Unterschied NCP Entry-/Enterprise Client.

ua · Beitrag von ua » 21 Mai 2005, 20:21

Hallo Zusammen,

habe einige Zeit den NCP Entry-Client sehr erfolgreich benutzt (PSK mit FQUN. Gegenstellen: LC1611, 8011; Cisco: PIX&Router; Bintec x2300).
Da die 30Tage Version jetzt abgelaufen ist, wurde auf den Enterprise Client geupdated.

Alle VPN-Verbindungen funktionieren, bis auf die beiden LanComs?

Telefonbucheinträge wurden 1 zu 1 übernomemn, beim Start der VPN Verbindung möchte der Client jetzt auch immer Username/Password haben, bei den Ciscos kann ich eintragen was ich möchte, es funktioniert immer.
Bei den LC bleibt die Verbindung bei folgendem Punkt hängen:
21.05.2005 20:19:13 IPSDIALCHAN::start building connection
21.05.2005 20:19:13 NCPIKE-phase1:name(VPN_GRAPPA) - outgoing connect request - aggressive mode.
21.05.2005 20:19:13 XMIT_MSG1_AGGRESSIVE - VPN_GRAPPA
21.05.2005 20:19:31 NCPIKE-phase1:name(VPN_GRAPPA) - error - retry timeout - max retries
21.05.2005 20:19:31 NCPIKE-phase2:name(VPN_GRAPPA) - error - cleared by phase1
21.05.2005 20:19:31 IPSDIAL - disconnected from VPN_GRAPPA on channel 1.
Im Log vom LC ist leider gar nichts zu sehen.

Vermutlich will der Client XAuth machen, aber stelle ich das ab? Die FAQ von NCP sind leider nicht sehr informativ.

Viele Grüße aus dem Rheinland

Udo

Beitrag von **LoUiS** » 21 Mai 2005, 20:33

Hi Udo,

nur mal so aus Interesse? Warum stellst Du die Frage gerade hier und nicht bei NCP? Schliesslich hast Du den Client dort gekauft?

Ciao
LoUiS

ua · Beitrag von ua » 21 Mai 2005, 21:02

Hallo Louis,

In der Knowledgebase von NCP habe ich leider gar nichts gefunden. Auf jeden Suchtext gibt es nur den Verweis auf ein einziges Dokument Ergebnisse der Suche: "NCP Secure Client und Cisco (3000series & PIX)"!

Danach hatte ich mal das Supportformular aufgerufen und den Stundensatz von EUR 97 gelesen.

Deshelb erstmal hier die kurze Anfrage ob das Problem bekannt ist. Es könnte ja "mit einem Klick geschehen sein".

Viele Grüße

Udo

PS Das Handbuch taucht leider auch nix.

Beitrag von **LoUiS** » 21 Mai 2005, 21:30

Hi,

Im Log vom LC ist leider gar nichts zu sehen.
Vermutlich will der Client XAuth machen, aber stelle ich das ab?

Wo hast Du im LANCOM nachgesehen? Hast Du einen VPN-Status Trace gemacht?

Deshelb erstmal hier die kurze Anfrage ob das Problem bekannt ist. Es könnte ja "mit einem Klick geschehen sein".

Nein, also mir zumindest ist es nicht bekannt. Im LANCOM Advanced VPN Client, kannst du xauth unter den Einstellungen der Identitaet aendern.

Ciao
LoUiS

ua · Beitrag von ua » 21 Mai 2005, 22:34

Hallo Louis,

hier die Ausgabe von tr # vpn-st displ

[VPN-Status] 1900/01/05 11:56:46,200
VpnIpm: info; dropped message from peer unknown 80.132.152.192 port 500 due to notification type INVALID_MESSAGE_ID
(Upps, NTP habe ich eben eingeschaltet..)

Mehr zeigt der Trace nicht an. Irgendein sch.. Parameter wird vom Client falsch übertragen. Mal schauen, daß ich Montag bei NCP was erreiche..

Grüße

Udo

ua · Beitrag von ua » 27 Mai 2005, 23:30

Hallo,
ein kurze Zwischenstand:
Das Problem ist mittlerweile an NCP eskaliert, Montag wird eine Muster-Cfg nebst Zugang nach Nbg. geschickt.
Schönes WE
Udo

ua · Beitrag von ua » 05 Jun 2005, 22:02

Hallo,

nach diversen Telefonaten mit der NCP-Hotline ergab sich folgende Lösung:

Der Advanced Klient hat im gegensatz zu Entry Klient andere Default Einstellungen für die IKE und IPSEC Parameter. Der Modus "von Gegenstelle bestimmt" funktioniert nicht. Es muß ein (zu den LANCOM-Einstellungen) passender Satz von IKE Parametern und IPSEC Proposals ingetragen werden. Dann klappts auch mit dem VPN.

Viele Grüße

Udo

PS Lt. NCP kann LanCom keine NAT-T?

Geht aber trotzdem!