LANCOM VPN mit ShrewSoft Client und Advanced Client

[Burak]

Hallo,

wir haben seit einiger Zeit einen LANCOM VPN Router 1781EF+ und nutzen hierbei den integrierten IPsec VPN Dienst.

Für bestimmte Mitarbeiter beim Kunden wird die Advanced VPN Client Software eingesetzt. Dieser funktioniert einwandfrei unter Windows.

Nun haben wir allerdings zwei Probleme:

1) Der LANCOM Advanced VPN Client funktioniert nicht richtig unter Mac OS X Maverick 10.9. Die VPN Verbindung wird zwar erstellt, ich kann die Server auf der Gegenstelle auch anpingen und bekomme auch eine Antwort aber DNS funktioniert nicht. Der Mac Rechner ist zwar in einem Firmennetzwerk mit Windows DNS Server, aber nicht als Domänenmitglied. Er bekommt also per DHCP die DNS Server von der Firma. Was muss ich hierbei machen, damit die DNS Lookups auch über VPN geleitet werden und von dort aufgelöst werden?

2) Ich würde auch gerne per ShrewShoft die VPN Verbindung aufbauen. Ich habe eine benutzerdefinierte VPN Verbindung nach Anleitung von ShrewSoft (https://www.shrew.net/support/Howto_Lancom) erstellt sowie den Client auch so konfiguriert, aber die Verbindung bricht nach dem Aufbau wieder ab.

- Das erste Problem war das Phase 1 fehlgeschlagen ist, da kein Hash Algorithmus auf meiner Client Seite gefunden wurde. Also Remote war SHA und Lokal MD5. Ich habe dann in ShrewSoft unter Phase1 Hash Algorithm auf sha1 umgestellt. Dann läuft Phase 1 ohne Probleme und Tunnel wird auch aufgebaut, sieht man auch unten im Log. (Mich wundert es aber, weil ShrewSoft standardmäßig auf auto gestellt ist und er hier doch sha1 nehmen könnte?!)

- Das zweite Problem ist nun die Phase 2. Hier heißt es wohl das kein Proposal Übereinstimmung gefunden wurde. Das wundert mich sehr, ich habe nämlich sogar die Einstellung in ShrewSoft mal so angepasst, das es exakt mit den Einstellungen übereinstimmt - und dennoch das selbe. Hier ist der Trace aus dem LANCOM Router wenn ich die Standardeinstellung im ShrewSoft verwende.

[VPN-Status] 2014/03/04 12:48:27,716 Devicetime: 2014/03/04 12:48:28,439
IKE info: The remote peer def-aggr-peer supports NAT-T in draft mode
IKE info: The remote peer def-aggr-peer supports NAT-T in draft mode
IKE info: The remote peer def-aggr-peer supports NAT-T in RFC mode
IKE info: The remote server 84.169.165.135:500 (UDP) peer def-aggr-peer id <no_id> negotiated rfc-3706-dead-peer-detection

[VPN-Status] 2014/03/04 12:48:27,716 Devicetime: 2014/03/04 12:48:28,439
IKE info: Phase-1 remote proposal 1 for peer def-aggr-peer matched with local proposal 1

[VPN-Status] 2014/03/04 12:48:27,716 Devicetime: 2014/03/04 12:48:28,584
IKE info: Phase-1 [responder] for peer 1ACOMP_BURAK between initiator id burak@meinemail.de, responder id burak@meinemail.de done
IKE info: initiator cookie: 0xa6f9b62eafe0272e, responder cookie: 0x427892694fadf315
IKE info: NAT-T enabled in mode rfc, we are behind a nat, the remote side is behind a nat
IKE info: SA ISAKMP for peer 1ACOMP_BURAK encryption aes-cbc authentication SHA1
IKE info: life time ( 86400 sec/ 0 kb)

[VPN-Status] 2014/03/04 12:48:27,716 Devicetime: 2014/03/04 12:48:28,584
IKE info: Phase-1 SA Rekeying Timeout (Soft-Event) for peer 1ACOMP_BURAK set to 77760 seconds (Responder)

[VPN-Status] 2014/03/04 12:48:27,716 Devicetime: 2014/03/04 12:48:28,584
IKE info: Phase-1 SA Timeout (Hard-Event) for peer 1ACOMP_BURAK set to 86400 seconds (Responder)

[VPN-Status] 2014/03/04 12:48:27,716 Devicetime: 2014/03/04 12:48:28,586
IKE info: NOTIFY received of type INITIAL_CONTACT for peer 1ACOMP_BURAK

[VPN-Status] 2014/03/04 12:48:27,716 Devicetime: 2014/03/04 12:48:28,586
IKE info: Phase-1 [responder] got INITIAL-CONTACT from peer 1ACOMP_BURAK (84.169.165.135)

[VPN-Status] 2014/03/04 12:48:27,716 Devicetime: 2014/03/04 12:48:28,586
IKE info: Phase-1 SA removed: peer 1ACOMP_BURAK rule 1ACOMP_BURAK removed

[VPN-Status] 2014/03/04 12:48:27,716 Devicetime: 2014/03/04 12:48:28,589
IKE info: IKE-CFG: Received REQUEST message with id 0 from peer 1ACOMP_BURAK
IKE info: IKE-CFG: Attribute INTERNAL_IP4_ADDRESS len 0 value (none) received
IKE info: IKE-CFG: Attribute INTERNAL_ADDRESS_EXPIRY len 0 value (none) received
IKE info: IKE-CFG: Attribute INTERNAL_IP4_NETMASK len 0 value (none) received
IKE info: IKE-CFG: Attribute INTERNAL_IP4_DNS len 0 value (none) received
IKE info: IKE-CFG: Attribute INTERNAL_IP4_NBNS len 0 value (none) received
IKE info: IKE-CFG: Attribute INTERNAL_IP4_SUBNET len 0 value (none) received

[VPN-Status] 2014/03/04 12:48:27,716 Devicetime: 2014/03/04 12:48:28,589
VPN: set local server addresses for 1ACOMP_BURAK (0.0.0.0)
DNS: 192.168.3.1, 192.168.3.254
NBNS: 0.0.0.0, 0.0.0.0

[VPN-Status] 2014/03/04 12:48:27,716 Devicetime: 2014/03/04 12:48:28,589
IKE info: IKE-CFG: Creating REPLY message with id 0 for peer 1ACOMP_BURAK
IKE info: IKE-CFG: Attribute INTERNAL_IP4_SUBNET len 8 value 0.0.0.0/0.0.0.0 added
IKE info: IKE-CFG: Attribute INTERNAL_IP4_NBNS len 4 value 192.168.3.254 added
IKE info: IKE-CFG: Attribute INTERNAL_IP4_DNS len 4 value 192.168.3.1 added
IKE info: IKE-CFG: Attribute INTERNAL_IP4_NETMASK len 0 skipped
IKE info: IKE-CFG: Attribute INTERNAL_ADDRESS_EXPIRY len 4 value 1200 added
IKE info: IKE-CFG: Attribute INTERNAL_IP4_ADDRESS len 4 value 192.168.3.81 added
IKE info: IKE-CFG: Sending message


[VPN-Status] 2014/03/04 12:48:31,054 Devicetime: 2014/03/04 12:48:31,901
IKE info: Phase-2 failed for peer 1ACOMP_BURAK: no rule matches the phase-2 ids 192.168.3.81 <-> 0.0.0.0/0.0.0.0
IKE log: 124831.901555 Default message_negotiate_sa: no compatible proposal found
IKE log: 124831.901587 Default dropped message from 84.169.165.135 port 4500 due to notification type NO_PROPOSAL_CHOSEN

[VPN-Status] 2014/03/04 12:48:31,054 Devicetime: 2014/03/04 12:48:31,902
policy manager error indication: 1ACOMP_BURAK (84.169.165.135), cause: 12801

[VPN-Status] 2014/03/04 12:48:31,054 Devicetime: 2014/03/04 12:48:31,902
VPN: WAN state changed to WanCalled for 1ACOMP_BURAK (0.0.0.0), called by: 008ffad0

[VPN-Status] 2014/03/04 12:48:31,054 Devicetime: 2014/03/04 12:48:31,902
VPN: Error: IPSEC-R-No-rule-matched-IDs (0x3201) for 1ACOMP_BURAK (84.169.165.135)

[VPN-Status] 2014/03/04 12:48:31,054 Devicetime: 2014/03/04 12:48:31,902
vpn-maps[15], remote: 1ACOMP_BURAK, idle, static-name

[VPN-Status] 2014/03/04 12:48:31,054 Devicetime: 2014/03/04 12:48:31,902
selecting next remote gateway using strategy eFirst for 1ACOMP_BURAK
=> no remote gateway selected

[VPN-Status] 2014/03/04 12:48:31,054 Devicetime: 2014/03/04 12:48:31,902
selecting first remote gateway using strategy eFirst for 1ACOMP_BURAK
=> no remote gateway selected

[VPN-Status] 2014/03/04 12:48:31,054 Devicetime: 2014/03/04 12:48:31,902
VPN: installing ruleset for 1ACOMP_BURAK (0.0.0.0)

[VPN-Status] 2014/03/04 12:48:31,054 Devicetime: 2014/03/04 12:48:31,902
VPN: WAN state changed to WanDisconnect for 1ACOMP_BURAK (0.0.0.0), called by: 008ffad0

[VPN-Status] 2014/03/04 12:48:31,054 Devicetime: 2014/03/04 12:48:31,903
VPN: WAN state changed to WanIdle for 1ACOMP_BURAK (0.0.0.0), called by: 008ffad0

[VPN-Status] 2014/03/04 12:48:31,054 Devicetime: 2014/03/04 12:48:31,913
IKE info: Delete Notification sent for Phase-1 SA to peer 1ACOMP_BURAK, cookies [0xa6f9b62eafe0272e 0x427892694fadf315]

[VPN-Status] 2014/03/04 12:48:31,054 Devicetime: 2014/03/04 12:48:31,913
IKE info: Phase-1 SA removed: peer 1ACOMP_BURAK rule 1ACOMP_BURAK removed

[VPN-Status] 2014/03/04 12:48:31,054 Devicetime: 2014/03/04 12:48:31,913
VPN: rulesets installed

[VPN-Status] 2014/03/04 12:48:31,054 Devicetime: 2014/03/04 12:48:31,924
VPN: 1ACOMP_BURAK (0.0.0.0) disconnected


[ICMP] 2014/03/04 12:48:37,559 Devicetime: 2014/03/04 12:48:38,232
ICMP Tx (WAN, T-ONLINE): Dest-IP: 217.83.85.176: Destination unreachable (Port unreachable)
original packet:
DstIP: 192.168.11.57, SrcIP: 217.83.85.176, Len: 633, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 500, SrcPort: 10952


[VPN-Status] 2014/03/04 12:48:59,571 Devicetime: 2014/03/04 12:49:00,233
IKE log: 124900.233893 Default message_recv: invalid cookie(s) 1c47de6b2fade5ff 76c5e0253c448c3a

[VPN-Status] 2014/03/04 12:48:59,571 Devicetime: 2014/03/04 12:49:00,233
IKE log: 124900.233946 Default dropped message from 217.83.85.176 port 57690 due to notification type INVALID_COOKIE

[ICMP] 2014/03/04 12:48:59,571 Devicetime: 2014/03/04 12:49:00,234
ICMP Tx (WAN, T-ONLINE): Dest-IP: 217.83.85.176: Destination unreachable (Port unreachable)
original packet:
DstIP: 217.83.85.176, SrcIP: 217.83.85.176, Len: 124, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 4500, SrcPort: 57690

[ICMP] 2014/03/04 12:48:59,571 Devicetime: 2014/03/04 12:49:00,263
ICMP Tx (WAN, T-ONLINE): Dest-IP: 217.83.85.176: Destination unreachable (Port unreachable)
original packet:
DstIP: 192.168.11.57, SrcIP: 217.83.85.176, Len: 633, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 500, SrcPort: 10952

Wie gesagt, stört mich diese Stelle:

[VPN-Status] 2014/03/04 12:48:31,054 Devicetime: 2014/03/04 12:48:31,901
IKE info: Phase-2 failed for peer 1ACOMP_BURAK: no rule matches the phase-2 ids 192.168.3.81 <-> 0.0.0.0/0.0.0.0
IKE log: 124831.901555 Default message_negotiate_sa: no compatible proposal found
IKE log: 124831.901587 Default dropped message from 84.169.165.135 port 4500 due to notification type NO_PROPOSAL_CHOSEN

Woran liegt das? In anderen Foren sagen viele das mit ShrewSoft die Verbindung laut dem HowTo einwandfrei funktioniert. Bei mir geht es gar nicht.

Ich habe die IP Adressen und die Identitäten aus Sicherheit getauscht.

Viele Grüße,

Burak

[MariusP]

Hi,
Was steht denn in der

Code: Alles auswählen

Setup/VPN/Proposal/IPSEC-Proposal-Lists

und was in

Code: Alles auswählen

Setup/VPN/Proposal/IPSEC

?
Du kannst du dazu auch

Code: Alles auswählen

show vpn long

anschauen.
Vergleiche diese Werte mit denen des ShrewClients. Vielleicht auch mal die Proposals auf einen konkreten Wert und nicht auf

Code: Alles auswählen

auto

setzen.
Gruß

[backslash]

Hi Burak

Wie gesagt, stört mich diese Stelle:

Zitat:
[VPN-Status] 2014/03/04 12:48:31,054 Devicetime: 2014/03/04 12:48:31,901
IKE info: Phase-2 failed for peer 1ACOMP_BURAK: no rule matches the phase-2 ids 192.168.3.81 <-> 0.0.0.0/0.0.0.0
IKE log: 124831.901555 Default message_negotiate_sa: no compatible proposal found
IKE log: 124831.901587 Default dropped message from 84.169.165.135 port 4500 due to notification type NO_PROPOSAL_CHOSEN


Woran liegt das? In anderen Foren sagen viele das mit ShrewSoft die Verbindung laut dem HowTo einwandfrei funktioniert. Bei mir geht es gar nicht.

das liegt daran, daß der Shrewsoft-Client anfordert, daß auch der Internet-Traffic durch den Tunnel gehen soll, während das LANCOM erstmal nur Traffic in sein eigenes LAN zuläßt. Entweder erstellst du im LANCOM eine Firewall-Regel die den Internet-Traffic erlaubt, oder du schränkt im Shrewsoft-Client das entfernte Netz ein...

Die Regel sieht in etwa so aus:

Code: Alles auswählen

Name         Allow-VPN-Internet

[ ] diese Regel ist für die Firewall aktiv
[x] diese Regel wird zur Erzeugung von VPN-Regeln herangezogen

Aktion:      übertragen
Quelle:      alle Stationen
Ziel:        VPN-Gegenstelle
Dienste:     alle Dienste

Gruß
Backslash