Moin!
Ich versuche einen Lancom Router mit einem Linux Rechner zu Verbinden auf dem racoon ist.
Ich bekomme im Log folgende meldungen:
Mar 19 11:37:17 gate racoon: INFO: respond new phase 1 negotiation: yyy.yyy.yyy.yyy[500]<=>xxx.xxx.xxx.xxx[500]
Mar 19 11:37:17 gate racoon: INFO: begin Identity Protection mode.
Mar 19 11:37:17 gate racoon: INFO: received Vendor ID: DPD
Mar 19 11:37:17 gate racoon: ERROR: rejected enctype: DB(prop#1:trns#1):Peer(prop#1:trns#0) = 3DES-CBC:7
Mar 19 11:37:17 gate racoon: ERROR: rejected hashtype: DB(prop#1:trns#1):Peer(prop#1:trns#0) = SHA:MD5
Mar 19 11:37:17 gate racoon: ERROR: rejected enctype: DB(prop#1:trns#1):Peer(prop#1:trns#1) = 3DES-CBC:7
Mar 19 11:37:17 gate racoon: ERROR: rejected enctype: DB(prop#1:trns#1):Peer(prop#1:trns#2) = 3DES-CBC:Blowfish-CBC
Mar 19 11:37:17 gate racoon: ERROR: rejected hashtype: DB(prop#1:trns#1):Peer(prop#1:trns#2) = SHA:MD5
Mar 19 11:37:17 gate racoon: ERROR: rejected enctype: DB(prop#1:trns#1):Peer(prop#1:trns#3) = 3DES-CBC:Blowfish-CBC
Mar 19 11:37:17 gate racoon: ERROR: rejected hashtype: DB(prop#1:trns#1):Peer(prop#1:trns#4) = SHA:MD5
Mar 19 11:37:17 gate racoon: ERROR: rejected enctype: DB(prop#1:trns#1):Peer(prop#1:trns#6) = 3DES-CBC:CAST-CBC
Mar 19 11:37:17 gate racoon: ERROR: rejected hashtype: DB(prop#1:trns#1):Peer(prop#1:trns#6) = SHA:MD5
Mar 19 11:37:17 gate racoon: ERROR: rejected enctype: DB(prop#1:trns#1):Peer(prop#1:trns#7) = 3DES-CBC:CAST-CBC
Mar 19 11:37:17 gate racoon: ERROR: no suitable proposal found.
Mar 19 11:37:17 gate racoon: ERROR: failed to get valid proposal.
Mar 19 11:37:17 gate racoon: ERROR: failed to process packet.
Wenn es geht möchte ich möglichst wenig am Lancom Router einstellen.
In der Racoon.conf habe ich folgendes:
remote xxx.xxx.xxx.xxx {
exchange_mode main;
proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group 2;
}
generate_policy on;
}
sainfo address 192.168.101.0/24 any subnet 192.168.178.0/24 any {
pfs_group 2;
encryption_algorithm 3des;
authentication_algorithm hmac_sha1;
compression_algorithm deflate;
}
Weis jemand warum ich das nicht hinbekomme bzw. die richtigen einstellungen?
MfG
Thundereyes
Lancom Router 1711 mit racoon verbinden
Moderator: Lancom-Systems Moderatoren
-
thundereyes
- Beiträge: 2
- Registriert: 19 Mär 2008, 11:33
Hi thundereyes,
Entsprechend muß in der verwendeten IPSec-Proposal-Liste (VPN -> IPSec-Param -> IPSec-Proposal-Listen) das Proposal TN-3DES-SHA-96 vorhanden sein. Wenn das Proposal nicht zur Auswahl steht, dann mußt du es unter VPN -> IPSec-Param -> IPSec-Proposals definieren
Welche IKE- und IPSec-Proposalliste verwendet wird stellst du in den Verbindungsparametern (VPN -> Allgemein -> Verbindungsparameter) ein.
Welcher Parametersatz für die jeweilige Verbindung verwendet wird, stellst du in der Verbindungsliste (VPN -> Allgemein -> Verbindungs-Liste) ein
Aus Sicherheits- und Performancegründen solltest du aber statt 3DES lieber AES verwenden...
Gruß
Backslash
In der verwendeten IKE-Proposalliste (VPN -> IKE-Param -> IKE-Proposal-Listen) muß das Proposal PSK-3DES-SHA (presahred Key) bzw. RSA-3DES-SHA (Zertifikate) vorhanden sein. Wenn das Proposal nicht zur Auswahl steht, dann mußt du es unter VPN -> IKE-Param -> IKE-Proposals definierenWeis jemand warum ich das nicht hinbekomme bzw. die richtigen einstellungen?
Entsprechend muß in der verwendeten IPSec-Proposal-Liste (VPN -> IPSec-Param -> IPSec-Proposal-Listen) das Proposal TN-3DES-SHA-96 vorhanden sein. Wenn das Proposal nicht zur Auswahl steht, dann mußt du es unter VPN -> IPSec-Param -> IPSec-Proposals definieren
Welche IKE- und IPSec-Proposalliste verwendet wird stellst du in den Verbindungsparametern (VPN -> Allgemein -> Verbindungsparameter) ein.
Welcher Parametersatz für die jeweilige Verbindung verwendet wird, stellst du in der Verbindungsliste (VPN -> Allgemein -> Verbindungs-Liste) ein
Aus Sicherheits- und Performancegründen solltest du aber statt 3DES lieber AES verwenden...
Gruß
Backslash
-
thundereyes
- Beiträge: 2
- Registriert: 19 Mär 2008, 11:33
Danke!
Der Tunnel steht erst einmal...
Meine racoon.conf sieht so aus jetzt:
remote 87.139.72.66 {
exchange_mode main;
proposal_check obey;
proposal {
encryption_algorithm aes;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group 2;
}
generate_policy on;
}
sainfo address 192.168.101.0/24 any subnet 192.168.178.0/24 any {
pfs_group 2;
encryption_algorithm aes;
authentication_algorithm hmac_md5;
compression_algorithm deflate;
}
und beim Lancom habe ich die IKE-Proposalliste und IPSec-Proposalliste angepasst.
Ein ping vom lancom baut die Verbindung auf .... ein ping von der anderen Seite geht nicht.
Und wenn ich proposal_check obey; raus nehme geht es nicht.
MfG
Thundereyes
Der Tunnel steht erst einmal...
Meine racoon.conf sieht so aus jetzt:
remote 87.139.72.66 {
exchange_mode main;
proposal_check obey;
proposal {
encryption_algorithm aes;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group 2;
}
generate_policy on;
}
sainfo address 192.168.101.0/24 any subnet 192.168.178.0/24 any {
pfs_group 2;
encryption_algorithm aes;
authentication_algorithm hmac_md5;
compression_algorithm deflate;
}
und beim Lancom habe ich die IKE-Proposalliste und IPSec-Proposalliste angepasst.
Ein ping vom lancom baut die Verbindung auf .... ein ping von der anderen Seite geht nicht.
Und wenn ich proposal_check obey; raus nehme geht es nicht.
MfG
Thundereyes
anfrage
hallo thundereyes,
ich versuche auch zwischen nem racoon und nem lancom ne ipsec-verbindung zu erstellen und komme leider an manchen punkten nicht weiter.
würdest du ein kurzes howto zu deine funktionierenden konfiguration zusammenstellen?also die konfiguration des racoon,psk sowie die auf der lancom-seite?dies würde bestimmt nicht nur mir sondern auch vielleicht anderen helfen.
ich bedanke mich im voraus.
ich versuche auch zwischen nem racoon und nem lancom ne ipsec-verbindung zu erstellen und komme leider an manchen punkten nicht weiter.
würdest du ein kurzes howto zu deine funktionierenden konfiguration zusammenstellen?also die konfiguration des racoon,psk sowie die auf der lancom-seite?dies würde bestimmt nicht nur mir sondern auch vielleicht anderen helfen.
ich bedanke mich im voraus.