ich nehme einen Lancom 1721+ an einem neuen Standort in Betrieb. WAN-seitig befindet er sich in einem öffentlichen 8er Subnetz hinter zwei CISCO-Gateway, die ihm eine HSRP-Adresse als default gw zur Verfügung stellen. Auf diese Provider-GWs habe ich keine Zugriff.
Code: Alles auswählen
Subnetz: 8x.2xx.6x.152/255.255.255.248
gw (HSRP): 8x.2xx.6x.153
gw1 (Main Link): 8x.2xx.6x.154
gw2 (Backup Link): 8x.2xx.6x.155WAN-seitig ist er testweise folgendermaßen konfiguriert
Code: Alles auswählen
ip: 8x.2xx.6x.156 <-- nächstfreie IP im Subnetz
gw: 8x.2xx.6x.153 <-- HSRP IP
nm: 255.255.255.248Auf LAN-Seite hat er ein 192.168.xxx.0/24 Netz. Das Setup ist zu Testzwecken ganz einfach gehalten (Stichwort: Reset --> Neukonfiguration).
Per Wizard lege ich einen VPN Testnutzer an. Als Client kommt ein AVC zum Einsatz. Die Firmware des 1721+ ist 7.60.0167.
Versuche ich nun eine VPN-Verbindung aufzubauen, erhalte ich das folgende in einem Trace. Die Verbindung hängt und endet mit dem Status
VPN Gateway antwortet nicht (Warten auf Msg 2)
Code: Alles auswählen
[VPN-Status] 2009/12/02 09:49:28,470
IKE info: The remote server xx.xxx.xx.20:500 peer def-aggr-peer id <no_id> supports NAT-T in mode draft
IKE info: The remote server xx.xxx.xx.20:500 peer def-aggr-peer id <no_id> supports NAT-T in mode draft
IKE info: The remote server xx.xxx.xx.20:500 peer def-aggr-peer id <no_id> supports NAT-T in mode draft
IKE info: The remote server xx.xxx.xx.20:500 peer def-aggr-peer id <no_id> supports NAT-T in mode rfc
IKE info: The remote server xx.xxx.xx.20:500 peer def-aggr-peer id <no_id> negotiated rfc-3706-dead-peer-detection
IKE info: The remote client xx.xxx.xx.20:500 peer def-aggr-peer id <no_id> is NCP LANCOM Serial Number Protocol 1.0 with serial number 21043199
IKE info: The remote server xx.xxx.xx.20:500 peer def-aggr-peer id <no_id> supports NAT-T in mode rfc
IKE info: The remote server xx.xxx.xx.20:500 peer def-aggr-peer id <no_id> supports NAT-T in mode rfc
IKE info: The remote server xx.xxx.xx.20:500 peer def-aggr-peer id <no_id> supports NAT-T in mode rfc
[VPN-Status] 2009/12/02 09:49:28,470
IKE info: Phase-1 remote proposal 1 for peer def-aggr-peer matched with local proposal 1
Ist es möglich, dass die CISCO GWs des Providers IPSEC Traffic blockieren oder abfangen? Wo können andere Ursachen für den Fehler zu finden sein. Ich danke für jeden Hinweis...