R883VAW zu Cisco ASA

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

duces
Beiträge: 7
Registriert: 14 Dez 2018, 10:06

R883VAW zu Cisco ASA

Beitrag von duces »

Hallo in die Runde,

ich habe gerade maximale Probleme eine S2S VPN zu einem Cisco ASA einzurichten.

Folgende Daten wurden mir übermittelt:

Code: Alles auswählen

IKE Version 2 (Phase 1)		
Mode: Main Mode
Authentication: Preshared Key
Diffie Hellman Group	Group 20
Encyption Algorithm	AES256
Hash Algorithm	SHA-2 (256)
ASA - PRF Hash Alogirthm ( nur bei Cisco)	SHA-1 / SHA-2
Lifetime (seconds)	28800
Local ID Type (IP,FQDN,U-FQDN,ASN1-DN)	IP
Local ID	xxx.xx.xxx.xxx / xx.xxx.xxx.xxx
NAT Traversal	disabled
IPsec (Phase 2)		
IPsec mode	Tunnel
PFS	DH Group 20
Protocol	ESP
Encrytion Algorithm	AES256
Authentication Algorithm	SHA-2 (384)
Lifetime (seconds)	3600
Leider bekomme ich keine S2S Verbindung zustande. Entweder erhalte ich diesen Fehler

Code: Alles auswählen

 Zeitüberschreitung während IKE- oder IPSec-Verhandlung (Aktiver Verbindungsaufbau) [0x1106]
oder das PSK Schlüssel nicht passen soll.

Habe auch versucht diese Anleitung http://www.lancom-forum.de/fragen-zum-t ... ilit=cisco nachzubauen, jedoch finde ich nicht alle Punkte wieder.

Hoffe das mir jemand helfen kann dabei.
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: R883VAW zu Cisco ASA

Beitrag von MariusP »

HI,
Was sagt denn der Vpn-Status Trace sonst noch? Wer baut denn die Verbindung auf?
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
duces
Beiträge: 7
Registriert: 14 Dez 2018, 10:06

Re: R883VAW zu Cisco ASA

Beitrag von duces »

Nachdem ich unter "VPN - Verbindungsliste - VPN-Kunde" bei Routing für "IPv4-Routing" das Zielnetzwerk eingeschrieben habe, bekomme ich die VPN ans laufen. Jedoch ist der Admin der Gegenstelle der Meinung "Es besteht definitiv keine IPSEC Phase!" besteht.

Kann der Lancom Router diesen 2 Phasen VPN Tunnel?
Die mir übersendete VPN Config sagt, das in Phase 1 IKEv2 und in Phase 2 IPSec verwendet werden soll
5624
Beiträge: 865
Registriert: 14 Mär 2012, 12:36

Re: R883VAW zu Cisco ASA

Beitrag von 5624 »

Alle IPSec-Tunnel sind zweiphasig, egal ob IKEv1 oder IKEv2. IKE ist Phase 1 und kümmert sich unteranderem um die Absicherung, welche dann später in Phase 2, dem eigentlichen IPSec, genutzt wird.

Die Sachen aus dem Link sind nicht anwendbar, da es sich dabei um LCOS 7 handelt, was noch gar kein IKEv2 konnte.

Mich wundern etwas die Parameter. IKEv2 kennt keinen zu konfigurierenden Unterschied zwischen Main Mode und Aggressive Mode. Ebenso gibt man bei einer Main Mode-Verbindung keinen ID-Typ an, die IP-Adressen werden automatisch aus den Verbindungsparametern entnommen.

Was mir bei einer IKEv1-Verbindung gegen eine ASA mal aufgefallen ist, ist dass man die Haltezeit auf 0 stellen muss. Alle anderen Werte verursachen böse Probleme, die sich darin äußern, dass der Tunnel nicht aufgebaut wird.
LCS NC/WLAN
duces
Beiträge: 7
Registriert: 14 Dez 2018, 10:06

Re: R883VAW zu Cisco ASA

Beitrag von duces »

Den Haltewert hab ich bei mir auf 9.999 gestellt und die Vorgabe der VPN ignoriert.


Aber was möchte mir der andere Admin sagen? Ich hab keine Idee, wo ich noch schauen soll. Leider kenne ich Lancom nicht so gut, wie Sophos bei VPNs.
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: R883VAW zu Cisco ASA

Beitrag von MariusP »

Hi,
Ohne weitere Infos aus dem VPN-Status Trace warum die Verbindung nicht hochgeht, können wir noch lange Rätselraten.
Mach bitte mit dem LanMonitor einen Trace oder auf der Konsole mit

Code: Alles auswählen

tr # vpn-s
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
duces
Beiträge: 7
Registriert: 14 Dez 2018, 10:06

Re: R883VAW zu Cisco ASA

Beitrag von duces »

Ich kann leider unter "Trace-Ausgabe erstellen" keine Verbindung herstellen. :G)

LANconfig-10.20.0058-RU2 ist die installierte Version.
mächti
Beiträge: 48
Registriert: 08 Jun 2008, 10:31

Re: R883VAW zu Cisco ASA

Beitrag von mächti »

Bei den R88xx ist immer der Telnetport unter Management-Admin-Ports deaktiviert. Einfach mal aktivieren dann sollte die Traceausgabe funktionieren.
5624
Beiträge: 865
Registriert: 14 Mär 2012, 12:36

Re: R883VAW zu Cisco ASA

Beitrag von 5624 »

Für den LANtracer benötigt man Telnet über SSL, ansonsten kann man auch putty (oder einen anderen SSH-Client) nehmen und sich per ssh verbinden, um dann auf der Konsole zu tracen.
LCS NC/WLAN
duces
Beiträge: 7
Registriert: 14 Dez 2018, 10:06

Re: R883VAW zu Cisco ASA

Beitrag von duces »

mächti hat geschrieben: 17 Dez 2018, 15:31 Bei den R88xx ist immer der Telnetport unter Management-Admin-Ports deaktiviert. Einfach mal aktivieren dann sollte die Traceausgabe funktionieren.
Okay. Mit aktiviertem Telnet konnte ich ein Trace erstellen.

VPN-Status Trace:

Code: Alles auswählen

[VPN-Status] 2018/12/18 14:30:38,171  Devicetime: 2018/12/18 14:30:47,943
Peer VIP: Constructing an INFORMATIONAL-RESPONSE (DPD-RESPONSE) for send
Sending an INFORMATIONAL-RESPONSE of 80 bytes (encrypted)
VLAN-ID 0, Routing tag 0, Com-channel 423 (valid), hTxChan 1
Gateways: xx.xxx.xxx.xxx:500-->xxx.xx.xxx.xxx:500
SPIs: 0xE49C70D46084646C2F13FFD1CC095504, Message-ID 176
Wenn ich das richtig sehe, wird das falsche Routing Tag genommen. Dort müsste eigentlich eine "2" stehen, da am Lancom per Load Balancing zwei Internetanschlüsse geschalten sind.

Code: Alles auswählen

[IP-Router] 2018/12/18 14:59:14,467  Devicetime: 2018/12/18 14:59:24,373
IP-Router Rx (LAN-1, INTRANET, RtgTag: 0): 
DstIP: 10.0.250.23, SrcIP: 172.16.0.22, Len: 60, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: ICMP (1), echo request, id: 0x0001, seq: 0x5421
Network unreachable (no route) => Discard
5624
Beiträge: 865
Registriert: 14 Mär 2012, 12:36

Re: R883VAW zu Cisco ASA

Beitrag von 5624 »

Code: Alles auswählen

Peer VIP: Constructing an INFORMATIONAL-RESPONSE (DPD-RESPONSE) for send
Scheinbar besteht eine Verbindung, sonst würden keine DPD-Anfragen beantwortet werden.

Es sieht eher so aus, als würde es keine Route ins Netzwerk auf der anderen Seite des VPN-Tunnels geben.

Code: Alles auswählen

Network unreachable (no route) => Discard
LCS NC/WLAN
duces
Beiträge: 7
Registriert: 14 Dez 2018, 10:06

Re: R883VAW zu Cisco ASA

Beitrag von duces »

Aber wenn ich das richtig sehe, stimmt meine Route schon nicht.
Ich habe einen Zugang per Telekom (Routing Tag 2) und Vodafone (Routing Tag 1). Das Load Balancing hat das Tag 0.

Laut Trace versucht er das über das Load Balancing zu routen!?
5624
Beiträge: 865
Registriert: 14 Mär 2012, 12:36

Re: R883VAW zu Cisco ASA

Beitrag von 5624 »

Nein, versucht er nicht. Wenn eine spezifische Route mit dem Tag 0 vorhanden ist, gilt diese für alle und vor der Default-Route. Schnittstellen-Tags und Routing-Tags arbeiten da unterschiedlich.
LCS NC/WLAN
duces
Beiträge: 7
Registriert: 14 Dez 2018, 10:06

Re: R883VAW zu Cisco ASA

Beitrag von duces »

Neues Jahr, keiner hat was geändert, jedoch steht die VPN nicht mehr. :G)

Code: Alles auswählen

Zeitüberschreitung während IKE- oder IPSec-Verhandlung (Aktiver Verbindungsaufbau) [0x1106]
Im Trace iritiert mich diese Meldung:

Code: Alles auswählen

[VPN-Status] 2019/01/02 12:35:26,247  Devicetime: 2019/01/02 12:35:41,091
selecting first remote gateway using strategy eFirst for XXX
     => CurrIdx=0, IpStr=>195.50.XXX.XXX<, IpAddr=195.50.XXX.XXX, IpTtl=0s
Für den Aufbau der VPN darf der Router aber nur eine Leitung, von den zwei, nehmen.

Code: Alles auswählen

IKE_SA_INIT [initiator] for peer XXX initiator id  87.140.xxx.xxx, responder id  195.50.XXX.XXX
initiator cookie: 0xE3CD5DB4287889EE, responder cookie: 0xB3C25F1A49E5A512
SA ISAKMP for peer VIP Encryption AES-CBC-256  Integrity AUTH-HMAC-SHA-256  IKE-DH-Group 20  PRF-HMAC-SHA-256
life time soft 01/03/2019 12:35:11 (in 86400 sec) / 0 kb
life time hard 01/03/2019 18:35:11 (in 108000 sec) / 0 kb
DPD: 30 sec
Negotiated: IKE_FRAGMENTATION

-Required payload TSI (44) not received
-Received notificaion error(s): NOTIFY(NO_PROPOSAL_CHOSEN[CHILD_SA])

[VPN-Status] 2019/01/02 12:35:26,235  Devicetime: 2019/01/02 12:35:41,076
VPN: connection for XXX (195.50.XXX.XXX) timed out: no response

[VPN-Status] 2019/01/02 12:35:26,247  Devicetime: 2019/01/02 12:35:41,077
VPN: disconnecting XXX (195.50.XXX.XXX)

[VPN-Status] 2019/01/02 12:35:26,247  Devicetime: 2019/01/02 12:35:41,077
VPN: Error: IFC-I-Connection-timeout-IKE-IPSEC (0x1106) for XXX (195.50.XXX.XXX)
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: R883VAW zu Cisco ASA

Beitrag von GrandDixence »

Die Gegenseite akzeptiert die vom LANCOM-Gerät vorgeschlagenen Verschlüsselungsmethoden (Proposal) für den Datenkanal (ESP/IPSec) nicht (Child_SA). Entweder wurde an der Konfiguration der erlaubten Verschlüsselungsmethoden (Proposal für Child_SA) etwas geschraubt und der Aufbau des VPN-Tunnels funktioniert nicht mehr. Oder das Rekeying für den Datenkanal (ESP/IPSec) funktioniert nicht und somit wurde der bestehende VPN-Tunnel nach Ablauf der Gültigkeitsdauer des Datenkanals-Schlüsselmaterial (ESP/IPSec => Child_SA) getrennt. Siehe auch:

viewtopic.php?f=14&t=17207&p=97603
Antworten