Hallo Allerseits,
Ich bin Betreuer einer Checkpoint NGX Firewall mit VPN-1 und habe nun die ehrenwerte Aufgabe einen Tunnel zu einem LANCOM 1721 VPN Router herzustellen. Ich dachte mir also erstmal: alles ganz einfach, LANCOM kennste ja auch, habe alles eingerichtet, die Verschlüsselungsverfahren aufeinander abgestimmt und, da beide Geräte eine feste öffentliche IP haben, mit shared Secret konfiguriert.
Nach einigen Versuchen mit unterschiedlichen Fehlermeldungen (und damit verbundenen testhalber vorgenommenen Änderungen) kommt jetzt nur noch (sofort beim Versuch die Verbindung aufzubauen) die Meldung "Invalid Cookie" vom LANCOM Router zurück.
Laut Checkpoint wäre dies ein Indiz dafür dass die Geräte nicht kompatibel sind und nicht mit IKE kommunizieren können. Da ich allerdings vorher andere Fehlermeldungen hatte und sogar schon bis in den Main Mode kam, mag ich das nicht so recht glauben, allerdings kommt die Meldung jetzt auch bei den Einstellungen, die vorher bis in den Main Mode gelangt sind, auch ein restart des Routers hat keine Änderung gebracht.
Kann mir jemand sagen was das LANCOM Gerät mir mit der Meldung invalid cookie sagen will? und evtl. irgendeinen Trick wie man diesen Tunnel zum fliegen bringt?
Hier noch die Daten:
Szenario 1 Host hinter dem LANCOM Gerät soll von allen Rechnern im LAN hinter der Checkpoint erreichbar sein.
Hierzu: IPsec LAN/LAN Kopplung zwischen der Checkpoint NGX und dem LANCOM 1721 VPN, Authentifikation über preshared Key.
Parameter Phase 1 (IKE):
3DES/SHA1 Diffie-Hellman Group 2 (1024bit), Timeout 1440Minutes
Parameter Phase 2 (IPsec):
AES128/SHA1 Perfect Forward Secrecy (PFS) enabled, DH-Group 2 (1024bit) Timeout 3600s
IP compression disabled
Vielen Dank im vorraus, weitere Infos kann ich wenn nötig gerne liefern.
Grüße,
Christian
IKE Fehler bei IPsec LAN Kopplung mit Checkpoint Firewall
Moderator: Lancom-Systems Moderatoren
IKE Fehler bei IPsec LAN Kopplung mit Checkpoint Firewall
Es gibt keine Probleme, nur Herausforderungen.
Hi chrisgett
Es hat also nichts mit "Inkompatibilität" zu tun...
Ansonsten: wenn du schonmal weiter warst, wäre es hilfreich, die dort aufgelaufenen Fehlermeldungen zu analyssiern.
vielleicht hilft dir ja das hier weiter: http://www2.lancom.de/kb.nsf/a5ddf48173 ... VPN,German
Gruß
Backslash
INVALID COOKIE bedeutet letztendlich nur, daß das LANCOM noch eine "laufende" IKE-Verhandlung mit dem Peer kennt, die ein anderes Initiator-Cookie verwendet. Das kommt z.B. vor, wenn ein bestehender Tunnel "einseitig" wegbricht und diese Seite versucht einen neuen Tunnel aufzubauen, bevor die andere Seite den Zusammenbruch bemerkt hat.Kann mir jemand sagen was das LANCOM Gerät mir mit der Meldung invalid cookie sagen will?
Es hat also nichts mit "Inkompatibilität" zu tun...
Ansonsten: wenn du schonmal weiter warst, wäre es hilfreich, die dort aufgelaufenen Fehlermeldungen zu analyssiern.
vielleicht hilft dir ja das hier weiter: http://www2.lancom.de/kb.nsf/a5ddf48173 ... VPN,German
Gruß
Backslash
Danke auf jeden Fall schon mal... Habe ich ja nicht ganz falsch vermutet.
Wie kriege ich denn den LANCOM-Router dazu den laufenden Aufbau zu "vergessen"?
Die vorherigen Fehlermeldungen analysieren war ich ja dabei als dann plötzlich nur noch Invalid Cookie kam...
von alleine scheint er es nicht zu vergessen, denn so siehts jetzt schon seit gestern aus...
Wie kriege ich denn den LANCOM-Router dazu den laufenden Aufbau zu "vergessen"?
Die vorherigen Fehlermeldungen analysieren war ich ja dabei als dann plötzlich nur noch Invalid Cookie kam...
von alleine scheint er es nicht zu vergessen, denn so siehts jetzt schon seit gestern aus...
Es gibt keine Probleme, nur Herausforderungen.
Sooo,
nach ein paar tagen Pause habe ich es jetzt wieder etwas weiter gebracht. der Verbindungsaufbau findet erfolgreich statt (Main Mode complete, Quick Mode complete) Anschließend kommt jedoch die Meldung "Payload malformed" (mit 3DES/SHA1 in Phase2) bzw. "Invalid Payload Type" (mit 3DES/MD5 in Phase2) vom LANCOM Gerät.
Mit 3DES/SHA1:
IKE: Main Mode completion [UDP].
IKE: Quick Mode completion
IKE IDs: subnet: 192.168.xx.0 (mask= 255.255.255.0) and host: xxx.xxx.xxx.xxx
IKE: Quick Mode Received Notification from Peer: payload malformed
Mit 3DES/MD5:
IKE: Main Mode completion [UDP].
IKE: Quick Mode completion
IKE IDs: subnet: 192.168.xx.0 (mask= 255.255.255.0) and host: xxx.xxx.xxx.xxx
IKE: Quick Mode Received Notification from Peer: Invalid payload type
Jemand schon mal auf dieses Problem gestossen und vielleicht sogar gelöst?
nach ein paar tagen Pause habe ich es jetzt wieder etwas weiter gebracht. der Verbindungsaufbau findet erfolgreich statt (Main Mode complete, Quick Mode complete) Anschließend kommt jedoch die Meldung "Payload malformed" (mit 3DES/SHA1 in Phase2) bzw. "Invalid Payload Type" (mit 3DES/MD5 in Phase2) vom LANCOM Gerät.
Mit 3DES/SHA1:
IKE: Main Mode completion [UDP].
IKE: Quick Mode completion
IKE IDs: subnet: 192.168.xx.0 (mask= 255.255.255.0) and host: xxx.xxx.xxx.xxx
IKE: Quick Mode Received Notification from Peer: payload malformed
Mit 3DES/MD5:
IKE: Main Mode completion [UDP].
IKE: Quick Mode completion
IKE IDs: subnet: 192.168.xx.0 (mask= 255.255.255.0) and host: xxx.xxx.xxx.xxx
IKE: Quick Mode Received Notification from Peer: Invalid payload type
Jemand schon mal auf dieses Problem gestossen und vielleicht sogar gelöst?
Es gibt keine Probleme, nur Herausforderungen.