Racoon Roadwarrior gegen LANCOM DSL/I-1611 Office

fozorify · Beitrag von **fozorify** » 31 Aug 2010, 08:40

Hallo Lancom-Forum,

ich versuche seit ein paar Tagen einen Racoon-Client mit einer LANCOM DSL/I-1611 Office zu verbinden. Allerdings scheiterte ich bisher immer in IKE-Phase 2.

trace # vpn-status sagt das:

[VPN-Status] 2010/08/31 08:29:02,020
IKE info: Phase-2 failed for peer MY_VPN: no rule matches the phase-2 ids 192.168.2.0/255.255.255.0 <-> 10.10.1.0/255.255.255.0
IKE log: 082902.000000 Default message_negotiate_sa: no compatible proposal found
IKE log: 082902.000000 Default dropped message from a.b.c.d port 501 due to notification type NO_PROPOSAL_CHOSEN
IKE info: dropped message from peer MY_VPN a.b.c.d port 501 due to notification type NO_PROPOSAL_CHOSEN

[VPN-Status] 2010/08/31 08:29:02,040
VPN: Error: IPSEC-R-No-rule-matched-IDs (0x3201) for MY_VPN (a.b.c.d)

Meine racoon.conf sieht so aus:

path pre_shared_key "/etc/racoon/psk.txt";

remote the.remote.host.ip {
exchange_mode aggressive;
my_identifier fqdn "me.dyndns.org";

proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group modp1024;
}
}

sainfo address 192.168.2.0/24[any] any address 10.10.1.0/24[any] any {
pfs_group 2;
encryption_algorithm 3des;
authentication_algorithm hmac_md5;
compression_algorithm deflate;
}

Meine ipsec.conf sieht so aus:

#!/bin/setkey -f

# Flush SAD and SPD
flush;
spdflush;

# Richtlinien
spdadd 192.168.2.0/24 10.10.1.0/24 any -P out ipsec
esp/tunnel/192.168.2.100-the.remote.host.ip/require;

spdadd 10.10.1.0/24 192.168.2.0/24 any -P in ipsec
esp/tunnel/the.remote.host.ip-192.168.2.100/require;

Ich bin mir nicht sicher, aber könntes es daran liegen das die Lancom-Box die vom Client vorgeschlagene Regel nicht kennt?

IKE info: Phase-2 failed for peer MY_VPN: no rule matches the phase-2 ids 192.168.2.0/255.255.255.0 <-> 10.10.1.0/255.255.255.0

Diese wird hier definiert:

sainfo address 192.168.2.0/24[any] any address 10.10.1.0/24[any] any {
pfs_group 2;
encryption_algorithm 3des;
authentication_algorithm hmac_md5;
compression_algorithm deflate;
}

Hoffe jemand kann mir helfen.
Vielen Dank im Vorraus.

Und freundliche Grüße

backslash · Beitrag von **backslash** » 31 Aug 2010, 16:05

Hi fozorify

Ich bin mir nicht sicher, aber könntes es daran liegen das die Lancom-Box die vom Client vorgeschlagene Regel nicht kennt?

genau... Das LANCOM muß im LAN eine Adresse aus dem 192.168.2.0/24 Netz haben - die Netzmaske muß dabei auch 255.255.255.0 sein - und die VPN-Route muß auf das komplette 10.10.1.0/24 zeigen. Sobald die Netzbeziehungen nicht exakt übereinstimmen kommt die Fehlermeldung.

Gruß
Backslash

fozorify · Beitrag von **fozorify** » 31 Aug 2010, 17:27

Hmm, jetzt steh ich gerade auf'm Schlauch.
Die Lancom muss eine Adress aus dem Netz 192.168.2.0/24 haben?
Das ist aber mein lokales Netz. 10.10.1.0/24 ist das LAN in dem sich die Lancom-Büchse befindet.

grüße

PS:

Habe dieses HowTo verwendet: http://brokenpipe.de/index.php/VPN-Road ... COM-Router

backslash · Beitrag von **backslash** » 31 Aug 2010, 19:18

Hi fozorify

OK, dann halt anders herum... Das wichtige ist, daß die Netzbeziehungen auf beiden Seiten gleich sind...

Normalerweise steht bei den Ausgaben den VPN-Status-Traces "links" die lokale und "rechts" die remote Seite. Hier wird aber das ausgegeben, was die Gegenseite fortert, daher steht hier "links" die remote und "rechts" die lokale Seite.

Das heißt nun also, daß das LANCOM im 10.10.1.x-Netz stehen und daß das ganze 192.168.2.x-Netz auf dei VPN-Route liegen mußt...

Gruß
Backslash