Über eine vpn verbindung andere VPN Netzte erreichen

[kallippo]

Hallo zusammen,
wie haben 10 Lancom Router im Einsatz. 2 Router haben permanete Verbindugen zu allen anderen. Nun möchte ich mit einem weitern Router eine Vpn Verbindung zu einem der beiden aufbauen. Von dort aus möchte ich über die vorhandenen Vpn Verbindungen noch in die anderen Netze.
Wenn ich mit dem adv Vpn Client einwähle geht das auch, nur wenn ich eine Verbindung mit einem Lancom Router aufbaue, komme ich nur in das Netz des ersten Routers.
Im Lanmonitor kann ich sehen, das zu dem Netz wo ich hin möchte eine Verbindung zwar steht, aber ich folgende Fehlermeldung bekomme: Kein übereinstimmendes Proposal gefunden. Nun meine Frage, wie bekomme ich das hin, in die anderen Netze zu kommen. Die Netze sind ja schon den anderen Routern bekannt, weil er versucht ja in das richtige Netz eine verbindung aufzubauen, obwohl schon eine besteht. Die Firewall hatte ich auch schon mal ausgeschaltet, lag auch nicht daran, kam genau das gleiche.
Hat jemand einen Rat für mich, bin schon fast am verzweifeln. Alle Verbindungen sind über den Wizard gemacht und funktionieren auch.

Grüße
Michael

[ft2002]

Du musst in der Firewall eine Regel einrichten!

Wie hast Du die VPN Verbindungen gemacht nenn mal Netze dann kann man das besser erklären.

[kallippo]

Hallo, habe folgende Netze miteinander verbunden. 192.168.60.0 ist der Zentrale Router wo alle Verbindungen zusammenlaufen. Die anderen Netze sind: 192.168.20.0 bis 192.168.92.0 und 10.0.39.0 bis 10.0.148.0
Gruß Michael

[ft2002]

ich hoffe Du weist was ich meine.

Es muß für den Aufbau in Phase2 je ein SA-Paar erzeugt werden für die Netzbeziehungen.

Solltest Du deshalb in der Zentrale Regeln Einrichten je Gegenstelle: also in AN Stationen das zu erreichende Netz und dann passend in von die die dürfen inkl. vor Ort

Kontrolle an den Routern per Telnet rauf und eingeben show vpn, da siehst Du die Netzbeziehungen passenden SA`s

In VPN/Verbindungsliste in der Verbindung auf Manuell stellen; dann wird zur erzeugung der SA's die Firewall und Routing herangezogen.

Mach es erst mit 2 Externen Standorten

[kallippo]

Hallo,
Danke für deine Antwort, jetz bekomme ich nen anderen Fehler
Keine Regel für IDs gefunden oder unbekannte ID.
Was habe ich jetzt falsch gemacht, mein Chef killt mich

[kallippo]

Welche Regeln hast du gesetzt? ich habe übertragen ausgewählt

[ft2002]

Schau mal per telnet auf den Router und gib shoe vpn ein oder im Lanmonitor rechte Maus auf Router und Trace da gibt es im Baum oben show und dan vpn einmal auslesen.

Dort mußt Du die Netzbeziehung für jede Verbindung haben und es muß gegenläufig im andern Gerät sein .

Kannst du das mal Posten

[kallippo]

hm wie bekomme ich die Tracedatei hier rein?

[kallippo]

Hi Hier sind die Daten. Ich wollte eine terminalsitzung auf den Router 130 aufbauen.



[TraceStarted] 2010/05/11 20:32:26,676
Used config:
# Trace config
trace + VPN-Status

# Show commands
show bootlog
[VPN-Status] 2010/05/11 20:32:30,756 Devicetime: 1900/01/01 02:19:03,700
VPN: poll timeout for ROUTER130 (84.61.141.159)
remote site answered during intervall
send poll frame to 192.168.50.254
[VPN-Status] 2010/05/11 20:32:30,966 Devicetime: 1900/01/01 02:19:03,710
VPN: Poll reply from ROUTER130 (84.61.141.159)
[VPN-Status] 2010/05/11 20:32:31,906 Devicetime: 1900/01/01 02:19:04,840
IKE info: NOTIFY received of type NO_PROPOSAL_CHOSEN for peer ROUTER130
[VPN-Status] 2010/05/11 20:32:31,906 Devicetime: 1900/01/01 02:19:04,840
VPN: Error: IPSEC-I-No-proposal-matched (0x3102) for ROUTER130 (84.61.141.159)
[VPN-Status] 2010/05/11 20:32:33,286 Devicetime: 1900/01/01 02:19:06,230
starting external DNS resolution for HERDECKE
IpStr=>herdecke.selfip.com<, IpAddr(old)=188.101.71.233, IpTtl(old)=38s
[VPN-Status] 2010/05/11 20:32:34,246 Devicetime: 1900/01/01 02:19:07,190
external DNS resolution for HERDECKE
IpStr=>herdecke.selfip.com<, IpAddr(old)=188.101.71.233, IpTtl(old)=38s
IpStr=>herdecke.selfip.com<, IpAddr(new)=188.101.71.233, IpTtl(new)=60s
[VPN-Status] 2010/05/11 20:32:36,876 Devicetime: 1900/01/01 02:19:09,810
IKE info: NOTIFY received of type ISAKMP_NOTIFY_DPD_R_U_THERE for peer ROUTER55 Seq-Nr 0x4e603737, expected 0x4e603737
[VPN-Status] 2010/05/11 20:32:36,876 Devicetime: 1900/01/01 02:19:09,810
IKE info: ISAKMP_NOTIFY_DPD_R_U_THERE_ACK sent for Phase-1 SA to peer ROUTER55, sequence nr 0x4e603737
[VPN-Status] 2010/05/11 20:32:37,486 Devicetime: 1900/01/01 02:19:10,430
VPN: poll timeout for ROUTERDO31 (92.72.85.176)
remote site answered during intervall
send poll frame to 10.0.39.254
[VPN-Status] 2010/05/11 20:32:37,706 Devicetime: 1900/01/01 02:19:10,450
VPN: Poll reply from ROUTERDO31 (92.72.85.176)
[VPN-Status] 2010/05/11 20:32:38,476 Devicetime: 1900/01/01 02:19:11,420
VPN: poll timeout for NADO11 (88.78.172.243)
remote site answered during intervall
send poll frame to 10.0.147.254
[VPN-Status] 2010/05/11 20:32:38,696 Devicetime: 1900/01/01 02:19:11,430
VPN: Poll reply from NADO11 (88.78.172.243)
[VPN-Status] 2010/05/11 20:32:38,926 Devicetime: 1900/01/01 02:19:11,860
IKE info: NOTIFY received of type NO_PROPOSAL_CHOSEN for peer ROUTER130
[VPN-Status] 2010/05/11 20:32:38,926 Devicetime: 1900/01/01 02:19:11,860
VPN: Error: IPSEC-I-No-proposal-matched (0x3102) for ROUTER130 (84.61.141.159)
[TraceStopped] 2010/05/11 20:32:41,696
Used config:
# Trace config
trace + VPN-Status

[kallippo]

noch ne Frage, muss der DNS aktiv sein?
Wir haben in den Netzen W2003 und W2008 Server die als DNS laufen

[kallippo]

Was auch noch seltsam ist, wenn ich mich über den Adv Client einlogge, erreiche ich alle Netzte ohne Probleme.

[ft2002]

Als AVC Client bist du ein Teil des localen Netzes

es ist auf jeden fall die Netzbeziehung falsch , versuch mal in der Verbindungsliste wieder Automatisch dann sollte es gehen aber mit Fehler, welche sind interresant !

Ich weis ist schwer aber show vpn ist hier wichtig, den vorher hat es funktioniert und jetzt stimmen die SA's nicht

[kallippo]

Habe die VPn Verbindung vom Router zur Zentrale auf beiden Seiten auf Automatisch gestellt. Das kam dabei raus. Hatte ne terminalverbindung auf Router 31 versucht.
[VPN-Status] 2010/05/11 22:18:04,155 Devicetime: 2010/05/11 22:17:56,710
suppress DNS resolution for ROUTER81
IpStr=>asa81.selfip.org<, IpAddr=84.60.57.98, IpTtl=60s
[VPN-Status] 2010/05/11 22:18:07,795 Devicetime: 2010/05/11 22:18:00,400
VPN: poll timeout for APO1301OG (84.61.138.205)
send poll frame to 192.168.70.254
[VPN-Status] 2010/05/11 22:18:08,015 Devicetime: 2010/05/11 22:18:00,420
VPN: Poll reply from APO1301OG (84.61.138.205)
[VPN-Status] 2010/05/11 22:18:20,865 Devicetime: 2010/05/11 22:18:13,470
VPN: poll timeout for ROUTER55 (84.61.230.120)
remote site answered during intervall
send poll frame to 192.168.30.254
[VPN-Status] 2010/05/11 22:18:21,085 Devicetime: 2010/05/11 22:18:13,490
VPN: Poll reply from ROUTER55 (84.61.230.120)
[VPN-Status] 2010/05/11 22:18:21,325 Devicetime: 2010/05/11 22:18:13,810
VPN: poll timeout for ROUTER130 (84.61.141.159)
remote site answered during intervall
send poll frame to 192.168.50.254
[VPN-Status] 2010/05/11 22:18:21,325 Devicetime: 2010/05/11 22:18:13,830
VPN: Poll reply from ROUTER130 (84.61.141.159)
[VPN-Status] 2010/05/11 22:18:21,325 Devicetime: 2010/05/11 22:18:13,870
IKE info: Phase-2 failed for peer APO1301OG: no rule matches the phase-2 ids 192.168.0.0/255.255.0.0 <-> 192.168.20.0/255.255.255.0
IKE log: 221813.000000 Default message_negotiate_sa: no compatible proposal found
IKE log: 221813.000000 Default dropped message from 84.61.138.205 port 500 due to notification type NO_PROPOSAL_CHOSEN
IKE info: dropped message from peer APO1301OG 84.61.138.205 port 500 due to notification type NO_PROPOSAL_CHOSEN
[VPN-Status] 2010/05/11 22:18:21,325 Devicetime: 2010/05/11 22:18:13,890
VPN: Error: IPSEC-R-No-rule-matched-IDs (0x3201) for APO1301OG (84.61.138.205)
[VPN-Status] 2010/05/11 22:18:25,155 Devicetime: 2010/05/11 22:18:17,760
VPN: poll timeout for ROUTER146 (188.101.26.46)
remote site answered during intervall
send poll frame to 10.0.148.254
[VPN-Status] 2010/05/11 22:18:25,375 Devicetime: 2010/05/11 22:18:17,780
VPN: Poll reply from ROUTER146 (188.101.26.46)
[VPN-Status] 2010/05/11 22:18:28,355 Devicetime: 2010/05/11 22:18:20,930
IKE info: Phase-2 failed for peer APO1301OG: no rule matches the phase-2 ids 192.168.0.0/255.255.0.0 <-> 192.168.20.0/255.255.255.0
IKE log: 221820.000000 Default message_negotiate_sa: no compatible proposal found
IKE log: 221820.000000 Default dropped message from 84.61.138.205 port 500 due to notification type NO_PROPOSAL_CHOSEN
IKE info: dropped message from peer APO1301OG 84.61.138.205 port 500 due to notification type NO_PROPOSAL_CHOSEN
[VPN-Status] 2010/05/11 22:18:28,355 Devicetime: 2010/05/11 22:18:20,940
VPN: Error: IPSEC-R-No-rule-matched-IDs (0x3201) for APO1301OG (84.61.138.205)
[VPN-Status] 2010/05/11 22:18:29,285 Devicetime: 2010/05/11 22:18:21,890
VPN: poll timeout for ROUTER81 (84.60.57.98)
remote site answered during intervall
send poll frame to 192.168.60.254
[VPN-Status] 2010/05/11 22:18:29,505 Devicetime: 2010/05/11 22:18:21,910
VPN: Poll reply from ROUTER81 (84.60.57.98)
[VPN-Status] 2010/05/11 22:18:37,385 Devicetime: 2010/05/11 22:18:29,970
IKE info: Phase-2 failed for peer APO1301OG: no rule matches the phase-2 ids 192.168.0.0/255.255.0.0 <-> 192.168.20.0/255.255.255.0
IKE log: 221829.000000 Default message_negotiate_sa: no compatible proposal found
IKE log: 221829.000000 Default dropped message from 84.61.138.205 port 500 due to notification type NO_PROPOSAL_CHOSEN
IKE info: dropped message from peer APO1301OG 84.61.138.205 port 500 due to notification type NO_PROPOSAL_CHOSEN
[VPN-Status] 2010/05/11 22:18:37,385 Devicetime: 2010/05/11 22:18:29,970
VPN: Error: IPSEC-R-No-rule-matched-IDs (0x3201) for APO1301OG (84.61.138.205)
[VPN-Status] 2010/05/11 22:18:37,795 Devicetime: 2010/05/11 22:18:30,400
VPN: poll timeout for APO1301OG (84.61.138.205)
remote site answered during intervall
send poll frame to 192.168.70.254
[VPN-Status] 2010/05/11 22:18:38,015 Devicetime: 2010/05/11 22:18:30,420
VPN: Poll reply from APO1301OG (84.61.138.205)
[TraceStopped] 2010/05/11 22:18:38,535

[kallippo]

Er bringt mir übigens die gleiche Fehlermeldung: Keine Regel für Ids gefunden-

[kallippo]

Obwohl er sagt, das die Verbindung besteht, halt mit Fehlermeldung