VPN Kopplung LANCOM 1611+ und ZyXEL Prestige 660 HW

[Knotti]

Hallo Leute,

ich bin schon einige Zeit stiller Mitleser hier im Forum, nun möchte ich doch einmal für mich um Hilfe bitten.

Ich soll, wie schon im Titel erwähnt, eine VPN Kopplung zwischen einem LANCOM 1611+ und einem Zyxel P660HW bewerkstelligen.

Leider komme ich über die Phase 1 des Verbindungsaufbaues gar nicht hinaus, der LANCOM meldet im Trace immer "no sa available, given up ..."

Ich bin mir sicher, das es an den fehlerhaften Einstellungen im Zyxel liegt, ehrlich gesagt bin ich mir gar nicht so sicher welcher Parameter im Zyxel vohin gehört und welches VPN-Protokoll gewählt werden muss .

Vielleicht gibt es ja hier jemanden, der diese Konfiguration zum Laufen gebracht hat, und mir bereit ist, die entsprechenden Tipps zu geben. Oder gibt es irgendwo so etwas wie ein "Howto", wo dieses Szenario nachgelesen werden kann? Ich habe leider noch nichts entsprechendes gefunden.

Danke im Voraus für Eure Hilfe.

[Knotti]

So, nachdem ich mir nun die ganze Nacht um die Ohren geschlagen habe, bin ich ein kleines Stücken weiter, aber über die Phase 1 komme ich immer noch nicht hinaus, anbei noch ein Trace:


root@LANCOM_1:/
> trace + vpn
VPN :
VPN-Status ON
VPN-Packet ON

root@LANCOM_1:/
>
[VPN-Status] 2006/04/02 08:49:31,120
VPN: connecting to MICHAEL (89.49.49.201)

[VPN-Status] 2006/04/02 08:49:31,120
VPN: installing ruleset for MICHAEL (89.49.49.201)

[VPN-Status] 2006/04/02 08:49:31,140
VPN: ruleset installed for MICHAEL (89.49.49.201)

[VPN-Status] 2006/04/02 08:49:31,140
VPN: start IKE negotiation for MICHAEL (89.49.49.201)

[VPN-Status] 2006/04/02 08:49:31,160
VPN: rulesets installed

[VPN-Packet] 2006/04/02 08:49:31,160
for send: 10.0.0.152->192.168.1.1 60 ICMP ECHOREQUEST

[VPN-Packet] 2006/04/02 08:49:31,160
no sa available: give up, should be retransmitted

[VPN-Status] 2006/04/02 08:49:31,160
IKE info: Phase-1 negotiation started for peer MICHAEL rule isakmp-peer-MICHAEL
using MAIN mode

[VPN-Status] 2006/04/02 08:49:38,290
IKE log: 084938 Default exchange_run: [case -1] exchange_validate2 failed

[VPN-Status] 2006/04/02 08:49:38,290
IKE log: 084938 Default dropped message from 89.49.49.201 port 500 due to notifi
cation type PAYLOAD_MALFORMED

[VPN-Status] 2006/04/02 08:49:38,300
IKE info: dropped message from peer unknown 89.49.49.201 port 500 due to notific
ation type PAYLOAD_MALFORMED

[VPN-Status] 2006/04/02 08:49:38,300
VPN: Error: IKE-I-General-failure (0x21ff) for MICHAEL (89.49.49.201)


trace - vpn
VPN :
VPN-Status OFF
VPN-Packet OFF
>


Weis jemand, was das IKE-Log 084938 bedeutet ?
Wäre nett wenn mir jemand auf die Sprünge helfen würde.


Vielen Dank.

[Knotti]

Hallo Leute,

muss mich noch einmal zu Wort melden.
Wie es scheint habe ich nun endlich eine Phase 1 Verbindung zwischen beiden Geräten hinbekommen

Allerdings komme ich nun über die Phase 2 nicht hinaus.
Irgendetwas stimmt mit den IPSEC-Proposalen noch nicht.
"IKE info: NOTIFY received of type NO_PROPOSAL_CHOSEN for peer MICHAEL"
Ich habe schon vorsichtig versucht manuell in der Lancom-VPN-Konfiguration etwas zu verändern, leider ohne Ergebnis.

Weis jemand an welchen Rad ich drehen muss?


root@LANCOM_1:/

> trace + vpn
VPN :
VPN-Status ON
VPN-Packet ON

root@LANCOM_1:/
>
[VPN-Status] 2006/04/02 12:28:20,650
VPN: connecting to MICHAEL (89.49.19.230)

[VPN-Status] 2006/04/02 12:28:20,660
VPN: installing ruleset for MICHAEL (89.49.19.230)

[VPN-Status] 2006/04/02 12:28:20,680
VPN: ruleset installed for MICHAEL (89.49.19.230)

[VPN-Status] 2006/04/02 12:28:20,680
VPN: start IKE negotiation for MICHAEL (89.49.19.230)

[VPN-Status] 2006/04/02 12:28:20,690
VPN: rulesets installed

[VPN-Packet] 2006/04/02 12:28:20,690
for send: 10.0.0.28->192.168.1.1 60 ICMP ECHOREQUEST

[VPN-Packet] 2006/04/02 12:28:20,690
no sa available: give up, should be retransmitted

[VPN-Status] 2006/04/02 12:28:20,700
IKE info: Phase-1 negotiation started for peer MICHAEL rule isakmp-peer-MICHAEL
using AGGRESSIVE mode

[VPN-Packet] 2006/04/02 12:28:21,680
for send: 10.0.0.28->192.168.1.1 60 ICMP ECHOREQUEST

[VPN-Packet] 2006/04/02 12:28:21,680
no sa available: give up, should be retransmitted

[VPN-Status] 2006/04/02 12:28:22,300
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <
-> local No 1 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <
-> local No 2 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <
-> local No 3 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <
-> local No 4 encryption algorithm = BLOWFISH_CBC
IKE info: Phase-1 remote proposal 1 for peer MICHAEL matched with local proposal
5


[VPN-Status] 2006/04/02 12:28:22,450
IKE info: Phase-1 [inititiator] for peer MICHAEL between initiator id LANCOM_1,
responder id MICHAEL done
IKE info: SA ISAKMP for peer MICHAEL encryption 3des-cbc authentication md5
IKE info: life time ( 108000 sec/ 0 kb)


[VPN-Packet] 2006/04/02 12:28:22,680
for send: 10.0.0.28->192.168.1.1 60 ICMP ECHOREQUEST

[VPN-Packet] 2006/04/02 12:28:22,680
no sa available: give up, should be retransmitted

[VPN-Status] 2006/04/02 12:28:22,860
IKE info: NOTIFY received of type NO_PROPOSAL_CHOSEN for peer MICHAEL

[VPN-Status] 2006/04/02 12:28:22,860
VPN: Error: IPSEC-I-No-proposal-matched (0x3102) for MICHAEL (89.49.19.230)

[VPN-Status] 2006/04/02 12:28:22,860
IKE info: Delete Notification received for Phase-1 SA isakmp-peer-MICHAEL peer M
ICHAEL cookies [60c45c276736d6c4 8e1ad42943b073e2]


[VPN-Status] 2006/04/02 12:28:22,860
IKE info: Phase-1 SA removed: peer MICHAEL rule MICHAEL removed


[VPN-Status] 2006/04/02 12:28:22,870
VPN: MICHAEL (89.49.19.230) disconnected

[VPN-Status] 2006/04/02 12:28:22,870
VPN: Disconnect info: remote-disconnected (0x4301) for MICHAEL (89.49.19.230)



Schon mal dánke und noch einen schönen Nachmittag.

[eddia]

Hallo Knotti,

VPN-Status] 2006/04/02 12:28:22,860
VPN: Error: IPSEC-I-No-proposal-matched (0x3102) for MICHAEL (89.49.19.230)

Falls die IPSec- Proposals auf beiden Seiten übereinstimmen - wie sieht es mit PFS aus?

Gruß

Mario

[Knotti]

Hallo Mario,

danke für Deine Mühe !!!

Nach einer durchgemachten Nacht und jeder Menge Tassen Earl Grey habe ich es soeben hinbekommen.
Ich musste noch in der Lancom-Konfiguration ein IPSEC Proposal manuell hinzufügen, nun funzt es *freu*.
Allerdings macht mir die Firewall im Zyxel noch etwas Sorgen, entweder übersehe ich da jetzt etwas oder ich mache einen Gedankenfehler, naja werde mich jetzt erst mal auf´s Ohr hauen.

Falls jemand Interesse an der Konfiguration hat, genügt eine kurze Mail.


root@LANCOM_1:/
> trace + vpn
VPN :
VPN-Status ON
VPN-Packet ON

root@LANCOM_1:/
>
[VPN-Status] 2006/04/02 14:54:35,450
VPN: connecting to MICHAEL (89.49.19.230)

[VPN-Status] 2006/04/02 14:54:35,450
VPN: installing ruleset for MICHAEL (89.49.19.230)

[VPN-Status] 2006/04/02 14:54:35,470
VPN: ruleset installed for MICHAEL (89.49.19.230)

[VPN-Status] 2006/04/02 14:54:35,470
VPN: start IKE negotiation for MICHAEL (89.49.19.230)

[VPN-Status] 2006/04/02 14:54:35,490
VPN: rulesets installed

[VPN-Packet] 2006/04/02 14:54:35,490
for send: 10.0.0.28->192.168.1.10 60 ICMP ECHOREQUEST

[VPN-Packet] 2006/04/02 14:54:35,490
no sa available: give up, should be retransmitted

[VPN-Status] 2006/04/02 14:54:35,490
IKE info: Phase-1 negotiation started for peer MICHAEL rule isakmp-peer-MICHAEL
using AGGRESSIVE mode

[VPN-Packet] 2006/04/02 14:54:36,470
for send: 10.0.0.28->192.168.1.10 60 ICMP ECHOREQUEST

[VPN-Packet] 2006/04/02 14:54:36,470
no sa available: give up, should be retransmitted

[VPN-Status] 2006/04/02 14:54:37,140
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <
-> local No 1 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <
-> local No 2 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <
-> local No 3 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <
-> local No 4 encryption algorithm = BLOWFISH_CBC
IKE info: Phase-1 remote proposal 1 for peer MICHAEL matched with local proposal
5


[VPN-Status] 2006/04/02 14:54:37,300
IKE info: Phase-1 [inititiator] for peer MICHAEL between initiator id LANCOM_1,
responder id MICHAEL done
IKE info: SA ISAKMP for peer MICHAEL encryption 3des-cbc authentication md5
IKE info: life time ( 108000 sec/ 0 kb)


[VPN-Packet] 2006/04/02 14:54:37,470
for send: 10.0.0.28->192.168.1.10 60 ICMP ECHOREQUEST

[VPN-Packet] 2006/04/02 14:54:37,470
no sa available: give up, should be retransmitted

[VPN-Packet] 2006/04/02 14:54:38,470
for send: 10.0.0.28->192.168.1.10 60 ICMP ECHOREQUEST

[VPN-Packet] 2006/04/02 14:54:38,470
no sa available: give up, should be retransmitted

[VPN-Status] 2006/04/02 14:54:39,130
IKE info: Phase-2 [inititiator] done with 2 SAS for peer MICHAEL rule ipsec-3-MI
CHAEL-pr0-l0-r0
IKE info: rule:' ipsec 10.0.0.0/255.0.0.0 <-> 192.168.1.0/255.255.255.0 '
IKE info: SA ESP [0xbda6b3a2] alg 3DES keylength 192 +hmac HMAC_MD5 outgoing
IKE info: SA ESP [0x5b0480ce] alg 3DES keylength 192 +hmac HMAC_MD5 incoming
IKE info: life soft( 1800 sec/180000 kb) hard (2000 sec/200000 kb)
IKE info: tunnel between src: 84.184.117.68 dst: 89.49.19.230


[VPN-Packet] 2006/04/02 14:54:39,470
for send: 10.0.0.28->192.168.1.10 60 ICMP ECHOREQUEST

[VPN-Packet] 2006/04/02 14:54:39,470
encap: 10.0.0.28->192.168.1.10 60 ICMP ECHOREQUEST

[VPN-Packet] 2006/04/02 14:54:39,470
encrypted: 84.184.117.68->89.49.19.230 112 ESP SPI[bda6b3a2]

[VPN-Packet] 2006/04/02 14:54:39,590
received: 89.49.19.230->84.184.117.68 112 ESP SPI[5b0480ce]

[VPN-Packet] 2006/04/02 14:54:39,590
decrypted: 89.49.19.230->84.184.117.68 96 IP-ENCAP

[VPN-Packet] 2006/04/02 14:54:39,590
decap: 192.168.1.10->10.0.0.28 60 ICMP ECHOREPLY

[VPN-Status] 2006/04/02 14:54:40,150
VPN: MICHAEL (89.49.19.230) connected

[VPN-Packet] 2006/04/02 14:54:40,160
for send: 10.0.0.28->192.168.1.10 60 ICMP ECHOREQUEST

[VPN-Packet] 2006/04/02 14:54:40,160
encap: 10.0.0.28->192.168.1.10 60 ICMP ECHOREQUEST

[VPN-Packet] 2006/04/02 14:54:40,160
encrypted: 84.184.117.68->89.49.19.230 112 ESP SPI[bda6b3a2]

[VPN-Packet] 2006/04/02 14:54:40,310
received: 89.49.19.230->84.184.117.68 112 ESP SPI[5b0480ce]

[VPN-Packet] 2006/04/02 14:54:40,310
decrypted: 89.49.19.230->84.184.117.68 96 IP-ENCAP

[VPN-Packet] 2006/04/02 14:54:40,310
decap: 192.168.1.10->10.0.0.28 60 ICMP ECHOREPLY

[VPN-Packet] 2006/04/02 14:54:40,600
for send: 10.0.0.28->192.168.1.10 60 ICMP ECHOREQUEST

[VPN-Packet] 2006/04/02 14:54:40,600
encap: 10.0.0.28->192.168.1.10 60 ICMP ECHOREQUEST

...

---------------------------------------------------------------------------------

Danke an alle die sich meinem Problem angenommen haben.

Stefan.

[hazzit]

Ich habe genau das gleiche Problem. Allerdings mit einem Prestige 334WT.

IKE info: NOTIFY received of type NO_PROPOSAL_CHOSEN for peer MICHAEL

[VPN-Status] 2006/04/02 12:28:22,860
VPN: Error: IPSEC-I-No-proposal-matched (0x3102) for MICHAEL (89.49.19.230)

Ich kann aber nicht erkennen welches Proposal dem Lancom da fehlen würde, PSK/3DES/MD5/PFS2 ist da bereits enthalten. Allerdings stolpere ich über folgende Zeile im zweiten Trace:

[VPN-Status] 2006/04/02 14:54:39,130
IKE info: Phase-2 [inititiator] done with 2 SAS for peer MICHAEL rule ipsec-3-MI
CHAEL-pr0-l0-r0
IKE info: rule:' ipsec 10.0.0.0/255.0.0.0 <-> 192.168.1.0/255.255.255.0 '
IKE info: SA ESP [0xbda6b3a2] alg 3DES keylength 192 +hmac HMAC_MD5 outgoing
IKE info: SA ESP [0x5b0480ce] alg 3DES keylength 192 +hmac HMAC_MD5 incoming
IKE info: life soft( 1800 sec/180000 kb) hard (2000 sec/200000 kb)
IKE info: tunnel between src: 84.184.117.68 dst: 89.49.19.230

Der Lancom kann 3DES mit 168bit. Das Eingabefeld für die Bitlänge im Konfig-tool ist grau. Im Log steht aber was von 192bit???

Eine Aufklärung wäre nett.