Hi,
nachdem mir hier schon so erstklassig bei einem anderen Problem geholfen wurde hoffe ich nun, dass ihr mir auch helfen könnt mein VPN-Problem zu lösen.
Unten stehend die Daten, die ich von der Gegenstelle bekommen habe. Ich habe es mit dem Wizzard versucht zu konfigurieren, allerdings bekomme ich immer ein "Zeitüberschreitung währen der IKE- oder IPSec-Verhandlung".
Ich bin ehrlich gesagt etwas überfordert von dem Lancom 1781VAW und hoffe, das sich jemand die Zeit nimmt mir ein wenig auf die Sprünge zu helfen und vielleicht in ein paar Stichpunkten notiert wo und wie ich diese Daten meinem Lancom mitgeben muss, damit er brav die Verbdinung aufbaut.
Die Daten sind natürlich verändert und nur symbolisch.
P1
Gateway GDW: 11.22.33.44
ID GDW: 11.22.33.44
PSK: ganzlangerkey
IKE Version: 1
P1 Proposal: AES256/SHA256
DH Group: 5
Keylife: 28800s
NAT-T: Enable
DPD: enabled
P2:
P2 Proposal: AES256/SHA256
PFS: enabled
DH Group: 5
Keylife: 28800s
Net EXTERN: 10.103.0.0/15
Net Intern: 10.103.21.0/24
Anfängerprobleme IPSec
Moderator: Lancom-Systems Moderatoren
Re: Anfängerprobleme IPSec
Hi cb1982,
das Problem ist hier SHA256... der Wizard legt kein passendes Proposal an und du mußt manuell nacharbeiten.
Gruß
Backslash
das Problem ist hier SHA256... der Wizard legt kein passendes Proposal an und du mußt manuell nacharbeiten.
- unter VPN -> IKE/IPSec -> IKE-Proposals hat der Wizard ein Proposal WIZ-PSK-AES256SHA angelegt. Kopiere es, nenne es z.B. in PSK-AES256-SHA256 um und stelle den Hash auf SHA2-256 um.
- unter VPN -> IKE/IPSec -> IKE-Proposal-Listen legst du eine neue Proposal-Liste an, z.B. mit dem Namen IKE-<Name der VPN-Verbindung> und fügst das gerade erzeugte IKE-Proposal dort ein
- unter VPN -> IKE/IPSec -> IPSec-Proposals hat der Wizard ein Proposal WIZ-TN-AES256-SHA angelegt. Kopiere es, nenne es z.B. in TN-AES256-SHA256 um und stelle die Authentifizierung auf HMAC-SHA2-256 um.
- unter VPN -> IKE/IPSec -> IPsec-Proposal-Listen hat der Wizard eine Proposal-Liste IPS-<Name der VPN-Verbindung> angelegt. Lösche alle Proposals aus der Liste und füge das das gerade erzeugte IPSec-Proposal ein
- unter VPN -> Allgemein -> Verbindungsparameter hat der Wizard einen Parametersatz für die VPN-Verbindung angelegt. In diesem stellst du die IKE-Proposals auf die oben erzeugte IKE-Proposal-Liste IKE-<Name der VPN-Verbindung> um.
- zum schluß kontrollierst due noch ob in den Verbindungsparametern IKE- und PFS-Gruppe auf 5 stehen.
Gruß
Backslash
Re: Anfängerprobleme IPSec
Hi!
vielen Dank für die erstklassige Anleitung. Leider hat das noch nicht zum Erfolg geführt. Ich bekomme noch immer die Meldung
"Zeitüberschreitung währen IKE- oder IPSec- Verhandlung (Initiator) [0x1106].
Du hast nicht zufällig noch eine zweite Idee was es sein könnte?
Sehr verwundern tut mich, dass ich auch einen Fehler unter ISDN habe.
"Keine Leitung verfügbar für die Verbdinung nach [Name der VPN].
Kann es sein, dass er irgendwie versucht eine Verbindung über ISDN aufzubauen? Wo kann ich ihm das abgewöhnen?
Im Widerspruch dazu steht aber, dass hinter der VPN-Verbindung der Name der DSL-Verbindung auftaucht "(über EWE)".
vielen Dank für die erstklassige Anleitung. Leider hat das noch nicht zum Erfolg geführt. Ich bekomme noch immer die Meldung
"Zeitüberschreitung währen IKE- oder IPSec- Verhandlung (Initiator) [0x1106].
Du hast nicht zufällig noch eine zweite Idee was es sein könnte?
Sehr verwundern tut mich, dass ich auch einen Fehler unter ISDN habe.
"Keine Leitung verfügbar für die Verbdinung nach [Name der VPN].
Kann es sein, dass er irgendwie versucht eine Verbindung über ISDN aufzubauen? Wo kann ich ihm das abgewöhnen?
Im Widerspruch dazu steht aber, dass hinter der VPN-Verbindung der Name der DSL-Verbindung auftaucht "(über EWE)".
Re: Anfängerprobleme IPSec
Hi cb1982,
hast du eigentlich eine feste oder eine dynamische IP?
Könnte es sein, daß du statt des Main-Modes den Aggressive-Mode nutzen mußt? Unter VPN -> Allgemein -> Vebinbindungsliste -> <Name der VPN-Verbindung> -> IKE-Exchange den Radio-Button Aggressive-Mode aktivieren...
Gruß
Backslash
hast du eigentlich eine feste oder eine dynamische IP?
Könnte es sein, daß du statt des Main-Modes den Aggressive-Mode nutzen mußt? Unter VPN -> Allgemein -> Vebinbindungsliste -> <Name der VPN-Verbindung> -> IKE-Exchange den Radio-Button Aggressive-Mode aktivieren...
Gruß
Backslash
Re: Anfängerprobleme IPSec
Hallo,
bitte posten doch mal die Route die du im IP-Routing tabelle angelegt hast?
Für was steht denn P1 und P2?
Am besten auch einen Auszug aus dem VPN-Status-Trace. (Denk dran IPs zu symbolisieren)
Gruß
bitte posten doch mal die Route die du im IP-Routing tabelle angelegt hast?
Für was steht denn P1 und P2?
Am besten auch einen Auszug aus dem VPN-Status-Trace. (Denk dran IPs zu symbolisieren)
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Re: Anfängerprobleme IPSec
Hi,
meine IP ist dynamisch, mit eingerichtetem dyndns. Die Gegenstelle ist statisch.
Im Wizzard habe ich diesbezüglich den ersten Punkt ausgewählt (Beide Seiten statisch oder DNS auflösbar).
Aggressive Mode werde ich heute Nachmittag mal testen.
meine IP ist dynamisch, mit eingerichtetem dyndns. Die Gegenstelle ist statisch.
Im Wizzard habe ich diesbezüglich den ersten Punkt ausgewählt (Beide Seiten statisch oder DNS auflösbar).
Aggressive Mode werde ich heute Nachmittag mal testen.
Re: Anfängerprobleme IPSec
Wie komme ich denn an den Trace? Bisher kenne ich nur den Monitor, der mir in der Baumstruktur anzeigt was Phase ist.MariusP hat geschrieben: Am besten auch einen Auszug aus dem VPN-Status-Trace. (Denk dran IPs zu symbolisieren)
Gruß
Re: Anfängerprobleme IPSec
Hi,
auf der Konsole(ssh/telnet/seriell):
https://www2.lancom.de/kb.nsf/1276/3722 ... enDocument
der key ist "vpn-status" wobei "vpn-s" schon reicht.
oder auch im LanMonitor/Lanconfig, rechtsklick auf das gerät und "trace ausgabe erstellen" machen.
Gruß
auf der Konsole(ssh/telnet/seriell):
https://www2.lancom.de/kb.nsf/1276/3722 ... enDocument
der key ist "vpn-status" wobei "vpn-s" schon reicht.
oder auch im LanMonitor/Lanconfig, rechtsklick auf das gerät und "trace ausgabe erstellen" machen.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Re: Anfängerprobleme IPSec
Sooo, ich kläre das hier mal auf 
Erstmal vielen Dank an 'backslash' - Die Sache mit SAH und die ausführliche Anleitung hat mir nicht nur geholfen sondern auch die Lancom-Logik besser verstehen lassen.
Warum es immer noch nicht ging war ein reines DNS-Problem. Meine Seite hängt an einer dynamischen IP und nachdem ich das Kennwort beim DynDNS-Dienst geändert habe und es vergessen habe im Router auch zu ändern wurde der Eintrag natürlich nicht mehr aktualisiert.
Kleine Ursache große Wirkung!
Trotzdem 1000 Dank für eure Unterstützung!
Viele Grüße
Christoph
Erstmal vielen Dank an 'backslash' - Die Sache mit SAH und die ausführliche Anleitung hat mir nicht nur geholfen sondern auch die Lancom-Logik besser verstehen lassen.
Warum es immer noch nicht ging war ein reines DNS-Problem. Meine Seite hängt an einer dynamischen IP und nachdem ich das Kennwort beim DynDNS-Dienst geändert habe und es vergessen habe im Router auch zu ändern wurde der Eintrag natürlich nicht mehr aktualisiert.
Kleine Ursache große Wirkung!
Trotzdem 1000 Dank für eure Unterstützung!
Viele Grüße
Christoph