Verbindungsproblem VPN LAN - LAN

whitesharky · Beitrag von **whitesharky** » 21 Feb 2006, 13:08

Hallo,

ich möchte 2 Standorte über VPN koppeln habe aber folgendes Problem.

Außenstandort A Lancom 1711 über DynDNS von Außen erreichbar interne Router-IP 192.168.72.73; IP-Adressraum internes Netz 192.168.72.0 / 255.255.255.0. Alle PC's im Netz sind direkt am Lancom angeschlossen.

Hauptstandort B Lancom 1721 externe feste IP interne Router-IP 192.168.6.1 IP-Adressraum Netz 192.168.10.0 / 255.255.224.0.

Auf beiden Seiten wurde die VPN Lan - LAN Kopplung mit dem Assistenten durchgeführt. Hat bei 3 anderen Standorten wunderbar funktioniert. Nur mit der o.g. Kopplung gibt es Probleme.

Fehlermeldung im Lanmonitor auf Standort A-Seite: Namensauflösung fehlgeschlagen (Initiator) [0x1109].

Fehlermeldung im Lanmonitor auf Standort B-Seite: Keine Regel für ID's gefunden - unbekannte Verbindung oder fehlerhafte ID (z.B. IP-Netzwerkdefinition) Responder, IPSec) [0x3201].

Ich vermute das es am ähnlichen IP-Adressraum liegt. Was ist hier das Problem und wie kann ich dieses beheben? Danke wenn mir jemand helfen könnte.

Gruß
whitesharky

eddia · Beitrag von **eddia** » 21 Feb 2006, 18:32

Hallo whitesharky,

Ich vermute das es am ähnlichen IP-Adressraum liegt.

bei IP gibt es kein 'ähnlich'.

Netz 192.168.72.0/255.255.255.0 ergibt einen Bereich von 192.168.72.0-192.168.72.255

Netz 192.168.10.0/255.255.224.0 ergibt einen Bereich von 192.168.0.0-192.168.31.255

Da überschneidet sich also nichts. Falls die Angabe von 192.168.10.0 kein Tippfehler ist (korrekt wäre hier 192.168.0.0), wäre das eventuell eine Möglichkeit, den Lancom aus dem Tritt zu bringen.

Was ist hier das Problem und wie kann ich dieses beheben?

Ein VPN-Status Trace ist immer ganz hilfreich.

Gruß

Mario

whitesharky · Beitrag von **whitesharky** » 22 Feb 2006, 09:37

Hallo Mario,

hast ja Recht mit dem "Ähnlich"

Leider läuft es immer noch nicht

Ich habe auf beiden Routern über den Assistenten die VPN-Verbindungen von A nach B und von B nach A aus den Routern gelöscht.

Dann habe ich die VPN LAN - LAN Kopplung über den Assistenten auf beiden Routern neu eingerichtet.

Auf dem Router Standort A (Netz 192.168.72.0 / 255.255.255.0) habe ich als Zielnetz 192.168.0.0 / 255.255.224.0 eingetragen.

Auf dem Router Standort B (Netz 192.168.0.0 / 255.255.224.0) habe ich als Zielnetz 192.168.72.0 / 255.255.255.0 eingetragen.

Nun bekomme ich im Lanmonitor eine andere Fehlermeldung:

Von Standort A: Kein übereinstimmendes Prosposal gefunden (Initiator, IPSec) [0x3102]

Von Standort B immer noch: Keine Regel für ID's gefunden - unbekannte Verbindung oder fehlerhafte ID (z.B. IP-Netzwerkdefinition) Responder, IPSec) [0x3201].

Ein VPN-Status Trace von Standort B nach A: VPN-Status off
Ein VPN-Status Trace von Standort A nach B: VPN-Status off

Habt ihr noch eine Idee????

Gruß
whitesharky

eddia · Beitrag von **eddia** » 22 Feb 2006, 10:56

Hallo whitesharky,

Ein VPN-Status Trace von Standort B nach A: VPN-Status off
Ein VPN-Status Trace von Standort A nach B: VPN-Status off

oh man!

trace + vpn-status

Gruß

Mario

whitesharky · Beitrag von **whitesharky** » 22 Feb 2006, 11:28

Hallo Mario,

ups, peinlich

Leider sagt mir der Trace nicht viel, kannst du mir bitte helfen?

Das ist der Trace, ich habe die öffentlichen IP's durch x und y ersetzt:

#
| LANCOM 1711 VPN
| Ver. 6.02.0008 / 06.02.2006
| SN. 043560600171
| Copyright (c) LANCOM Systems

LANCOM01_MANNHEI, Connection No.: 002 (WAN)

Password:

root@LANCOM01_MANNHEI:/
> trace + vpn-status
VPN-Status ON

root@LANCOM01_MANNHEI:/
>
[VPN-Status] 1900/01/06 00:50:28,320
IKE info: The remote server xxx.xx.xx.xx:500 peer LANCOM01_XANTEN id <no_id> is
Enigmatec IPSEC version 1.5.1
IKE info: The remote server xxx.xx.xx.xx:500 peer LANCOM01_XANTEN id <no_id> neg
otiated rfc-3706-dead-peer-detection

[VPN-Status] 1900/01/06 00:50:28,330
IKE info: Phase-1 remote proposal 1 for peer LANCOM01_XANTEN matched with local
proposal 1

[VPN-Status] 1900/01/06 00:50:28,700
IKE info: Phase-1 [responder] got initial contact from peer LANCOM01_XANTEN (xxx.xx.xx.xx)

[VPN-Status] 1900/01/06 00:50:28,700
IKE info: Phase-1 [responder] for peer LANCOM01_XANTEN between initiator id xxx.xx.xx.xx,
responder id yy.yyy.yyy.yyy done
IKE info: SA ISAKMP for peer LANCOM01_XANTEN encryption aes-cbc authentication m
d5
IKE info: life time ( 108000 sec/ 0 kb)

[VPN-Status] 1900/01/06 00:50:28,800
IKE info: Phase-2 failed for peer LANCOM01_XANTEN: no rule matches the phase-2 i
ds 192.168.0.0/255.255.224.0 <-> 192.168.72.0/255.255.255.0
IKE log: 005028 Default message_negotiate_sa: no compatible proposal found
IKE log: 005028 Default dropped message from xxx.xx.xx.xx port 500 due to notifi
cation type NO_PROPOSAL_CHOSEN
IKE info: dropped message from peer LANCOM01_XANTEN xxx.xx.xx.xx port 500 due to
notification type NO_PROPOSAL_CHOSEN

[VPN-Status] 1900/01/06 00:50:28,820
VPN: Error: IPSEC-R-No-rule-matched-IDs (0x3201) for LANCOM01_XANTEN (xxx.xx.xx.xx)

[VPN-Status] 1900/01/06 00:50:28,830
VPN: selecting next remote gateway using strategy eFirst for LANCOM01_XANTEN
=> no remote gateway selected

[VPN-Status] 1900/01/06 00:50:28,830
VPN: selecting first remote gateway using strategy eFirst for LANCOM01_XANTEN
=> CurrIdx=0, IpStr=>xxx.xx.xx.xx<, IpAddr=xxx.xx.xx.xx, IpTtl=0s

[VPN-Status] 1900/01/06 00:50:28,830
VPN: installing ruleset for LANCOM01_XANTEN (xxx.xx.xx.xx)

[VPN-Status] 1900/01/06 00:50:28,850
VPN: rulesets installed

[VPN-Status] 1900/01/06 00:50:33,840
IKE info: ISAKMP_NOTIFY_DPD_R_U_THERE sent for Phase-1 SA to peer LANCOM01_XANTE
N, sequence nr 0x2a68e758

[VPN-Status] 1900/01/06 00:50:33,930
IKE info: NOTIFY received of type ISAKMP_NOTIFY_DPD_R_U_THERE_ACK for peer LANCO
M01_XANTEN Seq-Nr 0x2a68e758, expected 0x2a68e758

[VPN-Status] 1900/01/06 00:50:35,950
IKE info: Phase-2 failed for peer LANCOM01_XANTEN: no rule matches the phase-2 i
ds 192.168.0.0/255.255.224.0 <-> 192.168.72.0/255.255.255.0
IKE log: 005035 Default message_negotiate_sa: no compatible proposal found
IKE log: 005035 Default dropped message from xxx.xx.xx.xx port 500 due to notifi
cation type NO_PROPOSAL_CHOSEN
IKE info: dropped message from peer LANCOM01_XANTEN xxx.xx.xx.xx port 500 due to
notification type NO_PROPOSAL_CHOSEN

[VPN-Status] 1900/01/06 00:50:35,950
VPN: Error: IPSEC-R-No-rule-matched-IDs (0x3201) for LANCOM01_XANTEN (xxx.xx.xx.xx)

[VPN-Status] 1900/01/06 00:50:35,960
VPN: selecting next remote gateway using strategy eFirst for LANCOM01_XANTEN
=> no remote gateway selected

[VPN-Status] 1900/01/06 00:50:35,960
VPN: selecting first remote gateway using strategy eFirst for LANCOM01_XANTEN
=> CurrIdx=0, IpStr=>xxx.xx.xx.xx<, IpAddr=xxx.xx.xx.xx, IpTtl=0s

[VPN-Status] 1900/01/06 00:50:35,960
VPN: installing ruleset for LANCOM01_XANTEN (xxx.xx.xx.xx)

[VPN-Status] 1900/01/06 00:50:35,970
VPN: rulesets installed

[VPN-Status] 1900/01/06 00:50:45,110
IKE info: Phase-2 failed for peer LANCOM01_XANTEN: no rule matches the phase-2 i
ds 192.168.0.0/255.255.224.0 <-> 192.168.72.0/255.255.255.0
IKE log: 005045 Default message_negotiate_sa: no compatible proposal found
IKE log: 005045 Default dropped message from xxx.xx.xx.xx port 500 due to notifi
cation type NO_PROPOSAL_CHOSEN
IKE info: dropped message from peer LANCOM01_XANTEN xxx.xx.xx.xx port 500 due to
notification type NO_PROPOSAL_CHOSEN

[VPN-Status] 1900/01/06 00:50:45,110
VPN: Error: IPSEC-R-No-rule-matched-IDs (0x3201) for LANCOM01_XANTEN (217.91.17.
79)

[VPN-Status] 1900/01/06 00:50:45,120
VPN: selecting next remote gateway using strategy eFirst for LANCOM01_XANTEN
=> no remote gateway selected

[VPN-Status] 1900/01/06 00:50:45,120
VPN: selecting first remote gateway using strategy eFirst for LANCOM01_XANTEN
=> CurrIdx=0, IpStr=>xxx.xx.xx.xx<, IpAddr=xxx.xx.xx.xx, IpTtl=0s

[VPN-Status] 1900/01/06 00:50:45,120
VPN: installing ruleset for LANCOM01_XANTEN (xxx.xx.xx.xx)

[VPN-Status] 1900/01/06 00:50:45,130
VPN: rulesets installed

[VPN-Status] 1900/01/06 00:50:55,380
IKE info: Phase-2 failed for peer LANCOM01_XANTEN: no rule matches the phase-2 i
ds 192.168.0.0/255.255.224.0 <-> 192.168.72.0/255.255.255.0
IKE log: 005055 Default message_negotiate_sa: no compatible proposal found
IKE log: 005055 Default dropped message from xxx.xx.xx.xx port 500 due to notifi
cation type NO_PROPOSAL_CHOSEN
IKE info: dropped message from peer LANCOM01_XANTEN xxx.xx.xx.xx port 500 due to
notification type NO_PROPOSAL_CHOSEN

[VPN-Status] 1900/01/06 00:50:55,380
VPN: Error: IPSEC-R-No-rule-matched-IDs (0x3201) for LANCOM01_XANTEN (217.91.17.
79)

[VPN-Status] 1900/01/06 00:50:55,390
VPN: selecting next remote gateway using strategy eFirst for LANCOM01_XANTEN
=> no remote gateway selected

[VPN-Status] 1900/01/06 00:50:55,390
VPN: selecting first remote gateway using strategy eFirst for LANCOM01_XANTEN
=> CurrIdx=0, IpStr=>xxx.xx.xx.xx<, IpAddr=xxx.xx.xx.xx, IpTtl=0s

[VPN-Status] 1900/01/06 00:50:55,390
VPN: installing ruleset for LANCOM01_XANTEN (xxx.xx.xx.xx)

[VPN-Status] 1900/01/06 00:50:55,400
VPN: rulesets installed

[VPN-Status] 1900/01/06 00:50:58,320
IKE info: Delete Notification received for Phase-1 SA isakmp-peer-LANCOM01_XANTE
N peer LANCOM01_XANTEN cookies [c9bd7d90d7fd6cda a46e5cc6f30b894a]

[VPN-Status] 1900/01/06 00:50:58,320
IKE info: Phase-1 SA removed: peer LANCOM01_XANTEN rule LANCOM01_XANTEN removed

[VPN-Status] 1900/01/06 00:50:58,320
VPN: LANCOM01_XANTEN (xxx.xx.xx.xx) disconnected

[VPN-Status] 1900/01/06 00:50:58,320
VPN: Disconnect info: remote-disconnected (0x4301) for LANCOM01_XANTEN
(xxx.xx.xx.xx)

Danke whitesharky!

tunichtgut · Beitrag von **tunichtgut** » 22 Feb 2006, 14:28

IKE info: Phase-2 failed for peer LANCOM01_XANTEN: no rule matches the phase-2 i
ds 192.168.0.0/255.255.224.0 <-> 192.168.72.0/255.255.255.0

Für die og. Netze gibt es keine VPN-Regel, diese wird automtisch zwischen dem Zielnetz der VPN Verbindung und dem eigenen unter TCP/IP > Intranet Adresse/Intranet Netzmaske definierten Netz erzeugt. Abfragen kannst du das mit 'show vpn'

Beispiel:

Connection #2 192.168.10.0/255.255.255.0:0 <-> 192.168.2.0/255.255.255.0:0 any

Name: LC1821
Unique Id: ipsec-1-LC1822-pr0-l0-r0
Flags: main-mode
Local Network: IPV4_ADDR_SUBNET(any:0, 192.168.10.0/255.255.255.0)
Local Gateway: IPV4_ADDR(any:0, xxx.xx.xx.xxx)
Remote Gateway: IPV4_ADDR(any:0, xx.xxx.xxx.xx)
Remote Network: IPV4_ADDR_SUBNET(any:0, 192.168.2.0/255.255.255.0)

Wenn bei dir bei connection nicht 192.168.0.0/255.255.224.0 <-> 192.168.72.0/255.255.255.0 steht überprüf mal Deine TCP/IP Intranet Netzmaske.

whitesharky · Beitrag von **whitesharky** » 22 Feb 2006, 16:07

Hallo tunichtgut,

war ein prima Tip. Es war die Netzwerkmaske des Standortes A.

Die interne Router TCP/IP Einstellung / Allgemein war folgendermaßen:

Intranet IP-Adresse: 192.168.72.73
Intranet Netzwerkmaske: alt - 255.255.255.248 neu - 255.255.255.0

Jetzt noch eine Frage:

In der DHCP Einstellung "Adressen für DHCP Clients" ist noch folgende Einstellung:

Erste Adresse: 192.168.72.74
Letzte Adresse: 192.168.72.78
Netzmaske: 255.255.255.248
Broadcast: 192.168.72.79
Standard-Gateway: 192.168.72.73

Kann es dort ein Problem wegen der unterschiedlichen Netzmaske für die internen PC's geben über den Router ins Internet zu gehen. Kann ich leider nicht testen aber wäre schön schon theoretisch zu wissen ob es funktioniert oder nicht.

Danke und Gruß
whitesharky

eddia · Beitrag von **eddia** » 22 Feb 2006, 18:08

Hallo whitesharky,

In der DHCP Einstellung "Adressen für DHCP Clients" ist noch folgende Einstellung:

Erste Adresse: 192.168.72.74
Letzte Adresse: 192.168.72.78
Netzmaske: 255.255.255.248
Broadcast: 192.168.72.79
Standard-Gateway: 192.168.72.73

das funktioniert schon - es gibt aber keinen Sinn für eine solche Konfiguration. Andere Hosts im Netz 192.168.72.0/24 würdest Du nicht erreichen. Und es ist ziemlich blöd, bei einer Fehlersuche immer an diesen Sonderfall zu denken.

Gruß

Mario