VPN LANCOM-Digitalisierungsbox

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
Benutzeravatar
hyperjojo
Beiträge: 823
Registriert: 26 Jul 2009, 02:26

VPN LANCOM-Digitalisierungsbox

Beitrag von hyperjojo »

hi zusammen,

ich versuche gerade gemäß dem KB-Artikel ein Site2Site VPN zwischen der Digitalisierungsbox und einem LC 1781A einzurichten.

Habe mich (hoffentlich) genau an die Anleitung gehalten, aber der VPN baut nicht auf.

Ein tr # vpn-status zeigt:

Code: Alles auswählen

root@1781A:/
> tr # vpn-st @ DIGIBOX
VPN-Status           ON  @ DIGIBOX

[VPN-Status] 2016/11/25 10:14:07,378
IKE info: ISAKMP_NOTIFY_DPD_R_U_THERE sent for Phase-1 SA to peer DIGIBOX, sequence nr 0x27aba8c


[VPN-Status] 2016/11/25 10:14:07,408
IKE info: NOTIFY received of type ISAKMP_NOTIFY_DPD_R_U_THERE_ACK for peer DIGIBOX Seq-Nr 0x27aba8c, expected 0x27aba8c


[VPN-Status] 2016/11/25 10:14:16,937
IKE info: Delete Notification received for Phase-1 SA isakmp-peer-DIGIBOX peer DIGIBOX cookies [0xca779a1321615b97 0x515063a03de6d89a]


[VPN-Status] 2016/11/25 10:14:16,937
IKE info: Phase-1 SA removed: peer DIGIBOX rule DIGIBOX removed


[VPN-Status] 2016/11/25 10:14:16,939
vpn-maps[24], remote: DIGIBOX, idle, static-name

[VPN-Status] 2016/11/25 10:14:16,939
vpn-maps[24], remote: DIGIBOX, idle, static-name

[VPN-Status] 2016/11/25 10:14:25,548
IKE info: The remote peer DIGIBOX supports NAT-T in draft mode
IKE info: The remote peer DIGIBOX supports NAT-T in draft mode
IKE info: The remote server 80.147.207.100:871 (UDP) peer DIGIBOX id <no_id> supports draft-ietf-ipsec-isakmp-xauth
IKE info: The remote server 80.147.207.100:871 (UDP) peer DIGIBOX id <no_id> negotiated rfc-3706-dead-peer-detection


[VPN-Status] 2016/11/25 10:14:25,549
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <-> local No 1 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <-> local No 2 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <-> local No 3 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <-> local No 4 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <-> local No 5 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 1 hash algorithm = MD5 <-> local No 6 hash algorithm = SHA1
IKE info: Phase-1 remote proposal 1 for peer DIGIBOX matched with local proposal 7


[VPN-Status] 2016/11/25 10:14:25,716
IKE info: Phase-1 [responder] got INITIAL-CONTACT from peer DIGIBOX (80.147.207.100)


[VPN-Status] 2016/11/25 10:14:25,717
IKE info: Phase-1 SA Rekeying Timeout (Soft-Event) for peer DIGIBOX set to 25920 seconds (Responder)


[VPN-Status] 2016/11/25 10:14:25,717
IKE info: Phase-1 SA Timeout (Hard-Event) for peer DIGIBOX set to 28800 seconds (Responder)


[VPN-Status] 2016/11/25 10:14:25,717
Phase-1 [responder] for peer DIGIBOX initiator id digibox.test, responder id lancom.test
initiator cookie: 0xFC1175AB0DE3BEE3, responder cookie: 0xEABEA2EC9958F9D9
NAT-T enabled in mode draft. We are not behind a nat, the remote side is  behind a nat
SA ISAKMP for peer DIGIBOX encryption 3des-cbc authentication MD5
life time soft 11/25/2016 17:26:25 (in 25920 sec) / 0 kb
life time hard 11/25/2016 18:14:25 (in 28800 sec) / 0 kb

[VPN-Status] 2016/11/25 10:14:37,718
IKE info: ISAKMP_NOTIFY_DPD_R_U_THERE sent for Phase-1 SA to peer DIGIBOX, sequence nr 0x44492503


[VPN-Status] 2016/11/25 10:14:37,748
IKE info: NOTIFY received of type ISAKMP_NOTIFY_DPD_R_U_THERE_ACK for peer DIGIBOX Seq-Nr 0x44492503, expected 0x44492503


[VPN-Status] 2016/11/25 10:15:37,749
IKE info: ISAKMP_NOTIFY_DPD_R_U_THERE sent for Phase-1 SA to peer DIGIBOX, sequence nr 0x44492504


[VPN-Status] 2016/11/25 10:15:37,779
IKE info: NOTIFY received of type ISAKMP_NOTIFY_DPD_R_U_THERE_ACK for peer DIGIBOX Seq-Nr 0x44492504, expected 0x44492504
Ein show vpn long zeigt:

Code: Alles auswählen

  Rule #7          ikev1        192.168.41.0/255.255.255.0:0 <-> 192.168.51.0/255.255.255.0:0 any

    Name:                       DIGIBOX
    Unique Id:                  ipsec-0-DIGIBOX-pr0-l0-r0
    Flags:                      aggressive-mode
    Local  Network:             IPV4_ADDR_SUBNET(any:0, 192.168.41.0/255.255.255.0)
    Local  Gateway:             IPV4_ADDR(any:0, [öffentliche IP am LANCOM])
    Remote Gateway:             IPV4_ADDR(any:0, [öffentliche IP an Digibox])
    Remote Network:             IPV4_ADDR_SUBNET(any:0, 192.168.51.0/255.255.255.0)
Warum stellt sich die Phase2 nicht? Wie kann ich das weiter eingrenzen, mir fehlt gerade der richtige Wink...

Danke Euch!

hyperjojo
Nach oben
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: VPN LANCOM-Digitalisierungsbox

Beitrag von MariusP »

Hi,
Probier bitte den VPN-Debug-Trace.
Der kann (in IKEv1 nicht so gut wie IKEv2) dir möglicherweise die richtigen Antworten verraten.
Schau doch mal bitte im "show vpn sadb" nach welche Phase denn nun steht.
Ansonsten würde ich dir natürlich IKEv2 nahelegen, da dort nochmals an den Informationen, welche der Trace auf welche Art bereitstellt, gearbeitet wurde.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Nach oben
Dr.Einstein
Beiträge: 3226
Registriert: 12 Jan 2010, 14:10

Re: VPN LANCOM-Digitalisierungsbox

Beitrag von Dr.Einstein »

Hi hyperjojo,

bei Bintec habe ich schon mehrfach erlebt, dass SAs eine explizite Routinganforderung benötigen, um die SA anzustoßen, z.B. durch einen Ping über die CLI. Du kannst natürlich auch am Lancom Router die SA Aushandlung erzwingen (/Setup/VPN/Establish-SAs-Collectively yes). Allerdings hab ich auch da schon erlebt, dass der Bintec Krams das nicht annimmt. Erst wenn der Bintec aktiv einmal aufgebaut hat, geht's in die andere Richtung.

Schade, dass in der Digi Box / Elmeg so viel vom guten Bintec IPSec Stack verloren gegangen scheint :(

Gruß Dr.Einstein
Nach oben
Benutzeravatar
hyperjojo
Beiträge: 823
Registriert: 26 Jul 2009, 02:26

Re: VPN LANCOM-Digitalisierungsbox

Beitrag von hyperjojo »

hallo zusammen,
Dr.Einstein hat geschrieben:bei Bintec habe ich schon mehrfach erlebt, dass SAs eine explizite Routinganforderung benötigen, um die SA anzustoßen, z.B. durch einen Ping über die CLI. Du kannst natürlich auch am Lancom Router die SA Aushandlung erzwingen (/Setup/VPN/Establish-SAs-Collectively yes). Allerdings hab ich auch da schon erlebt, dass der Bintec Krams das nicht annimmt. Erst wenn der Bintec aktiv einmal aufgebaut hat, geht's in die andere Richtung.
danke, das war der entscheidende Tipp! Ein Ping von der Digibox ins LANCOM-Netz und schon steht auch die Phase 2 - der VPN klappt!

Das muss ich mir merken und es wäre vielleicht als Hinweis im KB-Dokument auch sinnvoll!

Gruß hyperjojo
Nach oben
Antworten

Zurück zu „Fragen zum Thema VPN“