Lancom 1621 und Netgear FWG114P

[sdvs]

Hallo an Alle!

Vorab:
Wir wollen einen VPN Tunnel zwischen 2 Routern erstellen, um 2 Netze zusammen zu bringen. Das ganze über IPSEC!


Jetzt das Problem:
Es funktioniert nicht!

Die Fehlermeldung lautet: [VPN-Status] 2009/09/23 13:13:05,080
VPN: Error: IFC-I-Connection-timeout-IKE-IPSEC (0x1106) for VPN
(87.123.63.220)


Ich komme mitlerweile echt ins schwitzen und habe sämtliche foren durchlesen.

Die Proporsal der IKE und IPSEC habe ich richtig eingestellt und bei dem Netgear die gleichen Einstellungen vorgenommen, dennoch diese Meldung!??

Ich kann auch in den Agressive Mode wechseln, es passiert genau das gleiche.


Hoffe es hat einer eine Idee für mich!

Vielen Dank schonmal!

[backslash]

Hi sdvs,

hast du auf dem Netgear eine Möglichkeit den VPN-Aufbau mitzutracen? Wenn ja, dann mache den Trace auf beiden Seiten und poste beide Traces vollständig. Vielleicht kann man dann schon sehen, was falsch läuft.

Gruß
Backslash

[sdvs]

hmmm

eventuell per telnet? wie mach ich das bei vista? hat vista kein telnet mehr?

[sdvs]

mitlerweile bekomme ich noch eine andere Meldung:

erst:IFC-I-Connection-timeout-IKE-IPSEC
sofort danach:IKE-I-General-failure

[sdvs]

keiner eine Idee??

[LoUiS]

Hi,

backslash hatte Dir doch bereits geschrieben, dass Du auf beiden Seiten Traces erstellen solltest und diese hier posten. Nur damit kann man sehen was im Moment ueberhaupt beim Aufbau passiert, bzw. schief geht. Die bisher geposteten Fehlermeldungen sind dabei eher suboptimal.

Auf dem LANCOM kannst Du mit "tr # vpn-st" einen Trace im Telnet/ssh starten. Wie das auf dem Netgear geht musst Du bitte im Netgear Forum nachfragen, da es ja hier scheinbar niemand weiss.


Ciao
LoUiS

[sdvs]

Netgear:
[2009-09-24 02:08:17]**** RECEIVED IKE NOTIFY PAYLOAD(PAYLOAD_MALFORMED) ****
[2009-09-24 02:08:48][==== IKE PHASE 1(from 84.134.41.50) START (responder) ====]
[2009-09-24 02:08:48]**** RECEIVED FIRST MESSAGE OF MAIN MODE ****
[2009-09-24 02:08:48]<POLICY: > PAYLOADS: SA,PROP,TRANS
[2009-09-24 02:08:48]ERROR# NO MATCHING ISAKMP PROPOSAL FOR DIALUP CASE
[2009-09-24 02:08:48]SENDING NOTIFY MSG:NO_PROPOSAL_CHOSEN
[2009-09-24 02:08:48]**** SENT OUT INFORMATIONAL EXCHANGE MESSAGE(NOTIFY_PAYLOAD) ****
[2009-09-24 02:08:48][==== IKE PHASE 1(from 84.134.41.50) START (responder) ====]
[2009-09-24 02:08:48]**** RECEIVED IKE NOTIFY PAYLOAD(PAYLOAD_MALFORMED) ****
[2009-09-24 02:09:20][==== IKE PHASE 1(from 84.134.41.50) START (responder) ====]
[2009-09-24 02:09:20]**** RECEIVED FIRST MESSAGE OF MAIN MODE ****
[2009-09-24 02:09:20]<POLICY: > PAYLOADS: SA,PROP,TRANS
[2009-09-24 02:09:20]ERROR# NO MATCHING ISAKMP PROPOSAL FOR DIALUP CASE
[2009-09-24 02:09:20]SENDING NOTIFY MSG:NO_PROPOSAL_CHOSEN
[2009-09-24 02:09:20]**** SENT OUT INFORMATIONAL EXCHANGE MESSAGE(NOTIFY_PAYLOAD) ****
[2009-09-24 02:09:20][==== IKE PHASE 1(from 84.134.41.50) START (responder) ====]
[2009-09-24 02:09:20]**** RECEIVED IKE NOTIFY PAYLOAD(PAYLOAD_MALFORMED) ****
[2009-09-24 02:09:51][==== IKE PHASE 1(from 84.134.41.50) START (responder) ====]
[2009-09-24 02:09:51]**** RECEIVED FIRST MESSAGE OF MAIN MODE ****
[2009-09-24 02:09:51]<POLICY: > PAYLOADS: SA,PROP,TRANS
[2009-09-24 02:09:51]ERROR# NO MATCHING ISAKMP PROPOSAL FOR DIALUP CASE
[2009-09-24 02:09:51]SENDING NOTIFY MSG:NO_PROPOSAL_CHOSEN
[2009-09-24 02:09:51]**** SENT OUT INFORMATIONAL EXCHANGE MESSAGE(NOTIFY_PAYLOAD) ****
[2009-09-24 02:09:51][==== IKE PHASE 1(from 84.134.41.50) START (responder) ====]
[2009-09-24 02:09:51]**** RECEIVED IKE NOTIFY PAYLOAD(PAYLOAD_MALFORMED) ****
[2009-09-24 02:10:22][==== IKE PHASE 1(from 84.134.41.50) START (responder) ====]
[2009-09-24 02:10:22]**** RECEIVED FIRST MESSAGE OF MAIN MODE ****
[2009-09-24 02:10:22]<POLICY: > PAYLOADS: SA,PROP,TRANS
[2009-09-24 02:10:22]ERROR# NO MATCHING ISAKMP PROPOSAL FOR DIALUP CASE
[2009-09-24 02:10:22]SENDING NOTIFY MSG:NO_PROPOSAL_CHOSEN
[2009-09-24 02:10:22]**** SENT OUT INFORMATIONAL EXCHANGE MESSAGE(NOTIFY_PAYLOAD) ****
[2009-09-24 02:10:22][==== IKE PHASE 1(from 84.134.41.50) START (responder) ====]
[2009-09-24 02:10:22]**** RECEIVED IKE NOTIFY PAYLOAD(PAYLOAD_MALFORMED) ****
[2009-09-24 02:10:54][==== IKE PHASE 1(from 84.134.41.50) START (responder) ====]
[2009-09-24 02:10:54]**** RECEIVED FIRST MESSAGE OF MAIN MODE ****
[2009-09-24 02:10:54]<POLICY: > PAYLOADS: SA,PROP,TRANS
[2009-09-24 02:10:54]ERROR# NO MATCHING ISAKMP PROPOSAL FOR DIALUP CASE
[2009-09-24 02:10:54]SENDING NOTIFY MSG:NO_PROPOSAL_CHOSEN
[2009-09-24 02:10:54]**** SENT OUT INFORMATIONAL EXCHANGE MESSAGE(NOTIFY_PAYLOAD) ****
[2009-09-24 02:10:54][==== IKE PHASE 1(from 84.134.41.50) START (responder) ====]
[2009-09-24 02:10:54]**** RECEIVED IKE NOTIFY PAYLOAD(PAYLOAD_MALFORMED) ****
[2009-09-24 02:11:25][==== IKE PHASE 1(from 84.134.41.50) START (responder) ====]
[2009-09-24 02:11:25]**** RECEIVED FIRST MESSAGE OF MAIN MODE ****
[2009-09-24 02:11:25]<POLICY: > PAYLOADS: SA,PROP,TRANS
[2009-09-24 02:11:25]ERROR# NO MATCHING ISAKMP PROPOSAL FOR DIALUP CASE
[2009-09-24 02:11:25]SENDING NOTIFY MSG:NO_PROPOSAL_CHOSEN
[2009-09-24 02:11:25]**** SENT OUT INFORMATIONAL EXCHANGE MESSAGE(NOTIFY_PAYLOAD) ****
[2009-09-24 02:11:25][==== IKE PHASE 1(from 84.134.41.50) START (responder) ====]
[2009-09-24 02:11:25]**** RECEIVED IKE NOTIFY PAYLOAD(PAYLOAD_MALFORMED) ****
[2009-09-24 02:11:56][==== IKE PHASE 1(from 84.134.41.50) START (responder) ====]
[2009-09-24 02:11:56]**** RECEIVED FIRST MESSAGE OF MAIN MODE ****
[2009-09-24 02:11:56]<POLICY: > PAYLOADS: SA,PROP,TRANS
[2009-09-24 02:11:56]ERROR# NO MATCHING ISAKMP PROPOSAL FOR DIALUP CASE
[2009-09-24 02:11:56]SENDING NOTIFY MSG:NO_PROPOSAL_CHOSEN
[2009-09-24 02:11:56]**** SENT OUT INFORMATIONAL EXCHANGE MESSAGE(NOTIFY_PAYLOAD) ****
[2009-09-24 02:11:56][==== IKE PHASE 1(from 84.134.41.50) START (responder) ====]
[2009-09-24 02:11:56]**** RECEIVED IKE NOTIFY PAYLOAD(PAYLOAD_MALFORMED) ****
[2009-09-24 02:12:27][==== IKE PHASE 1(from 84.134.41.50) START (responder) ====]
[2009-09-24 02:12:27]**** RECEIVED FIRST MESSAGE OF MAIN MODE ****
[2009-09-24 02:12:27]<POLICY: > PAYLOADS: SA,PROP,TRANS
[2009-09-24 02:12:27]ERROR# NO MATCHING ISAKMP PROPOSAL FOR DIALUP CASE
[2009-09-24 02:12:27]SENDING NOTIFY MSG:NO_PROPOSAL_CHOSEN
[2009-09-24 02:12:27]**** SENT OUT INFORMATIONAL EXCHANGE MESSAGE(NOTIFY_PAYLOAD) ****
[2009-09-24 02:12:28][==== IKE PHASE 1(from 84.134.41.50) START (responder) ====]
[2009-09-24 02:12:28]**** RECEIVED IKE NOTIFY PAYLOAD(PAYLOAD_MALFORMED) ****
[2009-09-24 02:12:59][==== IKE PHASE 1(from 84.134.41.50) START (responder) ====]
[2009-09-24 02:12:59]**** RECEIVED FIRST MESSAGE OF MAIN MODE ****
[2009-09-24 02:12:59]<POLICY: > PAYLOADS: SA,PROP,TRANS
[2009-09-24 02:12:59]ERROR# NO MATCHING ISAKMP PROPOSAL FOR DIALUP CASE
[2009-09-24 02:12:59]SENDING NOTIFY MSG:NO_PROPOSAL_CHOSEN
[2009-09-24 02:12:59]**** SENT OUT INFORMATIONAL EXCHANGE MESSAGE(NOTIFY_PAYLOAD) ****
[2009-09-24 02:12:59][==== IKE PHASE 1(from 84.134.41.50) START (responder) ====]
[2009-09-24 02:12:59]**** RECEIVED IKE NOTIFY PAYLOAD(PAYLOAD_MALFORMED) ****














Lancom:
[VPN-Status] 2009/09/24 12:06:10,620
VPN: starting external DNS resolution for MUEHLEGE
IpStr=>muehlege.dyndns.org<, IpAddr(old)=87.123.53.83, IpTtl(old)=60s

[VPN-Status] 2009/09/24 12:06:10,670
VPN: external DNS resolution for MUEHLEGE
IpStr=>muehlege.dyndns.org<, IpAddr(old)=87.123.53.83, IpTtl(old)=60s
IpStr=>muehlege.dyndns.org<, IpAddr(new)=87.123.53.83, IpTtl(new)=60s

[VPN-Status] 2009/09/24 12:06:14,670
VPN: connection for MUEHLEGE (87.123.53.83) timed out: no response

[VPN-Status] 2009/09/24 12:06:14,670
VPN: Error: IFC-I-Connection-timeout-IKE-IPSEC (0x1106) for MUEHLEGE (87.123.53.
83)

[VPN-Status] 2009/09/24 12:06:14,670
VPN: disconnecting MUEHLEGE (87.123.53.83)

[VPN-Status] 2009/09/24 12:06:14,670
VPN: Error: IKE-I-General-failure (0x21ff) for MUEHLEGE (87.123.53.83)

[VPN-Status] 2009/09/24 12:06:14,750
VPN: MUEHLEGE (87.123.53.83) disconnected

[VPN-Status] 2009/09/24 12:06:14,820
VPN: selecting next remote gateway using strategy eFirst for MUEHLEGE
=> no remote gateway selected

[VPN-Status] 2009/09/24 12:06:14,820
VPN: selecting first remote gateway using strategy eFirst for MUEHLEGE
=> CurrIdx=0, IpStr=>muehlege.dyndns.org<, IpAddr=87.123.53.83, IpTtl=60s

[VPN-Status] 2009/09/24 12:06:14,820
VPN: installing ruleset for MUEHLEGE (87.123.53.83)

[VPN-Status] 2009/09/24 12:06:14,830
VPN: rulesets installed

[VPN-Status] 2009/09/24 12:06:15,820
VPN: connecting to MUEHLEGE (87.123.53.83)

[VPN-Status] 2009/09/24 12:06:15,890
VPN: installing ruleset for MUEHLEGE (87.123.53.83)

[VPN-Status] 2009/09/24 12:06:15,900
VPN: ruleset installed for MUEHLEGE (87.123.53.83)

[VPN-Status] 2009/09/24 12:06:15,900
VPN: start IKE negotiation for MUEHLEGE (87.123.53.83)

[VPN-Status] 2009/09/24 12:06:15,980
VPN: rulesets installed

[VPN-Status] 2009/09/24 12:06:15,980
IKE info: Phase-1 negotiation started for peer MUEHLEGE rule isakmp-peer-MUEHLEG
E using MAIN mode


[VPN-Status] 2009/09/24 12:06:16,090
IKE log: 120616.000000 Default exchange_run: [case -1] exchange_validate2 failed


[VPN-Status] 2009/09/24 12:06:16,090
IKE log: 120616.000000 Default dropped message from 87.123.53.83 port 500 due to
notification type PAYLOAD_MALFORMED


[VPN-Status] 2009/09/24 12:06:16,090
IKE info: dropped message from peer unknown 87.123.53.83 port 500 due to notific
ation type PAYLOAD_MALFORMED


[VPN-Status] 2009/09/24 12:06:16,090
VPN: Error: IKE-I-General-failure (0x21ff) for MUEHLEGE (87.123.53.83)

[VPN-Status] 2009/09/24 12:06:45,980
VPN: connection for MUEHLEGE (87.123.53.83) timed out: no response

[VPN-Status] 2009/09/24 12:06:45,980
VPN: Error: IFC-I-Connection-timeout-IKE-IPSEC (0x1106) for MUEHLEGE (87.123.53.
83)

[VPN-Status] 2009/09/24 12:06:45,980
VPN: disconnecting MUEHLEGE (87.123.53.83)

[VPN-Status] 2009/09/24 12:06:45,980
VPN: Error: IKE-I-General-failure (0x21ff) for MUEHLEGE (87.123.53.83)

[VPN-Status] 2009/09/24 12:06:46,050
VPN: MUEHLEGE (87.123.53.83) disconnected

[VPN-Status] 2009/09/24 12:06:46,130
VPN: selecting next remote gateway using strategy eFirst for MUEHLEGE
=> no remote gateway selected

[VPN-Status] 2009/09/24 12:06:46,130
VPN: selecting first remote gateway using strategy eFirst for MUEHLEGE
=> CurrIdx=0, IpStr=>muehlege.dyndns.org<, IpAddr=87.123.53.83, IpTtl=60s

[VPN-Status] 2009/09/24 12:06:46,130
VPN: installing ruleset for MUEHLEGE (87.123.53.83)

[VPN-Status] 2009/09/24 12:06:46,140
VPN: rulesets installed

[VPN-Status] 2009/09/24 12:06:47,130
VPN: connecting to MUEHLEGE (87.123.53.83)

[VPN-Status] 2009/09/24 12:06:47,200
VPN: installing ruleset for MUEHLEGE (87.123.53.83)

[VPN-Status] 2009/09/24 12:06:47,210
VPN: ruleset installed for MUEHLEGE (87.123.53.83)

[VPN-Status] 2009/09/24 12:06:47,210
VPN: start IKE negotiation for MUEHLEGE (87.123.53.83)

[VPN-Status] 2009/09/24 12:06:47,290
VPN: rulesets installed

[VPN-Status] 2009/09/24 12:06:47,290
IKE info: Phase-1 negotiation started for peer MUEHLEGE rule isakmp-peer-MUEHLEG
E using MAIN mode


[VPN-Status] 2009/09/24 12:06:47,380
IKE log: 120647.000000 Default exchange_run: [case -1] exchange_validate2 failed


[VPN-Status] 2009/09/24 12:06:47,390
IKE log: 120647.000000 Default dropped message from 87.123.53.83 port 500 due to
notification type PAYLOAD_MALFORMED


[VPN-Status] 2009/09/24 12:06:47,390
IKE info: dropped message from peer unknown 87.123.53.83 port 500 due to notific
ation type PAYLOAD_MALFORMED


[VPN-Status] 2009/09/24 12:06:47,390
VPN: Error: IKE-I-General-failure (0x21ff) for MUEHLEGE (87.123.53.83)

[VPN-Status] 2009/09/24 12:07:11,680
VPN: starting external DNS resolution for MUEHLEGE
IpStr=>muehlege.dyndns.org<, IpAddr(old)=87.123.53.83, IpTtl(old)=60s

[VPN-Status] 2009/09/24 12:07:11,840
VPN: external DNS resolution for MUEHLEGE
IpStr=>muehlege.dyndns.org<, IpAddr(old)=87.123.53.83, IpTtl(old)=60s
IpStr=>muehlege.dyndns.org<, IpAddr(new)=87.123.53.83, IpTtl(new)=60s

[VPN-Status] 2009/09/24 12:07:17,290
VPN: connection for MUEHLEGE (87.123.53.83) timed out: no response

[VPN-Status] 2009/09/24 12:07:17,290
VPN: Error: IFC-I-Connection-timeout-IKE-IPSEC (0x1106) for MUEHLEGE (87.123.53.
83)

[VPN-Status] 2009/09/24 12:07:17,290
VPN: disconnecting MUEHLEGE (87.123.53.83)

[VPN-Status] 2009/09/24 12:07:17,290
VPN: Error: IKE-I-General-failure (0x21ff) for MUEHLEGE (87.123.53.83)

[VPN-Status] 2009/09/24 12:07:17,370
VPN: MUEHLEGE (87.123.53.83) disconnected

[VPN-Status] 2009/09/24 12:07:17,440
VPN: selecting next remote gateway using strategy eFirst for MUEHLEGE
=> no remote gateway selected

[VPN-Status] 2009/09/24 12:07:17,440
VPN: selecting first remote gateway using strategy eFirst for MUEHLEGE
=> CurrIdx=0, IpStr=>muehlege.dyndns.org<, IpAddr=87.123.53.83, IpTtl=60s

[VPN-Status] 2009/09/24 12:07:17,440
VPN: installing ruleset for MUEHLEGE (87.123.53.83)

[VPN-Status] 2009/09/24 12:07:17,450
VPN: rulesets installed

[VPN-Status] 2009/09/24 12:07:18,440
VPN: connecting to MUEHLEGE (87.123.53.83)

[VPN-Status] 2009/09/24 12:07:18,510
VPN: installing ruleset for MUEHLEGE (87.123.53.83)

[VPN-Status] 2009/09/24 12:07:18,530
VPN: ruleset installed for MUEHLEGE (87.123.53.83)

[VPN-Status] 2009/09/24 12:07:18,530
VPN: start IKE negotiation for MUEHLEGE (87.123.53.83)

[VPN-Status] 2009/09/24 12:07:18,600
VPN: rulesets installed

[VPN-Status] 2009/09/24 12:07:18,600
IKE info: Phase-1 negotiation started for peer MUEHLEGE rule isakmp-peer-MUEHLEG
E using MAIN mode


[VPN-Status] 2009/09/24 12:07:18,690
IKE log: 120718.000000 Default exchange_run: [case -1] exchange_validate2 failed


[VPN-Status] 2009/09/24 12:07:18,700
IKE log: 120718.000000 Default dropped message from 87.123.53.83 port 500 due to
notification type PAYLOAD_MALFORMED


[VPN-Status] 2009/09/24 12:07:18,700
IKE info: dropped message from peer unknown 87.123.53.83 port 500 due to notific
ation type PAYLOAD_MALFORMED


[VPN-Status] 2009/09/24 12:07:18,700
VPN: Error: IKE-I-General-failure (0x21ff) for MUEHLEGE (87.123.53.83)
quit

Goodbye

[backslash]

Hi sdvs,

der Nettgear sagt doch schon, was ihm nicht paßt - es ist halt nur etwas spartanisch:

[2009-09-24 02:08:48]<POLICY: > PAYLOADS: SA,PROP,TRANS
[2009-09-24 02:08:48]ERROR# NO MATCHING ISAKMP PROPOSAL FOR DIALUP CASE
[2009-09-24 02:08:48]SENDING NOTIFY MSG:NO_PROPOSAL_CHOSEN

Er mag offenbar nicht die vom LANCOM angebotenen Proposals. Am besten du erstellst für diese Verbindung im LANCOM sowohl für IKE als auch IPSec eine eigene Proposal-Liste, die nur das eine im Netgear konfigurierte Proposal enthält, z.B. PSK-3DES-MD5 für IKE und TN-3DES-MD5-96 für IPSec.

Das LANCOM meldet:

Code: Alles auswählen

IKE info: dropped message from peer unknown 87.123.53.83 port 500 due to notific 
ation type PAYLOAD_MALFORMED

i.A. deutet das auf einen fehlerhaften preshared Key hin. Prüfe den Key und bedenke dabei, daß das LANCOM nicht alle beliebigen Zeichen im Key zuläßt, da z.B. Umlaute auf verschiedenen Betriebsystemen anders kodiert werden. Das LANCOM läßt für den preshared Key folgende Zeichen zu:

#ABCDEFGHIJKLMNOPQRSTUVWXYZ@{|}~!$%&'()*+-,/:;<=>?[\]^_.0123456789abcdefghijklmnopqrstuvwxyz `

Gruß
Backslash

[sdvs]

das dachte ich mir beinahe! ich habe auch schon eine eigene ike proporsal und ipsec proporsal erstellt!

für ike habe ich im netgear folgendes dazu stehen:
IKE SA Parameters
Encryption Algorithm 3DES
Authentication Algorithm SHA-1
Authentication Method Pre-shared Key : den psk eben



bei lancom ist das ein wenig umfangreicher, dort habe ich folgendes:
Bezeichnung: test
Verschlüsselung 3DES-CBC
Hash SHA1
Authentifizierung Preshared Key

Unter defaults habe ich dan eingetragen, dass er die selbsterstellte proporsal nehmen soll also die test!

das steht unter defaults:
Für Aggressive-Mode-Verbindungen:
Default IKE-Proposal-Liste MUEHLERH
Default IKE-Gruppe 1 (MODP-768)
Für Main-Mode-Verbindungen:
Default IKE-Proposal-Liste MUEHLERH
Default IKE-Gruppe 1 (MODP-768)


unter proporsal listen findet man dann die proporsal test mit folgendem:
Bezeichnung test

Proposal MUEHLERH
Proposal PSK-AES-SHA
Proposal PSK-BLOW-MD5
Proposal PSK-BLOW-SHA
Proposal PSK-CAST-MD5

IKE proporsalliste:

Proposal PSK-CAST-SHA
Proposal PSK-3DES-MD5
Proposal PSK-3DES-SHA





IPSEC_: eigene proporsal
Bezeichnung test


Modus Tunnel

ESP-Proposal
Verschlüsselung 3DES-CBC
Authentifizierung HMAC-SHA1

AH-ProposalAuthentifizierung Kein AH

IPCOMP-ProposalKompression Kein IPCOMP



unter proporsalliste der test findet man dann folgendes:
IPSec-Proposal-Listen

Bezeichnung test
Proposal MUEHLERH
Proposal TN-AES-SHA-96
Proposal TN-BLOW-MD5-96
Proposal TN-BLOW-SHA-96
Proposal TN-CAST-MD5-96
Proposal TN-CAST-SHA-96
Proposal TN-3DES-MD5-96
Proposal TN-3DES-SHA-96

[sdvs]

Mittlerweile habe ich etwas anderes ausprobiert, wobei sich die Sache damit auch anders verhält!

Ich habe jetzt den Mode wieder auf Aggressive Mode umgestellt, jetzt bekomme ich vom Netgear nur noch eine Warnung, die wie folgt aussieht:

SENDING NOTIFY MSG:INVALID_ID_INFORMATION


der lancom Router gibt immernoch die gleiche Fehlermeldung aus, den key habe ich überprüft, zeichen beachtet!

was hat es mit AH, PFS Gruppe und so wieter aufsich? AH, PFS Grupper, IKE-CFG und XAuth habe ich deakiviert im Lancom...

[backslash]

Hi sdvs

Unter defaults habe ich dan eingetragen, dass er die selbsterstellte proporsal nehmen soll also die test!

das steht unter defaults:
Für Aggressive-Mode-Verbindungen:
Default IKE-Proposal-Liste MUEHLERH
Default IKE-Gruppe 1 (MODP-768)
Für Main-Mode-Verbindungen:
Default IKE-Proposal-Liste MUEHLERH
Default IKE-Gruppe 1 (MODP-768)

da das LANCOM die Verbindung aufbaut, ist das unnötig. Hier solltest du wieder die Defaults eintragen, d.h.

Für Aggressive-Mode-Verbindungen:
Default IKE-Proposal-Liste IKE_PRESH_KEY
Default IKE-Gruppe 2 (MODP-1024)
Für Main-Mode-Verbindungen:
Default IKE-Proposal-Liste IKE_RSA_SIG
Default IKE-Gruppe 2 (MODP-1024)

unter proporsal listen findet man dann die proporsal test mit folgendem:
Bezeichnung test

Proposal MUEHLERH
Proposal PSK-AES-SHA
Proposal PSK-BLOW-MD5
Proposal PSK-BLOW-SHA
Proposal PSK-CAST-MD5

IKE proporsalliste:

Proposal PSK-CAST-SHA
Proposal PSK-3DES-MD5
Proposal PSK-3DES-SHA

Du sollst einen neuen Eintrag in der IKE-Proposal-Liste (VPN -> IKE-Param -> IKE-Proposal-Liste) eintragen, der *nur ein* Proposal enthält, z.b.

Code: Alles auswählen

Bezeichnung:  IKE-NETGEAR  
Proposal:     PSK-3DES-SHA 
Proposal:     
Proposal:     
Proposal:     
Proposal:     
Proposal:     
Proposal:     
Proposal:     

Du brauchst keine neuen Proposals erzeugen...


Das gleiche gilt für die IPSec-Proposal-Liste ((VPN -> IPSEC-Param -> IPSEC-Proposal-Liste):

Code: Alles auswählen

Bezeichnung:  IPSEC-NETGEAR  
Proposal:     TN-3DES-SHA-96 
Proposal:     
Proposal:     
Proposal:     
Proposal:     
Proposal:     
Proposal:     
Proposal:     

Ich habe jetzt den Mode wieder auf Aggressive Mode umgestellt, jetzt bekomme ich vom Netgear nur noch eine Warnung, die wie folgt aussieht:

SENDING NOTIFY MSG:INVALID_ID_INFORMATION

Egal ob du im Main-Mode oder aggressive-Mode arbeitest, die Identitäten müssen auf beiden Seiten übereinstimmen - dabei müssen lokale und entfernte Identität "überkreuz" zusammenpassen. Die Identitäten konfigurierst zusammen mit dem preshared Key unter VPN -> IKE-Auth. -> IKE-Schlüssel und Identitäten, z.B.

Code: Alles auswählen

Bezeichnung:              KEY-NETGEAR
Preshared-Key:            *********
Lokaler Identität-Typ:    Keine Identität   (nur im Main-Mode mit preshared-Key)
Lokale Identität:
Entfernter Identität-Typ: Keine Identität   (nur im Main-Mode mit preshared-Key)
Entfernte Identität:

Dies alles fasst du in den Verbindungs-Parametern (VPN -> Allgemein -> Verbindungs-Parameter) zusammen:

Code: Alles auswählen

Bezeichnung:     PARM-NETGEAR  
PFS-Gruppe:      1 (MODP-768)
IKE-Gruppe:      1 (MODP-768)
IKE-Proposals:   IKE-NETGEAR
IKE-Schlüssel:   KEY-NETGEAR
IPSEC-Proposals: IPSEC-NETGEAR

und weist es abschließend der VPN-Strecke unter VPN -> Allgemein -> Verbidndungsliste zu:

Code: Alles auswählen

Name der Verbindung:   NETGEAR
Haltezeit:             9999
Dead Peer Detection:   30
Extranet-Adresse:      0.0.0.0
Entferntes Gateway:    Adresse des Netgear-Routers (IP oder DNS)
Verbindungs-Parameter: PARM-NETGEAR
Regelerzeugung:        Automatisch
(*) Kein dynamisches VPN
...


(*) Main Mode
...


IKE-CFG:      Aus
XAUTH:        Aus
Routing-Tag:  0

was hat es mit AH, PFS Gruppe und so wieter aufsich? AH, PFS Grupper, IKE-CFG und XAuth habe ich deakiviert im Lancom...

AH authentifiziert die Abseder-IP-Adresse, was aber dazu führt, daß AH nicht durch ein NAT hindurch funktioniert, da es ja gerade die Aufgabe eines NAT ist, die Absender-Adresse zu ändern...

PFS beeinfluß die Art und Weise, wie Phase-2 SAs ausgehandelt werden. Ohne PFS werden sie direkt im Phase-1 Tunnel ausgehandelt (sozusagen im Klartext), mit PFS wird die Phase-2 Aushandlung auch im Phase-1 Tunnel zusätzlich verschlüsselt und zwar jedesmal mit einem neuen Diffie-Hellman-Schlüssel

IKE-CFG dient dazu, VPN-Clients IP-Adresse und DNS-Server zuzuweisen ("Config Mode")

XAUTH ist eine zusätzliche Username/Paßwort-Abfrage innerhalb Phase-1 Tunnels. Obwohl XAUTH gerne verwendet wird, kann ich davor nur warnen, weil es von jedem, der den Gruppen-Key kennt angegriffen werden kann (jeder, der den Key kennt, kann sich einem Client gegenüber als Server ausgeben und so munter Username und Paßwort im Klartext mitlesen - das ist ein klassicher Man-In-The-Middle-Angriff). Das Hauptproblem ist, daß der Gruppen-Key meist öffentlich bekannt gemacht wird...

Gruß
Backslash

[sdvs]

vielen dan für deine hilfe \


mittlerweile scheint etwas zu funktionieren!
habe zwar nichts mehr an der policy verändert habe aber in diesem zusammenhang woanders einen fehler entdeckt!


jetzt ist die erste phase erfolgreich beendet und es kommt zur 2. phase in der folgendes passiert:



netgear meldung:
[2009-09-28 04:39:18][==== IKE PHASE 1(from 84.134.25.217) START (responder) ====]
[2009-09-28 04:39:18]**** RECEIVED FIRST MESSAGE OF AGGR MODE ****
[2009-09-28 04:39:18]<POLICY: muehlege> PAYLOADS: SA,PROP,TRANS,KE,NONCE,ID,VID,VID,VID
[2009-09-28 04:39:18]<LocalRID> Type=ID_FQDN,ID Data=muehlerh.dyndns.org
[2009-09-28 04:39:18]<RemoteLID> Type=ID_FQDN,ID Data=muehlerh.dyndns.org
[2009-09-28 04:39:18]<POLICY: muehlege> PAYLOADS: SA,PROP,TRANS,KE,NONCE,ID,HASH
[2009-09-28 04:39:18]**** SENT OUT SECOND MESSAGE OF AGGR MODE ****
[2009-09-28 04:39:19]**** RECEIVED THIRD MESSAGE OF AGGR MODE ****
[2009-09-28 04:39:19]<POLICY: muehlege> PAYLOADS: HASH
[2009-09-28 04:39:19]**** AGGR MODE COMPLETED ****
[2009-09-28 04:39:19][==== IKE PHASE 1 ESTABLISHED====]
[2009-09-28 04:39:19][==== IKE PHASE 2(from 84.134.25.217) START (responder) ====]
[2009-09-28 04:39:19]**** RECEIVED FIRST MESSAGE OF QUICK MODE ****
[2009-09-28 04:39:19]**** FOUND IDs,EXTRACE ID INFO ****
[2009-09-28 04:39:19]<Initiator IPADDR=192.168.0.0>
[2009-09-28 04:39:19]<Responder IPADDR=192.168.0.0 MASK=255.255.255.0>
[2009-09-28 04:39:19][==== IKE PHASE 2(from 84.134.25.217) START (responder) ====]
[2009-09-28 04:39:19]**** RECEIVED FIRST MESSAGE OF QUICK MODE ****
[2009-09-28 04:39:19]**** FOUND IDs,EXTRACE ID INFO ****
[2009-09-28 04:39:19]<Initiator IPADDR=192.168.0.0>
[2009-09-28 04:39:19]<Responder IPADDR=192.168.0.0 MASK=255.255.255.0>








lancom meldung im log:

Idx. Zeit Quelle Level Meldung
4216 28.09.2009 14:37:52 LOCAL0 Fehler VPN: Error for peer MUEHLEGE: IFC-I-Connection-timeout-IKE-IPSEC
4217 28.09.2009 14:37:52 LOCAL0 Fehler last message repeated 1 time
4218 28.09.2009 14:37:52 LOCAL0 Fehler VPN: Disconnect info for peer MUEHLEGE: remote-disconnected
4219 28.09.2009 14:38:23 LOCAL0 Fehler VPN: Error for peer MUEHLEGE: IFC-I-Connection-timeout-IKE-IPSEC
4220 28.09.2009 14:38:23 LOCAL0 Fehler last message repeated 1 time
4221 28.09.2009 14:38:23 LOCAL0 Fehler VPN: Disconnect info for peer MUEHLEGE: remote-disconnected
4222 28.09.2009 14:38:55 LOCAL0 Fehler VPN: Error for peer MUEHLEGE: IFC-I-Connection-timeout-IKE-IPSEC
4223 28.09.2009 14:38:55 LOCAL0 Fehler last message repeated 1 time
4224 28.09.2009 14:38:55 LOCAL0 Fehler VPN: Disconnect info for peer MUEHLEGE: remote-disconnected
4225 28.09.2009 14:39:26 LOCAL0 Fehler VPN: Error for peer MUEHLEGE: IFC-I-Connection-timeout-IKE-IPSEC
4226 28.09.2009 14:39:26 LOCAL0 Fehler last message repeated 1 time
4227 28.09.2009 14:39:26 LOCAL0 Fehler VPN: Disconnect info for peer MUEHLEGE: remote-disconnected
4228 28.09.2009 14:39:55 LOCAL0 Fehler VPN: Error for peer MUEHLEGE: IPSEC-R-No-rule-matched-IDs
4229 28.09.2009 14:39:57 LOCAL0 Fehler VPN: Error for peer MUEHLEGE: IFC-I-Connection-timeout-IKE-IPSEC
4230 28.09.2009 14:39:57 LOCAL0 Fehler VPN: Error for peer MUEHLEGE: IPSEC-R-No-rule-matched-IDs
4231 28.09.2009 14:39:57 LOCAL0 Fehler VPN: Disconnect info for peer MUEHLEGE: remote-disconnected
4232 28.09.2009 14:40:18 LOCAL0 Fehler VPN: Error for peer MUEHLEGE: IPSEC-R-No-rule-matched-IDs
4233 28.09.2009 14:40:27 LOCAL0 Fehler last message repeated 2 times
4234 28.09.2009 14:40:29 LOCAL0 Fehler VPN: Error for peer MUEHLEGE: IFC-I-Connection-timeout-IKE-IPSEC
4235 28.09.2009 14:40:29 LOCAL0 Fehler VPN: Error for peer MUEHLEGE: IPSEC-R-No-rule-matched-IDs
4236 28.09.2009 14:40:29 LOCAL0 Fehler VPN: Disconnect info for peer MUEHLEGE: remote-disconnected
4237 28.09.2009 14:41:00 LOCAL0 Fehler VPN: Error for peer MUEHLEGE: IFC-I-Connection-timeout-IKE-IPSEC
4238 28.09.2009 14:41:00 LOCAL0 Fehler last message repeated 1 time
4239 28.09.2009 14:41:00 LOCAL0 Fehler VPN: Disconnect info for peer MUEHLEGE: remote-disconnected
4240 28.09.2009 14:41:18 LOCAL0 Fehler VPN: Error for peer MUEHLEGE: IPSEC-R-No-rule-matched-IDs
4241 28.09.2009 14:41:27 LOCAL0 Fehler last message repeated 2 times
4242 28.09.2009 14:41:31 LOCAL0 Fehler VPN: Error for peer MUEHLEGE: IFC-I-Connection-timeout-IKE-IPSEC
4243 28.09.2009 14:41:31 LOCAL0 Fehler VPN: Error for peer MUEHLEGE: IPSEC-R-No-rule-matched-IDs
4244 28.09.2009 14:41:31 LOCAL0 Fehler VPN: Disconnect info for peer MUEHLEGE: remote-disconnected
4245 28.09.2009 14:41:34 LOCAL0 Fehler VPN: Error for peer MUEHLEGE: IPSEC-R-No-rule-matched-IDs
4246 28.09.2009 14:41:43 LOCAL0 Fehler last message repeated 2 times
4247 28.09.2009 14:41:48 LOCAL0 Fehler VPN: Error for peer MUEHLEGE: IPSEC-R-No-rule-matched-IDs
4248 28.09.2009 14:42:03 LOCAL0 Fehler VPN: Error for peer MUEHLEGE: IFC-I-Connection-timeout-IKE-IPSEC
4249 28.09.2009 14:42:03 LOCAL0 Fehler VPN: Error for peer MUEHLEGE: IPSEC-R-No-rule-matched-IDs
4250 28.09.2009 14:42:03 LOCAL0 Fehler VPN: Disconnect info for peer MUEHLEGE: remote-disconnected
4251 28.09.2009 14:42:34 LOCAL0 Fehler VPN: Error for peer MUEHLEGE: IFC-I-Connection-timeout-IKE-IPSEC
4252 28.09.2009 14:42:34 LOCAL0 Fehler last message repeated 1 time
4253 28.09.2009 14:42:34 LOCAL0 Fehler VPN: Disconnect info for peer MUEHLEGE: remote-disconnected
4254 28.09.2009 14:43:05 LOCAL0 Fehler VPN: Error for peer MUEHLEGE: IFC-I-Connection-timeout-IKE-IPSEC
4255 28.09.2009 14:43:05 LOCAL0 Fehler last message repeated 1 time
4256 28.09.2009 14:43:05 LOCAL0 Fehler VPN: Disconnect info for peer MUEHLEGE: remote-disconnected
4257 28.09.2009 14:43:37 LOCAL0 Fehler VPN: Error for peer MUEHLEGE: IFC-I-Connection-timeout-IKE-IPSEC
4258 28.09.2009 14:43:37 LOCAL0 Fehler last message repeated 1 time
4259 28.09.2009 14:43:37 LOCAL0 Fehler VPN: Disconnect info for peer MUEHLEGE: remote-disconnected
4260 28.09.2009 14:43:39 LOCAL0 Fehler VPN: Error for peer MUEHLEGE: IPSEC-R-No-rule-matched-IDs
4261 28.09.2009 14:43:47 LOCAL0 Fehler last message repeated 2 times
4262 28.09.2009 14:43:52 LOCAL0 Fehler VPN: Error for peer MUEHLEGE: IPSEC-R-No-rule-matched-IDs
4263 28.09.2009 14:44:08 LOCAL0 Fehler VPN: Error for peer MUEHLEGE: IFC-I-Connection-timeout-IKE-IPSEC
4264 28.09.2009 14:44:08 LOCAL0 Fehler VPN: Error for peer MUEHLEGE: IPSEC-R-No-rule-matched-IDs
4265 28.09.2009 14:44:08 LOCAL0 Fehler VPN: Disconnect info for peer MUEHLEGE: remote-disconnected
4266 28.09.2009 14:44:19 LOCAL0 Fehler VPN: Error for peer MUEHLEGE: IPSEC-R-No-rule-matched-IDs
4267 28.09.2009 14:44:28 LOCAL0 Fehler last message repeated 2 times
4268 28.09.2009 14:44:34 LOCAL0 Fehler VPN: Error for peer MUEHLEGE: IPSEC-R-No-rule-matched-IDs
4269 28.09.2009 14:44:39 LOCAL0 Fehler VPN: Error for peer MUEHLEGE: IFC-I-Connection-timeout-IKE-IPSEC
4270 28.09.2009 14:44:39 LOCAL0 Fehler VPN: Error for peer MUEHLEGE: IPSEC-R-No-rule-matched-IDs
4271 28.09.2009 14:44:39 LOCAL0 Fehler VPN: Disconnect info for peer MUEHLEGE: remote-disconnected
4272 28.09.2009 14:45:11 LOCAL0 Fehler VPN: Error for peer MUEHLEGE: IFC-I-Connection-timeout-IKE-IPSEC
4273 28.09.2009 14:45:11 LOCAL0 Fehler last message repeated 1 time
4274 28.09.2009 14:45:11 LOCAL0 Fehler VPN: Disconnect info for peer MUEHLEGE: remote-disconnected
4275 28.09.2009 14:45:42 LOCAL0 Fehler VPN: Error for peer MUEHLEGE: IFC-I-Connection-timeout-IKE-IPSEC
4276 28.09.2009 14:45:42 LOCAL0 Fehler last message repeated 1 time
4277 28.09.2009 14:45:42 LOCAL0 Fehler VPN: Disconnect info for peer MUEHLEGE: remote-disconnected
4278 28.09.2009 14:46:13 LOCAL0 Fehler VPN: Error for peer MUEHLEGE: IFC-I-Connection-timeout-IKE-IPSEC
4279 28.09.2009 14:46:13 LOCAL0 Fehler last message repeated 1 time
4280 28.09.2009 14:46:13 LOCAL0 Fehler VPN: Disconnect info for peer MUEHLEGE: remote-disconnected
4281 28.09.2009 14:46:45 LOCAL0 Fehler VPN: Error for peer MUEHLEGE: IFC-I-Connection-timeout-IKE-IPSEC
4282 28.09.2009 14:46:45 LOCAL0 Fehler last message repeated 1 time
4283 28.09.2009 14:46:45 LOCAL0 Fehler VPN: Disconnect info for peer MUEHLEGE: remote-disconnected





beim trace bei lancom router steht folgendes:

IKE log: 150143.000000 Default dropped message from 87.123.6.35 port 500 due to
notification type NO_PROPOSAL_CHOSEN
IKE info: dropped message from peer MUEHLEGE 87.123.6.35 port 500 due to notific
ation type NO_PROPOSAL_CHOSEN


[VPN-Status] 2009/09/28 15:01:43,990
VPN: Error: IPSEC-R-No-rule-matched-IDs (0x3201) for MUEHLEGE (87.123.6.35)

[VPN-Status] 2009/09/28 15:01:48,980
IKE info: Phase-2 failed for peer MUEHLEGE: no rule matches the phase-2 ids 192
.168.0.0/255.255.255.0 <-> 192.168.115.0/255.255.255.0
IKE log: 150148.000000 Default message_negotiate_sa: no compatible proposal foun
d
IKE log: 150148.000000 Default dropped message from 87.123.6.35 port 500 due to
notification type NO_PROPOSAL_CHOSEN
IKE info: dropped message from peer MUEHLEGE 87.123.6.35 port 500 due to notific
ation type NO_PROPOSAL_CHOSEN


[VPN-Status] 2009/09/28 15:01:48,990
VPN: Error: IPSEC-R-No-rule-matched-IDs (0x3201) for MUEHLEGE (87.123.6.35)

[VPN-Status] 2009/09/28 15:01:53,660
VPN: connection for MUEHLEGE (87.123.6.35) timed out: no response

[VPN-Status] 2009/09/28 15:01:53,660
VPN: Error: IFC-I-Connection-timeout-IKE-IPSEC (0x1106) for MUEHLEGE (87.123.6.3
5)

[VPN-Status] 2009/09/28 15:01:53,660
VPN: disconnecting MUEHLEGE (87.123.6.35)

[VPN-Status] 2009/09/28 15:01:53,660
VPN: Error: IPSEC-R-No-rule-matched-IDs (0x3201) for MUEHLEGE (87.123.6.35)

[VPN-Status] 2009/09/28 15:01:53,730
IKE info: Delete Notificaton sent for Phase-1 SA to peer MUEHLEGE


[VPN-Status] 2009/09/28 15:01:53,740
IKE info: Phase-1 SA removed: peer MUEHLEGE rule MUEHLEGE removed


[VPN-Status] 2009/09/28 15:01:53,750
VPN: MUEHLEGE (87.123.6.35) disconnected

[VPN-Status] 2009/09/28 15:01:53,750
VPN: Disconnect info: remote-disconnected (0x4301) for MUEHLEGE (87.123.6.35)

[VPN-Status] 2009/09/28 15:01:53,830
VPN: selecting next remote gateway using strategy eFirst for MUEHLEGE
=> no remote gateway selected

[VPN-Status] 2009/09/28 15:01:53,830
VPN: selecting first remote gateway using strategy eFirst for MUEHLEGE
=> CurrIdx=0, IpStr=>muehlege.dyndns.org<, IpAddr=87.123.6.35, IpTtl=60s

[VPN-Status] 2009/09/28 15:01:53,830
VPN: installing ruleset for MUEHLEGE (87.123.6.35)

[VPN-Status] 2009/09/28 15:01:53,830
VPN: MUEHLEGE (87.123.6.35) disconnected

[VPN-Status] 2009/09/28 15:01:53,840
VPN: rulesets installed

[VPN-Status] 2009/09/28 15:01:54,830
VPN: connecting to MUEHLEGE (87.123.6.35)

[VPN-Status] 2009/09/28 15:01:54,900
VPN: installing ruleset for MUEHLEGE (87.123.6.35)

[VPN-Status] 2009/09/28 15:01:54,910
VPN: ruleset installed for MUEHLEGE (87.123.6.35)

[VPN-Status] 2009/09/28 15:01:54,910
VPN: start IKE negotiation for MUEHLEGE (87.123.6.35)

[VPN-Status] 2009/09/28 15:01:54,990
VPN: rulesets installed

[VPN-Status] 2009/09/28 15:01:54,990
IKE info: Phase-1 negotiation started for peer MUEHLEGE rule isakmp-peer-MUEHLEG
E using AGGRESSIVE mode


[VPN-Status] 2009/09/28 15:01:55,490
IKE info: Phase-1 remote proposal 1 for peer MUEHLEGE matched with local proposa
l 1


[VPN-Status] 2009/09/28 15:01:55,820
IKE info: Phase-1 [inititiator] for peer MUEHLEGE between initiator id muehlerh.
dyndns.org, responder id muehlege.dyndns.org done
IKE info: SA ISAKMP for peer MUEHLEGE encryption 3des-cbc authentication sha1
IKE info: life time ( 8000 sec/ 0 kb)


[VPN-Status] 2009/09/28 15:01:55,820
IKE info: Phase-1 SA Rekeying Timeout (Soft-Event) for peer MUEHLEGE set to 6400
seconds (Initiator)


[VPN-Status] 2009/09/28 15:01:55,820
IKE info: Phase-1 SA Timeout (Hard-Event) for peer MUEHLEGE set to 8000 seconds
(Initiator)


[VPN-Status] 2009/09/28 15:02:24,990
VPN: connection for MUEHLEGE (87.123.6.35) timed out: no response

[VPN-Status] 2009/09/28 15:02:24,990
VPN: Error: IFC-I-Connection-timeout-IKE-IPSEC (0x1106) for MUEHLEGE (87.123.6.3
5)

[VPN-Status] 2009/09/28 15:02:24,990
VPN: disconnecting MUEHLEGE (87.123.6.35)

[VPN-Status] 2009/09/28 15:02:24,990
VPN: Error: IFC-I-Connection-timeout-IKE-IPSEC (0x1106) for MUEHLEGE (87.123.6.3
5)

[VPN-Status] 2009/09/28 15:02:25,060
IKE info: Delete Notificaton sent for Phase-1 SA to peer MUEHLEGE


[VPN-Status] 2009/09/28 15:02:25,060
IKE info: Phase-1 SA removed: peer MUEHLEGE rule MUEHLEGE removed


[VPN-Status] 2009/09/28 15:02:25,080
VPN: MUEHLEGE (87.123.6.35) disconnected

[VPN-Status] 2009/09/28 15:02:25,080
VPN: Disconnect info: remote-disconnected (0x4301) for MUEHLEGE (87.123.6.35)

[VPN-Status] 2009/09/28 15:02:25,150
VPN: selecting next remote gateway using strategy eFirst for MUEHLEGE
=> no remote gateway selected

[VPN-Status] 2009/09/28 15:02:25,150
VPN: selecting first remote gateway using strategy eFirst for MUEHLEGE
=> CurrIdx=0, IpStr=>muehlege.dyndns.org<, IpAddr=87.123.6.35, IpTtl=60s

[VPN-Status] 2009/09/28 15:02:25,150
VPN: installing ruleset for MUEHLEGE (87.123.6.35)

[VPN-Status] 2009/09/28 15:02:25,160
VPN: MUEHLEGE (87.123.6.35) disconnected

[VPN-Status] 2009/09/28 15:02:25,170
VPN: rulesets installed

[VPN-Status] 2009/09/28 15:02:26,150
VPN: connecting to MUEHLEGE (87.123.6.35)

[VPN-Status] 2009/09/28 15:02:26,220
VPN: installing ruleset for MUEHLEGE (87.123.6.35)

[VPN-Status] 2009/09/28 15:02:26,230
VPN: ruleset installed for MUEHLEGE (87.123.6.35)

[VPN-Status] 2009/09/28 15:02:26,230
VPN: start IKE negotiation for MUEHLEGE (87.123.6.35)

[VPN-Status] 2009/09/28 15:02:26,310
VPN: rulesets installed

[VPN-Status] 2009/09/28 15:02:26,310
IKE info: Phase-1 negotiation started for peer MUEHLEGE rule isakmp-peer-MUEHLEG
E using AGGRESSIVE mode


[VPN-Status] 2009/09/28 15:02:26,810
IKE info: Phase-1 remote proposal 1 for peer MUEHLEGE matched with local proposa
l 1


[VPN-Status] 2009/09/28 15:02:27,130
IKE info: Phase-1 [inititiator] for peer MUEHLEGE between initiator id muehlerh.
dyndns.org, responder id muehlege.dyndns.org done
IKE info: SA ISAKMP for peer MUEHLEGE encryption 3des-cbc authentication sha1
IKE info: life time ( 8000 sec/ 0 kb)


[VPN-Status] 2009/09/28 15:02:27,130
IKE info: Phase-1 SA Rekeying Timeout (Soft-Event) for peer MUEHLEGE set to 6400
seconds (Initiator)


[VPN-Status] 2009/09/28 15:02:27,140
IKE info: Phase-1 SA Timeout (Hard-Event) for peer MUEHLEGE set to 8000 seconds
(Initiator)


[VPN-Status] 2009/09/28 15:02:40,800
VPN: starting external DNS resolution for MUEHLEGE
IpStr=>muehlege.dyndns.org<, IpAddr(old)=87.123.6.35, IpTtl(old)=60s

[VPN-Status] 2009/09/28 15:02:40,940
VPN: external DNS resolution for MUEHLEGE
IpStr=>muehlege.dyndns.org<, IpAddr(old)=87.123.6.35, IpTtl(old)=60s
IpStr=>muehlege.dyndns.org<, IpAddr(new)=87.123.6.35, IpTtl(new)=60s

[VPN-Status] 2009/09/28 15:02:56,310
VPN: connection for MUEHLEGE (87.123.6.35) timed out: no response

[VPN-Status] 2009/09/28 15:02:56,310
VPN: Error: IFC-I-Connection-timeout-IKE-IPSEC (0x1106) for MUEHLEGE (87.123.6.3
5)

[VPN-Status] 2009/09/28 15:02:56,310
VPN: disconnecting MUEHLEGE (87.123.6.35)

[VPN-Status] 2009/09/28 15:02:56,310
VPN: Error: IFC-I-Connection-timeout-IKE-IPSEC (0x1106) for MUEHLEGE (87.123.6.3
5)

[VPN-Status] 2009/09/28 15:02:56,380
IKE info: Delete Notificaton sent for Phase-1 SA to peer MUEHLEGE


[VPN-Status] 2009/09/28 15:02:56,390
IKE info: Phase-1 SA removed: peer MUEHLEGE rule MUEHLEGE removed


[VPN-Status] 2009/09/28 15:02:56,400
VPN: MUEHLEGE (87.123.6.35) disconnected

[VPN-Status] 2009/09/28 15:02:56,400
VPN: Disconnect info: remote-disconnected (0x4301) for MUEHLEGE (87.123.6.35)

[VPN-Status] 2009/09/28 15:02:56,470
VPN: selecting next remote gateway using strategy eFirst for MUEHLEGE
=> no remote gateway selected

[VPN-Status] 2009/09/28 15:02:56,470
VPN: selecting first remote gateway using strategy eFirst for MUEHLEGE
=> CurrIdx=0, IpStr=>muehlege.dyndns.org<, IpAddr=87.123.6.35, IpTtl=60s

[VPN-Status] 2009/09/28 15:02:56,470
VPN: installing ruleset for MUEHLEGE (87.123.6.35)

[VPN-Status] 2009/09/28 15:02:56,480
VPN: MUEHLEGE (87.123.6.35) disconnected

[VPN-Status] 2009/09/28 15:02:56,490
VPN: rulesets installed

[VPN-Status] 2009/09/28 15:02:57,470
VPN: connecting to MUEHLEGE (87.123.6.35)

[VPN-Status] 2009/09/28 15:02:57,540
VPN: installing ruleset for MUEHLEGE (87.123.6.35)

[VPN-Status] 2009/09/28 15:02:57,550
VPN: ruleset installed for MUEHLEGE (87.123.6.35)

[VPN-Status] 2009/09/28 15:02:57,550
VPN: start IKE negotiation for MUEHLEGE (87.123.6.35)

[VPN-Status] 2009/09/28 15:02:57,630
VPN: rulesets installed

[VPN-Status] 2009/09/28 15:02:57,630
IKE info: Phase-1 negotiation started for peer MUEHLEGE rule isakmp-peer-MUEHLEG
E using AGGRESSIVE mode


[VPN-Status] 2009/09/28 15:02:58,130
IKE info: Phase-1 remote proposal 1 for peer MUEHLEGE matched with local proposa
l 1


[VPN-Status] 2009/09/28 15:02:58,440
IKE info: Phase-1 [inititiator] for peer MUEHLEGE between initiator id muehlerh.
dyndns.org, responder id muehlege.dyndns.org done
IKE info: SA ISAKMP for peer MUEHLEGE encryption 3des-cbc authentication sha1
IKE info: life time ( 8000 sec/ 0 kb)


[VPN-Status] 2009/09/28 15:02:58,450
IKE info: Phase-1 SA Rekeying Timeout (Soft-Event) for peer MUEHLEGE set to 6400
seconds (Initiator)


[VPN-Status] 2009/09/28 15:02:58,450
IKE info: Phase-1 SA Timeout (Hard-Event) for peer MUEHLEGE set to 8000 seconds
(Initiator)

quit

Goodbye

[sdvs]

habe jetzt nochmal im netgear unter vpn status geschaut, dort steht sogar schon, dass ein vpn tunnel besteht, nur eben beim lancom net!

also wenn ich das jetzt richtig verstehe, dann ist die erste phase erfolgreich abgeschlossen. die erste phase ist die ike authentifizierung


die zweite phase ist jetzt der ike schlüsselaustausch???


und die dritte phase ist der aufbau des tunnels?



hoffe du kannst mich noch ein wenig leiten backslash! aber trotzdem danke schonmal!

[backslash]

Hi sdvs

ja, die Phase 1 kommt hoch, aber die Phase 2 blokiert. Hier ist das Problem:

IKE info: Phase-2 failed for peer MUEHLEGE: no rule matches the phase-2 ids 192.168.0.0/255.255.255.0 <-> 192.168.115.0/255.255.255.0
IKE log: 150148.000000 Default message_negotiate_sa: no compatible proposal found

Die Gegenseite fordert einen Tunnel zwischen den Netzen 192.168.0.x und 192.168.115.x. Das muß zu den Netzwerk und Routing-Einstellungen im LANCOM passen. Dein Intranet muß das 192.168.0.x-Netz sein und die VPN-Route muß auf das 192.168.115.x Netz zeigen. Die Regelerzeugung in der VPN-Verbindungsliste muß auf "automatisch" stehen.

Gruß
Backslash

[sdvs]

habe ich ja..

sollte ich gar kein netz angeben im Lancom? also 0.0.0.0?


also unter dem punkt extranet habe ich das netz vom netgear: 192.168.0.0

ist das ok?