Lancom 1621, VPN über Zertifikate (erstellt mit XCA)

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
matulk
Beiträge: 1
Registriert: 08 Jan 2008, 17:07

Lancom 1621, VPN über Zertifikate (erstellt mit XCA)

Beitrag von matulk »

hallo lancom forum,

ich versuche nun seit Stunden meine VPN Verbindung wieder zum laufen zubringen. Leider erfolglos. Ich hoffe ihr könnt mir helfen.

Wir nutzen den Lancom 1621, welcher über dsl mit dem Internet verbunden ist und über eine feste IP Adresse erreichbar ist. Die VPN Verbindung soll aus Sicherheitsgründen über Zertifikate hergestellt werden.

Die Zertifikate habe ich mit "XCA" (eine GUI für openssl) erstellt. Also ein Root Zertifikate, ein Geräte Zertifikat, und ein Zertifikate für den Client. Aus XCA Exportiere ich das Root- und Geräte Zertifikat und erhalte zwei *.crt Dateieien. Beim Export des Privaten Schlüssels des Geräte-Zertifikates erhalte ich eine *.pem Datei. Diese drei Dateien lade ich über die Web-Oberfläche in den Router (für private SChlüssel wird eigentlich die Dateiendung *.key verlangt, aber ich gehe davon aus, dass die *.pem Datei genauso funktionieren müsste).

Das Zertifikat für den CLient exportiere ich als PK12 Datei. Als Client Software benutzen wir den Lancom Advanced VPN Client. Unter dem Verzeichnis "CaCerts/" hinterlege ich nochmals das Root Zertifikat.

Ich bin mir auch relativ sicher, dass ich die Identitäten unter den IKE-Schlüssel in der Router Config richtig eingegeben habe.. Auch die Proposals sind genauso eingerichtet, wie es im Lancom Handbuch steht.

Wie dem auch sei, folgendes ergibt trace vpn:

[VPN-Status] 2008/01/08 17:18:38,770
IKE info: The remote server xxx.xxx.xxx.xxx:500 peer def-main-peer id <no_id> suppo
rts draft-ietf-ipsec-isakmp-xauth
IKE info: The remote server xxx.xxx.xxx.xxx:500 peer def-main-peer id <no_id> suppo
rts NAT-T in mode draft
IKE info: The remote server xxx.xxx.xxx.xxx:500 peer def-main-peer id <no_id> suppo
rts NAT-T in mode draft
IKE info: The remote server xxx.xxx.xxx.xxx:500 peer def-main-peer id <no_id> suppo
rts NAT-T in mode draft
IKE info: The remote server xxx.xxx.xxx.xxx:500 peer def-main-peer id <no_id> suppo
rts NAT-T in mode rfc
IKE info: The remote server xxx.xxx.xxx.xxx:500 peer def-main-peer id <no_id> negot
iated rfc-3706-dead-peer-detection
IKE info: The remote client xxx.xxx.xxx.xxx:500 peer def-main-peer id <no_id> is NC
P LANCOM Serial Number Protocol 1.0 with serial number 21028542
IKE info: The remote server xxx.xxx.xxx.xxx:500 peer def-main-peer id <no_id> suppo
rts NAT-T in mode rfc
IKE info: The remote server xxx.xxx.xxx.xxx:500 peer def-main-peer id <no_id> suppo
rts NAT-T in mode rfc
IKE info: The remote server xxx.xxx.xxx.xxx:500 peer def-main-peer id <no_id> suppo
rts NAT-T in mode rfc


[VPN-Status] 2008/01/08 17:18:38,780
IKE info: phase-1 proposal failed: remote No 1 hash algorithm = SHA <-> local No
1 hash algorithm = MD5
IKE info: Phase-1 remote proposal 1 for peer def-main-peer matched with local pr
oposal 2


Die Fehlermeldung bei Phase 1 habe ich natürlich bemerkt, allerdings denke ich, dass die nicht relevant ist, da im nächsten Schritt ein Passendes Proposal gefunden wird.

Es kommt jedenfalls keine verbindung zustande. Ich habe es auch schon erfolglos mit dem "Setup Assistenten" versucht.

Das frustierende ist ja, dass es letztes Jahr funktioniert hatte. Nur sind inzwischen sämtlich Zertifikate abgelaufen, weswegen ich diese neu anlegen und hochladen musste. Aber die Zertifikate scheinen auch alle richtig zusein. Man kann sie mit Windows öffnen und, bis auf das Datum natürlich, stimmen sie komplett mit denen aus dem letzten Jahr überein. auch "show vpn ca" und "show vpn cert" funktioniert über telnet.


Ich würde mich über Hilfe sehr freuen. Ich bin langsam am verzweifeln.


Vielen Dank im vorraus
Gruß
Atul
Nach oben
Antworten

Zurück zu „Fragen zum Thema VPN“