Lancom 1781AW <-> Phoenix GSM Router

[DerJoker]

Moin,

ich habe ein kleines VPN Problem bei der Verbindung eines industriellen GSM Moduls via VPN mit einem Lancom 1781AW.

Der Lancom hat eine feste (naja dyn DNS) Adresse und das GSM Teil bekommt ja über den Provider immer wieder eine neue IP.

Meine eingestellten Daten sind in einer PDF Datei zusammengefasst.

Der Trace schmeißt folgendes raus:

Code: Alles auswählen

[VPN-Status] 2015/03/19 09:26:50,603  Devicetime: 2015/03/19 09:26:56,266
IKE info: The remote server 80.187.111.111:7396 (UDP) peer def-main-peer id <no_id> supports draft-ietf-ipsec-isakmp-xauth
IKE info: The remote server 80.187.111.111:7396 (UDP) peer def-main-peer id <no_id> negotiated rfc-3706-dead-peer-detection
IKE info: The remote peer def-main-peer supports NAT-T in RFC mode
IKE info: The remote peer def-main-peer supports NAT-T in draft mode
IKE info: The remote peer def-main-peer supports NAT-T in draft mode

[VPN-Status] 2015/03/19 09:26:50,603  Devicetime: 2015/03/19 09:26:56,267
IKE info: Phase-1 remote proposal 1 for peer def-main-peer matched with local proposal 1

[VPN-Status] 2015/03/19 09:26:50,814  Devicetime: 2015/03/19 09:26:56,546
IKE info: no preshared secret found for peer isakmp-peer-def-main-peer

[VPN-Status] 2015/03/19 09:26:50,814  Devicetime: 2015/03/19 09:26:56,546
IKE log: 092656.000000 Default ike_auth_get_key: no key found for peer "isakmp-peer-def-main-peer"or local ID "(null)"

[VPN-Status] 2015/03/19 09:26:50,814  Devicetime: 2015/03/19 09:26:56,612
IKE log: 092656.000000 Default ipsec_get_keystate: no keystate in ISAKMP SA 04d75840

Er wählt also in der Phase 1 schon mal das richtige Proposal aus. Danach findet er aber nicht den PSK sehe ich das richtig? Woran kann das liegen? Hilfe und Tipps immer gern genommen!

Grüße
dJ

[Dr.Einstein]

Sieht so aus, als hättest du Main-Mode statt Aggressive Mode gewählt. hast du etwa auch die Default-Proposal Liste für Main Mode verändert?

Gruß Dr.Einstein

[DerJoker]

Moin,

ja ich habe Main Mode gewählt, weil die Phoenixkiste leider nur diesen unterstützt.

Ja zum zweiten ich habe die Default-Proposal Liste für Main Mode verändert weil er sonst schon beim aushandeln der Proposals Probleme hat. Habe dort die gleichen gesetzt wie beim Agressive Mode.

--> War das falsch?

Grüße
dJ

[Dr.Einstein]

Dann brauchst du auf der GSM Seite ein DynDNS Account oder aber du musst mit Zertifikaten arbeiten. Main Mode ist definiert, dass sich beide Seiten kennen über die WAN-IP/FQDN oder aber mittels Zertifikate sich austauschen können. Auf keinen Fall das Default Proposal von Zertifikaten auf PreShared Key Stellen, ist denke ich eine große Sicherheitslücke. Hat schon seine Gründe, weshalb im Trace vorher keine Phase 1 zustande gekommen ist.

Gruß Dr.Einstein

[DerJoker]

Moin,

da denkt man, man hat ne tolle Idee.

Wie ist das mit FQDN? Trage ich da dann die DYNDNS Adressen ein? Der Phoenix kann auch DYNDNS. Wäre wahrscheinlich am einfachsten.

Ok die anderen Verbindungen die im Lancom ankommen arbeiten mit dem Agressive Mode und PSK. Das kann ich (sage ich jetzt mal).

Mit den Zertifikaten habe ich mich noch nie auseinander gesetzt. Hast du da einen Tip für eine gute Doku die verständlich ist?

Grüße
dJ

[DerJoker]

Also wenn ich das zurück editiere beim Main Mode kommt folgendes im Logfile:

Code: Alles auswählen

[VPN-Status] 2015/03/19 14:15:01,563  Devicetime: 2015/03/19 14:15:07,522
IKE info: The remote server 80.187.111.111:500 (UDP) peer def-main-peer id <no_id> supports draft-ietf-ipsec-isakmp-xauth
IKE info: The remote server 80.187.111.111:500 (UDP) peer def-main-peer id <no_id> negotiated rfc-3706-dead-peer-detection
IKE info: The remote peer def-main-peer supports NAT-T in RFC mode
IKE info: The remote peer def-main-peer supports NAT-T in draft mode
IKE info: The remote peer def-main-peer supports NAT-T in draft mode

[VPN-Status] 2015/03/19 14:15:01,564  Devicetime: 2015/03/19 14:15:07,523
IKE info: phase-1 proposal failed: remote No 1 authentication method = preshared key <-> local No 1 authentication method = RSA_SIG
IKE info: phase-1 proposal failed: remote No 1 hash algorithm = MD5 <-> local No 2 hash algorithm = SHA
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = AES_CBC <-> local No 3 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = AES_CBC <-> local No 4 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = AES_CBC <-> local No 5 encryption algorithm = CAST_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = AES_CBC <-> local No 6 encryption algorithm = CAST_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = AES_CBC <-> local No 7 encryption algorithm = 3DES_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = AES_CBC <-> local No 8 encryption algorithm = 3DES_CBC
IKE info: Phase-1 remote proposal 1 failed for peer def-main-peer
IKE info: phase-1 proposal failed: remote No 2 hash algorithm = SHA <-> local No 1 hash algorithm = MD5
IKE info: phase-1 proposal failed: remote No 2 authentication method = preshared key <-> local No 2 authentication method = RSA_SIG
IKE info: phase-1 proposal failed: remote No 2 encryption algorithm = AES_CBC <-> local No 3 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 2 encryption algorithm = AES_CBC <-> local No 4 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 2 encryption algorithm = AES_CBC <-> local No 5 encryption algorithm = CAST_CBC
IKE info: phase-1 proposal failed: remote No 2 encryption algorithm = AES_CBC <-> local No 6 encryption algorithm = CAST_CBC
IKE info: phase-1 proposal failed: remote No 2 encryption algorithm = AES_CBC <-> local No 7 encryption algorithm = 3DES_CBC
IKE info: phase-1 proposal failed: remote No 2 encryption algorithm = AES_CBC <-> local No 8 encryption algorithm = 3DES_CBC
IKE info: Phase-1 remote proposal 2 failed for peer def-main-peer
IKE log: 141507.000000 Default message_negotiate_sa: no compatible proposal found
IKE log: 141507.000000 Default dropped message from 80.187.111.111 port 500 due to notification type NO_PROPOSAL_CHOSEN

Bist du dir sicher, dass im Main Mode in Verbindung mit PSK beide seiten eine feste IP benötigen?

[Dr.Einstein]

Hey DerJoker,

für Mainmode müssen beide Seiten identifizierbar sein. Für PreShared Key brauchst du feste WAN IPs oder DNS Namen auf beiden Seiten. Für Zertifikate muss nur eine Seite eine feste IP / Namen haben. Besitzt das GSM Gateway überhaupt eine öffentliche IP Adresse oder bekommt das Gateway eine interne, vom Provider zugewiesene IP? Letztes wird dann meist auf Aggressive Mode oder Zertifikate hinauslaufen.

Das momentan der Fehler kommt:

Code: Alles auswählen

IKE info: phase-1 proposal failed: remote No 1 authentication method = preshared key <-> local No 1 authentication method = RSA_SIG

liegt daran, dass das ankommende Paket keiner Verbindung zugeordnet werden kann, und deswegen die Default-Liste (normalerweise für Zertifikate) durchlaufen muss. Im Normalfall erkennt aber der Router beim Mainmode das ankommende Paket anhand seiner WAN IP oder des Namens, bei Aggressive Mode anhand Local/Remote ID.

Lange Rede, kurzer Sinn: Beide Seiten identifizierbar machen, oder Aggressive Mode. Zertifikate gibt's zur Not auch nen KB Artikel, aber das ist meist anstregender als die beiden vorher genannten Varianten.

Gruß Dr.Einstein

[DerJoker]

Moin,

ok weil ich dumm bin hatte ich eine einfache Client Verbindung im Lancom eingerichtet. Das war aber falsch, denn die Phoenixkiste ist ja ein 3G Router. Also ich will die zentrale (Lancom) 192.168.100.0/24 mit mehreren Außenstationen verbinden. Beispiel hier ist eine Messstation 192.168.101.0/24.

Jetzt habe ich beim Lancom die Side-by-Side (Zwei lokale Netze Verbinden) Konfiguration durchlaufen lassen. Da kann man auch ohne ISDN Kanal eine Verbindung aufbauen wo einer eine feste IP und der andere eine dynamische IP hat. Allerdings muss der Verbindungsaufbau von der dynamischen Seite ausgehen.

Also genau meine Konfiguration

Ohne was zu verdrehen stellt er da Main Mode ein und siehe da sogar das Proposal wird auf anhieb gefunden:

Code: Alles auswählen

[VPN-Status] 2015/03/20 07:30:33,295  Devicetime: 2015/03/20 07:30:39,302
IKE info: Phase-1 [responder] with RSA-SIG and PSK proposals
IKE info: Phase-1 [responder] no valid certificate found -> using only PSK proposals
IKE info: phase-1 proposal failed: remote No 1 hash algorithm = MD5 <-> local No 2 hash algorithm = SHA
IKE info: Phase-1 remote proposal 1 failed for peer def-main-peer
IKE info: Phase-1 [responder] with RSA-SIG and PSK proposals
IKE info: Phase-1 [responder] no valid certificate found -> using only PSK proposals
[b]IKE info: Phase-1 remote proposal 2 for peer def-main-peer matched with local proposal 2[/b]

So und genau da bleib ich jetzt irgendwie hängen. Was ist das für ein Proposal? Main Phoenixrouter kann nur AES 128,192,256 und 3DES jeweils SHA-1 und MD5

Code: Alles auswählen

[VPN-Status] 2015/03/20 07:30:33,491  Devicetime: 2015/03/20 07:30:39,553
[b]IKE info: no preshared secret found for peer isakmp-peer-def-main-peer[/b]

[VPN-Status] 2015/03/20 07:30:33,491  Devicetime: 2015/03/20 07:30:39,553
IKE log: 073039.000000 Default ike_auth_get_key: no key found for peer "isakmp-peer-def-main-peer"or local ID "(null)"

[VPN-Status] 2015/03/20 07:30:33,491  Devicetime: 2015/03/20 07:30:39,600
IKE log: 073039.000000 Default ipsec_get_keystate: no keystate in ISAKMP SA 02669c60

[ICMP] 2015/03/20 07:30:33,491  Devicetime: 2015/03/20 07:30:39,600
ICMP Tx (WAN, T-ONLINE): Dest-IP: 80.187.100.159: Destination unreachable (Port unreachable)
original packet:
DstIP: 79.211.103.212, SrcIP: 80.187.100.159, Len: 108, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 4500, SrcPort: 11763

Dazu ne Idee?

Grüße
dJ

P.S. Ich weigere mich gegen die Zertifikate weil ich mich damit noch weniger auskenne. Im Phoenix ist auch dyndns möglich aber das habe ich noch nicht zum laufen bekommen.

[Dr.Einstein]

Wenn du die Fragen nicht beantwortest, kann dir hier keiner helfen. Du nutzt immer noch die Default Liste und hast diese abgeändert.

Der Assistent VPN eine Seite - eine Seite dynamisch ist proprietär, wird also nicht funktionieren. Du kannst ausschließlich den Assi "beide Seiten sind identifizierbar" verwenden. Oder du machst alles händisch mit Aggressive Mode.

Gruß Dr.Einstein

[DerJoker]

Wenn du die Fragen nicht beantwortest, kann dir hier keiner helfen. Du nutzt immer noch die Default Liste und hast diese abgeändert.

Der Assistent VPN eine Seite - eine Seite dynamisch ist proprietär, wird also nicht funktionieren. Du kannst ausschließlich den Assi "beide Seiten sind identifizierbar" verwenden. Oder du machst alles händisch mit Aggressive Mode.

Gruß Dr.Einstein

Sorry Frage überlesen:

Besitzt das GSM Gateway überhaupt eine öffentliche IP Adresse oder bekommt das Gateway eine interne, vom Provider zugewiesene IP?

Das ist so eine komische Sache mit der IP. Laut Webinterface hat der Phoenixrouter die IP 10.23.200.109. Nach außen meldet er sich aber mit der IP 80.187.109.69
Somit kann ich deine Frage irgendwie nicht wirklich beantworten

IP_Phoenix_Router.JPG

Ok ich dachte ich verlasse mich auf den Assi, dass die Funktionen die er bietet auch funktionieren.

Ich würde ja auch alles händisch im Agressive Mode machen, wenn die Phoneixkiste das unterstützen würde! Laut Doku kann die nur Main Mode. Was ja vollkommen kontraproduktive ist, vorallem weil ich dort Lokale und Remote ID eingeben kann und diese ja nur für den Agressive mode verwendet wird wenn ich das jetzt so langsam richtig verstehe.

Viel kann man in der Phoenixkiste nicht einstellen:

Config1.JPG

config2.JPG

Also muss ich versuchen den DynDNS zum laufen zu kriegen.

Grüße
dJ

[Dr.Einstein]

Versuch irgendwie per DynDNS an die 80.187.109.69 zu kommen statt an die 10.23.200.109 (kommt auf die Implementierung im UMTS Router an). Dann wird Mainmode klappen. Oder du hast einen Mobilfunkprovider wie Vodafone/T-Mobile, wo du einfach den APN anpassen kannst für eine öffentliche IP.

Gruß Dr.Einstein

[DerJoker]

Moin,

Provider ist Telekom. Man kann den APn anpassen für eine öffentliche IP? Das mir vollkommen neu. Wie kann man das machen? Momentan sind die APN Einstellungen auf Auto.

Provider.JPG

Grüße
dJ

[Dr.Einstein]

APN: internet.t-d1.de
Benutzername: tm
Passwort: tm

Funktioniert glaube ich bei fast allen Tarifen, außer den billigsten. Also evtl. sicherhaltshalber vor Ort sein. Brauchst dann aber weiterhin DynDNS.

[DerJoker]

Danke für den Tip! Zum Glück steht der ganz Kram noch auf meinem Schreibtisch. Also kurze Wege.

Ich werde das am Montag mal probieren mit den Einstellungen.

Was den Lancom angeht suche ich gerade eine quallifizierte Firma die für mich die Einstellung macht.

[MariusP]

Hi,
Alternativ können wir dich auch im Forum unterstützen, wenn du die Zeit dafür investieren möchtest.
Ist halt die Frage ist deine Zeit wertvoller als die Zeit der Firma?
Gruß