es verwirrt mich z.B., daß ich beim Router eine lokale und eine entfernte Identität angeben sollte, bei dem Advanced Client aber nur eine lokale. (Ich finde jedenfalls bei den Profileinstellungen keine passende Stelle für Angaben zur entfernten Identität.)
Ich habe an allen drei Stellen dasselbe angegeben:
Typ: Fully Qualified Username
ID: user@domainname.de
Möglicherweise ist das falsch. Vermutlich ist immer bei dem einen lokal, was für den anderen remote ist. Und sie dürfen dann nicht identisch sein, weil die Identitäten sonst "mit sich selbst" reden würden/müßten?
Das kann hier doch nur heißen, daß der Router keine Identität bekommen kann, weil der Client keinen Eintrag dafür hat?
Werde ich ausprobieren, wenn ich das Notebook wieder in die Finger bekomme.
Dank im voraus für Korrekturen.
Viele Grüße
Wolfgang
Hallo Wolfgang,
Hab aber gerade noch mal nachgesehen. Bei nicht übereinstimmenden PSKs kommen genau die Meldungen in den Traces wie oben. Also noch mal den PSK prüfen.
Gruß
Mario
das ist schon so richtig. Der Advanced Client prüft nicht die remote Identität, deshalb ist der Eintrag bei der loaklen Identität im Lancom auch unwichtig.Es verwirrt mich z.B., daß ich beim Router eine lokale und eine entfernte Identität angeben sollte, bei dem Advanced Client aber nur eine lokale.
Hab aber gerade noch mal nachgesehen. Bei nicht übereinstimmenden PSKs kommen genau die Meldungen in den Traces wie oben. Also noch mal den PSK prüfen.
Gruß
Mario