Moin Zusammen,
muss im Moment eine Verbindung von unserem 1711+ zu einer StrongSwan Installation einrichten und bekomme immer die Meldung:
KERN Fehler attribute_unacceptable: conf_match_num failed, type [14]: No such file or directory
Die Verbindung steht, Firewall lässt im Moment alles zu für die Verbindung, kein Ping möglich beidseitig nicht.
Jemand eine Idee?
VG
Ludger
Fehlermeldung bei Side2Side-Verbindung
Moderator: Lancom-Systems Moderatoren
Re: Fehlermeldung bei Side2Side-Verbindung
Hi,
Auch wenn ich deine Fehlermeldung nicht kenne, war in unseren Aufbauten es notwendig, um Pakete hin- und zurückzusenden, folgendes auf yes zu setzen:
forceencaps = yes | no
force UDP encapsulation for ESP packets even if no NAT situation is detected.
This may help to surmount restrictive firewalls. In order to force the peer to
encapsulate packets, NAT detection payloads are faked.
Not supported for IKEv1 connections prior to 5.0.0.
https://wiki.strongswan.org/projects/st ... onnSection
Gruß
Auch wenn ich deine Fehlermeldung nicht kenne, war in unseren Aufbauten es notwendig, um Pakete hin- und zurückzusenden, folgendes auf yes zu setzen:
forceencaps = yes | no
force UDP encapsulation for ESP packets even if no NAT situation is detected.
This may help to surmount restrictive firewalls. In order to force the peer to
encapsulate packets, NAT detection payloads are faked.
Not supported for IKEv1 connections prior to 5.0.0.
https://wiki.strongswan.org/projects/st ... onnSection
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Re: Fehlermeldung bei Side2Side-Verbindung
Habe hier einen Trace vom VPN-Status, vielleicht kann das ja jemand deuten:
[VPN-Status] 2017/12/18 16:25:50,065 Devicetime: 2017/12/18 16:25:50,050
IKE info: Phase-2 failed for peer LAN-SAP: no rule matches the phase-2 ids 172.16.32.0/255.255.255.0 <-> 192.168.1.0/255.255.255.0
IKE log: 162550.051201 Default message_negotiate_sa: no compatible proposal found
IKE log: 162550.051388 Default dropped message from [IP-Router-Gegenstelle] port 500 due to notification type NO_PROPOSAL_CHOSEN
[VPN-Status] 2017/12/18 16:25:50,065 Devicetime: 2017/12/18 16:25:50,052
policy manager error indication: LAN-SAP (IP-Router-Gegenstelle), cause: 12801
[VPN-Status] 2017/12/18 16:25:50,065 Devicetime: 2017/12/18 16:25:50,052
VPN: Error: IPSEC-R-No-rule-matched-IDs (0x3201) for LAN-SAP (IP-Router-Gegenstelle)
VG
Ludger
[VPN-Status] 2017/12/18 16:25:50,065 Devicetime: 2017/12/18 16:25:50,050
IKE info: Phase-2 failed for peer LAN-SAP: no rule matches the phase-2 ids 172.16.32.0/255.255.255.0 <-> 192.168.1.0/255.255.255.0
IKE log: 162550.051201 Default message_negotiate_sa: no compatible proposal found
IKE log: 162550.051388 Default dropped message from [IP-Router-Gegenstelle] port 500 due to notification type NO_PROPOSAL_CHOSEN
[VPN-Status] 2017/12/18 16:25:50,065 Devicetime: 2017/12/18 16:25:50,052
policy manager error indication: LAN-SAP (IP-Router-Gegenstelle), cause: 12801
[VPN-Status] 2017/12/18 16:25:50,065 Devicetime: 2017/12/18 16:25:50,052
VPN: Error: IPSEC-R-No-rule-matched-IDs (0x3201) for LAN-SAP (IP-Router-Gegenstelle)
VG
Ludger
Re: Fehlermeldung bei Side2Side-Verbindung
Hi,
Hast du das mal mit "show vpn" verglichen?
Dort solltest du die Unterschiede in den erwarteten Netzwerken festellen können.
Am besten mal mit den vergleichen.
Gruß
Hast du das mal mit "show vpn" verglichen?
Dort solltest du die Unterschiede in den erwarteten Netzwerken festellen können.
Am besten mal mit den
Code: Alles auswählen
sudo ip xfrm state gibt linux SAs aus
sudo ip xfrm policy gibt linux ipsec policiesGruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Re: Fehlermeldung bei Side2Side-Verbindung
Hallo Marius,
habe mir mit Show vpn die Verbindungen angesehen, die IP-Adressen der Netze und Gateways sind richtig.
Die Verbindung steht, aber es tauchen immer die Fehlermeldungen auf:
406 2017-12-19 09:47:21 LOCAL0 Fehler VPN: Error for peer LAN-SAP: IPSEC-R-No-rule-matched-IDs
407 2017-12-19 09:47:31 LOCAL0 Fehler VPN: Error for peer LAN-SAP: IPSEC-R-No-rule-matched-IDs
408 2017-12-19 09:47:31 LOCAL0 Fehler VPN: Error for peer LAN-SAP: IPSEC-R-PFS-group-mismatch
409 2017-12-19 09:47:41 LOCAL0 Fehler VPN: Error for peer LAN-SAP: IPSEC-R-PFS-group-mismatch
Da ich keinen Zugriff auf die Gegenstelle habe, wird von einer anderen Firma betreut, komme ich da irgendwie nicht weiter.
Hat denn jemand eine Idee, was die beiden Fehlermeldungen bedeuten?
Gruß
Ludger
habe mir mit Show vpn die Verbindungen angesehen, die IP-Adressen der Netze und Gateways sind richtig.
Die Verbindung steht, aber es tauchen immer die Fehlermeldungen auf:
406 2017-12-19 09:47:21 LOCAL0 Fehler VPN: Error for peer LAN-SAP: IPSEC-R-No-rule-matched-IDs
407 2017-12-19 09:47:31 LOCAL0 Fehler VPN: Error for peer LAN-SAP: IPSEC-R-No-rule-matched-IDs
408 2017-12-19 09:47:31 LOCAL0 Fehler VPN: Error for peer LAN-SAP: IPSEC-R-PFS-group-mismatch
409 2017-12-19 09:47:41 LOCAL0 Fehler VPN: Error for peer LAN-SAP: IPSEC-R-PFS-group-mismatch
Da ich keinen Zugriff auf die Gegenstelle habe, wird von einer anderen Firma betreut, komme ich da irgendwie nicht weiter.
Hat denn jemand eine Idee, was die beiden Fehlermeldungen bedeuten?
Gruß
Ludger
Re: Fehlermeldung bei Side2Side-Verbindung
Hi,
Eine Vpn Verbindung aufbauen mit einer Gegenstelle auf die du keinen Zugriff hast ist immer problematisch.
Du kannst also nur das Lancom konfigurieren bzw darauf zugreifen?
Welche Infos hast du denn von der Gegenstelle/seite erhalten?
Das ist der Moment wo du dir überlegen solltest, ob du mit der Gegenseite über die Sinnhaftigkeit dieser Vorgehensweise sprechen solltest. Stell es dir vor du bist Arzt und hast einen Patienten der krank ist, aber eine Untersuchung darfst du nicht durchführen.
Fehler 1: die eingehenden ID Proposals haben nicht mit den vom Lancom erwarteten gepasst
Hier müsstest du wiederrum die eingehende Netze mit den von dir erwarteten vergleichen
Fehler 2: die DH Proposals für PFS sind nicht gleich mit dem erwarteten für die Verbindung
Du kannst das über den vpn-i Trace gut überprüfen, was reinkommt und mit "show vpn long" überprüfen.
Du baust Ikev1 auf? Wenn Strongswan schon verwendet wird, warum dann nicht IKEv2?
Gruß
Eine Vpn Verbindung aufbauen mit einer Gegenstelle auf die du keinen Zugriff hast ist immer problematisch.
Du kannst also nur das Lancom konfigurieren bzw darauf zugreifen?
Welche Infos hast du denn von der Gegenstelle/seite erhalten?
Das ist der Moment wo du dir überlegen solltest, ob du mit der Gegenseite über die Sinnhaftigkeit dieser Vorgehensweise sprechen solltest. Stell es dir vor du bist Arzt und hast einen Patienten der krank ist, aber eine Untersuchung darfst du nicht durchführen.
Fehler 1: die eingehenden ID Proposals haben nicht mit den vom Lancom erwarteten gepasst
Hier müsstest du wiederrum die eingehende Netze mit den von dir erwarteten vergleichen
Fehler 2: die DH Proposals für PFS sind nicht gleich mit dem erwarteten für die Verbindung
Du kannst das über den vpn-i Trace gut überprüfen, was reinkommt und mit "show vpn long" überprüfen.
Du baust Ikev1 auf? Wenn Strongswan schon verwendet wird, warum dann nicht IKEv2?
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Re: Fehlermeldung bei Side2Side-Verbindung
Hallo Marius,
Danke für deine Hilfe.
Was meinst Du mit "vpn-i Trace "?
VG
Ludger
Danke für deine Hilfe.
Was meinst Du mit "vpn-i Trace "?
VG
Ludger
Re: Fehlermeldung bei Side2Side-Verbindung
Hi,
Es gibt einen VPN-IKE Trace, wo die IKE-Pakete übersichtlich dargestellt bekommst.
Wenn du nicht weis wie, google ist in dem Fall sicher der bessere Erklärbär.
Gruß
Es gibt einen VPN-IKE Trace, wo die IKE-Pakete übersichtlich dargestellt bekommst.
Wenn du nicht weis wie, google ist in dem Fall sicher der bessere Erklärbär.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
-
GrandDixence
- Beiträge: 1150
- Registriert: 19 Aug 2014, 22:41
Re: Fehlermeldung bei Side2Side-Verbindung
Anleitungen für IKEv2/IPSec zwischen LANCOM und StrongSwan sind unter:
http://www.lancom-forum.de/aktuelle-lan ... tml#p90462
http://www.lancom-forum.de/fragen-zum-t ... tml#p91268
erhältlich.
http://www.lancom-forum.de/aktuelle-lan ... tml#p90462
http://www.lancom-forum.de/fragen-zum-t ... tml#p91268
erhältlich.
Re: Fehlermeldung bei Side2Side-Verbindung
Moin,
Danke für alle Infos.
Die Verbindung läuft jetzt, es gab in der StrongSwan wohl Probleme mit den Proposals, dass wir nicht Pingen konnten lag an unserem Routing, auch das ist jetzt gelöst.
Schöne Feiertage.
VG
Ludger
Danke für alle Infos.
Die Verbindung läuft jetzt, es gab in der StrongSwan wohl Probleme mit den Proposals, dass wir nicht Pingen konnten lag an unserem Routing, auch das ist jetzt gelöst.
Schöne Feiertage.
VG
Ludger