Fehler -Kein übereinstimmendes Proposal gefunden -

AchimS · Beitrag von **AchimS** » 27 Aug 2010, 19:02

Hallo Fachleut's

habe eine VPN zwischen einem 1711 und einem 1823...

Schön ist... es funktioniert...

Unschön ist... o.a. Fehler wird mir immer angezeigt...
Was will er mir sagen und was kann das noch für eine Auswirkung haben wenn es doch läuft?
Ich würde das so interpretieren, dass ein VPN Aufbau nicht funktioniert, aber er tut es doch

Kann mich einer aufklären?

AchimS

ft2002 · Beitrag von **ft2002** » 27 Aug 2010, 22:18

Was für ein Fehler bitte genauer und an welchem Router und ist es der annehmende ?

Wenn es nur um die Proposal geht dann kontrolliere bitte die SA Aushandlung
http://www2.lancom.de/kb.nsf/1275/8D7C0 ... enDocument

Per Telnet auf den Router und Show VPN die Netzbeziehung sollte an beiden gegenläufig sein

Melde Dich ...

Eine VPN LAN-LAN Kopplung
http://www2.lancom.de/kb.nsf/1275/37208 ... enDocument

AchimS · Beitrag von **AchimS** » 28 Aug 2010, 14:11

Hallo ft2002,

danke, dass Du dich erbarmst...

habe mal den Fehler angehängt... Nach einem Neuaufbau der VPN (die ich fraglos mal irgendwann mal eingerichtet habe) kommt halt die Fehlermeldung.

Nur habe ich das Problem, die Fachtermini nicht ohne tiefere Einarbeitung auf die Reihe zu kriegen, die einem Routerfreak geläufig sind.

Würde mich gerne mal einlesen. Mir fehlt hierzu ein Dokument, an Hand dessen ich einen VPN Verbindungsaufbau mal nachvollziehen könnte, ...
Fragen über Fragen...
Wenn man sich durch die Konfiguration eines Lancom durchklickert steht einem (mir!) immer ein Fragezeichen im Auge, wo einerseits die Schlüssel (Parameter allgemein) überhaupt herkommen und ob sie überhaupt noch gebraucht werden etc.

Aus "Angst" ändert man halt nix, könnte irgend ein Wizzard ja mal für irgendwas angelegt haben

Kann man eigentlich Lancoms in eine Art Werkseinstellung bringen, ohne ihn gleich remote zu verlieren, also so eine Art Standardkonfiguration, die man sich vielleicht auf einem lokalen mal ansehen kann?

Welche Parameter gehören überhaupt zu einer! LAN LAN Kopplung und sind sie für eine! LAN LAN Kopplung identifizierbar???

Irgendwie fehlt mir der richtige Anfang

By the way - was ist SA ???

Grüße

AchimS

Ach Ja - eins ist ein 1711 der andere ein 1823... aber wie erkenne ich den Initiator? Und würde es reichen auf einer Seite eine feste ip zu haben um die dem Initiator zu "geben" und dann klappts auch immer mit dem Verbindungsaufbau?

ft2002 · Beitrag von **ft2002** » 28 Aug 2010, 14:45

geh mal unter Lancom auf die Support Seite:
http://www.lancom-systems.de/Support-Kn ... .63.0.html

unter Volltext-Suche VPN eingeben gibt es ein paar Infos zu Problemstellungen.

Du kannst Dir auch das Handbuch runterladen , da gibt es auch ein paar Hintergrundinfo zum Thema VPN.

Du kannst den Router Reseten aber dann ist er Doof und Du kommst so ohne weiteres nicht an Ihn ran.
Es gibt dann die möglichkeit per ISDN-Interface innerhalb von 5min. an Ihn ranzukommen auch ohne Passwort um Ihn Grundeinzustellen und dann per DYNDNS oder fester IP per Internet ranzukommen.

Hat mir schon so manche Fahrt in den Süden erspart. Du brauchst dann aber jemanden vor Ort und ich finde es als letztes Mittel ganz gut aber würde Dir erstmal von abraten.

Das mit den Proposal bekommt mann eingestellt , alles kein Problem

Michael · Beitrag von **Michael** » 31 Aug 2010, 14:09

Ich habe dieses Problem ebenfalls auf einer 1811n und das erst nachdem ich die 8.0 installiert habe. Meine VPN Verbindungen haben monatelang unter der alten FW 7.X reibungslos und ohne Fehler, funktioniert.

Ich gehe daher davon aus, dass noch Probleme mit der neuen FW existieren und werde den Lancom Support kontaktieren.

Viele Grüße,

Michael

backslash · Beitrag von **backslash** » 31 Aug 2010, 16:09

Hi Michael,

die Meldung kommt immer dann wenn die Netzbeziehungen in den VPN-Regeln auf beiden Seiten nicht exakt gleich sind. Mach mal auf beiden Seiten ein "show vpn" und vergleiche die Ausgaben. Sie müssen (spiegelverkehrt) gleich sein.

Gruß
Backslash

Michael · Beitrag von **Michael** » 31 Aug 2010, 17:20

Werde ich machen. Aber wie schon geschrieben hatte ich die Meldungen nie mit FW 7.

Michael · Beitrag von **Michael** » 08 Sep 2010, 18:01

So, ich habe das alles nochmal nachgestellt und muss den Thread nochmal hochholen.

Bei mir sieht das nun wie folgt aus:

1. VPN-Verbindung kommt beim ersten Versuch mit AVC zustande
2. Verbindungsaufbau-Trigger der Aktionstabelle (AT) wird angestossen und schickt eine Email.
3. Benutzer beendet Verbindung per AVC
4. Der 1811n bekommt offensichtlich den Verbindungsabbau nicht korrekt mit. Obwohl ein Trigger in der AT definiert ist, wird dieser nicht ausgelöst und folglich auch keine Email über den Abbau geschickt. AT-Trigger für den Fehlerfall ebenfalls nicht.
5. Im Lanmonitor scheint alles in Ordnung.
6. Benutzer will erneut VPN-Tunnel über AVC aufbauen
7. Verbindungsaufbau scheitert. Es erscheint obige Fehlermeldung und ein Fehlereintrag im Lanmonitor.
8. AT-Trigger für den Fehlerfall wird ausgelöst und schickt Email.
9. Das lässt sich nun beliebig oft wiederholen, eine VPN Verbindung kommt nicht mehr zustande bis Neustart oder neues Profil angelegt wird. Dann geht es wieder bei 1. los

AVC neueste Version, FW 8.0 1811n.

Downgrade auf FW 7.X löst das Problem sofort.

Irgendwelche Ideen ? Ich bin ratlos.

Beim stöbern ist mir noch aufgefallen dass es sich so ähnlich anhört wie das hier

http://www.lancom-forum.de/topic,9823,- ... glich.html

Gruß, Michael

backslash · Beitrag von **backslash** » 08 Sep 2010, 18:29

Hi Michael,

das ist ein Problem in der 8.00, daß sich dadurch umgehen läßt, daß du für den Client einen Eintrag in der Routing-Tabelle machst und ihm somit eine feste IP zuweist...

Gruß
Backslash

Michael · Beitrag von **Michael** » 08 Sep 2010, 18:33

Hi backslash,

danke für die Bestätigung. Dachte mir doch dass es ein Bug sein muss.

Wird dann hoffentlich mit dem nächsten Release erledigt.

Gruß, Michael

tbc233 · Beitrag von **tbc233** » 08 Sep 2010, 19:49

backslash hat geschrieben: das ist ein Problem in der 8.00, daß sich dadurch umgehen läßt, daß du für den Client einen Eintrag in der Routing-Tabelle machst und ihm somit eine feste IP zuweist...

Könnte dieser Bug auch was mit meinen offenen Problemen (die mit 7.80 nicht bestehen) zu tun haben?

http://www.lancom-forum.de/topic,9898,- ... ase+2.html
http://www.lancom-forum.de/topic,9913,- ... +UMTS.html

HeinMück · Beitrag von **HeinMück** » 09 Sep 2010, 10:37

das Problem hatte ich auch. Nach update der Router auf die 8`er Firmware, flog ich nach jedem Zugriff auf die Routerkonfiguration aus der VPN-Verbindung. Das Problem ist die 1-Klick-Variante. Nach Neuanlage der VPN-Verbindungen, indem ich nicht die 1-Klick-Geschichte angewählt habe, sondern Passwort, IP-Netz und Mailadresse manuell eingetragen habe, funktioniert der Zugriff wieder einwandfrei.

Gruß

tbc233 · Beitrag von **tbc233** » 09 Sep 2010, 10:46

Daran kanns zumindest bei mir nicht liegen, die 1-Click Geschichte habe ich nie verwendet. Ich geh immer den Dialog vollständig durch und trage alles ein.

backslash · Beitrag von **backslash** » 09 Sep 2010, 18:23

Hi tbc233,

Es gibt ein Problem, wenn die Verbindungen mit dem Wizzard angelegt werden und Adressen aus dem Pool erhalten. Der Wizzard legt eine in der Firewall Regel an, die im Ziel die Client-Gegenstelle hat. Hier ist hat sich ein Fehler eingeschlichen bei der Umsetzung der Pool-Adresse zur IPSec-Regel, die über die Firewallregel erzeugt wird. Sobald der Client eine feste IP-Adresse bekommt, funktioniert die Abbildung korrekt

Gruß
Backslash

Michael · Beitrag von **Michael** » 10 Sep 2010, 10:15

Ja das kann ich bestätigen. Habe es einmal ausprobiert und das Problem ist zumindest bei mir nicht mehr aufgetreteten.

Ich möchte nur nicht allen meinen VPN-Kunden feste IP Adressen zuweisen. Daher meine Frage wann mit einer neuen FW zu rechnen ist, bei der das Problem behoben ist ?

Danke und Gruß

Michael