Fehler bei Lan Koppelung mit Lancoms <gelöst>

christophhb · Beitrag von **christophhb** » 10 Feb 2012, 14:56

Hallo zusammen,
ich habe 4 Lancoms an unterschiedlichen Standorten über VPN´s gekoppelt. Jeder Standort hat eigene IP-Adressbereiche.

Die Verbindungen laufen im Mainmode an Anschlüssen mit dynamischer IP, die IP Adresse wird über die Aktionstabelle aktualisiert.

Die Verbindungen funktionierten auch lange ohne Fehlermeldungen (über 2 Jahre), jetzt habe ich 2 neue Einwahlzugänge für meine Notebooks eingerichtet und seitdem bekomme ich bei den VPN verbindungen zwischen den Filialen Fehlermeldungen.
Einen Einwahlzugang habe ich über den Assistenten angelegt, den zweiten analog dazu manuell. (Agressive Mode mit PFS, die Standard IKE Parameter wurden nicht verändert). Die Einwahl funktioiert auch Fehlerfrei.

Die Main Mode VPN Verbindungen der Filialen werden auch hergestellt, zeigen im Lan-Monitor die folgenden Fehler an:
"Keine Regel für ID´s gefunden.., Responder IP-Sec."
"Kein übereinstimmendes Proposal gefunden, Initiator IP-Sec"

Im Trace steht beim Wiederherstellen der Verbindung:
[VPN-Status] 2012/02/10 14:32:03,855 Devicetime: 2012/02/10 14:31:04,080
IKE info: Phase-2 failed for peer FILIALE: no rule matches the phase-2 ids 0.0.0.0/0.0.0.0 <-> meineIP/255.255.255.0
IKE log: 143104.000000 Default message_negotiate_sa: no compatible proposal found
IKE log: 143104.000000 Default dropped message from IPFILIALE port 500 due to notification type NO_PROPOSAL_CHOSEN
IKE info: dropped message from peer FILIALE IPFILIALE port 500 due to notification type NO_PROPOSAL_CHOSEN

[VPN-Status] 2012/02/10 14:33:03,121 Devicetime: 2012/02/10 14:32:03,360
policy manager error indication: FILIALE (IPFILIALE), cause: 12801

[VPN-Status] 2012/02/10 14:33:03,121 Devicetime: 2012/02/10 14:32:03,360
VPN: Error: IPSEC-R-No-rule-matched-IDs (0x3201) for FILIALE (IPFILIALE)

Durch den Assistenten ist bei den Firewallregeln eine neue Regel "die zur Erzeugung von VPN-Regeln hinzugekommen wird". Zielstation sind hierbei die Einwahlverbindungen. Die Zugriffsberechtigungen sind untereinander alle in der Firewall gesetzt.

Nachdem gestern Abend die Fehler bei meinen Filialverbindungen angezeigt wurden, habe ich für diese Verbindungen zwei analoge Regeln ein- und ausgehend für die VPN Verbindungen der Filialen angelegt. Hat aber die Fehler leider nicht beseitigt.

Die IKE und IP-Sec Proposals sind unverändert, auch die Standards haben sich hierbei nicht geändert. Für alle Verbindungen sind Einträge in der Routing Tabelle vorhanden.

Ach ja, Geräte sind alle mit OS8.50.016

Vielen Dank für die Hilfe
Christoph

Lösung:
Für die beiden Einwahl VPN Verbindungen hatte ich nur eine Regel in der Firewall angelegt, in der beide Gegenstellen eingetragen waren. Jetzt habe ich für beide eine einzelne Regel angelegt und die Geräte neu gesartet. Jetzt funktioniert alles.

Grüße
Christoph