Keine Regl für IDs gefunden/Kein Übereinstimmendes Proposal

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
w.blecker
Beiträge: 27
Registriert: 10 Feb 2014, 14:43

Keine Regl für IDs gefunden/Kein Übereinstimmendes Proposal

Beitrag von w.blecker »

Hallo Forum
Ich habe zwei Gegenstellen bei denen immer der Fehler oben im Betreff auftaucht. Natürlich werdet ihr jetzt sagen .. Ist doch logisch, da stimmen die SA's nicht, dann gehst mal in die Config, dort auf Firewall regeln und legst die entsrechenden Netze gescheit an. Habe ich gemacht, nehrnals kontrolliert, es ist alles eingetragen. Irgendwas geht aber trotzdem schief ..Bei 10 anderen Gegenstellen tritt der Fehler nicht auf, nur bei diesen zwei.

Jemand eine Idee ?


IKE info: NOTIFY received of type NO_PROPOSAL_CHOSEN for peer ADSL_GATE_1

IKE info: Phase-2 failed for peer GW-HALLENBAD: no rule matches the phase-2 ids 192.168.54.0/255.255.255.0 <-> 192.168.2.0/255.255.255.0
IKE log: 131325.416775 Default message_negotiate_sa: no compatible proposal found
IKE log: 131325.416811 Default dropped message from 87.140.14.172 port 500 due to notification type NO_PROPOSAL_CHOSEN

Nochmal den Trace ... 192.168.54.0&24 <-> 192.168.2.0/24 ist aber eingetragen
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Keine Regl für IDs gefunden/Kein Übereinstimmendes Propo

Beitrag von Jirka »

Hallo w.blecker,

na irgendwo wird da wohl ein Fehler sein, vielleicht in der VPN vergessen, auf manuelle Regelerstellung zu stellen, oder in der Firewall-Regel fehlt der Haken für VPN-Regel oder, das denke ich ist am wahrscheinlichsten, stimmt auf der anderen Seite was nicht, weil da z. B. keine Regeln angegeben wurden (automatische Regelerstellung), aber ein Gastnetz oder sowas hinzugefügt wurde.

Ein 'show vpn @ GW-HALLENBAD' lokal und ein 'show vpn' auf der Gegenseite zeigt schon mal, auf welcher Seite das Problem liegt.

Viele Grüße,
Jirka
w.blecker
Beiträge: 27
Registriert: 10 Feb 2014, 14:43

Re: Keine Regl für IDs gefunden/Kein Übereinstimmendes Propo

Beitrag von w.blecker »

Ok ich schreibe bis zur nächste Stunde 200 mal "Ich soll bevor ich frage prüfen, ob auch wirklich überall manuell bei der Regelerzegung steht" :-)

Was macht er eigentlich bei automatisch? Nur die Netzte die direkt hängen oder?
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: Keine Regl für IDs gefunden/Kein Übereinstimmendes Propo

Beitrag von Dr.Einstein »

Hi blecker,
w.blecker hat geschrieben: Was macht er eigentlich bei automatisch? Nur die Netzte die direkt hängen oder?
Bei automatischer Regelerzeugung werden SAs zwischen allen als Intranet deklarierten lokalen Netzwerke und in der Routing Tabelle gelisteten Netzwerke, die auf den VPN zeigen, erzeugt. Dabei werden nur Beziehungen kombiniert, wo Schnittstellentag und Routing Tag übereinstimmt (Ausnahme bei 0, da evtl. mehr).

Gruß Dr.Einstein
Benutzeravatar
ecox
Beiträge: 697
Registriert: 28 Jan 2015, 17:25

Re: Keine Regl für IDs gefunden/Kein Übereinstimmendes Propo

Beitrag von ecox »

Moin,
poste halt mal deine Konfig, wenn in der Phase 2 was schief läuft, solltest du mal schauen ob folgende Sachen stimmen

-PFS-Gruppe auf beiden Geräten gleich?
-IPSec Proposals gleich?
-Schauen das du nicht vllt den IKE-CFG Mode drin hast
-Stimmt die Route? Tags geprüft?
-Gibt es FW-Regeln bzgl. SAs?

Probier es mal mit Regelerzeugung automatisch. LANCOM hat mit dem Menü "Netzwerk-Regeln" unter VPN schon ein Schritt nach vorn gemacht ;)

Wie gesagt, Konfig posten ;)

Grüße
ecox
MÜHSAM ERNÄHRT SICH DAS EICHHÖRNCHEN
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: Keine Regl für IDs gefunden/Kein Übereinstimmendes Propo

Beitrag von MariusP »

Hi,
@ecox:
Ich glaube er hat das Problem schon gefunden habt, auch wenn es in seiner Nachricht nicht direkt offentsichtlich ist.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Antworten