Lancom 1711+ VPN: keine VPN-Verbindung möglich

[mirko71]

Ich möchte Euch um Mithilfe bei einem Problem mit 2 Lancom 1711+ VPN bitten.

Folgende Konstellation: 2 Firmen sind per T-DSL-Business 2000 symmetrisch (S-DSL) und jeweils 2 Telekom-S-DSL-Modems miteinander verbunden. Dahinter kommen unsere Lancom-Router. Nachdem es anfangs Probleme mit den Nutzerdaten der Telekom gab, stießen wir nun auf ein viel größeres Problem: VPN-Einrichtung.

Es gibt ja von Lancom die Tools "LANconfig" und "LANmonitor".

Mit Lanconfig haben wir beide Router konfiguriert, jeweils den Punkt "zwei lokale Netze miteinander verbinden (VPN)". Hier wurde jeweils die Gegenstelle eingetragen, das gleiche Passwort und den gleichen Preyshared-Key vergeben.
Von der Logik her, müsste es dann ja funktionieren, das ist aber nicht der Fall!

Mehrere Varianten wurden durchgespielt, u.a. die interne Firewall des Routers deaktiviert - auch ohne Erfolg.

Es kommt immer zu folgendem Effekt: WAN-Leitung steht, VPN wurde anfangs aufgrund von IDs/IPsec-Fehlern immer abgelehnt. Nachdem wir Standortnamen, Kennwort und den Preyshared-Key noch einmal abgeändert haben (max. Länge: 3 Buchstaben/Ziffern) erscheint dann unter VPN im Lanmonitor nur noch ein rotes Ausrufezeichen und keine Mitteilung mehr, warum dies so ist.

Das ganze sieht dann in der syslog der Router, die ich auch online abrufen kann, so aus:

20332 23.12.2009 07:25:45 LOCAL0 Fehler VPN: Error for peer 19: IPSEC-I-No-proposal-matched
20334 23.12.2009 07:25:55 LOCAL0 Fehler VPN: Error for peer 19: IPSEC-R-No-rule-matched-IDs
20335 23.12.2009 07:25:56 LOCAL0 Fehler VPN: Error for peer 19: IPSEC-I-No-proposal-matched
20336 23.12.2009 07:25:59 LOCAL0 Fehler VPN: Error for peer 19: IFC-I-Connection-timeout-IKE-IPSEC
20337 23.12.2009 07:25:59 LOCAL0 Fehler VPN: Error for peer 19: IPSEC-R-No-rule-matched-IDs
20338 23.12.2009 07:25:59 LOCAL0 Fehler VPN: Disconnect info for peer 19: remote-disconnected
20339 23.12.2009 07:26:00 LOCAL0 Fehler VPN: Error for peer 19: IPSEC-R-No-rule-matched-IDs
20340 23.12.2009 07:26:00 LOCAL0 Fehler VPN: Error for peer 19: IPSEC-I-No-proposal-matched
20341 23.12.2009 07:26:07 LOCAL0 Fehler VPN: Error for peer 19: IPSEC-R-No-rule-matched-IDs
20342 23.12.2009 07:26:07 LOCAL0 Fehler VPN: Error for peer 19: IPSEC-I-No-proposal-matched
20343 23.12.2009 07:26:16 LOCAL0 Fehler VPN: Error for peer 19: IPSEC-R-No-rule-matched-IDs
20344 23.12.2009 07:26:16 LOCAL0 Fehler VPN: Error for peer 19: IPSEC-I-No-proposal-matched
20345 23.12.2009 07:26:26 LOCAL0 Fehler VPN: Error for peer 19: IPSEC-R-No-rule-matched-IDs
20346 23.12.2009 07:26:27 LOCAL0 Fehler VPN: Error for peer 19: IPSEC-I-No-proposal-matched
20347 23.12.2009 07:26:30 LOCAL0 Fehler VPN: Error for peer 19: IFC-I-Connection-timeout-IKE-IPSEC
20348 23.12.2009 07:26:30 LOCAL0 Fehler VPN: Error for peer 19: IPSEC-R-No-rule-matched-IDs

Kann jemand helfen?!

[Jirka]

Hallo mirko71,

sind die beiden LANCOM 1711+ vom Internet aus über eine feste IP erreichbar?

Viele Grüße,
Jirka

[mirko71]

sind die beiden LANCOM 1711+ vom Internet aus über eine feste IP erreichbar?

Ja das sind sie. Ich kann jeweils online auf beide zugreifen (feste IP wurde vergeben).

[backslash]

Hi mirko71

20332 23.12.2009 07:25:45 LOCAL0 Fehler VPN: Error for peer 19: IPSEC-I-No-proposal-matched

hier stimmen die Netzbeziehungen nicht. Mach mal auf beiden Seiten einen VPN-Status-Trace vom Verbingsaufbau (per Telnet auf das Gerät gehen und trace # vpn-st eingeben)

Desweiteren besteht die VPN-Gegenstelle nur aus Ziffern ("19"), was eine gaaanz schlechte Idee ist, denn für den IP-Router ist das dann eine IP-Adresse (0.0.0.19) ...

Gruß
Backslash

[mirko71]

Desweiteren besteht die VPN-Gegenstelle nur aus Ziffern ("19"), was eine gaaanz schlechte Idee ist, denn für den IP-Router ist das dann eine IP-Adresse (0.0.0.19) ...

Wir haben es übrigens mit allen möglichen Namen / IPs / Passwörtern / Keys versucht - daher steht jetzt nur noch als Gegenstelle "19" da - bitte um Nachsicht.

hier stimmen die Netzbeziehungen nicht. Mach mal auf beiden Seiten einen VPN-Status-Trace vom Verbingsaufbau (per Telnet auf das Gerät gehen und trace # vpn-st eingeben)

Leider bin ich jetzt nicht mehr vor Ort - hatte gehofft, das Problem auch aus der Ferne mittels online-Konfig lösen zu können, aber das scheint ja nicht der Fall zu sein.

[Starmanager]

Ich bin ja hier das Greenhorn, aber ist da nicht etwas mit den Firewall Rules wenn diese nicht stimmen bringt die Kiste laufend solche Meldungen.


MFG

Starmanager

Frohe Weihnachten und einen guten Rutsch

[mirko71]

ist da nicht etwas mit den Firewall Rules

Das hätt ich ja auch gedacht, nur leider erscheinen diese Meldungen auch, wenn man die Firewall komplett deaktiviert!!!

[backslash]

Hi mirko71

Leider bin ich jetzt nicht mehr vor Ort - hatte gehofft, das Problem auch aus der Ferne mittels online-Konfig lösen zu können, aber das scheint ja nicht der Fall zu sein.

hier kann ein VPN-Status-Trace helfen, denn der sagt dir, welche Net6zbeziehungen von der Gegenseite gefordert werden. Diese müssen mit den lokalen IPSec-Regeln über seinstmmen. Die lokalen Regeln kannst du dir über show vpn im Telnet anzeigen lassen

Gruß
Backslash

[mirko71]

@backslash
Erst einmal vielen Dank für die (wenn auch etwas verspätete) Nachricht.

In der Zwischenzeit habe ich das Problem lösen können!!!

Beide Router befinden sich in einem 100er Netz. Bin genau nach Lancom-Anleitung (N:N Mapping) vorgegangen, habe die Routen gegenseitig angepasst (1 Router virtualisiert jetzt nach außen ein 150er und der andere ein 200er Netz).

Jetzt funktioniert es aber ohne Probleme.

Logischerweise habe ich für beide Router erst einmal ein Backup erstellt. Wer weiß, ob ich das noch mal so hinbekomme....grins

Übrigens - noch ein Fehler von mir - kann ich doch logischerweise beide Router aufgrund der statischen IP online verwalten und das nicht nur mittels Webconfig sondern auch per LANconfig. Allerdings bekomme ich noch keine LANmonitor-Verbindung hin. Dies liegt wohl aber dann eher an meiner FritzBox, habe ich zumindest hier im Forum nachgelesen.