VPN Kopplung AVM Fritz!Box 7170 an LC1724

Datenknecht · Beitrag von **Datenknecht** » 05 Mai 2009, 16:34

Nachtrag:
Der Lanmonitor sagt:
Zeitüberschreitung während IKE- oder IPSec-Verhandlung (Initiator) [0x1106]

Datenknecht

grafest · Beitrag von **grafest** » 28 Mai 2009, 17:24

Hallo. Ich habe auch mal versucht ein Fritz!Box 7170 mit einem Lancom 1722 VoIP per VPN mit einander zu Verbinden!

Hat Dank Eurer guten Anleitungen sehr gut funktioniert (die von AVM ist ja wirklich nicht so toll). Hab jetzt aber leider doch noch ein Problem:

Nach ca. 1 Stunde stehendem Tunnel bricht er zusammen. Egal ob Daten fließen oder nicht...

Im LanMonitor erkennt man noch nicht mal richtig das der Tunnel nicht mehr steht, und die Fritz!Box hat folgendes im Ereignis stehen:

--

28.05.09 16:20:18 VPN-Fehler: xxxx.xxx.de, IKE-Error 0x2027

28.05.09 16:20:04 VPN-Verbindung zu xxxx.xxx.de wurde getrennt. Ursache: 3

28.05.09 15:25:49 VPN-Verbindung zu xxxx.xxx.de wurde erfolgreich hergestellt.

--
Nach ca. 15 Minuten fängt sich die Fritz!Box wieder und baut den Tunnel wieder auf...
Wenn man allerdings in der Fritz!Box kurz manuell das VPN deaktiviert und dann wieder einschaltet wird der Tunnel gleich wieder ohne Probleme aufgebaut und hält dann wieder zwischen 50-60 Minuten.

Hab schon sämtliche Foren und Anleitungen durch, kann mir die Regelmäßigkeit dieses Fehlers aber nicht erklären...
Vielleicht habt Ihr ja ne Idee, oder kennt das Problem...

Viele Grüße. Stefan

backslash · Beitrag von **backslash** » 28 Mai 2009, 19:51

Hi grafest

warum dei Fritzbox den Tunnel schmeißt kann ich dir nicht sagen, jedenfalls baut sie ihn nicht korrekt ab, weshalb das LANCOM seinen Tunnel noch hält und erst mit Ablauf der IPSec-Lifetime abbaut...

Hier könntest du dir mit einem ICMP-Polling im LANCOM helfen, damit das LANCOM den Zusammenbruch schneller bemerkt.

Gruß
Backslash

grafest · Beitrag von **grafest** » 29 Mai 2009, 16:43

OK, das könnte war bringen, will ja aber eigentlich die Abbrüche ganz vermeiden. Ich gehe immer noch davon aus das ich irgend etwas im Lancom Router übersehe...

Hier mal Auszüge des Lacom Trace während der Abbrüche. Vielleicht könnt ihr was damit anfangen...

[VPN-Status] 2009/05/29 15:58:20,080
VPN: poll timeout for FRITZBOX (91.97.xx.xxx)
remote site answered during intervall
send poll frame to 91.97.xx.xxx

[VPN-Status] 2009/05/29 15:58:20,130
VPN: Poll reply from FRITZBOX (91.97.xx.xxx)

[VPN-Status] 2009/05/29 15:58:29,110
IKE info: Delete Notificaton sent for Phase-2 SA ipsec-0-FRITZBOX-pr0-l0-r0 to peer FRITZBOX, spi [0x47194c26]

[VPN-Status] 2009/05/29 15:58:29,110
IKE info: Phase-2 SA removed: peer FRITZBOX rule ipsec-0-FRITZBOX-pr0-l0-r0 removed
IKE info: containing Protocol IPSEC_ESP, with spis [f615fecc ] [47194c26 ]

[VPN-Status] 2009/05/29 15:58:50,080
VPN: poll timeout for FRITZBOX (91.97.xx.xxx)
remote site answered during intervall
send poll frame to 91.97.xx.xxx

[VPN-Status] 2009/05/29 15:58:50,100
VPN: Poll reply from FRITZBOX (91.97.xx.xxx)

[VPN-Status] 2009/05/29 15:59:20,080
VPN: poll timeout for FRITZBOX (91.97.xx.xxx)
remote site answered during intervall
send poll frame to 91.97.xx.xxx

[VPN-Status] 2009/05/29 15:59:20,100
VPN: Poll reply from FRITZBOX (91.97.xx.xxx)

[VPN-Status] 2009/05/29 15:59:50,080
VPN: poll timeout for FRITZBOX (91.97.xx.xxx)
remote site answered during intervall
send poll frame to 91.97.xx.xxx

und bei bzw. nach Abbruch:

[VPN-Status] 2009/05/29 16:02:50,100
VPN: Poll reply from FRITZBOX (91.97.xx.xxx)

[VPN-Status] 2009/05/29 16:03:20,080
VPN: poll timeout for FRITZBOX (91.97.xx.xxx)
remote site answered during intervall
send poll frame to 91.97.xx.xxx

[VPN-Status] 2009/05/29 16:03:20,100
VPN: Poll reply from FRITZBOX (91.97.xx.xxx)

[VPN-Status] 2009/05/29 16:03:50,080
VPN: poll timeout for FRITZBOX (91.97.xx.xxx)
remote site answered during intervall
send poll frame to 91.97.xx.xxx

[VPN-Status] 2009/05/29 16:03:50,120
VPN: Poll reply from FRITZBOX (91.97.xx.xxx)

[VPN-Status] 2009/05/29 16:04:13,670
IKE info: Delete Notificaton sent for Phase-1 SA to peer FRITZBOX

[VPN-Status] 2009/05/29 16:04:13,670
IKE info: Phase-1 SA removed: peer FRITZBOX rule FRITZBOX removed

[VPN-Status] 2009/05/29 16:04:13,680
VPN: FRITZBOX (91.97.xx.xxx) disconnected

[VPN-Status] 2009/05/29 16:04:13,680
VPN: Disconnect info: remote-disconnected (0x4301) for FRITZBOX (91.97.xx.xxx)

[VPN-Status] 2009/05/29 16:04:13,700
VPN: selecting first remote gateway using strategy eFirst for FRITZBOX
=> no remote gateway selected

[VPN-Status] 2009/05/29 16:04:13,700
VPN: installing ruleset for FRITZBOX (0.0.0.0)

[Error] 2009/05/29 16:04:16,310
Error: CH01: FRITZBOX - No remote

[VPN-Status] 2009/05/29 16:04:16,310
VPN: connecting to FRITZBOX (0.0.0.0)
VPN: establish dynamic VPN negotiator channel

[VPN-Status] 2009/05/29 16:04:16,320
VPN: Error: IFC-I-Negotiator-no-remote (0x1114) for FRITZBOX (0.0.0.0)

[Status] 2009/05/29 16:04:17,310
Status: CH01: FRITZBOX - No remote (No remote)

[VPN-Status] 2009/05/29 16:04:17,310
VPN: connecting to FRITZBOX (0.0.0.0)
VPN: establish dynamic VPN negotiator channel

[VPN-Status] 2009/05/29 16:04:17,310
VPN: Error: IFC-I-Negotiator-no-remote (0x1114) for FRITZBOX (0.0.0.0)

[Status] 2009/05/29 16:04:18,310
Status: CH01: FRITZBOX - No remote (No remote)

[VPN-Status] 2009/05/29 16:04:18,310
VPN: connecting to FRITZBOX (0.0.0.0)
VPN: establish dynamic VPN negotiator channel

[VPN-Status] 2009/05/29 16:04:18,310
VPN: Error: IFC-I-Negotiator-no-remote (0x1114) for FRITZBOX (0.0.0.0)

[Status] 2009/05/29 16:04:19,310
Status: CH01: FRITZBOX - No remote (No remote)

[VPN-Status] 2009/05/29 16:04:19,310
VPN: connecting to FRITZBOX (0.0.0.0)
VPN: establish dynamic VPN negotiator channel

[VPN-Status] 2009/05/29 16:04:19,310
VPN: Error: IFC-I-Negotiator-no-remote (0x1114) for FRITZBOX (0.0.0.0)

[Status] 2009/05/29 16:04:20,310
Status: CH01: FRITZBOX - No remote (No remote)

maxtek · Beitrag von **maxtek** » 01 Jun 2009, 20:42

Hi,

das tarce liest sich für mich erstmal so, als ob Du die Lancom-eigenen Dynamic-VPN Funktionen nicht 'abgeschaltet' hättest. Dafür müsstest Du neben dem Abschalten des Dynamic VPN für die VPN Gegenstelle noch die entsprechenden Einträge unter Kommunikation/Protokolle/PPP und /Gegenstellen/ISDN entfernen.

Desweiteren kennt der Lancom keine WAN Adresse für die FB - dann sollte die Haltezeit für die VPN-Verbindung 0 sein.

Das fällt mir gerade mal so auf.

gruss
nils

grafest · Beitrag von **grafest** » 03 Jun 2009, 17:59

Tausenden Dank schon mal!!!

maxtek hat geschrieben:Hi,

das tarce liest sich für mich erstmal so, als ob Du die Lancom-eigenen Dynamic-VPN Funktionen nicht 'abgeschaltet' hättest.

Doch, die war eigentlich für die FritzBox Verbindung nicht an...

maxtek hat geschrieben: Dafür müsstest Du neben dem Abschalten des Dynamic VPN für die VPN Gegenstelle noch die entsprechenden Einträge unter Kommunikation/Protokolle/PPP und /Gegenstellen/ISDN entfernen.

Desweiteren kennt der Lancom keine WAN Adresse für die FB - dann sollte die Haltezeit für die VPN-Verbindung 0 sein.

Das fällt mir gerade mal so auf.

gruss
nils

Hab ich mal gemacht. Verbindung bricht leider noch ab, Trace ist aber viel viel sauberer...

Da nochmal eine Frage zu, sind diese VPN-Status Meldung OK, und normal?
(timeout??)

[VPN-Status] 2009/06/03 17:07:24,280
VPN: poll timeout for FRITZBOX (91.96.xx.xxx)
remote site answered during intervall
send poll frame to 91.96.xx.xxx

[VPN-Status] 2009/06/03 17:07:24,300
VPN: Poll reply from FRITZBOX (91.96.xx.xxx)

[VPN-Status] 2009/06/03 17:07:54,280
VPN: poll timeout for FRITZBOX (91.96.xx.xxx)
remote site answered during intervall
send poll frame to 91.96.xx.xxx

[VPN-Status] 2009/06/03 17:07:54,300
VPN: Poll reply from FRITZBOX (91.96.xx.xxx)

[VPN-Status] 2009/06/03 17:08:24,280
VPN: poll timeout for FRITZBOX (91.96.xx.xxx)
remote site answered during intervall
send poll frame to 91.96.xx.xxx

[VPN-Status] 2009/06/03 17:08:24,300
VPN: Poll reply from FRITZBOX (91.96.xx.xxx)

[VPN-Status] 2009/06/03 17:08:54,280
VPN: poll timeout for FRITZBOX (91.96.xx.xxx)
remote site answered during intervall
send poll frame to 91.96.xx.xxx

[VPN-Status] 2009/06/03 17:08:54,300
VPN: Poll reply from FRITZBOX (91.96.xx.xxx)

[VPN-Status] 2009/06/03 17:09:24,280
VPN: poll timeout for FRITZBOX (91.96.xx.xxx)
remote site answered during intervall
send poll frame to 91.96.xx.xxx

[VPN-Status] 2009/06/03 17:09:24,310
VPN: Poll reply from FRITZBOX (91.96.xx.xxx)

[VPN-Status] 2009/06/03 17:09:54,280
VPN: poll timeout for FRITZBOX (91.96.xx.xxx)
remote site answered during intervall
send poll frame to 91.96.xx.xxx

Ach ja, vielen dank auch an backslash!!!

Das mit dem ICMP-Polling hilft mir wirklich zu 98,9 % weiter! Der Tunnel wird jetzt gleich wieder aufgebaut und man kann zumindest am PC weiter arbeiten. Leider braucht unser IP-Telefon immer etwas bis es sich wieder anmeldet, und beim telefonieren muß man auf die Uhrzeit achten..

Gruß Stefan

backslash · Beitrag von **backslash** » 04 Jun 2009, 15:50

Hi grafest

Da nochmal eine Frage zu, sind diese VPN-Status Meldung OK, und normal?
(timeout??)

ja, das ist normal...

Gruß
Backslash

user123 · Beitrag von **user123** » 27 Okt 2009, 23:28

Hallo zusammen,

habe hier eine 3270 und die Anleitung Zeile für Zeile übernommen (außer IP-Netze und die dyndns Adressen)

Bekomme bei der Fritz!Box die Meldung:

26.10.09 22:42:27 VPN-Fehler: ADRESSE.dyndns.org, IKE-Error 0x2027

26.10.09 22:41:57 VPN-Fehler: ADRESSE.dyndns.org, IKE-Error 0x1c

Wo muss ich ansetzen um den Fehler zu finden?

Gruß

Heinzerr · Beitrag von **Heinzerr** » 07 Aug 2010, 16:30

Hallo zusammen,

ich habe hier auch eine Fritzbox 7390 und würde die mit einem 1711 via vpn koppeln wollen.

Habe es auch nach der Anleitung hier gemacht bekomme immer folgende Fehler: Zeitüberschreitung während IKE- oder IPSec-Verhandlung (Initiator)[0x1106]

hier ein Auszug aus dem Log.

Code: Alles auswählen

IKE info: phase-1 proposal failed: remote No 1 hash algorithm = SHA <-> local No
 1 hash algorithm = MD5
IKE info: Phase-1 remote proposal 1 for peer FRITZ!BOX matched with local propos
al 2


[VPN-Status] 2010/08/07 16:14:19,690
IKE info: Phase-1 [inititiator] for peer FRITZ!BOX between initiator id LANCOM17
11, responder id SCHROTSS done
IKE info: NAT-T enabled in mode draft, we are not behind a nat, the remote side
is behind a nat
IKE info: SA ISAKMP for peer FRITZ!BOX encryption aes-cbc authentication sha1
IKE info: life time ( 3600 sec/ 0 kb)


[VPN-Status] 2010/08/07 16:14:19,690
IKE info: Phase-1 SA Rekeying Timeout (Soft-Event) for peer FRITZ!BOX set to 288
0 seconds (Initiator)


[VPN-Status] 2010/08/07 16:14:19,690
IKE info: Phase-1 SA Timeout (Hard-Event) for peer FRITZ!BOX set to 3600 seconds
 (Initiator)


[VPN-Status] 2010/08/07 16:14:19,780
IKE info: NOTIFY received of type INVALID_ID_INFORMATION for peer FRITZ!BOX


[VPN-Status] 2010/08/07 16:14:22,780
IKE info: ISAKMP_NOTIFY_DPD_R_U_THERE sent for Phase-1 SA to peer FRITZ!BOX, seq
uence nr 0x4b986253


[VPN-Status] 2010/08/07 16:14:22,840
IKE info: NOTIFY received of type ISAKMP_NOTIFY_DPD_R_U_THERE_ACK for peer FRITZ
!BOX Seq-Nr 0x4b986253, expected 0x4b986253


[VPN-Status] 2010/08/07 16:14:36,310
VPN: Disconnect info: physical-disconnected (0x4304) for FRITZ!BOX (11.11.11.11)

[VPN-Status] 2010/08/07 16:14:36,310
VPN: disconnecting FRITZ!BOX (11.11.11.11)

[VPN-Status] 2010/08/07 16:14:36,310
VPN: Disconnect info: physical-disconnected (0x4304) for FRITZ!BOX (11.11.11.11)

[VPN-Status] 2010/08/07 16:14:36,340
IKE info: Delete Notificaton sent for Phase-1 SA to peer FRITZ!BOX


[VPN-Status] 2010/08/07 16:14:36,340
IKE info: Phase-1 SA removed: peer FRITZ!BOX rule FRITZ!BOX removed


[VPN-Status] 2010/08/07 16:14:36,350
VPN: FRITZ!BOX (11.11.11.11)  disconnected

[VPN-Status] 2010/08/07 16:14:36,370
selecting first remote gateway using strategy eFirst for FRITZ!BOX
     => CurrIdx=0, IpStr=>ziel.dyndns.com<, IpAddr=11.11.11.11, IpTtl=
60s

[VPN-Status] 2010/08/07 16:14:36,370
VPN: installing ruleset for FRITZ!BOX (11.11.11.11)

[VPN-Status] 2010/08/07 16:14:36,370
VPN: FRITZ!BOX (11.11.11.11)  disconnected

[VPN-Status] 2010/08/07 16:14:36,380
VPN: rulesets installed

[VPN-Status] 2010/08/07 16:14:37,370
VPN: connecting to FRITZ!BOX (11.11.11.11)

[VPN-Status] 2010/08/07 16:14:37,400
VPN: installing ruleset for FRITZ!BOX (11.11.11.11)

[VPN-Status] 2010/08/07 16:14:37,410
VPN: ruleset installed for FRITZ!BOX (11.11.11.11)

[VPN-Status] 2010/08/07 16:14:37,410
VPN: start IKE negotiation for FRITZ!BOX (11.11.11.11)

[VPN-Status] 2010/08/07 16:14:37,430
VPN: rulesets installed

[VPN-Status] 2010/08/07 16:14:40,470
VPN: Disconnect info: physical-disconnected (0x4304) for FRITZ!BOX (11.11.11.11)

[VPN-Status] 2010/08/07 16:14:40,470
VPN: disconnecting FRITZ!BOX (11.11.11.11)

[VPN-Status] 2010/08/07 16:14:40,470
VPN: Disconnect info: physical-disconnected (0x4304) for FRITZ!BOX (11.11.11.11)

[VPN-Status] 2010/08/07 16:14:40,490
VPN: FRITZ!BOX (11.11.11.11)  disconnected

[VPN-Status] 2010/08/07 16:14:40,510
selecting first remote gateway using strategy eFirst for FRITZ!BOX
     => CurrIdx=0, IpStr=>ziel.dyndns.com<, IpAddr=11.11.11.11, IpTtl=
60s

[VPN-Status] 2010/08/07 16:14:40,510
VPN: installing ruleset for FRITZ!BOX (11.11.11.11)

[VPN-Status] 2010/08/07 16:14:40,520
VPN: rulesets installed

[VPN-Status] 2010/08/07 16:14:41,510
VPN: connecting to FRITZ!BOX (11.11.11.11)

[VPN-Status] 2010/08/07 16:14:41,540
VPN: installing ruleset for FRITZ!BOX (11.11.11.11)

[VPN-Status] 2010/08/07 16:14:41,550
VPN: ruleset installed for FRITZ!BOX (11.11.11.11)

[VPN-Status] 2010/08/07 16:14:41,550
VPN: start IKE negotiation for FRITZ!BOX (11.11.11.11)

[VPN-Status] 2010/08/07 16:14:41,570
VPN: rulesets installed

[VPN-Status] 2010/08/07 16:14:42,550
IKE info: Phase-1 negotiation started for peer FRITZ!BOX rule isakmp-peer-FRITZ!
BOX using AGGRESSIVE mode


[VPN-Status] 2010/08/07 16:14:42,920
IKE info: The remote server 11.11.11.11:500 (UDP) peer FRITZ!BOX id <no_id> su
pports draft-ietf-ipsec-isakmp-xauth
IKE info: The remote server 11.11.11.11:500 (UDP) peer FRITZ!BOX id <no_id> ne
gotiated rfc-3706-dead-peer-detection
IKE info: The remote server 11.11.11.11:500 (UDP) peer FRITZ!BOX id <no_id> su
pports NAT-T in mode draft
IKE info: The remote server 11.11.11.11:500 (UDP) peer FRITZ!BOX id <no_id> su
pports NAT-T in mode draft


[VPN-Status] 2010/08/07 16:14:42,920
IKE info: phase-1 proposal failed: remote No 1 hash algorithm = SHA <-> local No
 1 hash algorithm = MD5
IKE info: Phase-1 remote proposal 1 for peer FRITZ!BOX matched with local propos
al 2


[VPN-Status] 2010/08/07 16:14:43,110
IKE info: Phase-1 [inititiator] for peer FRITZ!BOX between initiator id LANCOM17
11, responder id SCHROTSS done
IKE info: NAT-T enabled in mode draft, we are not behind a nat, the remote side
is behind a nat
IKE info: SA ISAKMP for peer FRITZ!BOX encryption aes-cbc authentication sha1
IKE info: life time ( 3600 sec/ 0 kb)


[VPN-Status] 2010/08/07 16:14:43,110
IKE info: Phase-1 SA Rekeying Timeout (Soft-Event) for peer FRITZ!BOX set to 288
0 seconds (Initiator)


[VPN-Status] 2010/08/07 16:14:43,110
IKE info: Phase-1 SA Timeout (Hard-Event) for peer FRITZ!BOX set to 3600 seconds
 (Initiator)


[VPN-Status] 2010/08/07 16:14:43,200
IKE info: NOTIFY received of type INVALID_ID_INFORMATION for peer FRITZ!BOX


[VPN-Status] 2010/08/07 16:14:52,200
IKE info: ISAKMP_NOTIFY_DPD_R_U_THERE sent for Phase-1 SA to peer FRITZ!BOX, seq
uence nr 0x8897874


[VPN-Status] 2010/08/07 16:14:52,260
IKE info: NOTIFY received of type ISAKMP_NOTIFY_DPD_R_U_THERE_ACK for peer FRITZ
!BOX Seq-Nr 0x8897874, expected 0x8897874


[VPN-Status] 2010/08/07 16:15:11,570
VPN: connection for FRITZ!BOX (11.11.11.11) timed out: no response

[VPN-Status] 2010/08/07 16:15:11,570
VPN: Error: IFC-I-Connection-timeout-IKE-IPSEC (0x1106) for FRITZ!BOX (93.222.74
.118)

[VPN-Status] 2010/08/07 16:15:11,570
VPN: disconnecting FRITZ!BOX (11.11.11.11)

[VPN-Status] 2010/08/07 16:15:11,570
VPN: Error: IFC-I-Connection-timeout-IKE-IPSEC (0x1106) for FRITZ!BOX (93.222.74
.118)

[VPN-Status] 2010/08/07 16:15:11,590
IKE info: Delete Notificaton sent for Phase-1 SA to peer FRITZ!BOX


[VPN-Status] 2010/08/07 16:15:11,590
IKE info: Phase-1 SA removed: peer FRITZ!BOX rule FRITZ!BOX removed


[VPN-Status] 2010/08/07 16:15:11,600
VPN: FRITZ!BOX (11.11.11.11)  disconnected

[VPN-Status] 2010/08/07 16:15:11,620
selecting next remote gateway using strategy eFirst for FRITZ!BOX
     => no remote gateway selected

[VPN-Status] 2010/08/07 16:15:11,620
selecting first remote gateway using strategy eFirst for FRITZ!BOX
     => CurrIdx=0, IpStr=>ziel.dyndns.com<, IpAddr=11.11.11.11, IpTtl=
60s

[VPN-Status] 2010/08/07 16:15:11,620
VPN: installing ruleset for FRITZ!BOX (11.11.11.11)

[VPN-Status] 2010/08/07 16:15:11,620
VPN: FRITZ!BOX (11.11.11.11)  disconnected

[VPN-Status] 2010/08/07 16:15:11,630
VPN: rulesets installed

[VPN-Status] 2010/08/07 16:15:12,620
VPN: connecting to FRITZ!BOX (11.11.11.11)

[VPN-Status] 2010/08/07 16:15:12,650
VPN: installing ruleset for FRITZ!BOX (11.11.11.11)

[VPN-Status] 2010/08/07 16:15:12,660
VPN: ruleset installed for FRITZ!BOX (11.11.11.11)

[VPN-Status] 2010/08/07 16:15:12,660
VPN: start IKE negotiation for FRITZ!BOX (11.11.11.11)

[VPN-Status] 2010/08/07 16:15:12,680
VPN: rulesets installed

[VPN-Status] 2010/08/07 16:15:13,660
IKE info: Phase-1 negotiation started for peer FRITZ!BOX rule isakmp-peer-FRITZ!
BOX using AGGRESSIVE mode


[VPN-Status] 2010/08/07 16:15:14,030
IKE info: The remote server 11.11.11.11:500 (UDP) peer FRITZ!BOX id <no_id> su
pports draft-ietf-ipsec-isakmp-xauth
IKE info: The remote server 11.11.11.11:500 (UDP) peer FRITZ!BOX id <no_id> ne
gotiated rfc-3706-dead-peer-detection
IKE info: The remote server 11.11.11.11:500 (UDP) peer FRITZ!BOX id <no_id> su
pports NAT-T in mode draft
IKE info: The remote server 11.11.11.11:500 (UDP) peer FRITZ!BOX id <no_id> su
pports NAT-T in mode draft


[VPN-Status] 2010/08/07 16:15:14,030
IKE info: phase-1 proposal failed: remote No 1 hash algorithm = SHA <-> local No
 1 hash algorithm = MD5
IKE info: Phase-1 remote proposal 1 for peer FRITZ!BOX matched with local propos
al 2


[VPN-Status] 2010/08/07 16:15:14,210
IKE info: Phase-1 [inititiator] for peer FRITZ!BOX between initiator id LANCOM17
11, responder id SCHROTSS done
IKE info: NAT-T enabled in mode draft, we are not behind a nat, the remote side
is behind a nat
IKE info: SA ISAKMP for peer FRITZ!BOX encryption aes-cbc authentication sha1
IKE info: life time ( 3600 sec/ 0 kb)


[VPN-Status] 2010/08/07 16:15:14,210
IKE info: Phase-1 SA Rekeying Timeout (Soft-Event) for peer FRITZ!BOX set to 288
0 seconds (Initiator)


[VPN-Status] 2010/08/07 16:15:14,210
IKE info: Phase-1 SA Timeout (Hard-Event) for peer FRITZ!BOX set to 3600 seconds
 (Initiator)


[VPN-Status] 2010/08/07 16:15:14,310
IKE info: NOTIFY received of type INVALID_ID_INFORMATION for peer FRITZ!BOX


[VPN-Status] 2010/08/07 16:15:22,310
IKE info: ISAKMP_NOTIFY_DPD_R_U_THERE sent for Phase-1 SA to peer FRITZ!BOX, seq
uence nr 0x47ad8348


[VPN-Status] 2010/08/07 16:15:22,370
IKE info: NOTIFY received of type ISAKMP_NOTIFY_DPD_R_U_THERE_ACK for peer FRITZ
!BOX Seq-Nr 0x47ad8348, expected 0x47ad8348

Danke schon mal

Grüße

xexex · Beitrag von **xexex** » 07 Aug 2010, 17:26

Code: Alles auswählen

IKE info: NAT-T enabled in mode draft, we are not behind a nat, the remote side 
is behind a nat

Auf den ersten Blick würd ich mich nur fragen, wieso sitzt die Fritz Box hinter einem NAT Router?

backslash · Beitrag von **backslash** » 17 Aug 2010, 14:32

Hi Heinzerr

die Phase 1 läuft durch, doch dann mit Beginn der Phase 2 kommt folgendes:

[VPN-Status] 2010/08/07 16:14:19,780
IKE info: NOTIFY received of type INVALID_ID_INFORMATION for peer FRITZ!BOX

Hier scheint irgendwie die Definition der Netzbeziehungen völlig daneben zu sein, weshalb die Fritzbox sie ablehnt. Wenn das in der Phase 1 käme, würde ich sagen, daß der preshared Key nicht stimmt. Da die Phase 1 aber durchgelaufen ist, könnte hier ggf. ein Problem mit PFS bestehen. Versuch mal PFS für die Verbindung zu deaktivieren (PFS-Gruppe 0)

Gruß
Backslash

Heinzerr · Beitrag von **Heinzerr** » 19 Aug 2010, 15:58

So habe pfs auf 0 gesetzt.

Code: Alles auswählen

0s

[VPN-Status] 2010/08/19 15:34:46,450
VPN: installing ruleset for FRITZ!BOX (xx.xxx.xx.xx)

[VPN-Status] 2010/08/19 15:34:46,460
VPN: FRITZ!BOX (xx.xxx.xx.xx)  disconnected

[VPN-Status] 2010/08/19 15:34:46,460
VPN: rulesets installed

[VPN-Status] 2010/08/19 15:34:47,450
VPN: connecting to FRITZ!BOX (xx.xxx.xx.xx)

[VPN-Status] 2010/08/19 15:34:47,480
VPN: installing ruleset for FRITZ!BOX (xx.xxx.xx.xx)

[VPN-Status] 2010/08/19 15:34:47,490
VPN: ruleset installed for FRITZ!BOX (xx.xxx.xx.xx)

[VPN-Status] 2010/08/19 15:34:47,490
VPN: start IKE negotiation for FRITZ!BOX (xx.xxx.xx.xx)

[VPN-Status] 2010/08/19 15:34:47,510
VPN: rulesets installed

[VPN-Status] 2010/08/19 15:34:48,490
IKE info: Phase-1 negotiation started for peer FRITZ!BOX rule isakmp-peer-FRITZ!
BOX using AGGRESSIVE mode


[VPN-Status] 2010/08/19 15:34:48,860
IKE info: The remote server 11.111.11.11:1111 (UDP) peer FRITZ!BOX id <no_id> sup
ports draft-ietf-ipsec-isakmp-xauth
IKE info: The remote server 11.111.11.11:1111 (UDP) peer FRITZ!BOX id <no_id> neg
otiated rfc-3706-dead-peer-detection
IKE info: The remote server 11.111.11.11:1111 (UDP) peer FRITZ!BOX id <no_id> sup
ports NAT-T in mode draft
IKE info: The remote server 11.111.11.11:1111 (UDP) peer FRITZ!BOX id <no_id> sup
ports NAT-T in mode draft


[VPN-Status] 2010/08/19 15:34:48,860
IKE info: phase-1 proposal failed: remote No 1 hash algorithm = SHA <-> local No
 1 hash algorithm = MD5
IKE info: Phase-1 remote proposal 1 for peer FRITZ!BOX matched with local propos
al 2


[VPN-Status] 2010/08/19 15:34:49,050
IKE info: Phase-1 [inititiator] for peer FRITZ!BOX between initiator id LANCOM17
11, responder id SCHROTSS done
IKE info: NAT-T enabled in mode draft, we are not behind a nat, the remote side
is behind a nat
IKE info: SA ISAKMP for peer FRITZ!BOX encryption aes-cbc authentication sha1
IKE info: life time ( 3600 sec/ 0 kb)


[VPN-Status] 2010/08/19 15:34:49,050
IKE info: Phase-1 SA Rekeying Timeout (Soft-Event) for peer FRITZ!BOX set to 288
0 seconds (Initiator)


[VPN-Status] 2010/08/19 15:34:49,050
IKE info: Phase-1 SA Timeout (Hard-Event) for peer FRITZ!BOX set to 3600 seconds
 (Initiator)


[VPN-Status] 2010/08/19 15:34:49,140
IKE info: NOTIFY received of type INVALID_ID_INFORMATION for peer FRITZ!BOX


[VPN-Status] 2010/08/19 15:35:12,140
IKE info: ISAKMP_NOTIFY_DPD_R_U_THERE sent for Phase-1 SA to peer FRITZ!BOX, seq
uence nr 0x746b7312


[VPN-Status] 2010/08/19 15:35:12,200
IKE info: NOTIFY received of type ISAKMP_NOTIFY_DPD_R_U_THERE_ACK for peer FRITZ
!BOX Seq-Nr 0x746b7312, expected 0x746b7312


[VPN-Status] 2010/08/19 15:35:17,510
VPN: connection for FRITZ!BOX (xx.xxx.xx.xx) timed out: no response

[VPN-Status] 2010/08/19 15:35:17,510
VPN: Error: IFC-I-Connection-timeout-IKE-IPSEC (0x1106) for FRITZ!BOX (xx.xxx.xx.xx)

[VPN-Status] 2010/08/19 15:35:17,510
VPN: disconnecting FRITZ!BOX (xx.xxx.xx.xx)

[VPN-Status] 2010/08/19 15:35:17,510
VPN: Error: IFC-I-Connection-timeout-IKE-IPSEC (0x1106) for FRITZ!BOX (xx.xxx.xx.xx)

[VPN-Status] 2010/08/19 15:35:17,530
IKE info: Delete Notificaton sent for Phase-1 SA to peer FRITZ!BOX


[VPN-Status] 2010/08/19 15:35:17,530
IKE info: Phase-1 SA removed: peer FRITZ!BOX rule FRITZ!BOX removed


[VPN-Status] 2010/08/19 15:35:17,540
VPN: FRITZ!BOX (xx.xxx.xx.xx)  disconnected

[VPN-Status] 2010/08/19 15:35:17,560
selecting next remote gateway using strategy eFirst for FRITZ!BOX
     => no remote gateway selected

[VPN-Status] 2010/08/19 15:35:17,560
selecting first remote gateway using strategy eFirst for FRITZ!BOX
     => CurrIdx=0, IpStr=>xxx.dyn-o-saur.com<, IpAddr=xx.xxx.xx.xx, IpTtl=6
0s

[VPN-Status] 2010/08/19 15:35:17,560
VPN: installing ruleset for FRITZ!BOX (xx.xxx.xx.xx)

[VPN-Status] 2010/08/19 15:35:17,570
VPN: FRITZ!BOX (xx.xxx.xx.xx)  disconnected

[VPN-Status] 2010/08/19 15:35:17,580
VPN: rulesets installed

[VPN-Status] 2010/08/19 15:35:18,560
VPN: connecting to FRITZ!BOX (xx.xxx.xx.xx)

[VPN-Status] 2010/08/19 15:35:18,590
VPN: installing ruleset for FRITZ!BOX (xx.xxx.xx.xx)

[VPN-Status] 2010/08/19 15:35:18,600
VPN: ruleset installed for FRITZ!BOX (xx.xxx.xx.xx)

[VPN-Status] 2010/08/19 15:35:18,600
VPN: start IKE negotiation for FRITZ!BOX (xx.xxx.xx.xx)

[VPN-Status] 2010/08/19 15:35:18,620
VPN: rulesets installed

[VPN-Status] 2010/08/19 15:35:19,600
IKE info: Phase-1 negotiation started for peer FRITZ!BOX rule isakmp-peer-FRITZ!
BOX using AGGRESSIVE mode


[VPN-Status] 2010/08/19 15:35:19,970
IKE info: The remote server 11.111.11.11:1111 (UDP) peer FRITZ!BOX id <no_id> sup
ports draft-ietf-ipsec-isakmp-xauth
IKE info: The remote server 11.111.11.11:1111 (UDP) peer FRITZ!BOX id <no_id> neg
otiated rfc-3706-dead-peer-detection
IKE info: The remote server 11.111.11.11:1111 (UDP) peer FRITZ!BOX id <no_id> sup
ports NAT-T in mode draft
IKE info: The remote server 11.111.11.11:1111 (UDP) peer FRITZ!BOX id <no_id> sup
ports NAT-T in mode draft


[VPN-Status] 2010/08/19 15:35:19,970
IKE info: phase-1 proposal failed: remote No 1 hash algorithm = SHA <-> local No
 1 hash algorithm = MD5
IKE info: Phase-1 remote proposal 1 for peer FRITZ!BOX matched with local propos
al 2


[VPN-Status] 2010/08/19 15:35:20,160
IKE info: Phase-1 [inititiator] for peer FRITZ!BOX between initiator id LANCOM17
11, responder id SCHROTSS done
IKE info: NAT-T enabled in mode draft, we are not behind a nat, the remote side
is behind a nat
IKE info: SA ISAKMP for peer FRITZ!BOX encryption aes-cbc authentication sha1
IKE info: life time ( 3600 sec/ 0 kb)


[VPN-Status] 2010/08/19 15:35:20,160
IKE info: Phase-1 SA Rekeying Timeout (Soft-Event) for peer FRITZ!BOX set to 288
0 seconds (Initiator)


[VPN-Status] 2010/08/19 15:35:20,160
IKE info: Phase-1 SA Timeout (Hard-Event) for peer FRITZ!BOX set to 3600 seconds
 (Initiator)


[VPN-Status] 2010/08/19 15:35:20,250
IKE info: NOTIFY received of type INVALID_ID_INFORMATION for peer FRITZ!BOX


[VPN-Status] 2010/08/19 15:35:42,250
IKE info: ISAKMP_NOTIFY_DPD_R_U_THERE sent for Phase-1 SA to peer FRITZ!BOX, seq
uence nr 0x6460f64a


[VPN-Status] 2010/08/19 15:35:42,310
IKE info: NOTIFY received of type ISAKMP_NOTIFY_DPD_R_U_THERE_ACK for peer FRITZ
!BOX Seq-Nr 0x6460f64a, expected 0x6460f64a


[VPN-Status] 2010/08/19 15:35:48,620
VPN: connection for FRITZ!BOX (xx.xxx.xx.xx) timed out: no response

[VPN-Status] 2010/08/19 15:35:48,620
VPN: Error: IFC-I-Connection-timeout-IKE-IPSEC (0x1106) for FRITZ!BOX (xx.xxx.xx.xx)

[VPN-Status] 2010/08/19 15:35:48,620
VPN: disconnecting FRITZ!BOX (xx.xxx.xx.xx)

[VPN-Status] 2010/08/19 15:35:48,620
VPN: Error: IFC-I-Connection-timeout-IKE-IPSEC (0x1106) for FRITZ!BOX (xx.xxx.xx.xx)

[VPN-Status] 2010/08/19 15:35:48,640
IKE info: Delete Notificaton sent for Phase-1 SA to peer FRITZ!BOX


[VPN-Status] 2010/08/19 15:35:48,640
IKE info: Phase-1 SA removed: peer FRITZ!BOX rule FRITZ!BOX removed


[VPN-Status] 2010/08/19 15:35:48,650
VPN: FRITZ!BOX (xx.xxx.xx.xx)  disconnected

[VPN-Status] 2010/08/19 15:35:48,670
selecting next remote gateway using strategy eFirst for FRITZ!BOX
     => no remote gateway selected

[VPN-Status] 2010/08/19 15:35:48,670
selecting first remote gateway using strategy eFirst for FRITZ!BOX
     => CurrIdx=0, IpStr=>xxx.dyn-o-saur.com<, IpAddr=xx.xxx.xx.xx, IpTtl=6
0s

[VPN-Status] 2010/08/19 15:35:48,670
VPN: installing ruleset for FRITZ!BOX (xx.xxx.xx.xx)

[VPN-Status] 2010/08/19 15:35:48,680
VPN: FRITZ!BOX (xx.xxx.xx.xx)  disconnected

[VPN-Status] 2010/08/19 15:35:48,690
VPN: rulesets installed

[VPN-Status] 2010/08/19 15:35:49,670
VPN: connecting to FRITZ!BOX (xx.xxx.xx.xx)

[VPN-Status] 2010/08/19 15:35:49,700
VPN: installing ruleset for FRITZ!BOX (xx.xxx.xx.xx)

[VPN-Status] 2010/08/19 15:35:49,710
VPN: ruleset installed for FRITZ!BOX (xx.xxx.xx.xx)

[VPN-Status] 2010/08/19 15:35:49,710
VPN: start IKE negotiation for FRITZ!BOX (xx.xxx.xx.xx)

[VPN-Status] 2010/08/19 15:35:49,730
VPN: rulesets installed

[VPN-Status] 2010/08/19 15:35:50,710
IKE info: Phase-1 negotiation started for peer FRITZ!BOX rule isakmp-peer-FRITZ!
BOX using AGGRESSIVE mode


[VPN-Status] 2010/08/19 15:35:51,070
IKE info: The remote server 11.111.11.11:1111 (UDP) peer FRITZ!BOX id <no_id> sup
ports draft-ietf-ipsec-isakmp-xauth
IKE info: The remote server 11.111.11.11:1111 (UDP) peer FRITZ!BOX id <no_id> neg
otiated rfc-3706-dead-peer-detection
IKE info: The remote server 11.111.11.11:1111 (UDP) peer FRITZ!BOX id <no_id> sup
ports NAT-T in mode draft
IKE info: The remote server 11.111.11.11:1111 (UDP) peer FRITZ!BOX id <no_id> sup
ports NAT-T in mode draft


[VPN-Status] 2010/08/19 15:35:51,070
IKE info: phase-1 proposal failed: remote No 1 hash algorithm = SHA <-> local No
 1 hash algorithm = MD5
IKE info: Phase-1 remote proposal 1 for peer FRITZ!BOX matched with local propos
al 2


[VPN-Status] 2010/08/19 15:35:51,270
IKE info: Phase-1 [inititiator] for peer FRITZ!BOX between initiator id LANCOM17
11, responder id SCHROTSS done
IKE info: NAT-T enabled in mode draft, we are not behind a nat, the remote side
is behind a nat
IKE info: SA ISAKMP for peer FRITZ!BOX encryption aes-cbc authentication sha1
IKE info: life time ( 3600 sec/ 0 kb)


[VPN-Status] 2010/08/19 15:35:51,270
IKE info: Phase-1 SA Rekeying Timeout (Soft-Event) for peer FRITZ!BOX set to 288
0 seconds (Initiator)


[VPN-Status] 2010/08/19 15:35:51,270
IKE info: Phase-1 SA Timeout (Hard-Event) for peer FRITZ!BOX set to 3600 seconds
 (Initiator)


[VPN-Status] 2010/08/19 15:35:51,360
IKE info: NOTIFY received of type INVALID_ID_INFORMATION for peer FRITZ!BOX

@xexex:
wie stelle ich den NAT richtig ein - und wo? Habe nichts wissentlich in der Fritzbox umgestellt.

mit anderen Fritzboxen kommuniziert meine bisher auch prächtig

xexex · Beitrag von **xexex** » 19 Aug 2010, 16:55

Da der Lancom Router behauptet die Gegenseite würde hinter einem NAT sitzen bin ich davon ausgegangen dass deine Fritz Box ewt. hinter einem anderen NAT Gateway sitzt. Welchen Provider nutzt du?

Heinzerr · Beitrag von **Heinzerr** » 19 Aug 2010, 17:24

1&1 VDSL 50

edit: Keiner eine Idee?

Heinzerr · Beitrag von **Heinzerr** » 31 Aug 2010, 09:29

Komme leider nicht weiter, hat keiner einen Lösungsvorschlag?