Hallo zusammen,
ich versuche gerade mein MacBook Pro mit Mac OS X 10.5.5 und IPSecuritas (3.1 bzw. 3.2b2) mit einem Lancom 1811 (LCOS 7.54) zu verbinden.
Bislang schlägt die Verbindung nach Phase 1 fehl.
Die Einwahl erfolgt über O2 UMTS, es gibt eine IP Adresse auf dem Notebook, eine IP Adresse mit der die Verbindung am Router ankommt (O2 macht NAT) und die IP vom Router.
Im folgenden Trace habe ich die IPs ersetzt durch local_public_ip (MacBook Pro), public_ip (Provider) und remote_public_ip (LANCOM vpn router)
IKE info: The remote server public_ip:500 peer def-aggr-peer id <no_id> supports NAT-T in mode rfc
IKE info: The remote server public_ip:500 peer def-aggr-peer id <no_id> negotiated rfc-3706-dead-peer-detection
[VPN-Status] 2008/10/07 21:09:46,900
IKE info: phase-1 proposal failed: remote No 1 hash algorithm = SHA <-> local No 1 hash algorithm = MD5
IKE info: Phase-1 remote proposal 1 for peer def-aggr-peer matched with local proposal 2
[VPN-Status] 2008/10/07 21:09:55,160
IKE info: Phase-1 [responder] for peer IPSECURITAS between initiator id ipsecuritas, responder id lancom done
IKE info: NAT-T enabled in mode rfc, we are not behind a nat, the remote side is behind a nat
IKE info: SA ISAKMP for peer IPSECURITAS encryption aes-cbc authentication sha1
IKE info: life time ( 8000 sec/ 0 kb)
[VPN-Status] 2008/10/07 21:10:00,940
IKE info: Phase-2 failed for peer IPSECURITAS: no rule matches the phase-2 ids local_public_ip <-> 192.168.0.0/255.255.255.0
IKE log: 211000 Default message_negotiate_sa: no compatible proposal found
IKE log: 211000 Default dropped message from public_ip port 4966 due to notification type NO_PROPOSAL_CHOSEN
IKE info: dropped message from peer IPSECURITAS public_ip port 4966 due to notification type NO_PROPOSAL_CHOSEN
[VPN-Status] 2008/10/07 21:10:00,950
VPN: Error: IPSEC-R-No-rule-matched-IDs (0x3201) for IPSECURITAS (public_ip)
[VPN-Status] 2008/10/07 21:10:00,950
VPN: selecting next remote gateway using strategy eFirst for IPSECURITAS
=> no remote gateway selected
[VPN-Status] 2008/10/07 21:10:00,950
VPN: selecting first remote gateway using strategy eFirst for IPSECURITAS
=> no remote gateway selected
[VPN-Status] 2008/10/07 21:10:00,950
VPN: installing ruleset for IPSECURITAS (0.0.0.0)
[VPN-Status] 2008/10/07 21:10:00,950
VPN: installing ruleset generally
[VPN-Status] 2008/10/07 21:10:00,970
IKE info: Delete Notificaton sent for Phase-1 SA to peer IPSECURITAS
[VPN-Status] 2008/10/07 21:10:00,970
IKE info: Phase-1 SA removed: peer IPSECURITAS rule IPSECURITAS removed
Das Problem scheint am mode_cfg in IPSecuritas zu liegen, zumindest kommen keine entsprechenden Requests zwischen Phase 1 und Phase 2.
Ich habe die VPN-Funktionalität mit VPNTracker5 überprüft und da geht alles. Die Parameter sind gleich eingestellt.
VPNTracker5 Trace:
IKE info: The remote server public_ip:500 peer def-aggr-peer id <no_id> supports NAT-T in mode rfc
[VPN-Status] 2008/10/07 20:56:35,190
IKE info: phase-1 proposal failed: remote No 1 hash algorithm = SHA <-> local No 1 hash algorithm = MD5
IKE info: Phase-1 remote proposal 1 for peer def-aggr-peer matched with local proposal 2
[VPN-Status] 2008/10/07 20:56:35,790
IKE info: Phase-1 [responder] for peer IPSECURITAS between initiator id ipsecuritas, responder id lancom done
IKE info: NAT-T enabled in mode rfc, we are not behind a nat, the remote side is behind a nat
IKE info: SA ISAKMP for peer IPSECURITAS encryption aes-cbc authentication sha1
IKE info: life time ( 8000 sec/ 0 kb)
[VPN-Status] 2008/10/07 20:56:38,730
IKE info: IKE-CFG: Received REQUEST message with id 28913 from peer IPSECURITAS
IKE info: IKE-CFG: Attribute INTERNAL_IP4_ADDRESS len 0 value (none) received
IKE info: IKE-CFG: Attribute INTERNAL_IP4_NETMASK len 0 value (none) received
IKE info: IKE-CFG: Attribute INTERNAL_IP4_DNS len 0 value (none) received
IKE info: IKE-CFG: Attribute INTERNAL_IP4_NBNS len 0 value (none) received
IKE info: IKE-CFG: Attribute INTERNAL_ADDRESS_EXPIRY len 0 value (none) received
IKE info: IKE-CFG: Attribute INTERNAL_IP4_DHCP len 0 value (none) received
IKE info: IKE-CFG: Attribute APPLICATION_VERSION len 13 value VPN Tracker 5???ޭ??ޭ??ޭ??ޭ?? received
[VPN-Status] 2008/10/07 20:56:38,740
IKE info: IKE-CFG: Creating REPLY message with id 28913 for peer IPSECURITAS
IKE info: IKE-CFG: Attribute APPLICATION_VERSION len 0 skipped
IKE info: IKE-CFG: Attribute INTERNAL_IP4_DHCP len 0 skipped
IKE info: IKE-CFG: Attribute INTERNAL_ADDRESS_EXPIRY len 4 value 1200 added
IKE info: IKE-CFG: Attribute INTERNAL_IP4_NBNS len 0 skipped
IKE info: IKE-CFG: Attribute INTERNAL_IP4_DNS len 4 value 192.168.0.254 added
IKE info: IKE-CFG: Attribute INTERNAL_IP4_NETMASK len 0 skipped
IKE info: IKE-CFG: Attribute INTERNAL_IP4_ADDRESS len 4 value 192.168.0.212 added
IKE info: IKE-CFG: Sending message
[VPN-Status] 2008/10/07 20:56:39,070
IKE info: NOTIFY received of type INITIAL_CONTACT for peer IPSECURITAS
[VPN-Status] 2008/10/07 20:56:39,070
IKE info: Phase-1 [responder] got initial contact from peer <unknown> (public_ip)
[VPN-Status] 2008/10/07 20:56:39,230
IKE info: Phase-2 remote proposal 1 for peer IPSECURITAS matched with local proposal 1
[VPN-Status] 2008/10/07 20:56:46,330
IKE info: Phase-2 [responder] done with 2 SAS for peer IPSECURITAS rule ipsec-0-IPSECURITAS-pr0-l0-r0
IKE info: rule:' ipsec 192.168.0.0/255.255.255.0 <-> 192.168.0.212/255.255.255.255 '
IKE info: SA ESP [0x01cc60b7] alg AES keylength 256 +hmac HMAC_MD5 outgoing
IKE info: SA ESP [0x7919af5f] alg AES keylength 256 +hmac HMAC_MD5 incoming
IKE info: life soft( 1800 sec/0 kb) hard (2000 sec/0 kb)
IKE info: tunnel between src: remote_public_ip dst: public_ip
Hat jemand eine Idee wie ich das VPN mit IPSecuritas zum laufen kriege?
Viele Grüße
Michael
[gelöst] LANCOM 1811 keine Verbindung mit IPSecuritas
Moderator: Lancom-Systems Moderatoren
[gelöst] LANCOM 1811 keine Verbindung mit IPSecuritas
Zuletzt geändert von roesslm am 08 Okt 2008, 14:29, insgesamt 1-mal geändert.
-
MadMurdock
- Beiträge: 91
- Registriert: 26 Aug 2007, 16:08
- Wohnort: Westerwald
Wenn ich das gerade richtig überflogen habe dürfte das problem hier liegen:
IKE info: Phase-2 failed for peer IPSECURITAS: no rule matches the phase-2 ids local_public_ip <-> 192.168.0.0/255.255.255.0
Passen die IKE-Schlüssel zueinander?
Wie sehen deine Netzbeziehungen (in der Firewall) aus? Oder steht die Verbindungsliste (VPN-Verbindungsliste) auf Automatisch?
IKE info: Phase-2 failed for peer IPSECURITAS: no rule matches the phase-2 ids local_public_ip <-> 192.168.0.0/255.255.255.0
Passen die IKE-Schlüssel zueinander?
Wie sehen deine Netzbeziehungen (in der Firewall) aus? Oder steht die Verbindungsliste (VPN-Verbindungsliste) auf Automatisch?
1350X1721, 20X1751, 50X8011, 6X9100, 1X7111, 3X4025, 30XL54g, 10XL310, 1X1823, 2X1723
"I'm Root. If you see me laughing, better have a Backup!"
"I'm Root. If you see me laughing, better have a Backup!"
Das sehe ich auch so, aber ich denke das Problem liegt daran das kein IKE-CFG Request kommt.MadMurdock hat geschrieben:Wenn ich das gerade richtig überflogen habe dürfte das problem hier liegen:
IKE info: Phase-2 failed for peer IPSECURITAS: no rule matches the phase-2 ids local_public_ip <-> 192.168.0.0/255.255.255.0
Passen die IKE-Schlüssel zueinander?
Wie sehen deine Netzbeziehungen (in der Firewall) aus? Oder steht die Verbindungsliste (VPN-Verbindungsliste) auf Automatisch?
Die Regelerzeugung in der VPN-Verbindungsliste steht auf Automatisch.
Die IKE-Schlüssel sind dieselben wie bei der funktionierenden VPNTracker-Verbindung.
Beim VPNTracker ist mode_cfg erfolgreich und für Phase 2 wird die zugewiesene IP-Adresse als Absender verwendet.
Bei IPSecuritas kommt gar kein mode_cfg, obwohl eingestellt, und für Phase 2 wird die IP-Adresse des ppp0 Interfaces verwendet. Die war aber vorher garnicht am Lancom bekannt, da O2 NAT macht und deshalb die IP-Adresse in Phase 1 eine andere ist.
-
froeschi62
- Beiträge: 985
- Registriert: 13 Dez 2004, 10:44
Hi,
warum schaust Du nicht hier?
http://www.lancom-forum.de/topic,6465,- ... ow-To.html
Viele Grüße
Dietmar
warum schaust Du nicht hier?
http://www.lancom-forum.de/topic,6465,- ... ow-To.html
Viele Grüße
Dietmar
Lancom 1823 VOIP
Hatte ich vorher schon, hat aber auch nicht funktioniert.
Wenn ich in IPSecuritas die IP-Adresse vorgebe z.B. HOST 192.168.1.230 und entferntes Netzwerk 192.168.0.0/24, sowie auf dem Lancom einen Routing-Eintrag nach 192.168.1.230/32 setze dann wird scheinbar eine Verbindung aufgebaut.
Durch den Tunnel gehen dann aber keine Daten durch, selbst ein Ping des Lancom ist nicht möglich.
Deshalb der Versuch das ganze mit mode_cfg zum laufen zu bringen, zumal es mit VPNTracker klappt.
Viele Grüße
Michael
Wenn ich in IPSecuritas die IP-Adresse vorgebe z.B. HOST 192.168.1.230 und entferntes Netzwerk 192.168.0.0/24, sowie auf dem Lancom einen Routing-Eintrag nach 192.168.1.230/32 setze dann wird scheinbar eine Verbindung aufgebaut.
Durch den Tunnel gehen dann aber keine Daten durch, selbst ein Ping des Lancom ist nicht möglich.
Deshalb der Versuch das ganze mit mode_cfg zum laufen zu bringen, zumal es mit VPNTracker klappt.
Viele Grüße
Michael
-
froeschi62
- Beiträge: 985
- Registriert: 13 Dez 2004, 10:44
Vom Funktionsumfang her soll IPSecuritas den IKE Config Mode beherrschen. Offensichtlich gibt es dabei aber Probleme.froeschi62 hat geschrieben:Hi,
den IKE Konfig Mode beherrscht nicht jeder VPN Client. In diesem Fall solltest Du die VPN Verbindung sowohl im Lancom als auch im Client auf feste IP Vergabe konfigurieren. RAS Pool (ähnlich DHCP) funktioniert dann nicht.
Gruß
Dietmar
Ziel war es auf die Vergabe einer festen IP zu verzichten, zumal damit auch ein Eintrag ins Routing verbunden ist.
Ich habe jetzt das ganze mit einer festen IP für das MacBook Pro zum laufen gekriegt.
Das Problem ist damit also erstmal gelöst, wenn auch nicht wirklich zu meiner Zufriedenheit.
Im KB Artikel bei Lancom http://www2.lancom.de/kb.nsf/bf0ed2a4d2 ... enDocument ist übrigens auch eine Konfiguration für IPSecuritas beschrieben.
Dort fehlt nur unter Optionen der Haken bei "Generiere Policy".
Gruß
Michael
Hallo zusammen
Habe das Dokument
http://www2.lancom.de/kb.nsf/bf0ed2a4d2 ... enDocument
Mal angesehen, dies könnte mir wirklich helfen. Allerdings sehe ich den Punkt Host IP Adresse noch nicht ganz klar.
Zuhause bekomme ich per DHCP die IP zugeteilt, und unterwegs wird die wahrscheinlich auch anders sein. Warum muss ich denn dort die IP Adresse des MAC Clients angeben? (Die ändert doch eh immer??)
Habe das Dokument
http://www2.lancom.de/kb.nsf/bf0ed2a4d2 ... enDocument
Mal angesehen, dies könnte mir wirklich helfen. Allerdings sehe ich den Punkt Host IP Adresse noch nicht ganz klar.
Zuhause bekomme ich per DHCP die IP zugeteilt, und unterwegs wird die wahrscheinlich auch anders sein. Warum muss ich denn dort die IP Adresse des MAC Clients angeben? (Die ändert doch eh immer??)
Du mußt an dieser Stelle die IP-Adresse angeben die Dein Mac im VPN haben soll.rkowch hat geschrieben: Mal angesehen, dies könnte mir wirklich helfen. Allerdings sehe ich den Punkt Host IP Adresse noch nicht ganz klar.
Zuhause bekomme ich per DHCP die IP zugeteilt, und unterwegs wird die wahrscheinlich auch anders sein. Warum muss ich denn dort die IP Adresse des MAC Clients angeben? (Die ändert doch eh immer??)
Wenn Du also im LAN als Netzwerk 192.168.0.0/255.255.255.0 verwendest, dann kannst Du entweder:
a) eine freie, nicht vom DHCP-Server im LAN vergebenene IP, z. B. DHCP vergibt 192.168.0.100 bis 192.168.0.200, dann 192.168.0.201. In diesem Fall bei Optionen "Lokale IP im entf. Netzwerk" anklicken.
b) eine IP-Adresse in einem anderen privaten Netzwerk, z.B. 192.168.1.2
wählen.
In beiden Fällen in IPSecuritas unter Optionen auf jeden Fall "Generiere Policy" anklicken und im Lancom eine Hostroute setzen.
Gruß
Michael