[Gelöst]: Kein IKEv1-VPN mehr nach Upgrade auf 10.94

[waldmeister24]

Hallo,
ich hab gestern bei einem 1793VA ein Upgrade von 10.80 auf 10.94 durchgeführt. Leider funktionieren seitdem die noch vorhandenen IKEv1-VPN-Verbindungen nicht mehr (IKEv2 Standortverbindung läuft).

Mit einem LANCOM VPN-Client kommt die Meldung "IKE(phase2) - Warten auf Msg 2". Bei einer Verbindung mit dem ShrewSoft Client zeigt dieser "Connected" an, aber im LANMOnitor ist nichts davon zu sehen.

Hat jemand eine Idee?


VG
waldmeister24

[Frühstücksdirektor]

Hallo Waldmeister24,

ich tippe mal darauf, dass es nicht mit der 10.94 zusammenhängt, sondern mit dem Entfall von DES, Blowfish, Cast128 in der 10.90.

Ich würde vorschlagen diese Algorithmen im VPN-Client zu löschen und auf Config-Reste im LCOS zu prüfen.
Eine Umstellung auf AES-256+SHA256 macht hier Sinn in dem Zug...

Viele Grüße,
Frühstücksdirektor

[waldmeister24]

Hallo Frühstücksdirektor,

genau das war's. Die Verbindung mit dem Shrewsoft Client (die einzige, die ich auf die Schnelle testen konnte) läuft wieder.

Vielen Dank für den Tipp!


VG
waldmeister24

[Jirka]

ich tippe mal darauf, dass es nicht mit der 10.94 zusammenhängt, sondern mit dem Entfall von DES, Blowfish, Cast128 in der 10.90.

Ich denke Du warst Dir da bei Deinem Tipp ziemlich sicher.

Ich habe nämlich wirklich gefühlt schon 50 Leute gehabt, die mit diesem Problem angerufen haben. Und ich habe das anfangs auch mal getraced und wunderte mich irgendwie über das Verhalten des LANCOMs. Soweit ich den Trace richtig interpretiert hatte, kannte der LANCOM-Router, der die höhere Firmware bekommen hatte, die DES/Blowfish-Verschlüsselung nicht mehr. Und was mich dann echt verwundert hat, war, dass er dann einen VPN-Verbindungsaufbau verweigert hat, wenn die andere Seite unter anderem auch die DES/Blowfish-Verschlüsselungen mit im Angebot hatte. Sobald man diese DES/Blowfish-Verschlüsselungen auf der Seite z. B. mit alter Firmware raus nahm, war alles ok. Diese Verhalten ist echt komisch und meiner Ansicht nach stellt es sogar einen Bug dar. In der Vergangenheit galt nämlich: Jede Seite kann Verschlüsselungsalgorithmen anbieten, die sie kann und man einigt sich auf den besten gemeinsamen Nenner. Das klappte Jahrelang problemlos. Jetzt hat der LANCOM ein Problem damit, wenn die andere Seite diese (meinetwegen veralteten) DES/Blowfish-Verschlüsselungen anbietet und lehnt den VPN-Verbindungsaufbau ab. Wenn alles von der Gegenseite unverändert kommt, und nur die DES-Blowfish-Verschlüsselung entfällt, dann klappt es? Das kann nur ein Bug sein, sorry. Und der LANCOM sagt ja auch irgendwas mit unknown im Trace.

Viele Grüße
Jirka

[Frühstücksdirektor]

For the record:

Das Problem mit "unbekannten Proposals" in IKEv1 wurde erfolgreich gefixt ab 10.94 RU2 und 10.92 RU5. Steht scheinbar aber nicht in den Rel-Notes drin.

[Gerald]

Nach dem Update auf die RU2 und RU5 Versionen funktioniert SIP über die VPN-Verbindungen nicht mehr, die Registrierungen schlagen fehl. Nach der Rückkehr zu den vorherigen Versionen erfolgte die Registrierung sofort.
Viele Grüße
Gerald

[Icarusweb]

@Gerald: Das ist etwas "frei" formuliert. Um das Problem besser zu verstehen wäre noch wichtig: Wer führt die SIP Registierung aus und wogegen. Ist auf einer Seite des VPN Tunnels der Voice Call Manager des LANCOM Routers involviert?

Sollte der Voice Call Manager eine Rolle spielen, macht es sinn den callmanager, sip-packet und sip-connection sich anzuschauen. Falls nicht reichen vermutlich erstmal ip-router und vpn-packet.

Da hier dies als "gelöst" markiert ist und dein Problem ja nicht der Tunnelaufbau ist, macht es ggf Sinn ein eigenes Thema dafür anzulegen. Dann können auch mehr Leute deinen Beitrag sehen und dir antworten.

[Gerald]

Das Problem konnte ich noch nicht näher untersuchen, daher war meine Nachricht nur als Warnhinweis für jene Anwender gedacht, die über die VPN-Strecke eine SIP-Registrierung durchführen. Im konkreten Fall wurde die SIP-Registrierung durch den Call-Manager aufgebaut, der sich durch den VPN-Tunnel hindurch an einer Telefonanlage registriert.