Keine Regl für IDs gefunden/Kein Übereinstimmendes Proposal

[w.blecker]

Hallo Forum
Ich habe zwei Gegenstellen bei denen immer der Fehler oben im Betreff auftaucht. Natürlich werdet ihr jetzt sagen .. Ist doch logisch, da stimmen die SA's nicht, dann gehst mal in die Config, dort auf Firewall regeln und legst die entsrechenden Netze gescheit an. Habe ich gemacht, nehrnals kontrolliert, es ist alles eingetragen. Irgendwas geht aber trotzdem schief ..Bei 10 anderen Gegenstellen tritt der Fehler nicht auf, nur bei diesen zwei.

Jemand eine Idee ?


IKE info: NOTIFY received of type NO_PROPOSAL_CHOSEN for peer ADSL_GATE_1

IKE info: Phase-2 failed for peer GW-HALLENBAD: no rule matches the phase-2 ids 192.168.54.0/255.255.255.0 <-> 192.168.2.0/255.255.255.0
IKE log: 131325.416775 Default message_negotiate_sa: no compatible proposal found
IKE log: 131325.416811 Default dropped message from 87.140.14.172 port 500 due to notification type NO_PROPOSAL_CHOSEN

Nochmal den Trace ... 192.168.54.0&24 <-> 192.168.2.0/24 ist aber eingetragen

[Jirka]

Hallo w.blecker,

na irgendwo wird da wohl ein Fehler sein, vielleicht in der VPN vergessen, auf manuelle Regelerstellung zu stellen, oder in der Firewall-Regel fehlt der Haken für VPN-Regel oder, das denke ich ist am wahrscheinlichsten, stimmt auf der anderen Seite was nicht, weil da z. B. keine Regeln angegeben wurden (automatische Regelerstellung), aber ein Gastnetz oder sowas hinzugefügt wurde.

Ein 'show vpn @ GW-HALLENBAD' lokal und ein 'show vpn' auf der Gegenseite zeigt schon mal, auf welcher Seite das Problem liegt.

Viele Grüße,
Jirka

[w.blecker]

Ok ich schreibe bis zur nächste Stunde 200 mal "Ich soll bevor ich frage prüfen, ob auch wirklich überall manuell bei der Regelerzegung steht"

Was macht er eigentlich bei automatisch? Nur die Netzte die direkt hängen oder?

[Dr.Einstein]

Hi blecker,

Was macht er eigentlich bei automatisch? Nur die Netzte die direkt hängen oder?

Bei automatischer Regelerzeugung werden SAs zwischen allen als Intranet deklarierten lokalen Netzwerke und in der Routing Tabelle gelisteten Netzwerke, die auf den VPN zeigen, erzeugt. Dabei werden nur Beziehungen kombiniert, wo Schnittstellentag und Routing Tag übereinstimmt (Ausnahme bei 0, da evtl. mehr).

Gruß Dr.Einstein

[ecox]

Moin,
poste halt mal deine Konfig, wenn in der Phase 2 was schief läuft, solltest du mal schauen ob folgende Sachen stimmen

-PFS-Gruppe auf beiden Geräten gleich?
-IPSec Proposals gleich?
-Schauen das du nicht vllt den IKE-CFG Mode drin hast
-Stimmt die Route? Tags geprüft?
-Gibt es FW-Regeln bzgl. SAs?

Probier es mal mit Regelerzeugung automatisch. LANCOM hat mit dem Menü "Netzwerk-Regeln" unter VPN schon ein Schritt nach vorn gemacht

Wie gesagt, Konfig posten

Grüße
ecox

[MariusP]

Hi,
@ecox:
Ich glaube er hat das Problem schon gefunden habt, auch wenn es in seiner Nachricht nicht direkt offentsichtlich ist.
Gruß