Problem bei IPSec mit zusätzlichem Subnetz (LC zu Draytek)

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
Skeeve
Beiträge: 44
Registriert: 08 Jun 2007, 15:08
Wohnort: Iserlohn

Problem bei IPSec mit zusätzlichem Subnetz (LC zu Draytek)

Beitrag von Skeeve »

Hallo,

hier mal die Grund Infos:
IPSec VPN zwischen Lancom 1781A (FW 8.80.0157RU1 / feste IP) und Draytek 2700V (NO-IP.BIZ Adresse wegen ADSL)
BISHER auf der Lancom-Seite ein Netz
192.168.1.0/24
und auf der Draytek-Seite
172.16.2.160/28

Der Lancom hat einen ADSL (Default / Routing Tag 0) und einen 10Mbit CompanyNet Anschluss, das VPN wird über den CN geleitet (Routing Tag 1).

Alles läuft wie es soll an insgesamt 12 Standorten.
Jetzt haben wir eine Umstellung im Netz auf der Lancom-Seite geplant
zusätzliches Netz (später einziges Netz): 10.1.0.0/20

Sobald ich versuche Traffic (z.B. ping) aus dem neuen Netz an einen Standort zu erzeugen bricht der VPN Tunnel ein. Bricht man den Ping ab, klappt wieder alles. Auffällig ist auch, das der Tunnel auch einknickt, wenn die Drayteks das neue Netz gar nicht konfiguriert haben.
Trotzdem hatte ich als erstes die kleinen Drayteks in Verdacht und habe mich darum an den Draytek-Support gewendet. Aber nach mehrmaligen hinundher kann auf der Draytek-Seite kein Fehler gefunden werden.

Tja, und wenns das vermeintlich offensichtliche nicht ist, kann es ja evtl. doch das nicht offensichtliche sein ;-) also evtl. doch die Konfig vom Lancom.

Ich habe schon Standorte mit LC1781 zu LC1781 mit beiden Netzen in der Zentrale, das Routing ist ja eigentlich immer gleich, nur der Tunnel wird für die Drayteks etwas anders konfiguriert. Ich weiss beim Lancom im Augenblick nicht genau wo nach ich suchen soll/kann, evtl. hat jemand einen Tipp??
Grüße aus dem Sauerland
Skeeve
Nach oben
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: Problem bei IPSec mit zusätzlichem Subnetz (LC zu Drayte

Beitrag von MariusP »

Hi,
Bitte definiere "bricht der VPN Tunnel ein." genauer.
Wird die Verbindung direkt abgebaut, findet nur kein Datentransfer statt?
"klappt wieder alles." baut er die Verbindung erneut auf?
Könntest du bitte einen VPN-Status-Trace erzeugen während du den Fehlerfall durchführst.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Nach oben
Skeeve
Beiträge: 44
Registriert: 08 Jun 2007, 15:08
Wohnort: Iserlohn

Re: Problem bei IPSec mit zusätzlichem Subnetz (LC zu Drayte

Beitrag von Skeeve »

Hallo MariusP,

also der Ping vom "alten" Netz zum Standort unterbricht.

Hier der VPN Status Trace:
[VPN-Status] 2013/11/25 15:51:59,305 Devicetime: 2013/11/25 15:52:02,072
IKE info: Delete Notification sent for Phase-2 SA ipsec-0-GC99-Z-SCHUL-pr0-l0-r0 to peer GC99-Z-SCHUL, spi [0x69babd8e]

[VPN-Status] 2013/11/25 15:51:59,305 Devicetime: 2013/11/25 15:52:02,074
IKE info: Phase-2 SA removed: peer GC99-Z-SCHUL rule ipsec-0-GC99-Z-SCHUL-pr0-l0-r0 removed
IKE info: containing Protocol IPSEC_ESP, with spis [73391cd8 ] [69babd8e ]

[VPN-Status] 2013/11/25 15:52:00,130 Devicetime: 2013/11/25 15:52:02,900
suppress DNS resolution for GC99-Z-SCHUL
IpStr=>MEINVPNSERVER.no-ip.biz<, IpAddr=123.456.789.012, IpTtl=60s


[VPN-Status] 2013/11/25 15:52:16,465 Devicetime: 2013/11/25 15:52:19,230
IKE info: Delete Notification received for Phase-1 SA isakmp-peer-GC99-Z-SCHUL peer GC99-Z-SCHUL cookies [1e0f87432190c864 c934a8183f45a931]

[VPN-Status] 2013/11/25 15:52:16,465 Devicetime: 2013/11/25 15:52:19,231
IKE info: Phase-1 SA removed: peer GC99-Z-SCHUL rule GC99-Z-SCHUL removed


[VPN-Status] 2013/11/25 15:52:45,953 Devicetime: 2013/11/25 15:52:48,754
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = DES_CBC <-> local No 1 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = DES_CBC <-> local No 2 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = DES_CBC <-> local No 3 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = DES_CBC <-> local No 4 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = DES_CBC <-> local No 5 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = DES_CBC <-> local No 6 encryption algorithm = 3DES_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = DES_CBC <-> local No 7 encryption algorithm = 3DES_CBC
IKE info: Phase-1 remote proposal 1 failed for peer GC99-Z-SCHUL
IKE info: phase-1 proposal failed: remote No 2 encryption algorithm = DES_CBC <-> local No 1 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 2 encryption algorithm = DES_CBC <-> local No 2 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 2 encryption algorithm = DES_CBC <-> local No 3 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 2 encryption algorithm = DES_CBC <-> local No 4 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 2 encryption algorithm = DES_CBC <-> local No 5 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 2 encryption algorithm = DES_CBC <-> local No 6 encryption algorithm = 3DES_CBC
IKE info: phase-1 proposal failed: remote No 2 encryption algorithm = DES_CBC <-> local No 7 encryption algorithm = 3DES_CBC
IKE info: Phase-1 remote proposal 2 failed for peer GC99-Z-SCHUL
IKE info: phase-1 proposal failed: remote No 3 encryption algorithm = 3DES_CBC <-> local No 1 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 3 encryption algorithm = 3DES_CBC <-> local No 2 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 3 encryption algorithm = 3DES_CBC <-> local No 3 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 3 encryption algorithm = 3DES_CBC <-> local No 4 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 3 encryption algorithm = 3DES_CBC <-> local No 5 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 3 hash algorithm = MD5 <-> local No 6 hash algorithm = SHA
IKE info: Phase-1 remote proposal 3 for peer GC99-Z-SCHUL matched with local proposal 7

[VPN-Status] 2013/11/25 15:52:46,498 Devicetime: 2013/11/25 15:52:49,296
IKE info: Phase-1 [responder] for peer GC99-Z-SCHUL between initiator id GC99-Z-SCHUL, responder id 987.654.321.098 done
IKE info: SA ISAKMP for peer GC99-Z-SCHUL encryption 3des-cbc authentication MD5
IKE info: life time ( 28800 sec/ 0 kb)

[VPN-Status] 2013/11/25 15:52:46,498 Devicetime: 2013/11/25 15:52:49,298
IKE info: Phase-1 SA Rekeying Timeout (Soft-Event) for peer GC99-Z-SCHUL set to 25920 seconds (Responder)

[VPN-Status] 2013/11/25 15:52:46,498 Devicetime: 2013/11/25 15:52:49,299
IKE info: Phase-1 SA Timeout (Hard-Event) for peer GC99-Z-SCHUL set to 28800 seconds (Responder)

[VPN-Status] 2013/11/25 15:52:46,498 Devicetime: 2013/11/25 15:52:49,308
IKE info: Phase-2 proposal failed: remote No 1, esp algorithm 3DES <-> local No 1, esp algorithm AES
IKE info: Phase-2 proposal failed: remote No 1, esp algorithm keylen 0 <-> local No 1, esp algorithm keylen 256,256:256
IKE info: Phase-2 proposal failed: remote No 1, esp algorithm 3DES <-> local No 2, esp algorithm AES
IKE info: Phase-2 proposal failed: remote No 1, esp algorithm keylen 0 <-> local No 2, esp algorithm keylen 128,128:256
IKE info: Phase-2 proposal failed: remote No 1, esp hmac HMAC_SHA <-> local No 2, esp hmac HMAC_MD5
IKE info: Phase-2 proposal failed: remote No 1, esp algorithm 3DES <-> local No 3, esp algorithm BLOWFISH
IKE info: Phase-2 proposal failed: remote No 1, esp algorithm keylen 0 <-> local No 3, esp algorithm keylen 128,128:448
IKE info: Phase-2 proposal failed: remote No 1, number of protos 1 <-> local No 4, number of protos 2
IKE info: Phase-2 proposal failed: remote No 1, esp hmac HMAC_SHA <-> local No 5, esp hmac HMAC_MD5
IKE info: Phase-2 remote proposal 1 for peer GC99-Z-SCHUL matched with local proposal 6

[VPN-Status] 2013/11/25 15:52:46,630 Devicetime: 2013/11/25 15:52:49,388
IKE info: Phase-2 SA Rekeying Timeout (Soft-Event) for peer GC99-Z-SCHUL set to 3240 seconds (Responder)

[VPN-Status] 2013/11/25 15:52:46,630 Devicetime: 2013/11/25 15:52:49,389
IKE info: Phase-2 SA Timeout (Hard-Event) for peer GC99-Z-SCHUL set to 3600 seconds (Responder)

[VPN-Status] 2013/11/25 15:52:46,630 Devicetime: 2013/11/25 15:52:49,390
IKE info: Phase-2 [responder] done with 2 SAS for peer GC99-Z-SCHUL rule ipsec-0-GC99-Z-SCHUL-pr0-l0-r0
IKE info: rule:' ipsec 192.168.1.0/255.255.255.0 <-> 172.16.2.160/255.255.255.240 '
IKE info: SA ESP [0x73391cda] alg 3DES keylength 192 +hmac HMAC_SHA outgoing
IKE info: SA ESP [0x84f8d999] alg 3DES keylength 192 +hmac HMAC_SHA incoming
IKE info: life soft( 3240 sec/0 kb) hard (3600 sec/0 kb)
IKE info: tunnel between src: 987.654.321.098 dst: 123.456.789.012


[VPN-Status] 2013/11/25 15:53:01,632 Devicetime: 2013/11/25 15:53:04,392
IKE info: Delete Notification sent for Phase-2 SA ipsec-0-GC99-Z-SCHUL-pr0-l0-r0 to peer GC99-Z-SCHUL, spi [0xb52956e3]

[VPN-Status] 2013/11/25 15:53:01,632 Devicetime: 2013/11/25 15:53:04,393
IKE info: Phase-2 SA removed: peer GC99-Z-SCHUL rule ipsec-0-GC99-Z-SCHUL-pr0-l0-r0 removed
IKE info: containing Protocol IPSEC_ESP, with spis [73391cd9 ] [b52956e3 ]


[VPN-Status] 2013/11/25 15:53:06,453 Devicetime: 2013/11/25 15:53:09,212
IKE info: Delete Notification received for Phase-1 SA isakmp-peer-GC99-Z-SCHUL peer GC99-Z-SCHUL cookies [974b259249a45229 c141d25ed2a56fcb]

[VPN-Status] 2013/11/25 15:53:06,453 Devicetime: 2013/11/25 15:53:09,213
IKE info: Phase-1 SA removed: peer GC99-Z-SCHUL rule GC99-Z-SCHUL removed


[VPN-Status] 2013/11/25 15:53:18,313 Devicetime: 2013/11/25 15:53:21,109
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = DES_CBC <-> local No 1 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = DES_CBC <-> local No 2 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = DES_CBC <-> local No 3 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = DES_CBC <-> local No 4 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = DES_CBC <-> local No 5 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = DES_CBC <-> local No 6 encryption algorithm = 3DES_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = DES_CBC <-> local No 7 encryption algorithm = 3DES_CBC
IKE info: Phase-1 remote proposal 1 failed for peer GC99-Z-SCHUL
IKE info: phase-1 proposal failed: remote No 2 encryption algorithm = DES_CBC <-> local No 1 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 2 encryption algorithm = DES_CBC <-> local No 2 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 2 encryption algorithm = DES_CBC <-> local No 3 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 2 encryption algorithm = DES_CBC <-> local No 4 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 2 encryption algorithm = DES_CBC <-> local No 5 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 2 encryption algorithm = DES_CBC <-> local No 6 encryption algorithm = 3DES_CBC
IKE info: phase-1 proposal failed: remote No 2 encryption algorithm = DES_CBC <-> local No 7 encryption algorithm = 3DES_CBC
IKE info: Phase-1 remote proposal 2 failed for peer GC99-Z-SCHUL
IKE info: phase-1 proposal failed: remote No 3 encryption algorithm = 3DES_CBC <-> local No 1 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 3 encryption algorithm = 3DES_CBC <-> local No 2 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 3 encryption algorithm = 3DES_CBC <-> local No 3 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 3 encryption algorithm = 3DES_CBC <-> local No 4 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 3 encryption algorithm = 3DES_CBC <-> local No 5 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 3 hash algorithm = MD5 <-> local No 6 hash algorithm = SHA
IKE info: Phase-1 remote proposal 3 for peer GC99-Z-SCHUL matched with local proposal 7

[VPN-Status] 2013/11/25 15:53:18,840 Devicetime: 2013/11/25 15:53:21,638
IKE info: Phase-1 [responder] for peer GC99-Z-SCHUL between initiator id GC99-Z-SCHUL, responder id 987.654.321.098 done
IKE info: SA ISAKMP for peer GC99-Z-SCHUL encryption 3des-cbc authentication MD5
IKE info: life time ( 28800 sec/ 0 kb)

[VPN-Status] 2013/11/25 15:53:18,841 Devicetime: 2013/11/25 15:53:21,639
IKE info: Phase-1 SA Rekeying Timeout (Soft-Event) for peer GC99-Z-SCHUL set to 25920 seconds (Responder)

[VPN-Status] 2013/11/25 15:53:18,841 Devicetime: 2013/11/25 15:53:21,641
IKE info: Phase-1 SA Timeout (Hard-Event) for peer GC99-Z-SCHUL set to 28800 seconds (Responder)

[VPN-Status] 2013/11/25 15:53:18,841 Devicetime: 2013/11/25 15:53:21,647
IKE info: Phase-2 proposal failed: remote No 1, esp algorithm 3DES <-> local No 1, esp algorithm AES
IKE info: Phase-2 proposal failed: remote No 1, esp algorithm keylen 0 <-> local No 1, esp algorithm keylen 256,256:256
IKE info: Phase-2 proposal failed: remote No 1, esp algorithm 3DES <-> local No 2, esp algorithm AES
IKE info: Phase-2 proposal failed: remote No 1, esp algorithm keylen 0 <-> local No 2, esp algorithm keylen 128,128:256
IKE info: Phase-2 proposal failed: remote No 1, esp hmac HMAC_SHA <-> local No 2, esp hmac HMAC_MD5
IKE info: Phase-2 proposal failed: remote No 1, esp algorithm 3DES <-> local No 3, esp algorithm BLOWFISH
IKE info: Phase-2 proposal failed: remote No 1, esp algorithm keylen 0 <-> local No 3, esp algorithm keylen 128,128:448
IKE info: Phase-2 proposal failed: remote No 1, number of protos 1 <-> local No 4, number of protos 2
IKE info: Phase-2 proposal failed: remote No 1, esp hmac HMAC_SHA <-> local No 5, esp hmac HMAC_MD5
IKE info: Phase-2 remote proposal 1 for peer GC99-Z-SCHUL matched with local proposal 6

[VPN-Status] 2013/11/25 15:53:18,969 Devicetime: 2013/11/25 15:53:21,724
IKE info: Phase-2 SA Rekeying Timeout (Soft-Event) for peer GC99-Z-SCHUL set to 3240 seconds (Responder)

[VPN-Status] 2013/11/25 15:53:18,969 Devicetime: 2013/11/25 15:53:21,725
IKE info: Phase-2 SA Timeout (Hard-Event) for peer GC99-Z-SCHUL set to 3600 seconds (Responder)

[VPN-Status] 2013/11/25 15:53:18,969 Devicetime: 2013/11/25 15:53:21,727
IKE info: Phase-2 [responder] done with 2 SAS for peer GC99-Z-SCHUL rule ipsec-0-GC99-Z-SCHUL-pr0-l0-r0
IKE info: rule:' ipsec 192.168.1.0/255.255.255.0 <-> 172.16.2.160/255.255.255.240 '
IKE info: SA ESP [0x73391cdb] alg 3DES keylength 192 +hmac HMAC_SHA outgoing
IKE info: SA ESP [0x70947e7e] alg 3DES keylength 192 +hmac HMAC_SHA incoming
IKE info: life soft( 3240 sec/0 kb) hard (3600 sec/0 kb)
IKE info: tunnel between src: 987.654.321.098 dst: 123.456.789.012


[VPN-Status] 2013/11/25 15:53:33,966 Devicetime: 2013/11/25 15:53:36,722
IKE info: Delete Notification sent for Phase-2 SA ipsec-0-GC99-Z-SCHUL-pr0-l0-r0 to peer GC99-Z-SCHUL, spi [0x84f8d999]

[VPN-Status] 2013/11/25 15:53:33,966 Devicetime: 2013/11/25 15:53:36,724
IKE info: Phase-2 SA removed: peer GC99-Z-SCHUL rule ipsec-0-GC99-Z-SCHUL-pr0-l0-r0 removed
IKE info: containing Protocol IPSEC_ESP, with spis [73391cda ] [84f8d999 ]
Grüße aus dem Sauerland
Skeeve
Nach oben
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: Problem bei IPSec mit zusätzlichem Subnetz (LC zu Drayte

Beitrag von MariusP »

Hi,
Und wann hast du da den Ping laufen lassen? und wenn bis wann?
Ohne die zeitliche Relation ist es wird es schwerer.
[VPN-Status] 2013/11/25 15:53:01,632 Devicetime: 2013/11/25 15:53:04,392
IKE info: Delete Notification sent for Phase-2 SA ipsec-0-GC99-Z-SCHUL-pr0-l0-r0 to peer GC99-Z-SCHUL, spi [0xb52956e3]
Hast du da den Ping angemacht? wenn ja wie lange? oder lief er die ganze Zeit über?

Mir fällt auch auf das die Verbindung immer nach 15 Sekunden zusammenbricht. Das ist aber nicht der Fall, wenn du keinen Ping laufen hast?, oder hast du alle 15 Sekunden den Ping gestartet?
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Nach oben
Skeeve
Beiträge: 44
Registriert: 08 Jun 2007, 15:08
Wohnort: Iserlohn

Re: Problem bei IPSec mit zusätzlichem Subnetz (LC zu Drayte

Beitrag von Skeeve »

Der Ping aus dem neuen Netz ist "durchgelaufen".
Mann sieht es auch am "Vergleichs"-Ping aus dem alten Netz, es kommen ca. 4 Aussetzter dann gehts wieder 10, 15, 20 Pings dann wieder 3-5 Aussetzter...
Ohne den Ping aus dem 2. Netz läuft es ohne Probleme den ganzen Tag.

Ich habe gerade noch einmal eine eMail vom Draytek-Support erhalten, die schreiben jetzt das es doch eine Inkompatibilität in der VPN Konfig sein kann. Es soll daran liegen das die Konfig für das 2. Netz nicht standardtisiert ist...
Bei Cisco zu Draytek ist es bekannt das es mit dem 2. Netz nicht funktioniert, bei Zyxel wäre es kompatibel, zu Lancom können Sie leider nichts sagen.

Also falls Du jetzt nicht doch noch etwas erkennen kannst, muss ich wohl oder übel den Austausch der Drayteks schneller durchziehen als geplant... war eigentlich erst von Januar bis März im Plan...
Grüße aus dem Sauerland
Skeeve
Nach oben
Antworten

Zurück zu „Fragen zum Thema VPN“