Probleme bei VPN Verbindung Konfiguration

Popasi · Beitrag von **Popasi** » 01 Jun 2007, 20:04

Hallo zusammen,

ich möchte eine VPN Verbindung zu einem Router über eine bestehende Internet (ADSL) Verbindung aufbauen. Bei meinen Versuchen dieses zu bewerkstelligen, habe ich eben meinen Router abgeschossen, so dass er nicht mehr bootete. Damit das nicht mehr passiert, frage ich besser nach.

Es soll sich um eine L2TP/IPsec Verbindung handeln. Der Gateway hat eine DNS auflösbare Adresse, es wird ein Shared Secret verwendet und der LANCOM soll eine Adresse per DHCP erhalten. Ich habe versucht per LANCONFUG Setup Wizard eine VPN Verbindung zu erzeugen, bin mir aber bei manchen Parametern unsicher. Folgende Punkte gebe ich bei diesem Wizard ein :

- VPN over Internet
- No ISDN connection
- Both sides DNS resolvable
- Die richtige Identity
- Ein von mir gewählter Name als "Remote device name"
- Pre-shared key als Authentication method
- Das Password und das Secret.
- IKE and PFS Group 2
- Connect on transmitted packet
- Den richtigen Gateway

So, und jetzt weiß ich nicht, was ich als remote IP Network angeben soll, da es sich um eine Verbindung ins Internet handelt. Ich erhalte zwar eine DHCP Adresse, aber die ist geNATted. Der Wizard verlangt von mir eine Address und Netmask. Was soll ich hier bei DHCP eingeben ? Also gebe ich irgendeine private IP Adresse ein. Weiter :

- Keine Maskierung für lokalte IP Adressen
- Kein Netbios over IP.

Folgende Ausgabe erhalte ich dann bei einem tr # VPN-Status Trace :

Code: Alles auswählen

#
| LANCOM 1821 Wireless ADSL (Ann.B)
| Ver. 6.32.0021 / 29.03.2007 / 6.26/e74.02.35
| SN.  054000600122
| Copyright (c) LANCOM Systems

LANCOM1821, Connection No.: 002 (WLAN)

root@LANCOM1821:/
>

[VPN-Status] 2007/06/01 19:54:53,670
VPN: installing ruleset generally

[VPN-Status] 2007/06/01 19:54:53,740
VPN: rulesets installed

[VPN-Status] 2007/06/01 19:56:11,900
VPN: starting external DNS resolution for VPN_REMOTE_DEVICE
     IpStr=><GATEWAY_DNS_NAME><, IpAddr(old)=0.0.0.0, IpTtl(old)=300s

[VPN-Status] 2007/06/01 19:56:12,160
VPN: external DNS resolution for VPN_REMOTE_DEVICE
     IpStr=><GATEWAY_DNS_NAME><, IpAddr(old)=0.0.0.0, IpTtl(old)=300s
     IpStr=><GATEWAY_DNS_NAME><, IpAddr(new)=<GATEWAY_IP>, IpTtl(new)=86400s

[VPN-Status] 2007/06/01 19:56:12,160
VPN: installing ruleset for VPN_REMOTE_DEVICE (<GATEWAY_IP>)

[VPN-Status] 2007/06/01 19:56:12,170
VPN: rulesets installed

[VPN-Status] 2007/06/01 19:56:53,360
VPN: connecting to VPN_REMOTE_DEVICE (<GATEWAY_IP>)

[VPN-Status] 2007/06/01 19:56:53,360
VPN: installing ruleset for VPN_REMOTE_DEVICE (<GATEWAY_IP>)

[VPN-Status] 2007/06/01 19:56:53,380
VPN: ruleset installed for VPN_REMOTE_DEVICE (<GATEWAY_IP>)

[VPN-Status] 2007/06/01 19:56:53,380
VPN: start IKE negotiation for VPN_REMOTE_DEVICE (<GATEWAY_IP>)

[VPN-Status] 2007/06/01 19:56:53,400
VPN: rulesets installed

[VPN-Status] 2007/06/01 19:56:53,400
IKE info: Phase-1 negotiation started for peer VPN_REMOTE_DEVICE rule isakmp-peer-VPN_REMOTE_DEVICE using MAIN mode


[VPN-Status] 2007/06/01 19:56:53,590
IKE info: The remote server <GATEWAY_IP>:500 peer VPN_REMOTE_DEVICE id <no_id> supports NAT-T in mode draft

[VPN-Status] 2007/06/01 19:56:53,590
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <-> local No 1 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <-> local No 2 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <-> local No 3 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <-> local No 4 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 1 hash algorithm = SHA <-> local No 5 hash algorithm = MD5
IKE info: Phase-1 remote proposal 1 for peer VPN_REMOTE_DEVICE matched with local proposal 6

[VPN-Status] 2007/06/01 19:56:53,860
IKE info: The remote server <GATEWAY_IP>:500 peer VPN_REMOTE_DEVICE id <no_id> supports NAT-T in mode draft

[VPN-Status] 2007/06/01 19:57:23,400
VPN: connection for VPN_REMOTE_DEVICE (<GATEWAY_IP>) timed out: no response

[VPN-Status] 2007/06/01 19:57:23,400
VPN: Error: IFC-I-Connection-timeout-IKE-IPSEC (0x1106) for VPN_REMOTE_DEVICE (<GATEWAY_IP>)

[VPN-Status] 2007/06/01 19:57:23,400
VPN: disconnecting VPN_REMOTE_DEVICE (<GATEWAY_IP>)

[VPN-Status] 2007/06/01 19:57:23,420
VPN: VPN_REMOTE_DEVICE (<GATEWAY_IP>) disconnected

[VPN-Status] 2007/06/01 19:57:23,430
VPN: selecting first remote gateway using strategy eFirst for VPN_REMOTE_DEVICE
     => CurrIdx=0, IpStr=><GATEWAY_DNS_NAME><, IpAddr=<GATEWAY_IP>, IpTtl=86400s

[VPN-Status] 2007/06/01 19:57:23,430
VPN: installing ruleset for VPN_REMOTE_DEVICE (<GATEWAY_IP>)

[VPN-Status] 2007/06/01 19:57:23,440
VPN: rulesets installed

[VPN-Status] 2007/06/01 19:57:24,040
IKE log: 195724 Default message_recv: invalid cookie(s) 02fbab9c1cd2b7d1 450dd69405b13d66

[VPN-Status] 2007/06/01 19:57:24,040
IKE log: 195724 Default dropped message from <GATEWAY_IP> port 500 due to notification type INVALID_COOKIE


[VPN-Status] 2007/06/01 19:57:24,040
IKE info: dropped message from peer unknown <GATEWAY_IP> port 500 due to notification type INVALID_COOKIE

Kann mir jemand einen Tip(p) geben, wie ich das Problem lösen kann ? Danke ! Vielleicht sollte ich noch dazu sagen, das ein Verbindungsaufbau mit dem Client von WindowsXP sofort funktioniert.

Popasi · Beitrag von **Popasi** » 01 Jun 2007, 20:22

Okay, normalerweise kommt *NICHT* der Timeout aus dem oberen Trace, sondern folgende Ausgabe :

Code: Alles auswählen

[VPN-Status] 2007/06/01 20:18:23,960
IKE info: Phase-1 negotiation started for peer VPN_REMOTE_DEVICE rule isakmp-peer-VPN_REMOTE_DEVICE using MAIN mode


[VPN-Status] 2007/06/01 20:18:24,150
IKE info: The remote server GATEWAY_IP:500 peer VPN_REMOTE_DEVICE id <no_id> supports NAT-T in mode draft


[VPN-Status] 2007/06/01 20:18:24,150
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <-> local No 1 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <-> local No 2 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <-> local No 3 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <-> local No 4 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 1 hash algorithm = SHA <-> local No 5 hash algorithm = MD5
IKE info: Phase-1 remote proposal 1 for peer VPN_REMOTE_DEVICE matched with local proposal 6


[VPN-Status] 2007/06/01 20:18:24,380
IKE info: The remote server GATEWAY_IP:500 peer VPN_REMOTE_DEVICE id <no_id> supports NAT-T in mode draft


[VPN-Status] 2007/06/01 20:18:26,920
IKE log: 201826 Default message_recv: invalid cookie(s) dc9d60b2b3864d07 6bb6f45d38b68490


[VPN-Status] 2007/06/01 20:18:26,920
IKE log: 201826 Default dropped message from GATEWAY_IP port 500 due to notification type INVALID_COOKIE


[VPN-Status] 2007/06/01 20:18:26,920
IKE info: dropped message from peer unknown GATEWAY_IP port 500 due to notification type INVALID_COOKIE

Was bedeutet denn INVALID_COOKIE ? Das scheint ja irgendwie der Grund zu sein....

ittk · Beitrag von **ittk** » 01 Jun 2007, 20:36

Hi,

Popasi hat geschrieben: Es soll sich um eine L2TP/IPsec Verbindung handeln.

Das kann der LANCOM nicht. Der kann reines IPsec aber kein L2TP over IPsec, dass Microsoft gerne als das Allheilmittel verkauft.

Popasi · Beitrag von **Popasi** » 01 Jun 2007, 20:44

Au Backe, kein L2TP/IPsec und kein verschlüsseltes PPTP, jetzt sehe ich alt aus...ich denke, damit ist diese Anwendung gestorben...der VPN Server läßt genau diese beiden Methoden zu und beide werden vom LANCOM nicht unterstützt, das ist bitter...