IKE_PRESH_KEY fehlt

[Datenknecht]

Hallo Forum!
In den Anleitungen zum Herstellen einer Verbindung mit einer Fritzbox wird immer von dem IKE-Proposal: IKE_PRESH_KEY gesprochen.
Wenn ich in meinem Lancom 1711 oder auch 1621 suche, finde ich diese Proposals nicht. Ich finde nur WIZ_IKE_PRESH_KEY. - Ebenso das ESP_TN fehlt in der Auswahlliste.

Was muss ich tun um diese zu bekommen? - Hat einer eine Idee?
Die Firmware ist aktuell.

Danke!!

Datenknecht

[TheCloud]

Hallo,

Wenn ich in meinem Lancom 1711 oder auch 1621 suche, finde ich diese Proposals nicht. Ich finde nur WIZ_IKE_PRESH_KEY. - Ebenso das ESP_TN fehlt in der Auswahlliste.

Was muss ich tun um diese zu bekommen? - Hat einer eine Idee?
Die Firmware ist aktuell.

Du kannst genauso gut die Proposallisten vom Wizard nutzen.
Wenn Du aber die Default-Proposals in Deinen Ausahllisten haben willst, gibt es 2 Möglichkeiten:
1. Mach einen Konfigreset. Anschliessend sollten die Proposals da sein.
2. Geh im Telnet in die entsprechenden Tabellen (/Setup/VPN/Proposals/IKE-Proposal-Lists und /Setup/VPN/Proposals/IPSEC-Proposal-Lists) und gig dort den Befehl "default" ein. Dann wird diese Tabelle auf die Default-Einstellungen zurückgesetzt.
VORSICHT: Neu angelegte Proposallisten werden dabei gelöscht.

Gruß

TC

[Datenknecht]

Hallo TC!
Danke für die schnelle Antwort.
Die Lancoms ist im produktiv Betrieb 2, resp. 10 User nutzen sie. Einen Reset möchte ich daher vermeiden (Reset Button)
- Wie gehe ich im Telnet in die Tabellen?

Zu den Einträgen in der Proposal-Liste fehlen auch die Einträge in den Proposals.

Zur ausfühlicheren Erläuterung hier die Einträge der Listen LC1711:
*********
IKE-Proposal-Listen Bezeichnung Proposal Proposal Proposal Proposal Proposal Proposal Proposal Proposal
IKE_RSA_SIG RSA-AES-MD5 RSA-AES-SHA RSA-BLOW-MD5 RSA-BLOW-SHA RSA-CAST-MD5 RSA-CAST-SHA RSA-3DES-MD5 RSA-3DES-SHA
WIZ-IKE-ADVCLIENT WIZ-PSK-AES-MD5
WIZ-IKE-PRESH-KEY WIZ-PSK-AES-MD5 WIZ-PSK-AES-SHA WIZ-PSK-BLOW-MD5 WIZ-PSK-BLOW-SHA WIZ-PSK-3DES-MD5 WIZ-PSK-3DES-SHA WIZ-PSK-CAST-MD5 WIZ-PSK-CAST-SHA
**********
Einträge in den Proposals:
IKE-Proposals Bezeichnung Verschlüsselung Schlüssel Hash Authentifizierung Gültigkeitsdauer Gültigkeitsdauer
WIZ-PSK-AES-MD5 AES-CBC 128 MD5 Preshared Key 108000 0
FRITZBOX AES-CBC 256 SHA1 Preshared Key 3600 0
WIZ-PSK-AES-SHA AES-CBC 128 SHA1 Preshared Key 108000 0
WIZ-PSK-BLOW-MD5 BLOWFISH-CBC 128 MD5 Preshared Key 108000 0
WIZ-PSK-BLOW-SHA BLOWFISH-CBC 128 SHA1 Preshared Key 108000 0
WIZ-PSK-3DES-MD5 3DES-CBC 168 MD5 Preshared Key 108000 0
WIZ-PSK-3DES-SHA 3DES-CBC 168 SHA1 Preshared Key 108000 0
WIZ-PSK-CAST-MD5 CAST128-CBC 128 MD5 Preshared Key 108000 0
WIZ-PSK-CAST-SHA CAST128-CBC 128 SHA1 Preshared Key 108000 0
PSK-DES-MD5 DES-CBC 56 MD5 Preshared Key 8000 0
PSK-DES-SHA DES-CBC 56 SHA1 Preshared Key 8000 0
RSA-AES-MD5 AES-CBC 128 MD5 Preshared Key 8000 0
RSA-AES-SHA AES-CBC 128 SHA1 Preshared Key 8000 0
RSA-BLOW-MD5 BLOWFISH-CBC 128 MD5 Preshared Key 8000 0
RSA-BLOW-SHA BLOWFISH-CBC 128 SHA1 Preshared Key 8000 0
RSA-CAST-MD5 CAST128-CBC 128 MD5 Preshared Key 8000 0
RSA-CAST-SHA CAST128-CBC 128 SHA1 Preshared Key 8000 0
RSA-3DES-MD5 3DES-CBC 168 MD5 Preshared Key 8000 0
RSA-3DES-SHA 3DES-CBC 168 MD5 Preshared Key 8000 0
RSA-DES-MD5 DES-CBC 56 MD5 Preshared Key 8000 0
RSA-DES-SHA DES-CBC 56 SHA1 Preshared Key 8000 0
*****************

[TheCloud]

Hallo,

die Verzeichnisse im Telnet wechselst Du mit "cd". Anschauen kannst Du die die Tabellen dann mit "ls".

Ich habe Dir hier mal die Default-Einträge der VPN-Proposals angehängt.
Wenn das Gerät im Produktiven Einsatz ist, erstellst Du die fehlenden Proposals am Besten per Hand, denn mit dem "default"-Befehl löschst Du ja vorhandene Proposals (z.B. die vom Wizard). Dann kann es sein, dass deine bisherigen VPN-Tunnel nicht mehr funktionieren...

Gruß

TC



root@:/Setup/VPN/Proposals
> l ike

Name IKE-Crypt-Alg IKE-Crypt-Keylen IKE-Auth-Alg IKE-Auth-Mode Lifetime-Sec Lifetime-KB
-----------------------------------------------------------------------------------------------------------------------------
PSK-AES-MD5 AES-CBC 128 MD5 Preshared-Key 8000 0
PSK-AES-SHA AES-CBC 128 SHA1 Preshared-Key 8000 0
PSK-BLOW-MD5 BLOWFISH-CBC 128 MD5 Preshared-Key 8000 0
PSK-BLOW-SHA BLOWFISH-CBC 128 SHA1 Preshared-Key 8000 0
PSK-CAST-MD5 CAST128-CBC 128 MD5 Preshared-Key 8000 0
PSK-CAST-SHA CAST128-CBC 128 SHA1 Preshared-Key 8000 0
PSK-3DES-MD5 3DES-CBC 168 MD5 Preshared-Key 8000 0
PSK-3DES-SHA 3DES-CBC 168 SHA1 Preshared-Key 8000 0
PSK-DES-MD5 DES-CBC 56 MD5 Preshared-Key 8000 0
PSK-DES-SHA DES-CBC 56 SHA1 Preshared-Key 8000 0
RSA-AES-MD5 AES-CBC 128 MD5 RSA-Signature 8000 0
RSA-AES-SHA AES-CBC 128 SHA1 RSA-Signature 8000 0
RSA-BLOW-MD5 BLOWFISH-CBC 128 MD5 RSA-Signature 8000 0
RSA-BLOW-SHA BLOWFISH-CBC 128 SHA1 RSA-Signature 8000 0
RSA-CAST-MD5 CAST128-CBC 128 MD5 RSA-Signature 8000 0
RSA-CAST-SHA CAST128-CBC 128 SHA1 RSA-Signature 8000 0
RSA-3DES-MD5 3DES-CBC 168 MD5 RSA-Signature 8000 0
RSA-3DES-SHA 3DES-CBC 168 SHA1 RSA-Signature 8000 0
RSA-DES-MD5 DES-CBC 56 MD5 RSA-Signature 8000 0
RSA-DES-SHA DES-CBC 56 SHA1 RSA-Signature 8000 0

root@:/Setup/VPN/Proposals
> l ipsec

Name Encaps-Mode ESP-Crypt-Alg ESP-Crypt-Keylen ESP-Auth-Alg AH-Auth-Alg IPCOMP-Alg Lifetime-Sec
Lifetime-KB
-----------------------------------------------------------------------------------------------------------------------------------------------------------------
TN-AES-MD5-96 Tunnel AES-CBC 128 HMAC-MD5 none none 2000
200000
TN-AES-SHA-96 Tunnel AES-CBC 128 HMAC-SHA1 none none 2000
200000
TN-BLOW-MD5-96 Tunnel BLOWFISH-CBC 128 HMAC-MD5 none none 2000
200000
TN-BLOW-SHA-96 Tunnel BLOWFISH-CBC 128 HMAC-SHA1 none none 2000
200000
TN-CAST-MD5-96 Tunnel CAST128-CBC 128 HMAC-MD5 none none 2000
200000
TN-CAST-SHA-96 Tunnel CAST128-CBC 128 HMAC-SHA1 none none 2000
200000
TN-3DES-MD5-96 Tunnel 3DES-CBC 168 HMAC-MD5 none none 2000
200000
TN-3DES-SHA-96 Tunnel 3DES-CBC 168 HMAC-SHA1 none none 2000
200000
TN-DES-MD5-96 Tunnel DES-CBC 56 HMAC-MD5 none none 2000
200000
TN-DES-SHA-96 Tunnel DES-CBC 56 HMAC-SHA1 none none 2000
200000

root@:/Setup/VPN/Proposals
> l ipsec-prop

IPSEC-Proposal-List IPSEC-Proposal-1 IPSEC-Proposal-2 IPSEC-Proposal-3 IPSEC-Proposal-4 IPSEC-Proposal-5 IPSEC-Proposal-6 IPSEC-Proposal-7 IPSEC-Proposal-8
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------
ESP_TN TN-AES-MD5-96 TN-AES-SHA-96 TN-BLOW-MD5-96 TN-BLOW-SHA-96 TN-CAST-MD5-96 TN-CAST-SHA-96 TN-3DES-MD5-96 TN-3DES-SHA-96

root@:/Setup/VPN/Proposals
> l ike-prop

IKE-Proposal-List IKE-Proposal-1 IKE-Proposal-2 IKE-Proposal-3 IKE-Proposal-4 IKE-Proposal-5 IKE-Proposal-6 IKE-Proposal-7 IKE-Proposal-8
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------
IKE_PRESH_KEY PSK-AES-MD5 PSK-AES-SHA PSK-BLOW-MD5 PSK-BLOW-SHA PSK-CAST-MD5 PSK-CAST-SHA PSK-3DES-MD5 PSK-3DES-SHA
IKE_RSA_SIG RSA-AES-MD5 RSA-AES-SHA RSA-BLOW-MD5 RSA-BLOW-SHA RSA-CAST-MD5 RSA-CAST-SHA RSA-3DES-MD5 RSA-3DES-SHA

[Datenknecht]

Hallo TC!
Danke für die Info. Da mache ich mich gleich mal ans anlegen.

Grüße
Datenknecht

[Datenknecht]

Vom Lancom Support habe ich ein Script bekommen mit dem die Proposals automatisch eingespielt werden. - Wurden, denn sie sind jetzt wieder drin. Wo genau die WIZ- Proposals herkamen - das konnte mir bisher noch niemand sagen.
Es muss aber etwas mit dem neuen OS zu tun haben. Nachdem ich mittels Assistent einen Eintrag gelöscht hatte fing der Ärger, glaube ich, an.

Danke TC

Datenknecht

[LoUiS]

Vom Lancom Support habe ich ein Script bekommen mit dem die Proposals automatisch eingespielt werden. - Wurden, denn sie sind jetzt wieder drin. Wo genau die WIZ- Proposals herkamen - das konnte mir bisher noch niemand sagen.

WIZ = Wizard! Das sind Proposals, die vom VPN Assistenten angelegt werden.