Hallo, ich versuche eine VPN-Verbindung zwischen einem LANCOM1724 und einem SafeNet-VPN-Client (von Netscreen) aufzubauen.
Beim Verbindungsaufbau wird die 1. Phase erfolgreich abgeschlossen, allerdings bekomme ich in Phase 2 ein "NO_PROPOSAL_CHOSEN"
Auf dem LANCOM heißt es:
IKE info: Phase-2 failed for peer HSYS_VPN_MH: no rule matches the phase-2 ids 10.129.194.90 <-> 10.10.0.0/255.255.0.0
IKE log: 145554 Default message_negotiate_sa: no compatible proposal found
Offenbar sind die Gateway-Einstellungen nicht deckend, allerdings habe ich nicht gefunden, wo ich das im LANCOM einstellen kann. Kann mir jemand weiterhelfen?
Vielen Dank,
Matthias Hensel
Phase 2 VPN Verbindungsaufbau schlägt fehl
Moderator: Lancom-Systems Moderatoren
Hi hensel1
der Client fordert für sich die Adresse 10.129.194.90 und will das Netz 10.10.0.0/16 erreichen.
Wenn du für den Client keinen Routing-Eintrag zur geforderten Adresse hast, oder dein lokales Netz nicht 10.10.0.0/16 ist, dann kommt dieser Fehler.
Prüfe die Netzwerkeinstellungen im Client
Gruß
Backslash
der Client fordert für sich die Adresse 10.129.194.90 und will das Netz 10.10.0.0/16 erreichen.
Wenn du für den Client keinen Routing-Eintrag zur geforderten Adresse hast, oder dein lokales Netz nicht 10.10.0.0/16 ist, dann kommt dieser Fehler.
Prüfe die Netzwerkeinstellungen im Client
Gruß
Backslash
Der Client hat ja eine dynamische IP-Adresse. Was muß ich dort denn eintragen?
Vielleicht kurz zur Erläuterung, ich hatte zuvor einen Netscreen 5GT-VPN-Zugang, mit dem die konfiguration mit dem dynamischen Client soweit funktioniert hat, die habe ich dann an die neuen Gegebenheiten angepaßt. Nur habe ich da keine Änderung an Routing-Einträgen etc. gemacht. ich wüßte auch so recht nicht wo.
Ich bitte noch einmal um Rat und Hilfe.
Vielen Dank
Vielleicht kurz zur Erläuterung, ich hatte zuvor einen Netscreen 5GT-VPN-Zugang, mit dem die konfiguration mit dem dynamischen Client soweit funktioniert hat, die habe ich dann an die neuen Gegebenheiten angepaßt. Nur habe ich da keine Änderung an Routing-Einträgen etc. gemacht. ich wüßte auch so recht nicht wo.
Ich bitte noch einmal um Rat und Hilfe.
Vielen Dank
Kann es möglicherweise damit zusammenhängen, daß meine IP-Adresse des Clients 10.xxx.xxx.xxx ja auch eine interne ist, die sich hinter einem NAT von ePlus verbirgt, und ich dies irgendwo im LANCOM noch angeben muß?
Wenn ich "trace + vpn" im LANCOM einstelle und den Verbindungsaufbau verfolge, dann heißt es dort u.a.:
[VPN-Status] 1900/01/05 13:30:37,800
IKE info: Phase-2 failed for peer HSYS_VPN_MH: no rule matches the phase-2 ids 10.161.164.12 <-> 10.10.0.0/255.255.0.0
IKE log: 133037 Default message_negotiate_sa: no compatible proposal found
IKE log: 133037 Default dropped message from 212.23.126.28 port -17673 due to notification type NO_PROPOSAL_CHOSEN
IKE info: dropped message from peer HSYS_VPN_MH 212.23.126.28 port -17673 due to notification type NO_PROPOSAL_CHOSEN
Darin ist einmal die externe und die interne ePlus-UMTS-IP-Adresse zu finden.
Ich kann mich erinnern, daß ich im Netscreen-VPN-Gateway seinerzeit einen Haken setzen mußte, daß der Client hinter einem NAT hängt. Ist das fürs LANCOM auch der Fall?
Wenn ich "trace + vpn" im LANCOM einstelle und den Verbindungsaufbau verfolge, dann heißt es dort u.a.:
[VPN-Status] 1900/01/05 13:30:37,800
IKE info: Phase-2 failed for peer HSYS_VPN_MH: no rule matches the phase-2 ids 10.161.164.12 <-> 10.10.0.0/255.255.0.0
IKE log: 133037 Default message_negotiate_sa: no compatible proposal found
IKE log: 133037 Default dropped message from 212.23.126.28 port -17673 due to notification type NO_PROPOSAL_CHOSEN
IKE info: dropped message from peer HSYS_VPN_MH 212.23.126.28 port -17673 due to notification type NO_PROPOSAL_CHOSEN
Darin ist einmal die externe und die interne ePlus-UMTS-IP-Adresse zu finden.
Ich kann mich erinnern, daß ich im Netscreen-VPN-Gateway seinerzeit einen Haken setzen mußte, daß der Client hinter einem NAT hängt. Ist das fürs LANCOM auch der Fall?
Hi hensel1
Im LANCOM richtest du einfach folgende Route ein (unter IP-Router -> Routing -> Routing-Tabelle):
fertig. (zumindest unter der Annahme, daß der Router auch wirklich im 10.10.0.0/16 Netz steht)
Gruß
Backslash
Es geht nicht darum, welche IP-Adresse der Client im Internet hat, sondern welche er im VPN-Netz hat. Und da hast du im Clienz offenbar die 10.129.194.90 eingetragen, und im LANCOM keine passende Route...Der Client hat ja eine dynamische IP-Adresse. Was muß ich dort denn eintragen?
auch im alten Router muß eine Route zum Client existiert haben - nur waren sie ggf. schon vorkonfiguriert (beides stammt ja von Netscreen...)Nur habe ich da keine Änderung an Routing-Einträgen etc. gemacht. ich wüßte auch so recht nicht wo.
Im LANCOM richtest du einfach folgende Route ein (unter IP-Router -> Routing -> Routing-Tabelle):
Code: Alles auswählen
IP-Adresse: 10.129.194.90
Netzmaske: 255.255.255.255
Routing-Tag: 0
Router: Name der Client-Verbindung
Distanz: 2
IP-Maskierung: IP-Maskierung abgeschaltetGruß
Backslash
Halt, also ich habe mit dem sog. Virtual Adapter schon mal hinbekommen, eine feste IP-Adresse anzugeben, die im Verbindungsaufbau dem LANCOM auch mitgeteilt wird. Ich habe den Routereintrag auch vorgenommen. Es klappt zwar immer noch nicht, Dort sieht es jetzt aber so aus:
[VPN-Status] 2006/09/26 12:33:14,500
IKE info: Phase-2 failed for peer HSYS_VPN_MH: no rule matches the phase-2 ids 10.10.45.29 <-> 10.10.0.0/255.255.0.0
IKE log: 123314 Default message_negotiate_sa: no compatible proposal found
IKE log: 123314 Default dropped message from 212.23.126.28 port -16551 due to notification type NO_PROPOSAL_CHOSEN
IKE info: dropped message from peer HSYS_VPN_MH 212.23.126.28 port -16551 due to notification type NO_PROPOSAL_CHOSEN
Die Adresse 10.10.45.29, die ich für den mobilen VPN-Client verwendet habe ist aus dem gleichen Adresspool wie das lokale Netzwerk, auf das ich zugreifen will (also 10.10.45.0/255.255.255.0). Ist das richtig?
[VPN-Status] 2006/09/26 12:33:14,500
IKE info: Phase-2 failed for peer HSYS_VPN_MH: no rule matches the phase-2 ids 10.10.45.29 <-> 10.10.0.0/255.255.0.0
IKE log: 123314 Default message_negotiate_sa: no compatible proposal found
IKE log: 123314 Default dropped message from 212.23.126.28 port -16551 due to notification type NO_PROPOSAL_CHOSEN
IKE info: dropped message from peer HSYS_VPN_MH 212.23.126.28 port -16551 due to notification type NO_PROPOSAL_CHOSEN
Die Adresse 10.10.45.29, die ich für den mobilen VPN-Client verwendet habe ist aus dem gleichen Adresspool wie das lokale Netzwerk, auf das ich zugreifen will (also 10.10.45.0/255.255.255.0). Ist das richtig?
Also nochmal, weil ich glaube, daß das alles etwas verwirrend war:
Im VPN-Client bekomme ich vom Provider eine nicht-internetfähige IP-Adresse 10.x.x.x zugewiesen, die dann über NAT über eine ebenfalls dynamisch sich ändernde IP-Adresse 212.x.x.x "internetfähig" gemacht wird.
Das macht ePlus mit den UMTS-Zugängen so, warum, weiß ich nicht, aber das spielt ja keine Rolle, denn in der Zwischenzeit habe ich aufgrund des Hinweises oben mal in der VPN-Client-SW gesucht, und konnte dort eine feste "virtuelle" IP-Adresse eintragen, die im Verbindungsaufbau beim LANCOM auch ankommt. Diese lautet "10.10.45.29"
Diese Adresse 10.10.45.29 ist nun keine ePlus-Adresse, die mir zugeteilt wird mehr, sondern die ist dem LANCOM gegenüber fix. Das Netzwerk, auf das ich zugreifen möchte hat nun aber auch den Adressbereich 10.10.45.0.
Weil es ja nun noch immer die gleiche Fehlermeldung gibt, wollte ich fragen, ob ich für meinen Client und den erwähnten Routereintrag möglicherweise eine andere lokale IP-Adresse verwenden sollte, wie z.B. 192.168.1.1.
Dies habe ich auch ausprobiert, aber es kommt trotzdem die gleiche Fehlermeldung wie bisher.
Ich hoffe, ich habe das jetzt etwas klarer beschrieben, und würde mich nach wie vor über Unterstützung freuen
Gruß, hensel
Im VPN-Client bekomme ich vom Provider eine nicht-internetfähige IP-Adresse 10.x.x.x zugewiesen, die dann über NAT über eine ebenfalls dynamisch sich ändernde IP-Adresse 212.x.x.x "internetfähig" gemacht wird.
Das macht ePlus mit den UMTS-Zugängen so, warum, weiß ich nicht, aber das spielt ja keine Rolle, denn in der Zwischenzeit habe ich aufgrund des Hinweises oben mal in der VPN-Client-SW gesucht, und konnte dort eine feste "virtuelle" IP-Adresse eintragen, die im Verbindungsaufbau beim LANCOM auch ankommt. Diese lautet "10.10.45.29"
Diese Adresse 10.10.45.29 ist nun keine ePlus-Adresse, die mir zugeteilt wird mehr, sondern die ist dem LANCOM gegenüber fix. Das Netzwerk, auf das ich zugreifen möchte hat nun aber auch den Adressbereich 10.10.45.0.
Weil es ja nun noch immer die gleiche Fehlermeldung gibt, wollte ich fragen, ob ich für meinen Client und den erwähnten Routereintrag möglicherweise eine andere lokale IP-Adresse verwenden sollte, wie z.B. 192.168.1.1.
Dies habe ich auch ausprobiert, aber es kommt trotzdem die gleiche Fehlermeldung wie bisher.
Ich hoffe, ich habe das jetzt etwas klarer beschrieben, und würde mich nach wie vor über Unterstützung freuen
Gruß, hensel
Hi hensel1
Das ist das Netz 10.10.45.0/255.255.255.0 und NICHT 10.10.0.0/255.255.0.0, was der Client fordert. Stell im Client das korrekte remote Netz ein.
Gruß
Backslash
genau das versuche ich dir die ganze Zeit zu sagen...Diese Adresse 10.10.45.29 ist nun keine ePlus-Adresse, die mir zugeteilt wird mehr, sondern die ist dem LANCOM gegenüber fix.
das ist auch kein Problem (du mußt im LANCOM nur Proxy-ARP einschalten, sonst wirst du keine Daten übetragen können...)Das Netzwerk, auf das ich zugreifen möchte hat nun aber auch den Adressbereich 10.10.45.0.
und da ist auch schon dein Fehler...Das Netzwerk, auf das ich zugreifen möchte hat nun aber auch den Adressbereich 10.10.45.0.
Das ist das Netz 10.10.45.0/255.255.255.0 und NICHT 10.10.0.0/255.255.0.0, was der Client fordert. Stell im Client das korrekte remote Netz ein.
Gruß
Backslash