VPN LAN-LAN zw. Lancom 3550 und Allnet ALL0276VPN

[Gambler]

Hallo an alle Lancom Besitzer!

Ich hoffe mir kann jemand von Euch helfen, habe hier kleines VPN-Problem.
Ich würde gerne die beiden im Betreff genannten Router koppeln.
Der Lancom 3550 hat die UMTS/5Kanal VPN Option an Board, der ALL0276VPN kann von Haus aus VPN.

Jetzt ist allerdings mein Problem, daß ich in Sachen VPN nicht so bewandert
bin, zwei LANCOM Router zu koppeln ist, mit dem Setup Assistenten von Lanconfig, ja recht einfach, hab ich auch schon woanders ohne Probleme laufen.
Jetzt sind aber die Begrifflichkeiten bei dem Allnet-Teil (Webconfig sieht aus wie von Linksys?!) etwas anders....

AAAAlso, beim Lancom-Lanconfig-Setup-Assistenten habe ich:

1. Namen der Router - kein Problem
2. Gemeinsames Kennwort - Preshared Key
3. Kennwort & shared secret
4. IKE und PFS Gruppe 2 oder 5
5. VPN Haltezeit - kein Problem
6. Gateway etc. kein Problem
7. Extranet etc. - kein Problem
8. Netbios - kein Problem

Jetzt zum schwierigen Teil, der Allnet Router

Hier geht es mir in erster Linie um folgende Einstellungen:

-Encryption DES, 3DES oder Disable ?
-Authentication MD5 oder SHA1 ?
-Key Exchange Method habe ich auf Auto (IKE) stehen
-PFS Enabled oder Disabled
-bei Pre-Shared Key steht hinten dran "Please Enter Shared Secret" was nun?

Ich hab auch noch die Möglichkeit Advancd VPN Tunnel Setup aufzurufen, das sieht dann wie angehängt aus, muß ich hier irgendwas ändern?

Ich hoffe das war jetzt nicht zu unverständlich, aber ich weiß wirklich nicht was ich wo einstellen soll, das es mit dem Lancom funktioniert.

Vielen Dank schon mal im voraus & bis denne

Gambler

[eddia]

Hallo Gambler,

Jetzt sind aber die Begrifflichkeiten bei dem Allnet-Teil (Webconfig sieht aus wie von Linksys?!) etwas anders....

eigentlich nicht - die Begriffe findest Du beim Lancom in den IKE- und IPSec-Proposals. Der Unterschied zu den meisten VPN-Gateways ist, dass beim Lancom nicht nur ein Proposal sondern mehrere definiert werden können, die dann in einer Proposalliste zusammengefasst und einer (oder mehreren) Verbindung zugeordnet werden kann. Damit kann man quasi eine Priorität der auszuhandelnden VPN-Parameter darstellen - also z.B. zuerst AES anbieten, falls die Gegenstelle das nicht mag 3DES oder auch nur DES.

Problematisch ist, dass viele (billige) VPN-Gateways mit dieser Aushandlung nicht klarkommen, sondern stur nur ein einziges Proposal erwarten, welches exakt die gleichen Parameter haben muss.

Ich hab auch noch die Möglichkeit Advancd VPN Tunnel Setup aufzurufen, das sieht dann wie angehängt aus, muß ich hier irgendwas ändern?

Hier mindestens 3DES für beide Phasen auswählen und Group auf 1024 stellen, PFS ein - damit hat man zum grössten Teil schon die Defaultwerte des Lancoms erwischt. Lass am Lancom den LAN-LAN Assistenten mit VPN durchlaufen. Dann siehst Du im Lancom unter den VPN-Verbindungsparametern nach, welche Proposallisten (IKE = Phase1, IPSec = Phase2) von dieser Verbindung genutzt werden. Dann nimmst Du aus diesen Listen alle Proposals raus, die nicht den Einstellungen des anderen Routers entsprechen. Eventuell muss man auch noch die Key-Life-Time auf beiden Seiten identisch einstellen - das hängt ganz davon ab, wie flexibel Dein Fremdrouter reagiert.

Gruß

Mario

[Gambler]

Hallo nochmal,

erstmal vielen Dank für Deine Hilfestellung.

Es hat alles ein bisschen länger gedauert, aber ich hatte nicht so viel
Zeit, bzw. habe auch lange probiert, komme jetzt aber nicht mehr weiter.

Ich hoffe mir kann irgendjemand helfen....

Ich habs jetzt soweit, daß Phase1 klappt aber irgendwo danach hängts dann und ich komme einfach nicht weiter.

Ich poste mal den VPN-Status Trace vom Lancom:

[VPN-Status] 1900/01/03 19:25:35,580
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <
-> local No 1 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <
-> local No 2 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <
-> local No 3 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <
-> local No 4 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 1 hash algorithm = SHA <-> local No
5 hash algorithm = MD5
IKE info: Phase-1 remote proposal 1 for peer ALL0276VPN matched with local proposal 6 <---scheint also ok....

[VPN-Status] 1900/01/03 19:25:35,930
IKE info: Phase-1 [responder] for peer ALL0276VPN between initiator id xx.xxx.xx.xx, responder id xxx.xxx.net done
IKE info: SA ISAKMP for peer ALL0276VPN encryption 3des-cbc authentication sha1
IKE info: life time ( 28800 sec/ 0 kb)

[VPN-Status] 1900/01/03 19:25:38,850
VPN: starting external DNS resolution for ALL0276VPN
IpStr=>yyy.yyy.net<, IpAddr(old)=xx.xxx.xx.xx, IpTtl(old)=60s

[VPN-Status] 1900/01/03 19:25:38,990
VPN: external DNS resolution for ALL0276VPN
IpStr=>yyy.yyy.net<, IpAddr(old)=xx.xxx.xx.xx, IpTtl(old)=60s
IpStr=>yyy.yyy.net<, IpAddr(new)=xx.xxx.xx.xx, IpTtl(new)=60s

[VPN-Status] 1900/01/03 19:25:53,260
VPN: connection for ALL0276VPN (xx.xxx.xx.xx) timed out: no response

[VPN-Status] 1900/01/03 19:25:53,260
VPN: Error: IFC-I-Connection-timeout-IKE-IPSEC (0x1106) for ALL0276VPN (xx.xxx.xx.xx)
[VPN-Status] 1900/01/03 19:25:53,260
VPN: disconnecting ALL0276VPN (xx.xxx.xx.xx)

[VPN-Status] 1900/01/03 19:25:53,280
IKE info: Delete Notificaton sent for Phase-1 SA to peer ALL0276VPN

[VPN-Status] 1900/01/03 19:25:53,280
IKE info: Phase-1 SA removed: peer ALL0276VPN rule ALL0276VPN removed

[VPN-Status] 1900/01/03 19:25:53,280
IKE info: Delete Notificaton sent for Phase-1 SA to peer ALL0276VPN

[VPN-Status] 1900/01/03 19:25:53,280
IKE info: Phase-1 SA removed: peer ALL0276VPN rule ALL0276VPN removed

[VPN-Status] 1900/01/03 19:25:53,280
IKE info: Delete Notificaton sent for Phase-1 SA to peer ALL0276VPN

[VPN-Status] 1900/01/03 19:25:53,280
IKE info: Phase-1 SA removed: peer ALL0276VPN rule ALL0276VPN removed

[VPN-Status] 1900/01/03 19:25:53,330
VPN: selecting next remote gateway using strategy eFirst for ALL0276VPN
=> no remote gateway selected

[VPN-Status] 1900/01/03 19:25:53,340
VPN: selecting first remote gateway using strategy eFirst for ALL0276VPN
=> CurrIdx=0, IpStr=>yyy.yyy.net<, IpAddr=xx.xxx.xx.xx, IpTtl=60s

[VPN-Status] 1900/01/03 19:25:53,340
VPN: installing ruleset for ALL0276VPN (xx.xxx.xx.xx)

[VPN-Status] 1900/01/03 19:25:53,340
VPN: ALL0276VPN (xx.xxx.xx.xx) disconnected

[VPN-Status] 1900/01/03 19:25:53,360
VPN: rulesets installed

[VPN-Status] 1900/01/03 19:26:11,230
IKE log: 192611 Default message_recv: invalid cookie(s) 742936bae7ae8640 01c53af
a16834b4b

[VPN-Status] 1900/01/03 19:26:11,230
IKE log: 192611 Default dropped message from xx.xxx.xx.xx port 500 due to notification type INVALID_COOKIE

[VPN-Status] 1900/01/03 19:26:11,230
IKE info: dropped message from peer unknown xx.xxx.xx.xx port 500 due to notification type INVALID_COOKIE

[VPN-Status] 1900/01/03 19:26:39,990
VPN: starting external DNS resolution for ALL0276VPN
IpStr=>yyy.yyy.net<, IpAddr(old)=xx.xxx.xx.xx, IpTtl(old=60s

[VPN-Status] 1900/01/03 19:26:40,060
VPN: external DNS resolution for ALL0276VPN
IpStr=>yyy.yyy.net<, IpAddr(old)=xx.xxx.xx.xx, IpTtl(old)=60s
IpStr=>yyy.yyy.net<, IpAddr(new)=xx.xxx.xx.xx, IpTtl(new)=60s

[VPN-Status] 1900/01/03 19:27:41,060
VPN: starting external DNS resolution for ALL0276VPN
IpStr=>yyy.yyy.net<, IpAddr(old)=xx.xxx.xx.xx, IpTtl(old=60s

[VPN-Status] 1900/01/03 19:27:41,130
VPN: external DNS resolution for ALL0276VPN
IpStr=>yyy.yyy.net<, IpAddr(old)=xx.xxx.xx.xx, IpTtl(old)=60s
IpStr=>yyy.yyy.net<, IpAddr(new)=xx.xxx.xx.xx, IpTtl(new)=60s

[VPN-Status] 1900/01/03 19:28:42,130
VPN: starting external DNS resolution for ALL0276VPN
IpStr=>yyy.yyy.net<, IpAddr(old)=xx.xxx.xx.xx, IpTtl(old)=60s

usw...

Vielen Dank im voraus
Gambler

[backslash]

Hi Gambler

4. IKE und PFS Gruppe 2 oder 5

IKE: 2 (= 768 Bit)
PFS: 0 (da du im Allnet PFS abgeschaltet hast)

Gruß
Backslash

[Gambler]

Erstmal danke für die schnelle Antwort Backslash,

Das interessante ist, das, wie in meinem ersten Posting zu ersehen PFS Disabled war und jetzt Enabled ist - obwohl man diese Option im Allnet nicht von Hand ändern kann.....

Ich hab mal das AdvancedTunnel Setup vom Allnet drangehängt, da kann man es sehen....

Irgendwie steh ich jetzt auf dem Schlauch...

Bis denne

Gambler

[IMTREX]

Hallo!

Vielleicht als Tip:

Ich habe mehrere Lancoms I-1611 mit meheren Allnets ALL0277DSLA und ALL0277DSLB (Annex A bzw. Annex B) mit VPN am laufen.

Ich hatte auch zunächst dieses Problem:
-------------------------------------------------
[VPN-Status] 1900/01/03 19:25:53,260
VPN: connection for ALL0276VPN (xx.xxx.xx.xx) timed out: no response

[VPN-Status] 1900/01/03 19:25:53,260
VPN: Error: IFC-I-Connection-timeout-IKE-IPSEC (0x1106) for ALL0276VPN (xx.xxx.xx.xx)
-------------------------------------------------

Ich mußte bei den Allnets unter Optionen erlauben, daß Sie anpingbar sind, sonst haben die Lancoms immer "aufgelegt". Danach ging es. Man kann nicht einstellen, ob ping vom Internet oder vom VPN Tunnel, sondern nur generell....

Vielleicht hilft das weiter...

Gruß,
Dieter

[Gambler]

Ha - mittlerweile läuft das ganze....hat ja auch nur insgesamt drei
Monate gedauert (mit Unterbrechungen).....

Ich hab mir den KIWI Syslog Daemon installiert und mir die Logs vom
all0276vpn dorthin schicken lassen - abgesehen von den quasi gleichen
Fehlermeldungen fiel mir auf, daß sich der all0276vpn in den Syslog
Meldungen als WRV54G ausgibt.......nachdem ich durch die ganze
Rumprobiererei sowieso extremst frustriert war bin ich dann aufs ganze
gegangen und hab den all0276vpn mit der FW 2.38.6 von linksysinfo.org
geflasht....sollte das Dingen nicht mehr funktionieren muß ich mich
wenigstens nicht mehr mit dem Teil rumärgern.....aber siehe da.....
auf einmal konnte ich PFS ein- und ausschalten und noch besser,

der VPN-Tunnel lief SOFORT und steht seitdem einwandfrei.......

Auf jeden Fall mal Danke an alle die versucht haben mir zu helfen
und falls jemand Fragen zum all0276vpn hat, mittlerweile kenn
ich das Ding wie meine Westentasche.....

Bis denne und Ciao

Gambler