Hallo,
Ich würde meinen 1711er gerne mit einer Sonicwall per VPN verbinden. Mit einer zywall hab ich das schon geschafft, insofern sollten dessen Techniken nicht allzu proprietär sein.
Die Parameter die sich die Sonicwall erwartet sind im wesentlichen:
- Key Management: IKE
- Negotiation Mode: MAIN
- Typ Site-to-Site (natürlich)
- Auth: Pre-Shared Key
- Enc. Mode: Tunnel
- ESP: Encryption: DES, Auth: MD5
Phase 1:
Negotiation Mode: Main
Encryption Alg.: DES
Auth. Alg.: MD5
SA Life Time: 28800
Key Group: DH2
Phase 2:
Active Protocoll: ESP
Ecryption Alg.: DES
Auth. Alg.: MD5
SA Life Time: 28800
Encapsulation: Tunnel
Mein Netz wurde an der Sonicwall eingerichtet, eine ZyWall 10 kann sich drauf verbinden.
Mehr als mal Standardmäßig eine Verbindung per Setup Assistent einzurichten (unter Verwendung des Pre-Shared-Keys) hab ich mich mal nicht getraut.
Es funktioniert im Moment nicht (kein übereinstimmendes Proposal gefunden).
Ein Trace sagt im wesentlichen die folgenden Dinge:
VPN: create dynamic VPN V1 authentication packet for GEGENSTELLE (xxx.xxx.xxx.xxx)
IKE info: NOTIFY received of type NO_PROPOSAL_CHOSEN for peer GEGENSTELLE
VPN: Error: IPSEC-I-No-proposal-matched (0x3102) for GEGENSTELLE (xxx.xxx.xxx.xxx)
Jemand eine Idee, welche Einstellungen ich hier probieren könnte?
Lancom 1722 <-> Sonicwall Pro 230
Moderator: Lancom-Systems Moderatoren
Lancom 1722 <-> Sonicwall Pro 230
Liebe Grüße,
michael
michael
Hallo michael,
Gruß
Mario
na ja - da fehlt einfach das entsprechende IPSec-Proposal. Der Assistent nimmt das Proposal für DES wohl nicht(?) mehr in die Proposalliste auf. Falls es geht, würde ich an der Sonicwall zumindest 3DES aktivieren. Falls nicht, nimmst Du einfach das passende Proposal (TN-DES-MD5) in die Liste für Deine Verbindung auf.IKE info: NOTIFY received of type NO_PROPOSAL_CHOSEN for peer GEGENSTELLE
VPN: Error: IPSEC-I-No-proposal-matched (0x3102) for GEGENSTELLE (xxx.xxx.xxx.xxx)
Gruß
Mario
hmmm - hätt ich versucht. aber egal, wie ich versuche die proposals bei sonicwall und lancom in einklang zu bringen - die symptomatik ist immer gleich (mittlerweile scheint er ja zumindest phase1 zu schaffen, wenn ich das richtig interpretiere):
[VPN-Status] 2006/02/28 12:43:08,080
IKE info: Phase-1 negotiation started for peer GEGENSTELLE rule isakmp-peer-GEGENSTELLE using MAIN mode
[VPN-Status] 2006/02/28 12:43:08,130
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <-> local No 1 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <-> local No 2 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <-> local No 3 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <-> local No 4 encryption algorithm = BLOWFISH_CBC
IKE info: Phase-1 remote proposal 1 for peer GEGENSTELLE matched with local proposal 5
[VPN-Status] 2006/02/28 12:43:08,370
IKE info: The remote server xxx.xxx.xxx.xxx:500 peer GEGENSTELLE id <no_id> supports draft-ietf-ipsec-isakmp-xauth
[VPN-Status] 2006/02/28 12:43:08,570
IKE info: Phase-1 [inititiator] for peer GEGENSTELLE between initiator id 213.235.225.162, responder id xxx.xxx.xxx.xxx done
IKE info: SA ISAKMP for peer GEGENSTELLE encryption 3des-cbc authentication md5
IKE info: life time ( 108000 sec/ 0 kb)
[VPN-Status] 2006/02/28 12:43:08,820
IKE info: NOTIFY received of type NO_PROPOSAL_CHOSEN for peer GEGENSTELLE
[VPN-Status] 2006/02/28 12:43:08,820
VPN: Error: IPSEC-I-No-proposal-matched (0x3102) for GEGENSTELLE (xxx.xxx.xxx.xxx)
[VPN-Status] 2006/02/28 12:43:16,060
IKE info: NOTIFY received of type NO_PROPOSAL_CHOSEN for peer GEGENSTELLE
[VPN-Status] 2006/02/28 12:43:16,060
VPN: Error: IPSEC-I-No-proposal-matched (0x3102) for GEGENSTELLE (xxx.xxx.xxx.xxx)
[VPN-Status] 2006/02/28 12:43:18,030
VPN: fallback to dynamic VPN V1 for GEGENSTELLE (xxx.xxx.xxx.xxx)
[VPN-Status] 2006/02/28 12:43:18,030
VPN: create dynamic VPN V1 authentication packet for GEGENSTELLE (xxx.xxx.xxx.xxx)
DNS: 10.0.0.254, 0.0.0.0
NBNS: 10.0.0.254, 10.0.0.254
[VPN-Status] 2006/02/28 12:43:24,290
IKE info: NOTIFY received of type NO_PROPOSAL_CHOSEN for peer GEGENSTELLE
[VPN-Status] 2006/02/28 12:43:24,290
VPN: Error: IPSEC-I-No-proposal-matched (0x3102) for GEGENSTELLE (xxx.xxx.xxx.xxx)
[VPN-Status] 2006/02/28 12:43:35,520
IKE info: NOTIFY received of type NO_PROPOSAL_CHOSEN for peer GEGENSTELLE
[VPN-Status] 2006/02/28 12:43:35,520
VPN: Error: IPSEC-I-No-proposal-matched (0x3102) for GEGENSTELLE (xxx.xxx.xxx.xxx)
Kurze Zwischenfrage noch: Spielen die Parameter "Bezeichner der Gegenstelle" und "Passwort zur Übermittlung der IP Adresse" in meinem Fall eigentlich eine Rolle (beide Örtlichkeiten haben fixe IPs und fest auflösbare Hostnamen)?
[VPN-Status] 2006/02/28 12:43:08,080
IKE info: Phase-1 negotiation started for peer GEGENSTELLE rule isakmp-peer-GEGENSTELLE using MAIN mode
[VPN-Status] 2006/02/28 12:43:08,130
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <-> local No 1 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <-> local No 2 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <-> local No 3 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <-> local No 4 encryption algorithm = BLOWFISH_CBC
IKE info: Phase-1 remote proposal 1 for peer GEGENSTELLE matched with local proposal 5
[VPN-Status] 2006/02/28 12:43:08,370
IKE info: The remote server xxx.xxx.xxx.xxx:500 peer GEGENSTELLE id <no_id> supports draft-ietf-ipsec-isakmp-xauth
[VPN-Status] 2006/02/28 12:43:08,570
IKE info: Phase-1 [inititiator] for peer GEGENSTELLE between initiator id 213.235.225.162, responder id xxx.xxx.xxx.xxx done
IKE info: SA ISAKMP for peer GEGENSTELLE encryption 3des-cbc authentication md5
IKE info: life time ( 108000 sec/ 0 kb)
[VPN-Status] 2006/02/28 12:43:08,820
IKE info: NOTIFY received of type NO_PROPOSAL_CHOSEN for peer GEGENSTELLE
[VPN-Status] 2006/02/28 12:43:08,820
VPN: Error: IPSEC-I-No-proposal-matched (0x3102) for GEGENSTELLE (xxx.xxx.xxx.xxx)
[VPN-Status] 2006/02/28 12:43:16,060
IKE info: NOTIFY received of type NO_PROPOSAL_CHOSEN for peer GEGENSTELLE
[VPN-Status] 2006/02/28 12:43:16,060
VPN: Error: IPSEC-I-No-proposal-matched (0x3102) for GEGENSTELLE (xxx.xxx.xxx.xxx)
[VPN-Status] 2006/02/28 12:43:18,030
VPN: fallback to dynamic VPN V1 for GEGENSTELLE (xxx.xxx.xxx.xxx)
[VPN-Status] 2006/02/28 12:43:18,030
VPN: create dynamic VPN V1 authentication packet for GEGENSTELLE (xxx.xxx.xxx.xxx)
DNS: 10.0.0.254, 0.0.0.0
NBNS: 10.0.0.254, 10.0.0.254
[VPN-Status] 2006/02/28 12:43:24,290
IKE info: NOTIFY received of type NO_PROPOSAL_CHOSEN for peer GEGENSTELLE
[VPN-Status] 2006/02/28 12:43:24,290
VPN: Error: IPSEC-I-No-proposal-matched (0x3102) for GEGENSTELLE (xxx.xxx.xxx.xxx)
[VPN-Status] 2006/02/28 12:43:35,520
IKE info: NOTIFY received of type NO_PROPOSAL_CHOSEN for peer GEGENSTELLE
[VPN-Status] 2006/02/28 12:43:35,520
VPN: Error: IPSEC-I-No-proposal-matched (0x3102) for GEGENSTELLE (xxx.xxx.xxx.xxx)
Kurze Zwischenfrage noch: Spielen die Parameter "Bezeichner der Gegenstelle" und "Passwort zur Übermittlung der IP Adresse" in meinem Fall eigentlich eine Rolle (beide Örtlichkeiten haben fixe IPs und fest auflösbare Hostnamen)?
Liebe Grüße,
michael
michael
So, jetzt habe ich es geschafft, dass der Tunnel steht. Es lag am PFS (was auch immer das ist). Ohne dieses PFS (VPN - Verbindungsparameter) funktionierte es auf Anhieb.
Jetzt hab ich nur mehr das Problem, dass die Verbindung regelmäßig mit der Meldung "Leitungsüberwachung zum entfernten Gateway fehlgeschlagen" abbricht. Dieses Problem habe ich mit anderen VPNs, die auf dem selben Gerät eingerichtet sind nicht.
Hat da jemand noch eine Idee?
Jetzt hab ich nur mehr das Problem, dass die Verbindung regelmäßig mit der Meldung "Leitungsüberwachung zum entfernten Gateway fehlgeschlagen" abbricht. Dieses Problem habe ich mit anderen VPNs, die auf dem selben Gerät eingerichtet sind nicht.
Hat da jemand noch eine Idee?
Liebe Grüße,
michael
michael
Hallo michael,
Gruß
Mario
ich lösche diese Einträge nach dem Durchlauf des Assistenten sofort wieder. Mir ist auch nicht klar, warum der Assistent die anlegt - brauchen tut man sie nicht.Spielen die Parameter "Bezeichner der Gegenstelle" und "Passwort zur Übermittlung der IP Adresse" in meinem Fall eigentlich eine Rolle (beide Örtlichkeiten haben fixe IPs und fest auflösbare Hostnamen)?
Ahh - gut zu wissen.So, jetzt habe ich es geschafft, dass der Tunnel steht. Es lag am PFS
Gruß
Mario
hmm - irgendjemand noch eine idee, wie ich dieses problem erschlagen könnte? das trübt meine freude noch ein wenig. Wäre dies vielleicht eine Antwendung für die Polling-Tabelle (Tunnel soll allerdings nicht permanent bestehen)?Jetzt hab ich nur mehr das Problem, dass die Verbindung regelmäßig mit der Meldung "Leitungsüberwachung zum entfernten Gateway fehlgeschlagen" abbricht. Dieses Problem habe ich mit anderen VPNs, die auf dem selben Gerät eingerichtet sind nicht.
Liebe Grüße,
michael
michael
ich hab mal weiter geforscht. Das ganze schaut im Trace so aus:
Könnte es etwas damit zu tun haben, dass sich das gegnerische Gateway nicht pingen lässt? Falls ja, kann ich irgendwas von meiner Seite her machen, falls sich der gegnerische Admin nicht dazu überreden lässt, ICMP durch zu lassen?
Während all diesen Polling Versuchen kann ich aber wunderbar über das VPN arbeiten (bis die Verbindung dann abgedreht wird).[VPN-Status] 2006/03/03 10:07:20,110
VPN: GEGENSTELLE (xxx.xxx.xxx.xxx) connected, set poll timer to 30 sec
[VPN-Status] 2006/03/03 10:07:50,110
VPN: poll timeout for GEGENSTELLE (xxx.xxx.xxx.xxx)
send poll frame to xxx.xxx.xxx.xxx
[VPN-Status] 2006/03/03 10:08:20,110
VPN: poll timeout for GEGENSTELLE (xxx.xxx.xxx.xxx)
remote site did not answer during interval
setting poll time to 1 sec.
(5 retries left)
send poll frame to xxx.xxx.xxx.xxx
[VPN-Status] 2006/03/03 10:08:21,110
VPN: poll timeout for GEGENSTELLE (xxx.xxx.xxx.xxx)
remote site did not answer during interval
(4 retries left)
send poll frame to xxx.xxx.xxx.xxx
[VPN-Status] 2006/03/03 10:08:22,110
VPN: poll timeout for GEGENSTELLE (xxx.xxx.xxx.xxx)
remote site did not answer during interval
(3 retries left)
send poll frame to xxx.xxx.xxx.xxx
[VPN-Status] 2006/03/03 10:08:23,110
VPN: poll timeout for GEGENSTELLE (xxx.xxx.xxx.xxx)
remote site did not answer during interval
(2 retries left)
send poll frame to xxx.xxx.xxx.xxx
[VPN-Status] 2006/03/03 10:08:24,110
VPN: poll timeout for GEGENSTELLE (xxx.xxx.xxx.xxx)
remote site did not answer during interval
(1 retries left)
send poll frame to xxx.xxx.xxx.xxx
[VPN-Status] 2006/03/03 10:08:25,110
VPN: poll timeout for GEGENSTELLE (xxx.xxx.xxx.xxx)
remote site did not answer during interval
no retries left, disconnect channel
[VPN-Status] 2006/03/03 10:08:25,120
VPN: Error: IFC-X-Line-polling-failed (0x1307) for GEGENSTELLE (xxx.xxx.xxx.xxx)
[VPN-Status] 2006/03/03 10:08:25,120
VPN: disconnecting GEGENSTELLE (xxx.xxx.xxx.xxx)
[VPN-Status] 2006/03/03 10:08:25,130
IKE info: Delete Notificaton sent for Phase-2 SA ipsec-0-GEGENSTELLE-pr0-l0-r0 to peer GEGENSTELLE, spi [0x194a6456]
[VPN-Status] 2006/03/03 10:08:25,130
IKE info: Phase-2 SA removed: peer GEGENSTELLE rule ipsec-0-GEGENSTELLE-pr0-l0-r0 removed
IKE info: containing Protocol IPSEC_ESP, with spis [31295b40 ] [194a6456 ]
Könnte es etwas damit zu tun haben, dass sich das gegnerische Gateway nicht pingen lässt? Falls ja, kann ich irgendwas von meiner Seite her machen, falls sich der gegnerische Admin nicht dazu überreden lässt, ICMP durch zu lassen?
Liebe Grüße,
michael
michael
Hi tbc233
Gruß
Backslash
Ping-Blocking ist keine Gute Idee, wenn du das Line-Polling aktiviert hast...Könnte es etwas damit zu tun haben, dass sich das gegnerische Gateway nicht pingen lässt?
Der Wizard richtet ja in der PPP-Liste (Kommunikation -> Protokolle -> PPP-Liste) den Eintrag mit für die Übermittlung der IP-Adresse ein (zu dem eddia meinte, daß du ihn löschen kannst). In diesem Eintrag sind auch die Parameter für das Line-Polling untergebracht. Das sind die Werte "Zeit" und "Wiederholungen". Stelle beides auf 0 und das Polling hört auf (oder lösche den Eintrag einfach...).Falls ja, kann ich irgendwas von meiner Seite her machen, falls sich der gegnerische Admin nicht dazu überreden lässt, ICMP durch zu lassen?
Gruß
Backslash
Danke für den Tip - den Hinweis von Eddia hab ich wohl im vollen Ausmaß nicht erfasst.
Habs mittlerweile probiert und kann daher folgendes festhalten:
Ein Löschen des Eintrages aus der PPP Liste bringt nicht den gewünschten Erfolg. Offenbar fällt er (zumindest in meinem Fall) auf den 'DEFAULT' Eintrag zurück und versucht wieder ein Line-Polling durchzuführen.
Belässt man allerdings den Eintrag und stellt die Werte 'Zeit' und 'Wiederholungen' auf null ist das Polling deaktiviert und der Tunnel bleibt aufrecht.
Habs mittlerweile probiert und kann daher folgendes festhalten:
Ein Löschen des Eintrages aus der PPP Liste bringt nicht den gewünschten Erfolg. Offenbar fällt er (zumindest in meinem Fall) auf den 'DEFAULT' Eintrag zurück und versucht wieder ein Line-Polling durchzuführen.
Belässt man allerdings den Eintrag und stellt die Werte 'Zeit' und 'Wiederholungen' auf null ist das Polling deaktiviert und der Tunnel bleibt aufrecht.
Liebe Grüße,
michael
michael
Hallo,tbc233 hat geschrieben:So, jetzt habe ich es geschafft, dass der Tunnel steht. Es lag am PFS (was auch immer das ist). Ohne dieses PFS (VPN - Verbindungsparameter) funktionierte es auf Anhieb.
Jetzt hab ich nur mehr das Problem, dass die Verbindung regelmäßig mit der Meldung "Leitungsüberwachung zum entfernten Gateway fehlgeschlagen" abbricht. Dieses Problem habe ich mit anderen VPNs, die auf dem selben Gerät eingerichtet sind nicht.
Hat da jemand noch eine Idee?
gibt es das PFS in den Einstellungen immer noch in der 7.22
Ich kann die Einstellung nicht finden - Verbindung zwischen Lancom <-> Sonicwall scheitert
