Hallo zusammen,
ich würde gerne einen VPN-Tunnel zwischen einer Netscreen 5gt und einem Lancom Router 3550 aufbauen...
Leider scheitere ich in Phase 2 der Authentifizierung im aggressive mode...
In der Netscreenconfig gibt es einen VPN-Parameter "Peer-ID", doch wo kann ich den auf der Lancom-Seite eintragen sprich die "local-ID" ??
Der Lancom-router würde die Session initieren...
Habt ihr eine Idee?
vielen Dank
dmsman
hier noch ein Auszug aus der Netscreen-Log:
2005-11-25 13:12:54 info IKE<x.x.x.x> Phase 2 msg ID <7e526277>: Negotiations have failed.
2005-11-25 13:12:54 info Rejected an IKE packet on untrust from x.x.x.x:500 to x.x.x.x:500 with cookies 61fdc94869275bf5 and
37063d8720afe1b1 because the peer sent a proxy ID that did not match the one in the SA config.
2005-11-25 13:12:54 info IKE<x.x.x.x> Phase 2: No policy exists for the proxy ID received: local ID (<218.1.40.0>/<255.255.255.0>, <0>,
<0>) remote ID (<172.23.56.0>/<255.255.255.0>, <0>, <0>).
2005-11-25 13:12:54 info IKE<x.x.x.x> Phase 2 msg ID <7e526277>: Responded to the peer's first message.
2005-11-25 13:12:54 info IKE<x.x.x.x> Phase 1: Completed Aggressive mode negotiations with a <28800>-second lifetime.
2005-11-25 13:12:54 info IKE<x.x.x.x> Phase 1: Responder starts AGGRESSIVE mode negotiations.
2005-11-25 13:12:52 notif All logged events or alarms were cleared by admin
netscreen 5gt + lancom 3550 VPN konfigurieren
Moderator: Lancom-Systems Moderatoren
Hi dmsman
VPN -> IKE-PARAM -> IKE-Schlüssel -> <Schlüsselsatz deiner Verbindung> -> Lokale Identität und Lokaler Identitäts-Typ
Gruß
Backslash
na da, wo es vom Namen "local-ID" her auch hingehört:In der Netscreenconfig gibt es einen VPN-Parameter "Peer-ID", doch wo kann ich den auf der Lancom-Seite eintragen sprich die "local-ID" ??
VPN -> IKE-PARAM -> IKE-Schlüssel -> <Schlüsselsatz deiner Verbindung> -> Lokale Identität und Lokaler Identitäts-Typ
Gruß
Backslash
Hi dmsman,
Richte auf dem Netscreen eine Verbindung ohne XAUTH ein, dann solltest du dort auch nach den Typen IP-Adresse, Domain-Name (heisst üblicherweise FQDN) oder E-Mail-Adresse (heisst üblicherweise UFQDN) gefragt werden (wie das im Netscreen geht, kann ich dir allerdings nicht sagen, da ich den nicht kenne)...
Gruß
Backslash
Dann hast du auf dem Netscreen aber XAUTH eingestellt - das wird vom LANCOM nicht unterstützt (der einfache Text hätte als Identitätstyp "Group Authentication Name").auf der Netscreenseite gab ich einfach einen Text an z.B. "lancomrouter"
Richte auf dem Netscreen eine Verbindung ohne XAUTH ein, dann solltest du dort auch nach den Typen IP-Adresse, Domain-Name (heisst üblicherweise FQDN) oder E-Mail-Adresse (heisst üblicherweise UFQDN) gefragt werden (wie das im Netscreen geht, kann ich dir allerdings nicht sagen, da ich den nicht kenne)...
Gruß
Backslash
phase 1 phase 2
vielleicht bin ich auch zu blöd die proposals von der netscreen auf den lancom-router zu übertragen...
die netscreen proposals:
phase1: pre-g2-des-sha
phase2: g2-esp-3des-sha
was genau muss ich jetzt auf der lancomseite einstellen?
nicht dass ich im aggressive mode an der netscreen mit falschen proposals ankomme?
vielen dank
die netscreen proposals:
phase1: pre-g2-des-sha
phase2: g2-esp-3des-sha
was genau muss ich jetzt auf der lancomseite einstellen?
nicht dass ich im aggressive mode an der netscreen mit falschen proposals ankomme?
vielen dank
also das mit den Proposals hab ich jetzt hin bekommen, der VPN Tunnel steht jetzt auch 
ABER, ich kann nur 1 Netz auf der gegenüberliegenden Seite erreichen obwohl ich auf der Lancomfirewall vom lokalen Netz nach alle Station alles freigegeben habe??
Welches VPN-Routing verwendet der Lancom-Router?
-policy-based VPN oder -route-based VPN ???
Auf der Netscreen gibt es unter den IKE-Parameter für Phase 2 eine Proxy-ID mit Angabe des lokalen Netzes und des remote Netzes??
trag ich auf der Netscreen unter Proxy-ID
lokales Netz: 10.10.10.0 /24
remote Netz: 22.22.22.0 /24
ist auch nur das 10.10.10.0 /24 von der Lancom-Seite erreichbar...
trag ich bei beiden 0.0.0.0 /24 ein scheitert der Tunnelaufbau in Phase 2 (No Policy exists for the proxy ID received: local ID 0.0.0.0...)
je nachdem was ich als lokales Netz eintrage kann ich dann auch pingen...
Irgendwie irre....
Gibt es sowas wie die Proxy-ID auch auf dem Lancom-Router zum konfigurieren?
danke
ABER, ich kann nur 1 Netz auf der gegenüberliegenden Seite erreichen obwohl ich auf der Lancomfirewall vom lokalen Netz nach alle Station alles freigegeben habe??
Welches VPN-Routing verwendet der Lancom-Router?
-policy-based VPN oder -route-based VPN ???
Auf der Netscreen gibt es unter den IKE-Parameter für Phase 2 eine Proxy-ID mit Angabe des lokalen Netzes und des remote Netzes??
trag ich auf der Netscreen unter Proxy-ID
lokales Netz: 10.10.10.0 /24
remote Netz: 22.22.22.0 /24
ist auch nur das 10.10.10.0 /24 von der Lancom-Seite erreichbar...
trag ich bei beiden 0.0.0.0 /24 ein scheitert der Tunnelaufbau in Phase 2 (No Policy exists for the proxy ID received: local ID 0.0.0.0...)
je nachdem was ich als lokales Netz eintrage kann ich dann auch pingen...
Irgendwie irre....
Gibt es sowas wie die Proxy-ID auch auf dem Lancom-Router zum konfigurieren?
danke
Hi dmsman
Wenn du z.B. vom Netscreen aus mehrere Netze auf der LANCOM-Seite erreichen willst, mußt du im LANCOM explizite VPN-Regeln erstellen, in denen die Netzbeziehungen einzeln aufgeführt sind. Das machst du in der Firewall in dem du bei den jeweiligen Regeln das Häkchen setzt bei "Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen"...
Ich würde jetzt fast sagen: schmeiss den Netscreen raus und stell stattdessen ein weiteres LANCOM hin...
Gruß
Backslash
das ist ja auch korrekt so. Wenn du vom LANCOM mehrere Netze erreichen willst, dann mußt du sie auf der Netscreen-Seite auch explizit konfigurieren - das wären also mehrere lokale Netze. Wenn der Netscreen das nicht schaft, dann hast du wohl pech...trag ich auf der Netscreen unter Proxy-ID
lokales Netz: 10.10.10.0 /24
remote Netz: 22.22.22.0 /24
ist auch nur das 10.10.10.0 /24 von der Lancom-Seite erreichbar...
trag ich bei beiden 0.0.0.0 /24 ein scheitert der Tunnelaufbau in Phase 2 (No Policy exists for the proxy ID received: local ID 0.0.0.0...)
Beim LANCOM erledigst du das über den Eintrag in der Routing-Tabelle - fertig...Gibt es sowas wie die Proxy-ID auch auf dem Lancom-Router zum konfigurieren?
Wenn du z.B. vom Netscreen aus mehrere Netze auf der LANCOM-Seite erreichen willst, mußt du im LANCOM explizite VPN-Regeln erstellen, in denen die Netzbeziehungen einzeln aufgeführt sind. Das machst du in der Firewall in dem du bei den jeweiligen Regeln das Häkchen setzt bei "Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen"...
Ich würde jetzt fast sagen: schmeiss den Netscreen raus und stell stattdessen ein weiteres LANCOM hin...
Gruß
Backslash