VPN Einwahl Probleme mit XAUTH

1711+ · Beitrag von **1711+** » 03 Sep 2010, 17:28

Hallo alle zusammen,

ich habe es mir bereits seit längerem angewöhnt immer auch XAUTH zu konfigurieren. Ging auch immer perfekt. Ab Firmware 7.80 dann tollerweise auch wirklich nur noch nach Eingabe der korrekten Benutzerdaten.

Nun habe ich mit Firmware 8.0 und Adv. VPN Client sowie dem Shrew Client folgendes Problem.

Konfiguriert habe ich die Verbindung am Lancom mit RSA, Main Mode und XAUTH.

Versuche ich mich mit Shrew auf meinen 1711+ zu verbinden schlägt die Verbindung fehl (Benutzername und Passwort stimmen). Manchmal, aber nur extrem selten geht es. Deaktiviere ich im Shrew (nur im Client!!) XAUTH gehts. Aber genau das dürfte doch seit 7.80 nicht mehr sein oder?

Die selbe Konfiguration gegen meinen 1811n funktioniert problemlos, nur mit dem Phänomen dass die Verbindung auch zustande kommt wenn im Client XAUTH aus ist.

Verhält sich XAUTH in der 8.0 wieder wie in der 7.70?

Desweiteren funktioniert die Verbindung gegen den 1711+ mit dem Adv. Client und XAUTH immer. Wieso? LOL
Lässt der XAUTH im Problemfall selbst einfach weg und connected?

Ich werd verrückt

Spinnt jetzt also der Shrew? - Nur wieso gehts dann mit der gleichen Config gegen den 1811n?

oder

Spinnt einfach nur der 1711+? - Nur wieso klappts mit dem Adv. VPN Client Super und auch mit dem Shrew sporadisch?

und

Wieso zum Hänker gehts auch ohne XAUTH am VPN Client obwohls am Router an ist?

Ich nehms einfach mal mit Humor, auch wenn ich schon ne Woche rumsuche

Wenn jemand helfen kann und will würde ich mich sehr freuen!

Gibt natürlich alles was an Logfiles/Konfigs gewünscht wird per PN.

Gruß

1711+

EDIT:

Also hab gerade bemerkt dass wenn man nur beim Client XAUTH deaktiviert zwar der Tunnel steht aber keine Daten fließen.
Nachdem ich jetzt noch bisschen die Suchfunktion traktierte welche einige Aussagen von backslash bzgl. XAUTH hervorbrachten ist das evtl. eh mit anderen Augen zu sehen.

Nur wieso es bei einem Router geht und beim anderen nicht ist trotzdem ein Rätsel.....??

Aber seh ich es richtig dass bei RSA und PIN auf dem pcks12 Container zusätzliches XAUTH grober Unfug ist und dafür eigentlich auch garnicht gedacht?

backslash · Beitrag von **backslash** » 03 Sep 2010, 19:48

Hi 1711+

also ich habe es gerade nochmal ausprobiert: Wenn im LANCOM XAUTH aktiv ist, dann kommt der User nicht rein, wenn er kein XAUTH macht - auch nicht mit dem AVC.

Es gibt aber eine Ausnahme: Wenn du die "Vereinfachte Einwahl mit Zertifikaten" aktiviert hast, dann kommt jeder rein, der ein gültiges Zertifikat hat - das ist ja der Sinn dieser Option.

Aber seh ich es richtig dass bei RSA und PIN auf dem pcks12 Container zusätzliches XAUTH grober Unfug ist und dafür eigentlich auch garnicht gedacht?

genau, denn wenn du schon mit Zertifikaten arbeitest, dann gibst du sinnvollerweise jedem User ein eigenes Zertifikat... XAUTH ist dann höchstens noch ein Hilfsmittel um über RADIUS eine Anmeldung an einem Directory-Service machen zu können

Gruß
Backslash

1711+ · Beitrag von **1711+** » 03 Sep 2010, 22:50

Danke backslash!

OK, dass es wenn XAUTH an ist ohne nicht geht hab ich mittlerweile auch festgestellt. Aber von dir bestätigt machts amtlich

Dann bleibt aber trotzallem genau das Problem. Wieso macht der 1711+, nur bei Shrew kein XAUTH, bzw. nur sporadisch.
Ich würde ja zugern sagen Shrew ist Müll und den AVC verwenden. Aber iwas muss da doch im argen sein weils beim 1811n ja immer zuverlässig geht.

Daher würd ich den Fehler gern suchen..

Shrew sagt im Trace immer "phase2 not found" und "unknown SA" und bricht dann ab.
Und manchmal gehts dann eben für einmal.

Wo kann ich denn da evtl. noch nach dem Fehler suchen? Ein neu anlegen der Verbindung nützt nichts.

Vielleicht hat wer noch ne Idee. Wenn wer Interesse an den Traces vom 1711+ und vom Shrew hat bitte sagen.

Gute Nacht

1711+

backslash · Beitrag von **backslash** » 06 Sep 2010, 16:39

Hi 1711+

was sagt denn ip VPN-Status-Trace auf dem LANCOM (per Telnet auf das gerät und trace # vpn-status eingeben), wenn du dich mit dem Shrew-Client einwählen willst?

Gruß
Backslash

1711+ · Beitrag von **1711+** » 17 Sep 2010, 13:08

Leider tritt das problem immer noch auf. Es funktioniert mit allen Lancom Routern und allen Clients außer eben diesem 1711+.

Wenn noch wer ne Idee hat und die trace Daten sehen will bitte melden.

Ansonsten weiß ich echt nicht was das sein könnte. Hab XAUTH zwar jetzt eh überall rausgenommen weil unsinnig, aber wissen würd ichs trotzdem wollen was der hat.

MfG

1711+

shorty_0808 · Beitrag von **shorty_0808** » 23 Sep 2010, 18:35

Hallo!

Ich hab das selbe Problem. Bei mir funktioniert es mit Shrew auch manchmal, eher selten. Allerdings funktioniert es ab und an mit dem AVC auch nicht. Hab es auch schon mit anderen Lancoms versucht, da geht es.

Gruß

shorty