Hallo zusammen,
ich scheitere aktuell hier an einem Azure Site-to-Site VPN mit einem Lancom. Ich habe mich der Anleitung aus der Lancom KB bedient, sowie von Microsoft.
Die Verbindung kommt nicht zu Stande. Alles soweit geprüft, aber ich übersehe etwas. Vielleicht kann mir mal jemand einen Tipp geben.
[VPN-Status] 2016/12/13 20:25:30,473 Devicetime: 2016/12/13 20:25:29,863 VPN: rulesets installed
[VPN-Status] 2016/12/13 20:25:31,493 Devicetime: 2016/12/13 20:25:30,860 VPN: WAN state changed to WanCall for AZURE (AZURE-publicIP), called by: 00c20844
[VPN-Status] 2016/12/13 20:25:31,493 Devicetime: 2016/12/13 20:25:30,861 VPN: connecting to AZURE (AZURE-publicIP)
[VPN-Status] 2016/12/13 20:25:31,493 Devicetime: 2016/12/13 20:25:30,861 vpn-maps[23], remote: AZURE, nego, static-name, connected-by-name
[VPN-Status] 2016/12/13 20:25:31,493 Devicetime: 2016/12/13 20:25:30,861 vpn-maps[23], remote: AZURE, nego, static-name, connected-by-name
[VPN-Status] 2016/12/13 20:25:31,493 Devicetime: 2016/12/13 20:25:30,866 vpn-maps[23], remote: AZURE, nego, static-name, connected-by-name
[VPN-Status] 2016/12/13 20:25:31,493 Devicetime: 2016/12/13 20:25:30,866 VPN: start IKE negotiation for AZURE (AZURE-publicIP)
[VPN-Status] 2016/12/13 20:25:31,493 Devicetime: 2016/12/13 20:25:30,866 VPN: WAN state changed to WanProtocol for AZURE (AZURE-publicIP), called by: 00c20844
[VPN-Status] 2016/12/13 20:25:31,493 Devicetime: 2016/12/13 20:25:30,867 IKE info: Phase-1 negotiation started for peer AZURE rule isakmp-peer-AZURE using AGGRESSIVE mode
[VPN-Status] 2016/12/13 20:25:59,989 Devicetime: 2016/12/13 20:25:59,377 IKE info: message_v2_validate_sa: no exchange available, failure
[VPN-Status] 2016/12/13 20:25:59,989 Devicetime: 2016/12/13 20:25:59,377 IKE info: ikev2: dropped message from AZURE-publicIP port 500 due to notification type INVALID_SYNTAX
[VPN-Status] 2016/12/13 20:25:59,989 Devicetime: 2016/12/13 20:25:59,377 Peer <UNKNOWN>: Received an IKE_SA_INIT-REQUEST of 880 bytes Gateways: LANCOM-publicIP:500<--AZURE-publicIP:500 SPIs: 0xAB27C126D8BD646A0000000000000000, Message-ID 0 -Could not assign message from AZURE-publicIP to any existing peer.
-Either Peer's remote gateway is unspecified/unresolved by DNS, or
-IKEv2 message came through unexpected interface, or
-DEFAULT peer is not active
-Message could not be validated => dropping
[VPN-Status] 2016/12/13 20:26:00,990 Devicetime: 2016/12/13 20:26:00,383 IKE info: message_v2_validate_sa: no exchange available, failure
[VPN-Status] 2016/12/13 20:26:00,990 Devicetime: 2016/12/13 20:26:00,384 IKE info: ikev2: dropped message from AZURE-publicIP port 500 due to notification type INVALID_SYNTAX
[VPN-Status] 2016/12/13 20:26:00,990 Devicetime: 2016/12/13 20:26:00,384 Peer <UNKNOWN>: Received an IKE_SA_INIT-REQUEST of 880 bytes Gateways: LANCOM-publicIP:500<--AZURE-publicIP:500 SPIs: 0xAB27C126D8BD646A0000000000000000, Message-ID 0
-Could not assign message from AZURE-publicIP to any existing peer.
-Either Peer's remote gateway is unspecified/unresolved by DNS, or
-IKEv2 message came through unexpected interface, or
-DEFAULT peer is not active
-Message could not be validated => dropping
[VPN-Status] 2016/12/13 20:26:01,490 Devicetime: 2016/12/13 20:26:00,866 VPN: connection for AZURE (AZURE-publicIP) timed out: no response
[VPN-Status] 2016/12/13 20:26:01,490 Devicetime: 2016/12/13 20:26:00,866 VPN: connection for AZURE (AZURE-publicIP) timed out: no response
[VPN-Status] 2016/12/13 20:26:01,490 Devicetime: 2016/12/13 20:26:00,866 VPN: disconnecting AZURE (AZURE-publicIP)
[VPN-Status] 2016/12/13 20:26:01,490 Devicetime: 2016/12/13 20:26:00,866 VPN: Error: IFC-I-Connection-timeout-IKE-IPSEC (0x1106) for AZURE (AZURE-publicIP)
[VPN-Status] 2016/12/13 20:26:01,490 Devicetime: 2016/12/13 20:26:00,872 IKE info: Disconnect Request for peer AZURE (ikev1)
[VPN-Status] 2016/12/13 20:26:01,490 Devicetime: 2016/12/13 20:26:00,873 vpn-maps[23], remote: AZURE, idle, static-name
[VPN-Status] 2016/12/13 20:26:01,490 Devicetime: 2016/12/13 20:26:00,878 selecting next remote gateway using strategy eFirst for AZURE => no remote gateway selected
[VPN-Status] 2016/12/13 20:26:01,490 Devicetime: 2016/12/13 20:26:00,878 selecting first remote gateway using strategy eFirst for AZURE => CurrIdx=0, IpStr=>AZURE-publicIP<, IpAddr=AZURE-publicIP, IpTtl=0s
[VPN-Status] 2016/12/13 20:26:01,490 Devicetime: 2016/12/13 20:26:00,878 VPN: installing ruleset for AZURE (AZURE-publicIP)
[VPN-Status] 2016/12/13 20:26:01,490 Devicetime: 2016/12/13 20:26:00,878 VPN: WAN state changed to WanDisconnect for AZURE (AZURE-publicIP), called by: 00c20844
[VPN-Status] 2016/12/13 20:26:01,490 Devicetime: 2016/12/13 20:26:00,878 Config parser: Start
[VPN-Status] 2016/12/13 20:26:01,490 Devicetime: 2016/12/13 20:26:00,879 Config parser: Finish
Wall clock time: 0 ms
CPU time: 0 ms
[VPN-Status] 2016/12/13 20:26:01,490 Devicetime: 2016/12/13 20:26:00,879 VPN: WAN state changed to WanIdle for AZURE (AZURE-publicIP), called by: 00c20844
[VPN-Status] 2016/12/13 20:26:01,490 Devicetime: 2016/12/13 20:26:00,881 VPN: rulesets installed
Danke + Gruß
WWW-KR
S2S Azure
Moderator: Lancom-Systems Moderatoren
Re: S2S Azure
Hi,
ich habe mit Deinen Trace aus Zeitgründen nicht angeschaut, ich kann Dir nur sagen, dass es mit den passenden Einstellungen funktioniert.
In den Verbindungsparametern der AZURE-VPN muss z. B. für PFS-Gruppe "Kein PFS" eingestellt werden, für IKE-Gruppe die 2.
Glaube der Verbindungsaufbau ging nur von AZURE aus - im LANCOM also Haltezeit 0.
Viele Grüße,
Jirka
ich habe mit Deinen Trace aus Zeitgründen nicht angeschaut, ich kann Dir nur sagen, dass es mit den passenden Einstellungen funktioniert.
In den Verbindungsparametern der AZURE-VPN muss z. B. für PFS-Gruppe "Kein PFS" eingestellt werden, für IKE-Gruppe die 2.
Glaube der Verbindungsaufbau ging nur von AZURE aus - im LANCOM also Haltezeit 0.
Viele Grüße,
Jirka
Re: S2S Azure
Hallo Jirka,
bis auf die Aussage, dass der Aufbau von Azure aus laufen muss, war alles andere bereits aus der KB von Lancom bekannt und so eingestellt.
Aber selbst mit Verbindungsaufbau von Azure aus klappt es nicht.
Gruß
WWW-KR
bis auf die Aussage, dass der Aufbau von Azure aus laufen muss, war alles andere bereits aus der KB von Lancom bekannt und so eingestellt.
Aber selbst mit Verbindungsaufbau von Azure aus klappt es nicht.
Gruß
WWW-KR
Re: S2S Azure
Hi,
dass es da inzwischen sogar eine Anleitung in der Knowledgebase gibt, war mir nicht bekannt. Als ich bereits derartige VPN-Verbindungen konfigurieren musste (vor 2 Jahren ca.), da gab es noch keine Anleitung.
Was nutzt Du denn? IKEv1 oder IKEv2?
Ich kann nur sagen, dass alles einwandfrei funktioniert und bei Dir dann an irgendeiner Stelle ein Problem sein muss. Vermutlich auch eine Stelle, die nicht in der Knowledgebase aufgeführt ist, weil dort die restliche VPN-Konfiguration vorausgesetzt wird.
Viele Grüße,
Jirka
EDIT: Habe mal auf Deinen Trace geschaut. Folgende zwei Sachen fallen einem auf Anhieb auf:
IKE info: Phase-1 negotiation started for peer AZURE rule isakmp-peer-AZURE using AGGRESSIVE mode
Could not assign message from AZURE-publicIP to any existing peer.
Also meine Verbindungen sind im (sicheren) Main-Mode konfiguriert.
dass es da inzwischen sogar eine Anleitung in der Knowledgebase gibt, war mir nicht bekannt. Als ich bereits derartige VPN-Verbindungen konfigurieren musste (vor 2 Jahren ca.), da gab es noch keine Anleitung.
Was nutzt Du denn? IKEv1 oder IKEv2?
Ich kann nur sagen, dass alles einwandfrei funktioniert und bei Dir dann an irgendeiner Stelle ein Problem sein muss. Vermutlich auch eine Stelle, die nicht in der Knowledgebase aufgeführt ist, weil dort die restliche VPN-Konfiguration vorausgesetzt wird.
Viele Grüße,
Jirka
EDIT: Habe mal auf Deinen Trace geschaut. Folgende zwei Sachen fallen einem auf Anhieb auf:
IKE info: Phase-1 negotiation started for peer AZURE rule isakmp-peer-AZURE using AGGRESSIVE mode
Could not assign message from AZURE-publicIP to any existing peer.
Also meine Verbindungen sind im (sicheren) Main-Mode konfiguriert.
Re: S2S Azure
Hallo,
Problem gelöst. Die Anleitung ist für IKE und die alte Verwaltungsoberfläche in Azure. Wird die neue Verwaltungsoberfläche genutzt, kann man den KB-Artikel von Lancom vergessen. Hier kommt IKE2 zu Anwendung, in meinem Log waren auch die Hinweise dafür drin in der Zeile: IKE info: ikev2: dropped message from AZURE-publicIP port 500 due to notification type INVALID_SYNTAX.
Nachdem ich nun eine IKE2 Verbindung konfiguriert habe, klappt es direkt ohne Problem.
Danke für die Unterstützung!
Gruß
WWW-KR
Problem gelöst. Die Anleitung ist für IKE und die alte Verwaltungsoberfläche in Azure. Wird die neue Verwaltungsoberfläche genutzt, kann man den KB-Artikel von Lancom vergessen. Hier kommt IKE2 zu Anwendung, in meinem Log waren auch die Hinweise dafür drin in der Zeile: IKE info: ikev2: dropped message from AZURE-publicIP port 500 due to notification type INVALID_SYNTAX.
Nachdem ich nun eine IKE2 Verbindung konfiguriert habe, klappt es direkt ohne Problem.
Danke für die Unterstützung!
Gruß
WWW-KR
-
NexcomBonn
- Beiträge: 1
- Registriert: 20 Dez 2016, 10:59
Re: S2S Azure
Danke für deine positive Nachricht, so sind wir auf dieses Forum gestoßen.WWW-KR hat geschrieben:Hallo,
Problem gelöst.
Nachdem ich nun eine IKE2 Verbindung konfiguriert habe, klappt es direkt ohne Problem.
Leider scheitern wir auf unserer Seite noch bei der Konfiguration der Azure IKE2 S2S VPN-Verbindung.
Alle bisherigen Versuche laufen auf einen Timeout (Gateway antwortet nicht) heraus.
Ist es möglich, dass du uns einen kurzen Überblick über deine durchgeführten Schritte gibst, welche zum Erfolg geführt haben?
Freundliche Grüße,
Nexcom
Re: S2S Azure
Hallo Nexus,
im Grunde wie ich es schon geschrieben habe. Je nach Verwaltungsoberfläche, die du in Azure nutzt, kannst du bei der alten nach diesem Artikel von Lancom vorgehen: https://www2.lancom.de/kb.nsf/1275/1583 ... enDocument
Falls du zu der neuen gegriffen hast, wie in meinem Fall, dann muss die ein Einstellungen unter IKEv2 vornehmen. Die Einstellungen unterscheiden sich nicht groß, lediglich muss du diese an einer anderen Stelle vornehmen.
Der im KB von Lancom verlinkte Microsoft Artikel hilft dir auf der Azure Seite weiter.
Ich hoffe, ich konnte dir damit etwas Hilfe leisten.
Gruß und ein erfolgreiches neues Jahr!
WWW-KR
im Grunde wie ich es schon geschrieben habe. Je nach Verwaltungsoberfläche, die du in Azure nutzt, kannst du bei der alten nach diesem Artikel von Lancom vorgehen: https://www2.lancom.de/kb.nsf/1275/1583 ... enDocument
Falls du zu der neuen gegriffen hast, wie in meinem Fall, dann muss die ein Einstellungen unter IKEv2 vornehmen. Die Einstellungen unterscheiden sich nicht groß, lediglich muss du diese an einer anderen Stelle vornehmen.
Der im KB von Lancom verlinkte Microsoft Artikel hilft dir auf der Azure Seite weiter.
Ich hoffe, ich konnte dir damit etwas Hilfe leisten.
Gruß und ein erfolgreiches neues Jahr!
WWW-KR