IKEv2-Verbindung: Benutzername oder Passwort falsch

[fildercom]

Hallo zusammen,

ich versuche gerade eine IKEv2-Verbindung zwischen einem LANCOM 1800EF (LCOS 10.80 RU7) und dem Advanced VPN-Client 3.13 zu konfigurieren.

Dabei habe ich mich an diese Anleitung gehalten:
https://knowledgebase.lancom-systems.de ... =120062085

Die Zertifikate habe ich vorarb mit Smart Certificate und SCEP erstellt/verteilt.

Leider bekomme ich keine Verbindung zustande.

Das Log des Clients sagt:
ERROR - 2110: XAUTH wrong Userid or Password

Das Log des Routers sagt:
VPN: Error for peer VPN-TP25 [XXX.XXX.XXX.XXX]: IKE-R-IKE-key-mismatch

Es ist sowohl für lokale als auch für entfernte Identität "Digital Signature" angegeben, aber es funktioniert trotzdem nicht.

Kann mir bitte jemand helfen? Was habe ich übersehen, was muss anders konfiguriert werden?

Viele Grüße und danke
fildercom (weiblich)

PS: Ich mache VPN einfach zu selten, deshalb bitte ich um Entschuldigung für mein Unwissen.

[tobiasr]

Hat der 1800EF überhaupt eine CA lizensiert (idr. in Verbindung mit 25 gleichzeitigen VPN Verbindungen)?

Stimmt der VPN Peer? Eine der häufigsten VPN Fehler ist die falsche automatische Erkennung, welche VPN Gegenstelle sich verbinden will.

[fildercom]

Hat der 1800EF überhaupt eine CA lizensiert (idr. in Verbindung mit 25 gleichzeitigen VPN Verbindungen)?

Stimmt der VPN Peer? Eine der häufigsten VPN Fehler ist die falsche automatische Erkennung, welche VPN Gegenstelle sich verbinden will.

Ja, ich habe die VPN-25-Option lizenziert.

Wie meinst du, ob der VPN Peer stimmt? Ich habe auf dem Gerät bis jetzt nur diese eine einzige VPN-Verbindung konfiguriert und für die feste IP-Adresse des Anschlusses einen DNS-Eintrag in meiner Domain vergeben.

Dass der Client sich mit dem 1800EF zu verbinden versucht sehe ich ja in den Logs des 1800EF...

[fildercom]

Ich glaube, ich bin zu doof für VPN. Alles andere (Routing, Switching, WLAN) ist einfach im Gegensatz zur VPN-Konfiguration, wirklich.
Das letzte Mal habe ich VPN-Tunnel im Jahr 2019 konfiguriert, damals hat es mit IKEv1 auf Anhieb geklappt.

Nun habe ich zum Testen einen Einwahlzugang mit IKEv1 konfigurieren wollen, scheitere aber auch daran.

Das Log des Routers zeigt folgende Fehlermeldungen:
message_negotiate_sa: no compatible proposal found
dropped message from XXX.XXX.XXX.XXX port 22902 due to notification type NO_PROPOSAL_CHOSEN

Und der AVPN-Client sagt: VPN-Gateway antwortet nicht.

Im Log steht:
ERROR -4201: IKE(phase1) - Could not contact Gateway (No response) in state ...

[fildercom]

Schade, dass hier bisher niemand einen Hinweis geben konnte.

Ich habe den 1800EF nun wieder zurück gegen den 1781VA getauscht. Dort funktioniert IKEv1 ohne Probleme. Aufgrund akutem Zeitmangel (muss kommende Woche ins Krankenhaus und habe eine OP vor mir) kann ich das wohl vorher nicht mehr lösen (ich brauche ja vom Krankenhaus aus drigend VPN-Zugriff auf mein Netz).

Sollte jemand doch noch eine Idee haben, wie sich das lösen lässt, würde ich das ganze dann im Herbst nochmal angehen, sobald ich wieder halbwegs einsatzfähig sein werde.

Gruß
fildercom (weiblich)

[GrandDixence]

Vielleicht mit der passenden VPN-Anleitung unter:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
starten?

[fildercom]

Vielleicht mit der passenden VPN-Anleitung unter:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
starten?

Linksammlungen sind nicht das, was ich im Moment brauche.

[fildercom]

Ich habe den "Fehler" gefunden: Scheinbar kommt der alte VPN-Client mit AES256 und SHA-512 nicht klar.

Nun habe ich es mit den Default-Werten zum Laufen bekommen:

Code: Alles auswählen

Verschlüsselungsalg.	AES128
Signatur-Algorithmus	SHA-256
Fingerprint-Alg.	SHA-256

Falls andere User*innen mal dasselbe Problem haben sollten wird mein Posting sicher mehr helfen als das Posten von irgendwelchen Linklisten...

Gruß
fildercom (weiblich)

[GrandDixence]

sicher mehr helfen als das Posten von irgendwelchen Linklisten...

Wer lesen kann, ist klar im Vorteil...

[fildercom]

sicher mehr helfen als das Posten von irgendwelchen Linklisten...

Wer lesen kann, ist klar im Vorteil...

Wenn man die Links anschaut, wird an manchen Stellen sogar empfohlen, die höchtsmöglichen Sicherheitseinstellungen zu setzen. Das funktioniert aber leider nicht. Deshalb sind die Links nicht zielführend für die Problemlösung!

[w.blecker]

Gibt es einen Grund das du einen derart veralteten Client nutzt? Das ist schon so das die die neuen Verschlüsselungen noch nicht können und Lancom geht natürlich davon aus, dass du aktuelle Software einsetzt ...