Hallo Forum,
ich habe folgendes Problem, ich habe auf der einen Seite einen Bintec-Router, auf der anderen Seite einen Lancom 1621. Ich habe versucht einen VPN einzurichten so wie es auf der Lancom Seite in den FAQ beschrieben ist. Leider funktioniert das nicht - Lancom-Seite bekomme ich folgende Fehlermeldung:
Zeitüberschreitung während der IKE oder IPSec Verhandlung Initiator 0x1106
FW auf dem LAncom ist 6.12.0017
Kann mir irgendjemand einen Tip geben woran es liegen könnte. Ich würde gerne Lancom-Lancom-VPN machen, aber das geht hier nicht, weil die Router genau so vorgegeben sind.
Lancom 1621 <=> Bintec VPN geht nicht
Moderator: Lancom-Systems Moderatoren
Anbei der Trace - reicht der an Infos ?
root@Lancom:/
>
[VPN-Status] 2006/08/24 17:32:12,020
IKE info: The remote server 84.62.54.241:500 peer BINTEC id <no_id> supports NAT-T in mode draft
IKE info: The remote server 84.62.54.241:500 peer BINTEC id <no_id> supports NAT-T in mode draft
IKE info: The remote server 84.62.54.241:500 peer BINTEC id <no_id> supports NAT-T in mode draft
IKE info: The remote server 84.62.54.241:500 peer BINTEC id <no_id> supports NAT-T in mode draft
IKE info: The remote server 84.62.54.241:500 peer BINTEC id <no_id> negotiated rfc-3706-dead-peer-detection
[VPN-Status] 2006/08/24 17:32:12,030
IKE info: Phase-1 remote proposal 1 for peer BINTEC matched with local proposal 1
[VPN-Status] 2006/08/24 17:32:12,820
IKE info: Phase-1 [responder] got initial contact from peer BINTEC (84.62.54.241)
[VPN-Status] 2006/08/24 17:32:12,820
IKE info: Phase-1 [responder] for peer BINTEC between initiator id bintec.test, responder id lancom.test done
IKE info: NAT-T enabled in mode draft, we are not behind a nat, the remote side is behind a nat
IKE info: SA ISAKMP for peer BINTEC encryption 3des-cbc authentication md5
IKE info: life time ( 28800 sec/ 0 kb)
[VPN-Status] 2006/08/24 17:32:12,830
IKE info: Delete Notification received for Phase-1 SA isakmp-peer-BINTEC peer BINTEC cookies [910b1c2ce381bbb8 8f89fa017035cbfe]
[VPN-Status] 2006/08/24 17:32:12,830
IKE info: Phase-1 SA removed: peer BINTEC rule BINTEC removed
[VPN-Status] 2006/08/24 17:32:12,830
VPN: BINTEC (84.62.54.241) disconnected
[VPN-Status] 2006/08/24 17:32:12,830
VPN: Disconnect info: remote-disconnected (0x4301) for BINTEC (84.62.54.241)
root@Lancom:/
>
[VPN-Status] 2006/08/24 17:32:12,020
IKE info: The remote server 84.62.54.241:500 peer BINTEC id <no_id> supports NAT-T in mode draft
IKE info: The remote server 84.62.54.241:500 peer BINTEC id <no_id> supports NAT-T in mode draft
IKE info: The remote server 84.62.54.241:500 peer BINTEC id <no_id> supports NAT-T in mode draft
IKE info: The remote server 84.62.54.241:500 peer BINTEC id <no_id> supports NAT-T in mode draft
IKE info: The remote server 84.62.54.241:500 peer BINTEC id <no_id> negotiated rfc-3706-dead-peer-detection
[VPN-Status] 2006/08/24 17:32:12,030
IKE info: Phase-1 remote proposal 1 for peer BINTEC matched with local proposal 1
[VPN-Status] 2006/08/24 17:32:12,820
IKE info: Phase-1 [responder] got initial contact from peer BINTEC (84.62.54.241)
[VPN-Status] 2006/08/24 17:32:12,820
IKE info: Phase-1 [responder] for peer BINTEC between initiator id bintec.test, responder id lancom.test done
IKE info: NAT-T enabled in mode draft, we are not behind a nat, the remote side is behind a nat
IKE info: SA ISAKMP for peer BINTEC encryption 3des-cbc authentication md5
IKE info: life time ( 28800 sec/ 0 kb)
[VPN-Status] 2006/08/24 17:32:12,830
IKE info: Delete Notification received for Phase-1 SA isakmp-peer-BINTEC peer BINTEC cookies [910b1c2ce381bbb8 8f89fa017035cbfe]
[VPN-Status] 2006/08/24 17:32:12,830
IKE info: Phase-1 SA removed: peer BINTEC rule BINTEC removed
[VPN-Status] 2006/08/24 17:32:12,830
VPN: BINTEC (84.62.54.241) disconnected
[VPN-Status] 2006/08/24 17:32:12,830
VPN: Disconnect info: remote-disconnected (0x4301) for BINTEC (84.62.54.241)
da gibt es keinen nat-router - nur ein dsl-modem - hier nochmal ein aktueller trace
[VPN-Status] 2006/08/24 17:54:25,840
IKE info: The remote server 84.62.57.219:500 peer BINTEC id <no_id> supports NAT-T in mode draft
IKE info: The remote server 84.62.57.219:500 peer BINTEC id <no_id> supports NAT-T in mode draft
IKE info: The remote server 84.62.57.219:500 peer BINTEC id <no_id> supports NAT-T in mode draft
IKE info: The remote server 84.62.57.219:500 peer BINTEC id <no_id> supports NAT-T in mode draft
IKE info: The remote server 84.62.57.219:500 peer BINTEC id <no_id> negotiated rfc-3706-dead-peer-detection
[VPN-Status] 2006/08/24 17:54:25,850
IKE info: Phase-1 remote proposal 1 for peer BINTEC matched with local proposal 1
[VPN-Status] 2006/08/24 17:54:26,640
IKE info: Phase-1 [responder] got initial contact from peer BINTEC (84.62.57.219)
[VPN-Status] 2006/08/24 17:54:26,640
IKE info: Phase-1 [responder] for peer BINTEC between initiator id bintec.test, responder id lancom.test done
IKE info: SA ISAKMP for peer BINTEC encryption 3des-cbc authentication md5
IKE info: life time ( 28800 sec/ 0 kb)
[VPN-Status] 2006/08/24 17:54:26,650
IKE info: Delete Notification received for Phase-1 SA isakmp-peer-BINTEC peer BINTEC cookies [94618b43ea19c76e 99ac40eeec49b042]
[VPN-Status] 2006/08/24 17:54:26,650
IKE info: Phase-1 SA removed: peer BINTEC rule BINTEC removed
[VPN-Status] 2006/08/24 17:54:26,660
VPN: BINTEC (84.62.57.219) disconnected
[VPN-Status] 2006/08/24 17:54:26,660
VPN: Disconnect info: remote-disconnected (0x4301) for BINTEC (84.62.57.219)
[VPN-Status] 2006/08/24 17:54:25,840
IKE info: The remote server 84.62.57.219:500 peer BINTEC id <no_id> supports NAT-T in mode draft
IKE info: The remote server 84.62.57.219:500 peer BINTEC id <no_id> supports NAT-T in mode draft
IKE info: The remote server 84.62.57.219:500 peer BINTEC id <no_id> supports NAT-T in mode draft
IKE info: The remote server 84.62.57.219:500 peer BINTEC id <no_id> supports NAT-T in mode draft
IKE info: The remote server 84.62.57.219:500 peer BINTEC id <no_id> negotiated rfc-3706-dead-peer-detection
[VPN-Status] 2006/08/24 17:54:25,850
IKE info: Phase-1 remote proposal 1 for peer BINTEC matched with local proposal 1
[VPN-Status] 2006/08/24 17:54:26,640
IKE info: Phase-1 [responder] got initial contact from peer BINTEC (84.62.57.219)
[VPN-Status] 2006/08/24 17:54:26,640
IKE info: Phase-1 [responder] for peer BINTEC between initiator id bintec.test, responder id lancom.test done
IKE info: SA ISAKMP for peer BINTEC encryption 3des-cbc authentication md5
IKE info: life time ( 28800 sec/ 0 kb)
[VPN-Status] 2006/08/24 17:54:26,650
IKE info: Delete Notification received for Phase-1 SA isakmp-peer-BINTEC peer BINTEC cookies [94618b43ea19c76e 99ac40eeec49b042]
[VPN-Status] 2006/08/24 17:54:26,650
IKE info: Phase-1 SA removed: peer BINTEC rule BINTEC removed
[VPN-Status] 2006/08/24 17:54:26,660
VPN: BINTEC (84.62.57.219) disconnected
[VPN-Status] 2006/08/24 17:54:26,660
VPN: Disconnect info: remote-disconnected (0x4301) for BINTEC (84.62.57.219)
Hi eagle 1900
Also: erstmal den Bintec korreckt konfigurieren (lassen) und es dann erneut versuchen...
Gruß
Backslash
Da baut der Bintec die Verbindung direkt nach erfolgreicher Phase 1 wieder ab. Das deutet darauf hin, daß der Bintec keine Regeln für die Phase 2 (also die eigentlichen Netzbeziehungen) hat...[VPN-Status] 2006/08/24 17:54:26,650
IKE info: Delete Notification received for Phase-1 SA isakmp-peer-BINTEC peer BINTEC cookies [94618b43ea19c76e 99ac40eeec49b042]
Also: erstmal den Bintec korreckt konfigurieren (lassen) und es dann erneut versuchen...
Gruß
Backslash
Hallo,
danke erstmal für die Tips - nun funktioniert es , so ganz verstanden habe ich noch nicht warum - aber hier mal die Änderungen zur Lancom-Anleitung
1.) Lancom-Seite Lifetime würde für Phase 1 und 2 auf 28800s gestellt
2.) Lancom-Seite kb wurde auf 5000 gestellt für Phase 1 und 2
3.) Bintec-Seite Anpassung der Proposal "default" gibt es nicht, dafür sind nun die werte 28800s und 5000kb eingetragen
4.) die ids und user auf beiden seiten sind auf die dyndns-namen gesetzt worden
5.) Virtual Interface auf dem Bintec konfiguriert.
Falls jemand Bildschirm-Fotos brauch, bitte Info an mich.
Grüße
danke erstmal für die Tips - nun funktioniert es , so ganz verstanden habe ich noch nicht warum - aber hier mal die Änderungen zur Lancom-Anleitung
1.) Lancom-Seite Lifetime würde für Phase 1 und 2 auf 28800s gestellt
2.) Lancom-Seite kb wurde auf 5000 gestellt für Phase 1 und 2
3.) Bintec-Seite Anpassung der Proposal "default" gibt es nicht, dafür sind nun die werte 28800s und 5000kb eingetragen
4.) die ids und user auf beiden seiten sind auf die dyndns-namen gesetzt worden
5.) Virtual Interface auf dem Bintec konfiguriert.
Falls jemand Bildschirm-Fotos brauch, bitte Info an mich.
Grüße