Moderator: Lancom-Systems Moderatoren
Code: Alles auswählen
policy manager error indication: ASM_GENEVA (212.147.53.110), cause: 12546
VPN: Error: IPSEC-I-No-proposal-matched (0x3102) for ASM_GENEVA (212.147.53.110)hier wäre ein vollständiger VPN-Status Trace sinnvoll, denn der sagt eigentlich ganz genau, was dem LANCOM nicht paßt. Ggf. hat auch der Zyxel eine Trace-Möglichkeit - wenn ja, dann solltest du auch dort mal reinschauenich muß einen Lancom 1811n per VPN an einen Zyxel USG-100 anbinden, bekomme es aber nicht hin. Der Trace sagt:
Code: Alles auswählen
policy manager error indication: ASM_GENEVA (212.147.53.110), cause: 12546 VPN: Error: IPSEC-I-No-proposal-matched (0x3102) for ASM_GENEVA (212.147.53.110)
Ja, habe ich. Screenshots siehe unten.ft2002 hat geschrieben:hast Du wie in dem Bildchen zu sehen die PFS-Group und IKE-Group auf 1 eingestellt.
Das geht leider nicht. Ich habe keinen Zugriff auf den Zyxel und die Betreiber sind recht... "unkooperativ"ft2002 hat geschrieben:Kannst Du mal zum Lancom hin den VPN aufbauen lassen und einen Trace machen auf VPN-Status, alles ab dem ersten Error ist Interressant.
Könntest Du mir bitte sagen, wie das geht? Wenn ich einen Trace per LANmonitor mache, habe ich zwar alles, kann das Ergebnis aber weder als Textdatei speichern noch per Copy&Paste irgendwohinkopieren.backslash hat geschrieben:hier wäre ein vollständiger VPN-Status Trace sinnvoll, denn der sagt eigentlich ganz genau, was dem LANCOM nicht paßt.
Wie schon oben geschrieben habe ich leider keinen Zugriff auf den Zyxelbackslash hat geschrieben:Ggf. hat auch der Zyxel eine Trace-Möglichkeit - wenn ja, dann solltest du auch dort mal reinschauen
Ist mir auch aufgefallen und habe ich bei der Einrichtung mMn. auch beachtet.backslash hat geschrieben:Was mir aber direkt auffällt, ist der Punkt, daß in der Phase 1 im ersten Proposal DES mit MD5 und in der Phase 2 DES mit SHA1 gemacht werden soll. Abgesehen davon, daß man DES heutzutage nicht mehr nutzen sollte, weil 56 Bit Schlüssel quasi in echtzeit zu brechen sind, könnte dier ja ein Problem liegen.
Auch schon versucht, leider nein.backslash hat geschrieben:Im LANCOM solltest du für die Gegenstelle ggf. auch eigene IKE- und IPSec-Proposal-Listen anlegen, die nur ein einziges Proposal enthalten. Hier wäre jeweils 3DES mit SHA zu wählen.
DAS wußte ich noch nicht. Also das entfernte Netz ist in der Routing-Tabelle eingetragen. Ist das alles oder muß ich da noch mehr machen?backslash hat geschrieben:Als nächstens solltest du die Netzbeziehungen (lokales und entferntes Netz) überprüfen. Wenn diese nicht exakt übereinstimmen, dann wird kein VPN-Tunnel zustande kommen (ebenfalls mit der Meldung "IPSEC-I-No-proposal-matched")
Hi, Backslashbackslash hat geschrieben:Als nächstens solltest du die Netzbeziehungen (lokales und entferntes Netz) überprüfen. Wenn diese nicht exakt übereinstimmen, dann wird kein VPN-Tunnel zustande kommen (ebenfalls mit der Meldung "IPSEC-I-No-proposal-matched")
im Tracer unter Datei -> Tracedaten/Support-Konfigurationsdatei speichern... Dabei werden zwei Dateien abgelegt, die Eine hat die Endung ".lct" und enthält die Tracedaten und die Andere hat die Endung ".spf" und enthält die von allen Paßwörtern befreite Config des GerätsKönntest Du mir bitte sagen, wie das geht? Wenn ich einen Trace per LANmonitor mache, habe ich zwar alles, kann das Ergebnis aber weder als Textdatei speichern noch per Copy&Paste irgendwohinkopieren.
wenn dein Intranet mit dem Netz übereinstimmt, daß im Zyxel unter "Remote policy" (hier also 192.168.154.0/24) eingetragen ist, ist das alles, was du tun mußt.DAS wußte ich noch nicht. Also das entfernte Netz ist in der Routing-Tabelle eingetragen. Ist das alles oder muß ich da noch mehr machen?
