Fehlermeldung bei Side2Side-Verbindung

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
Ludger
Beiträge: 69
Registriert: 29 Jun 2009, 21:42

Fehlermeldung bei Side2Side-Verbindung

Beitrag von Ludger »

Moin Zusammen,

muss im Moment eine Verbindung von unserem 1711+ zu einer StrongSwan Installation einrichten und bekomme immer die Meldung:
KERN Fehler attribute_unacceptable: conf_match_num failed, type [14]: No such file or directory
Die Verbindung steht, Firewall lässt im Moment alles zu für die Verbindung, kein Ping möglich beidseitig nicht.

Jemand eine Idee?

VG
Ludger
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: Fehlermeldung bei Side2Side-Verbindung

Beitrag von MariusP »

Hi,
Auch wenn ich deine Fehlermeldung nicht kenne, war in unseren Aufbauten es notwendig, um Pakete hin- und zurückzusenden, folgendes auf yes zu setzen:
forceencaps = yes | no

force UDP encapsulation for ESP packets even if no NAT situation is detected.
This may help to surmount restrictive firewalls. In order to force the peer to
encapsulate packets, NAT detection payloads are faked.
Not supported for IKEv1 connections prior to 5.0.0.

https://wiki.strongswan.org/projects/st ... onnSection
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Ludger
Beiträge: 69
Registriert: 29 Jun 2009, 21:42

Re: Fehlermeldung bei Side2Side-Verbindung

Beitrag von Ludger »

Habe hier einen Trace vom VPN-Status, vielleicht kann das ja jemand deuten:

[VPN-Status] 2017/12/18 16:25:50,065 Devicetime: 2017/12/18 16:25:50,050
IKE info: Phase-2 failed for peer LAN-SAP: no rule matches the phase-2 ids 172.16.32.0/255.255.255.0 <-> 192.168.1.0/255.255.255.0
IKE log: 162550.051201 Default message_negotiate_sa: no compatible proposal found
IKE log: 162550.051388 Default dropped message from [IP-Router-Gegenstelle] port 500 due to notification type NO_PROPOSAL_CHOSEN

[VPN-Status] 2017/12/18 16:25:50,065 Devicetime: 2017/12/18 16:25:50,052
policy manager error indication: LAN-SAP (IP-Router-Gegenstelle), cause: 12801

[VPN-Status] 2017/12/18 16:25:50,065 Devicetime: 2017/12/18 16:25:50,052
VPN: Error: IPSEC-R-No-rule-matched-IDs (0x3201) for LAN-SAP (IP-Router-Gegenstelle)

VG
Ludger
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: Fehlermeldung bei Side2Side-Verbindung

Beitrag von MariusP »

Hi,
Hast du das mal mit "show vpn" verglichen?
Dort solltest du die Unterschiede in den erwarteten Netzwerken festellen können.
Am besten mal mit den

Code: Alles auswählen

sudo ip xfrm state    gibt linux SAs aus
sudo ip xfrm policy    gibt linux ipsec policies
vergleichen.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Ludger
Beiträge: 69
Registriert: 29 Jun 2009, 21:42

Re: Fehlermeldung bei Side2Side-Verbindung

Beitrag von Ludger »

Hallo Marius,

habe mir mit Show vpn die Verbindungen angesehen, die IP-Adressen der Netze und Gateways sind richtig.
Die Verbindung steht, aber es tauchen immer die Fehlermeldungen auf:

406 2017-12-19 09:47:21 LOCAL0 Fehler VPN: Error for peer LAN-SAP: IPSEC-R-No-rule-matched-IDs
407 2017-12-19 09:47:31 LOCAL0 Fehler VPN: Error for peer LAN-SAP: IPSEC-R-No-rule-matched-IDs
408 2017-12-19 09:47:31 LOCAL0 Fehler VPN: Error for peer LAN-SAP: IPSEC-R-PFS-group-mismatch
409 2017-12-19 09:47:41 LOCAL0 Fehler VPN: Error for peer LAN-SAP: IPSEC-R-PFS-group-mismatch

Da ich keinen Zugriff auf die Gegenstelle habe, wird von einer anderen Firma betreut, komme ich da irgendwie nicht weiter.

Hat denn jemand eine Idee, was die beiden Fehlermeldungen bedeuten?

Gruß
Ludger
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: Fehlermeldung bei Side2Side-Verbindung

Beitrag von MariusP »

Hi,
Eine Vpn Verbindung aufbauen mit einer Gegenstelle auf die du keinen Zugriff hast ist immer problematisch.
Du kannst also nur das Lancom konfigurieren bzw darauf zugreifen?
Welche Infos hast du denn von der Gegenstelle/seite erhalten?
Das ist der Moment wo du dir überlegen solltest, ob du mit der Gegenseite über die Sinnhaftigkeit dieser Vorgehensweise sprechen solltest. Stell es dir vor du bist Arzt und hast einen Patienten der krank ist, aber eine Untersuchung darfst du nicht durchführen.

Fehler 1: die eingehenden ID Proposals haben nicht mit den vom Lancom erwarteten gepasst
Hier müsstest du wiederrum die eingehende Netze mit den von dir erwarteten vergleichen
Fehler 2: die DH Proposals für PFS sind nicht gleich mit dem erwarteten für die Verbindung

Du kannst das über den vpn-i Trace gut überprüfen, was reinkommt und mit "show vpn long" überprüfen.

Du baust Ikev1 auf? Wenn Strongswan schon verwendet wird, warum dann nicht IKEv2?
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Ludger
Beiträge: 69
Registriert: 29 Jun 2009, 21:42

Re: Fehlermeldung bei Side2Side-Verbindung

Beitrag von Ludger »

Hallo Marius,

Danke für deine Hilfe.
Was meinst Du mit "vpn-i Trace "?

VG
Ludger
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: Fehlermeldung bei Side2Side-Verbindung

Beitrag von MariusP »

Hi,
Es gibt einen VPN-IKE Trace, wo die IKE-Pakete übersichtlich dargestellt bekommst.
Wenn du nicht weis wie, google ist in dem Fall sicher der bessere Erklärbär. ;-)
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Fehlermeldung bei Side2Side-Verbindung

Beitrag von GrandDixence »

Anleitungen für IKEv2/IPSec zwischen LANCOM und StrongSwan sind unter:

http://www.lancom-forum.de/aktuelle-lan ... tml#p90462

http://www.lancom-forum.de/fragen-zum-t ... tml#p91268

erhältlich.
Ludger
Beiträge: 69
Registriert: 29 Jun 2009, 21:42

Re: Fehlermeldung bei Side2Side-Verbindung

Beitrag von Ludger »

Moin,

Danke für alle Infos.

Die Verbindung läuft jetzt, es gab in der StrongSwan wohl Probleme mit den Proposals, dass wir nicht Pingen konnten lag an unserem Routing, auch das ist jetzt gelöst.

Schöne Feiertage.

VG
Ludger
Antworten