Hallo liebes Forum,
ich habe ein existierendes IKEv1 VPN zu meinem Kunden mit einem Lancom 1781VA, der versieht seinen Dienst seit Jahren super. Jetzt brauche aber auch noch einen zweiten Standort der sich dorthin vernetzt. Dafür habe ich einen Lancom 1790 VA angeschafft. Aber der Kunde verlangt für die neue Verbindung jetzt IKEv2. Das einzurichten macht mir leider Probleme.
Ich kann aus meinem lokalen Netz die Gegenstelle über den Lancom Pingen. Soweit steht das Setup. Ich vermute, dass ich nicht das richtige bei der Authentifizierung eingebe.
Die Informationen, die ich über die Gegenstelle habe sind:
- Preshared Key
- IP der Gegenstelle
- Diffie Hellman Group / Encryption Algorithm / Hash Algorithm / Lifetime (Die beim Lancom in der DEFAULT Einstellung OK sein sollten)
- Und noch die Info dass ich ein NAT in Kundenrichtung über die 172.30.32.100 machen soll
Hier die letzten Einstellungen die ich bei der Authentifizierung versucht habe:
Lokale Authentifizierung:Digital-Signature
Lokales Dig.Signature-Prof.: DEFAULT-RSA-PKCS
Lokaler Identitätstyp Keine Identität
Entfernte Authentifizierung PSK
Entf. Dig. Signature-Profil DEFAULT-RSA-PKCS
Entfernter Identitätstyp IPv4-Adresse
Entfernte Identität 172.30.32.100
Entferntes Passwort (Wert des Preshared Keys)
Das endet mit dem Fehler im Log: IFC-I-Connection-timeout-IKE-IPSEC
Wenn ich Entfernter Identität "Keine" setze, erhalte ich: IKE-I-DPD-Timeout
Ich habe jede Menge recherchiert, auch Forembeiträge gelesen und das Lancom Online MAnual geprüft. Ich kann das bei der alten Verbindung nicht abschauen, weil das IKEv1 ist und da keine Identitäten, die ich auch von der Gegenseite nicht bekommen habe eine Rolle spielen.
Um einen Schubs in die richtige Richtung wäre ich echt dankbar.
Oliver
VPN IKEv2 IFC-I-Connection-timeout-IKE-IPSEC
Moderator: Lancom-Systems Moderatoren
-
GrandDixence
- Beiträge: 1149
- Registriert: 19 Aug 2014, 22:41
Re: VPN IKEv2 IFC-I-Connection-timeout-IKE-IPSEC
Kennt die Gegenstelle denn die korrekte IP von deinem Router?
Scheinbar soll die IKEv2-Verbindung analog zu einer IKEv1-Main Mode-Verbindung mit PSK aufgebaut werden. Dafür passt deine Konfiguration aber nicht.
Zu aller erst rate ich dir, niemals die Default-Werte für Verbindungen zu nutzen, das kann später an vielen Ecken und Enden Ärger verursachen. Also alle notwendigen Parameter selbst anlegen. Also zumindest Authentifizierung, Verschlüsselung und Verbindungsparameter. Andere Sachen nach Bedarf.
Um eine Main Mode-Verbindung in IKEv2 nachzubauen, musst du bei der Authentifizierung sowohl die lokale als auch die entfernte Identität auf "keine Identität" setzen, da dieses, wie bei IKEv1, über die IP-Adresse läuft. Lokale und Entfernte Authentifizierung muss PSK sein und du musst beide PSK auf den dir übermittelten Wert setzen.
Ein persönlicher Tipp von mir: Wenn du dir nicht sicher bist, dass die entfernte Gegenstelle ebenfalls von LANCOM stammt, niemals die Haltezeit auf 9999 setzen, sondern auf 0. Ich hatte schon entfernte VPN-Router, die bei einem VPN-Aufbau darüber total Banane waren und damals eine IKEv1-Verbindung als IKEv2-Verbindung erkannt haben, aber mangels Konfiguration nicht damit umgehen konnten.
Das NAT erfolgt später an anderer Stelle. Die entsprechende Anleitung findest du hier https://support.lancom-systems.com/know ... OM-Routern
Scheinbar soll die IKEv2-Verbindung analog zu einer IKEv1-Main Mode-Verbindung mit PSK aufgebaut werden. Dafür passt deine Konfiguration aber nicht.
Zu aller erst rate ich dir, niemals die Default-Werte für Verbindungen zu nutzen, das kann später an vielen Ecken und Enden Ärger verursachen. Also alle notwendigen Parameter selbst anlegen. Also zumindest Authentifizierung, Verschlüsselung und Verbindungsparameter. Andere Sachen nach Bedarf.
Um eine Main Mode-Verbindung in IKEv2 nachzubauen, musst du bei der Authentifizierung sowohl die lokale als auch die entfernte Identität auf "keine Identität" setzen, da dieses, wie bei IKEv1, über die IP-Adresse läuft. Lokale und Entfernte Authentifizierung muss PSK sein und du musst beide PSK auf den dir übermittelten Wert setzen.
Ein persönlicher Tipp von mir: Wenn du dir nicht sicher bist, dass die entfernte Gegenstelle ebenfalls von LANCOM stammt, niemals die Haltezeit auf 9999 setzen, sondern auf 0. Ich hatte schon entfernte VPN-Router, die bei einem VPN-Aufbau darüber total Banane waren und damals eine IKEv1-Verbindung als IKEv2-Verbindung erkannt haben, aber mangels Konfiguration nicht damit umgehen konnten.
Das NAT erfolgt später an anderer Stelle. Die entsprechende Anleitung findest du hier https://support.lancom-systems.com/know ... OM-Routern
LCS NC/WLAN
Re: VPN IKEv2 IFC-I-Connection-timeout-IKE-IPSEC
@5624 : Vielen Dank
Deine Beschreibung, bei
-> BEIDEN "keine Identität" und PSK zu setzen und
-> Keine Default Werte zuzulassen, sondern die genau wie benötigt zu konfigurieren
war Hilfreich, der Tunnel steht jetzt: "Status: Verbunden"
Die Maskierung habe ich auch schon gesetzt, damit scheint noch etwas nicht zu stimmen, aber da schalte ich erst nochmal die Kollegen von der Gegenstelle ein, die sollen sich das ansehen und ggf. Fehlerbild übermitteln.
Danke schonmal ich denke jetzt kome ich weiter.
Deine Beschreibung, bei
-> BEIDEN "keine Identität" und PSK zu setzen und
-> Keine Default Werte zuzulassen, sondern die genau wie benötigt zu konfigurieren
war Hilfreich, der Tunnel steht jetzt: "Status: Verbunden"
Die Maskierung habe ich auch schon gesetzt, damit scheint noch etwas nicht zu stimmen, aber da schalte ich erst nochmal die Kollegen von der Gegenstelle ein, die sollen sich das ansehen und ggf. Fehlerbild übermitteln.
Danke schonmal ich denke jetzt kome ich weiter.