Site-to-End VPN zwischen LANCOM 1681V und ShrewSoft-Client

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
HenryKissinger
Beiträge: 3
Registriert: 28 Aug 2011, 23:20

Site-to-End VPN zwischen LANCOM 1681V und ShrewSoft-Client

Beitrag von HenryKissinger »

Hallo,

ich versuche gerade, eine zertifikatsbasierte VPN-Verbindung zwischen dem ShrewSoft-VPN-Client und dem LANCOM 1681V einzurichten. In den Verbindungsparametern finde ich keine Fehler mehr, trotzdem scheitert der Verbindungsaufbau. Mittel trace + vpn-status erhalte ich auf dem LANCOM folgendes Protokoll:

Code: Alles auswählen

[VPN-Status] 2011/08/28 23:35:14,440
IKE info: The remote server 79.232.134.117:500 (UDP) peer def-main-peer id <no_id> negotiated rfc-3706-dead-peer-detection


[VPN-Status] 2011/08/28 23:35:14,440
IKE info: Phase-1 remote proposal 1 for peer def-main-peer matched with local proposal 1


[VPN-Status] 2011/08/28 23:35:14,790
IKE info: Phase-1 [responder] for peer VPN_TEST between initiator id CN=VPN_TEST, responder id CN=gw000 done
IKE info: SA ISAKMP for peer VPN_TEST encryption aes-cbc authentication md5
IKE info: life time ( 86400 sec/ 0 kb)


[VPN-Status] 2011/08/28 23:35:14,790
IKE info: Phase-1 SA Rekeying Timeout (Soft-Event) for peer VPN_TEST set to 77760 seconds (Responder)


[VPN-Status] 2011/08/28 23:35:14,790
IKE info: Phase-1 SA Timeout (Hard-Event) for peer VPN_TEST set to 86400 seconds (Responder)


[VPN-Status] 2011/08/28 23:35:14,800
IKE info: Delete Notification received for Phase-1 SA isakmp-peer-VPN_TEST peer VPN_TEST cookies [108d9d16a11aba88 df970a87838075e3]


[VPN-Status] 2011/08/28 23:35:14,800
IKE info: Phase-1 SA removed: peer VPN_TEST rule VPN_TEST removed


[VPN-Status] 2011/08/28 23:35:14,800
VPN: VPN_TEST (0.0.0.0)  disconnected

[VPN-Status] 2011/08/28 23:35:14,800
addToIdleMap, called by: 0066cb7c, 20, remote: 'VPN_TEST', static channel

[VPN-Status] 2011/08/28 23:35:14,800
vpn-maps[20], remote: VPN_TEST, idle, static-name
Leider kann ich daraus nicht das Problem ableiten. Ich vermute, es wird durch folgenden Eintrag angezeigt:

IKE info: Delete Notification received for Phase-1 SA isakmp-peer-VPN_TEST peer VPN_TEST cookies [108d9d16a11aba88 df970a87838075e3]

Aber was bedeutet das? Wurde Phase 1 erfolgreich aufgebaut, dann aber wegen eines Problems in Phase 2 wieder abgebaut oder ist das Problem doch noch Bestandteil der Pfase 1? Was bedeutet der cookies-Eintrag und die dahinter befindlichen Daten?

Vielen Dank für jede Hilfe.

Gruss
Nach oben
backslash
Moderator
Moderator
Beiträge: 7129
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Beitrag von backslash »

Hi HenryKissinger
Leider kann ich daraus nicht das Problem ableiten. Ich vermute, es wird durch folgenden Eintrag angezeigt:

IKE info: Delete Notification received for Phase-1 SA isakmp-peer-VPN_TEST peer VPN_TEST cookies [108d9d16a11aba88 df970a87838075e3]
ja, da hat der ShrewSoft-Client dem LANCOM mitgeteilt, daß er die Verbindung beendet hat - da müßtest du beim Client nachshauen, ob er ein Log schreibt, indem du vielleicht den Grund dafür siehst.
Aber was bedeutet das? Wurde Phase 1 erfolgreich aufgebaut, dann aber wegen eines Problems in Phase 2 wieder abgebaut oder ist das Problem doch noch Bestandteil der Pfase 1?
Daß bedeutet, daß die Phase 1 erfolgreich aufgebaut wurde und daß der Client sie - aus welchem Grund auch immer - wieder abbaut. Da mußt du schon beim Client nachschauen, warum er die Verbindung wieder getrennt hat.
Was bedeutet der cookies-Eintrag und die dahinter befindlichen Daten?
Die Cookies bezeichnen einfach nur die Phase-1 SA. Jede Seite bestimmt dazu einen zufälligen 64-Bit-Wert um die SA eindeutig zuzuordnen. Die insgesamt 128 Bit der beiden Cookies sind somit weltweit (vermutlich) einmalig...

Gruß
Backslash
Nach oben
HenryKissinger
Beiträge: 3
Registriert: 28 Aug 2011, 23:20

Beitrag von HenryKissinger »

Hallo backslash,

ich bin deinem Vorschlag gefolgt und habe mich mit dem Shrew Soft VPN Trace beschäftigt. Die Meldungen deuteten auf ein Problem hin, das Zertifikat des remote peers zu verifizieren. Ursache war, dass ich im Shrew Soft Client unter "Server Certificate Authority File" nicht das Zertifikat der Zertifizierungstelle, sondern das des LANCOM-gateways eingetragen hatte. Nachdem ich das korrigiert hatte, war das Problem behoben.

Ich glaube, ohne deinen Hinweis hätte ich noch lange an der falschen Stelle gesucht. Vielen Dank.

Die Verbindung steht zwar noch nicht, weil es nun Probleme in Phase 2 gibt. Da werde ich aber erst einmal die Protokolle studieren und hoffe, dass ich den Rest dann selbst lösen kann.

Gruß
HenryKissinger
Nach oben
Antworten

Zurück zu „Fragen zum Thema VPN“