Ich versuche im Moment VPN-Probleme zu diagnostizieren. Leider ist mir nicht ganz klar, was hier passiert. Es liest sich im Trace so, als ob die Verbindung neu aufgebaut würde. Allerdings kann ich keinen Grund erkennen, warum dies so ist. Auch die rot markierte Fehlermeldung erscheint mir etwas suspekt. Hat von Euch jemand eine Idee?
[VPN-Status] 2013/11/11 16:47:42,468 Devicetime: 2013/11/11 16:47:56,841
VPN: poll timeout for GATEWAY (<ip>)
data received during intervall
set poll timer to 30000 ms
[VPN-Status] 2013/11/11 16:47:54,859 Devicetime: 2013/11/11 16:48:09,445
IKE info: The remote server <ip>:4500 (UDP) peer GATEWAY id <no_id> supports draft-ietf-ipsec-isakmp-xauth
IKE info: The remote server <ip>:4500 (UDP) peer GATEWAY id <no_id> negotiated rfc-3706-dead-peer-detection
IKE info: The remote peer GATEWAY supports NAT-T in RFC mode
IKE info: The remote peer GATEWAY supports NAT-T in draft mode
IKE info: The remote peer GATEWAY supports NAT-T in draft mode
[VPN-Status] 2013/11/11 16:47:55,312 Devicetime: 2013/11/11 16:48:09,898
IKE info: Phase-1 SA Rekeying Timeout (Soft-Event) for peer GATEWAY set to 7200 seconds (Responder)
[VPN-Status] 2013/11/11 16:47:55,312 Devicetime: 2013/11/11 16:48:09,898
IKE info: Phase-1 SA Timeout (Hard-Event) for peer GATEWAY set to 8000 seconds (Responder)
[VPN-Status] 2013/11/11 16:48:02,839 Devicetime: 2013/11/11 16:48:17,220
suppress DNS resolution for GATEWAY
IpStr=><host><, IpAddr=<ip>, IpTtl=60s
[VPN-Status] 2013/11/11 16:48:10,491 Devicetime: 2013/11/11 16:48:24,890
IKE info: Delete Notification sent for Phase-1 SA to peer GATEWAY, cookies [0xe024ba1a3b36bbab 0x455a0b7753b39a2d]
[VPN-Status] 2013/11/11 16:48:10,491 Devicetime: 2013/11/11 16:48:24,890
IKE info: Phase-1 SA removed: peer GATEWAY rule GATEWAY removed
[VPN-Status] 2013/11/11 16:48:10,491 Devicetime: 2013/11/11 16:48:24,904
IKE log: 164824.904923 Default message_recv: invalid cookie(s) e024ba1a3b36bbab 455a0b7753b39a2d
[VPN-Status] 2013/11/11 16:48:10,491 Devicetime: 2013/11/11 16:48:24,905
IKE log: 164824.905045 Default dropped message from <ip> port 4500 due to notification type INVALID_COOKIE
[VPN-Status] 2013/11/11 16:48:12,475 Devicetime: 2013/11/11 16:48:26,841
VPN: poll timeout for GATEWAY (<ip>)
data received during intervall
set poll timer to 30000 ms
[VPN-Status] 2013/11/11 16:48:42,458 Devicetime: 2013/11/11 16:48:56,841
VPN: poll timeout for GATEWAY (<ip>)
data received during intervall
set poll timer to 30000 ms
[VPN-Status] 2013/11/11 16:49:12,445 Devicetime: 2013/11/11 16:49:26,841
VPN: poll timeout for GATEWAY (<ip>)
data received during intervall
set poll timer to 30000 ms
[VPN-Status] 2013/11/11 16:47:54,859 Devicetime: 2013/11/11 16:48:09,446
IKE error: 164809.446374 Default attribute_unacceptable: conf_match_num failed, type [14]: Undefined error: 0
IKE info: Phase-1 remote proposal 1 for peer GATEWAY matched with local proposal 2
Frage zu VPN Fehlermeldung
Moderator: Lancom-Systems Moderatoren
Re: Frage zu VPN Fehlermeldung
Hi,
Kann es das der Trace nicht vollständig ist oder bearbeitet wurde?
Da die Reihenfolge:
16:49:26,841
16:48:09,446
doch etwas falsch erscheint.
Außerdem fehlt die Information bezüglich des ersten localen Proposals z.b.:
"proposal failed: remote No 1, esp hmac HMAC_SHA <-> local No 1, esp hmac HMAC_MD5"
Die Fehlermeldung besagt das ein Attribute in einer erhaltenen Nachricht fehlerhaft ist, allerdings ohne mitschnitt des empfangene Pakets schwer zu sagen welches Feld kaputt war.
Kannst du bitte einen lcoscap trace machen. https://www2.lancom.de/kb.nsf/1275/1CF7 ... enDocument
Bitte geb auch die Firmwareversion an.
Gruß
Kann es das der Trace nicht vollständig ist oder bearbeitet wurde?
Da die Reihenfolge:
16:49:26,841
16:48:09,446
doch etwas falsch erscheint.
Außerdem fehlt die Information bezüglich des ersten localen Proposals z.b.:
"proposal failed: remote No 1, esp hmac HMAC_SHA <-> local No 1, esp hmac HMAC_MD5"
Die Fehlermeldung besagt das ein Attribute in einer erhaltenen Nachricht fehlerhaft ist, allerdings ohne mitschnitt des empfangene Pakets schwer zu sagen welches Feld kaputt war.
Kannst du bitte einen lcoscap trace machen. https://www2.lancom.de/kb.nsf/1275/1CF7 ... enDocument
Bitte geb auch die Firmwareversion an.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Re: Frage zu VPN Fehlermeldung
Sorry, das war mein Fehler. Der rote Eintrag ist beim kopieren nach unten gerutscht, gehört aber natürlich zeitlich korrekt einsortiert. Das Proposal ist nicht dabei. Ich glaube, ich muss erst zum Tracen vor Ort, da anscheinend nicht alle Meldungen in der zentrale ankommen.
Vielleicht erst einmal etwas prinzipielles: Da wurde tatsächlich die VPN Verbindung neu aufgebaut, oder? Oder handelt es sich hier um normale Schritte, die bei bestehenden Verbindungen passieren?
Vielleicht erst einmal etwas prinzipielles: Da wurde tatsächlich die VPN Verbindung neu aufgebaut, oder? Oder handelt es sich hier um normale Schritte, die bei bestehenden Verbindungen passieren?
Re: Frage zu VPN Fehlermeldung
Code: Alles auswählen
[VPN-Status] 2013/11/11 16:48:10,491 Devicetime: 2013/11/11 16:48:24,890
IKE info: Delete Notification sent for Phase-1 SA to peer GATEWAY, cookies [0xe024ba1a3b36bbab 0x455a0b7753b39a2d]
[VPN-Status] 2013/11/11 16:48:10,491 Devicetime: 2013/11/11 16:48:24,890
IKE info: Phase-1 SA removed: peer GATEWAY rule GATEWAY removed
[VPN-Status] 2013/11/11 16:48:10,491 Devicetime: 2013/11/11 16:48:24,904
IKE log: 164824.904923 Default message_recv: invalid cookie(s) e024ba1a3b36bbab 455a0b7753b39a2d
[VPN-Status] 2013/11/11 16:48:10,491 Devicetime: 2013/11/11 16:48:24,905
IKE log: 164824.905045 Default dropped message from <ip> port 4500 due to notification type INVALID_COOKIEund das wegen "notification type INVALID_COOKIE".
Sprich hier wurde versucht eine Verbindung aufzubauen, aber das hat nicht geklappt, da einer der Cookies an denen die Verbindung erkannt wird, nicht gestimmt hat, das kann mehrere Gründe haben.
Der Error sollte weniger das Problem, sein da andere Proposal die keinen Fehler haben verwendet werden können sofern den mehr als 1 Proposal versendet wurde ist.
Wie gesagt ein lcoscap ist das sehr hilfreich.
Bitte mehr Infos liefern.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.