Verbindungsabruch in der Phase 1

agollin · Beitrag von **agollin** » 22 Apr 2009, 14:40

Hallo,
ich benutze einen 1611+ und den Advanced VPN Client. Ich habe mir mit OpenSSL ein "Root"- und ein "Device" - Zertifikat erstellt. Anschließend habe ich das root.crt auf den 1611+ hochgeladen und die Verbindung konfiguriert.

Code: Alles auswählen

| LANCOM 1611+
| Ver. 7.60.0160Rel / 26.02.2009
| SN.  110011800078
| Copyright (c) LANCOM Systems

-----BEGIN CERTIFICATE-----
MIIBDzCBugIJALYaMQBPLXFRMA0GCSqGSIb3DQEBBQUAMA8xDTALBgNVBAMTBFJP
T1QwHhcNMDkwNDIyMDg1NzM1WhcNMDkwNTIyMDg1NzM1WjAPMQ0wCwYDVQQDEwRS
T09UMFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBAM8jwseUec8ffzMKmWn8wK0Gh9Cj
J/yJMCjhWDrDaw/5QULbBRKcWCxISMMdlT5m+2QKv3fAR1vncjZvVsmZ6ikCAwEA
ATANBgkqhkiG9w0BAQUFAANBAFkAAu+Yv0Qw1g1aS91Ek/SZdjCK259eCjYYgKiL
mL1etEauIMxJwL0xh0KHVthULsRecFZMMI6kWkEmzinqw+U=
-----END CERTIFICATE-----
LANCOM-Router, Connection No.: 002 (LAN)

root@LANCOM-Router:/
> show VPN

VPN SPD and IKE configuration:

  # of connections = 1

  Connection #1                 192.168.21.0/255.255.255.255:0 <-> 172.26.200.20
3/255.255.255.255:0 any

    Name:                       CLIENT_01
    Unique Id:                  ipsec-0-CLIENT_01-pr0-l0-r0
    Flags:                      main-mode
    Local  Network:             IPV4_ADDR(any:0, 192.168.21.0/255.255.255.255)
    Local  Gateway:             IPV4_ADDR(any:0, 192.168.21.1)
    Remote Gateway:             IPV4_ADDR(any:0, 172.26.200.203)
    Remote Network:             IPV4_ADDR(any:0, 172.26.200.203/255.255.255.255)

root@LANCOM-Router:/

Beim Verbindungsaufbau bekomme ich nun das folgende Log.

Code: Alles auswählen

root@LANCOM-Router:/
> trace # vpn-status
VPN-Status      ON

root@LANCOM-Router:/
>
[VPN-Status] 1900/01/01 00:47:44,040
IKE info: The remote server 172.26.200.203:500 peer CLIENT_0001 id <no_id> supports draft-ietf-ipsec-isakmp-xauth
IKE info: The remote server 172.26.200.203:500 peer CLIENT_0001 id <no_id> supports NAT-T in mode draft
IKE info: The remote server 172.26.200.203:500 peer CLIENT_0001 id <no_id> supports NAT-T in mode draft
IKE info: The remote server 172.26.200.203:500 peer CLIENT_0001 id <no_id> supports NAT-T in mode draft
IKE info: The remote server 172.26.200.203:500 peer CLIENT_0001 id <no_id> supports NAT-T in mode rfc
IKE info: The remote server 172.26.200.203:500 peer CLIENT_0001 id <no_id> negotiated rfc-3706-dead-peer-detection
IKE info: The remote client 172.26.200.203:500 peer CLIENT_0001 id <no_id> is NCP LANCOM Serial Number Protocol 1.0 with serial number 0
IKE info: The remote server 172.26.200.203:500 peer CLIENT_0001 id <no_id> supports NAT-T in mode rfc
IKE info: The remote server 172.26.200.203:500 peer CLIENT_0001 id <no_id> supports NAT-T in mode rfc
IKE info: The remote server 172.26.200.203:500 peer CLIENT_0001 id <no_id> supports NAT-T in mode rfc

[VPN-Status] 1900/01/01 00:47:44,040
IKE info: Phase-1 remote proposal 1 for peer CLIENT_0001 matched with local proposal 1

root@LANCOM-Router:/

Was mache ich falsch? Was für ein Fehler wird hier nicht angezeigt?
Danke für eure Hilfe

agollin · Beitrag von **agollin** » 22 Apr 2009, 15:51

noch ein Log aus dem VPN-Client

Code: Alles auswählen

22.04.2009 15:47:10  Protecting RAS adapter - 0
22.04.2009 15:47:38  IPSDIALCHAN::start building connection
22.04.2009 15:47:38  NCPIKE-phase1:name(LCS) - outgoing connect request - main mode.
22.04.2009 15:47:38  XMIT_MSG1_MAIN - LCS
22.04.2009 15:47:38  RECV_MSG2_MAIN - LCS
22.04.2009 15:47:38  IKE phase I: Setting LifeTime to 28800 seconds
22.04.2009 15:47:38  XMIT_MSG3_MAIN - LCS
22.04.2009 15:47:38  IPSDIAL->FINAL_TUNNEL_ENDPOINT:192.168.011.010
22.04.2009 15:47:38  RECV_MSG4_MAIN - LCS
22.04.2009 15:47:38  XMIT_MSG5_MAIN - LCS
22.04.2009 15:47:38  XMIT_MSG5_MAIN_RESUME - LCS
22.04.2009 15:48:17  IPSDIAL  - disconnected from LCS on channel 1.

backslash · Beitrag von **backslash** » 22 Apr 2009, 19:07

Hi allogin,

Code: Alles auswählen

 Connection #1                 192.168.21.0/255.255.255.255:0 <-> 172.26.200.20

Also als Lokales Netz die IP-Adresse 192.168.21.0 zu nehmen ist schon problematisch. Hier muß ein Netz hin, d.h. die Netzmaske muß 255.255.255.0 lauten - oder falls du eine Extranet-Verbindung konfiguriert hast, dann darf die Extranet-Adresse nicht x.x.x.0 lauten

Dann kommt als nächstes, daß der Client das LANCOM gar nicht ansprechen will:

Code: Alles auswählen

22.04.2009 15:47:38  IPSDIAL->FINAL_TUNNEL_ENDPOINT:192.168.011.010

Dein LANCOM hat doch die Adresse 192.168.21.1 (lokales gateway).

Gruß
Backslash

agollin · Beitrag von **agollin** » 23 Apr 2009, 07:37

Mein LANCOM hat die öffentliche IP 192.168.11.10 und die private 192.168.21.1
Aus meinem Umfeld soll ich ihn über 192.168.11.10 ansprechen. Der Rest wird unsichtbar.

Bei der Extranetadresse habe ich die Adresse des internen Netzes eingetrage.Das ist vielleicht falsch, aber wo änder ich die Netzmaske?

agollin · Beitrag von **agollin** » 23 Apr 2009, 07:48

meine neu Konfiguration bringt keine großen Vorteile, außer dass es sinvoller aussieht.

Code: Alles auswählen

#
| LANCOM 1611+
| Ver. 7.60.0160Rel / 26.02.2009
| SN.  110011800078
| Copyright (c) LANCOM Systems

-----BEGIN CERTIFICATE-----
MIIBDzCBugIJALYaMQBPLXFRMA0GCSqGSIb3DQEBBQUAMA8xDTALBgNVBAMTBFJP
T1QwHhcNMDkwNDIyMDg1NzM1WhcNMDkwNTIyMDg1NzM1WjAPMQ0wCwYDVQQDEwRS
T09UMFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBAM8jwseUec8ffzMKmWn8wK0Gh9Cj
J/yJMCjhWDrDaw/5QULbBRKcWCxISMMdlT5m+2QKv3fAR1vncjZvVsmZ6ikCAwEA
ATANBgkqhkiG9w0BAQUFAANBAFkAAu+Yv0Qw1g1aS91Ek/SZdjCK259eCjYYgKiL
mL1etEauIMxJwL0xh0KHVthULsRecFZMMI6kWkEmzinqw+U=
-----END CERTIFICATE-----
LANCOM-Router, Connection No.: 002 (LAN)

root@LANCOM-Router:/
> show vpn

VPN SPD and IKE configuration:

  # of connections = 1

  Connection #1                 192.168.21.0/255.255.255.0:0 <-> 172.26.200.203/255.255.255.255:0 any

    Name:                       CLIENT_01
    Unique Id:                  ipsec-0-CLIENT_01-pr0-l0-r0
    Flags:                      main-mode
    Local  Network:             IPV4_ADDR_SUBNET(any:0, 192.168.21.0/255.255.255
.0)
    Local  Gateway:             IPV4_ADDR(any:0, 192.168.21.1)
    Remote Gateway:             IPV4_ADDR(any:0, 172.26.200.203)
    Remote Network:             IPV4_ADDR(any:0, 172.26.200.203/255.255.255.255)


root@LANCOM-Router:/
> trace # vpn-status
VPN-Status      ON

root@LANCOM-Router:/
>
[VPN-Status] 1900/01/01 18:29:31,800
IKE info: The remote server 172.26.200.203:500 peer CLIENT_01 id <no_id> supports draft-ietf-ipsec-isakmp-xauth
IKE info: The remote server 172.26.200.203:500 peer CLIENT_01 id <no_id> supports NAT-T in mode draft
IKE info: The remote server 172.26.200.203:500 peer CLIENT_01 id <no_id> supports NAT-T in mode draft
IKE info: The remote server 172.26.200.203:500 peer CLIENT_01 id <no_id> supports NAT-T in mode draft
IKE info: The remote server 172.26.200.203:500 peer CLIENT_01 id <no_id> supports NAT-T in mode rfc
IKE info: The remote server 172.26.200.203:500 peer CLIENT_01 id <no_id> negotiated rfc-3706-dead-peer-detection
IKE info: The remote client 172.26.200.203:500 peer CLIENT_01 id <no_id> is NCPLANCOM Serial Number Protocol 1.0 with serial number 0
IKE info: The remote server 172.26.200.203:500 peer CLIENT_01 id <no_id> supports NAT-T in mode rfc
IKE info: The remote server 172.26.200.203:500 peer CLIENT_01 id <no_id> supports NAT-T in mode rfc
IKE info: The remote server 172.26.200.203:500 peer CLIENT_01 id <no_id> supports NAT-T in mode rfc

[VPN-Status] 1900/01/01 18:29:31,800
IKE info: Phase-1 remote proposal 1 for peer CLIENT_01 matched with local proposal 1

root@LANCOM-Router:/
>

Die Verbindung wird immer noch nicht aufgebaut