Hallo,
ich bin gerade am kämpfen, damit ich zwischen den beiden Geräten einen Tunnel aufbauen kann. da ich in diesem Thema nicht so drin stecke, habe ich vielleicht ein paar Fehler gemacht.
Zur Lage:
Ich habe einen Lancom 1721 in der Zweigstelle. Ein feste IP in der Zweigstelle ist nicht vorahanden, ich regel das hier mit dyndns.
In dem Hauptsitz ist eine Sonicwall 2040 Pro. Hier ist eine feste IP vorhanden.
In der Sonicwall finde ich das irgenwie etwas einfacher, die Parameter einzustellen. Ich habe dort folgende Einstellungen vorgenommen:
IKE (Phase 1) Proposal:
Exchange: Main Mode
DH Group: Group 2
Encrytion: DES
Authentification: SHA1
Life Time (secondes): 28800
Ipsec (Phase 2) Proposal
Protocol: ESP
Encrytion: DES
Authentication: MD5
Im Lancom steht folgendes:
Auf dem Reiter Defaults unter "Für Mainmodeverbindungen" :
Default IKE Proposal Liste: Sonicwall (Unter IKE-Proposal Listen Soniwall mit dem Parameter gesetzt: PSK-DES-SHA
Default IKE-Gruppe: 2 (MODP-1024)
Der Reiter IKE-Auth:
Lokaler ID-Typ: Domänen Name (FQDN)
Lokale Identität: meine-zweigstelle.dyndns.og
Entfernter ID-Typ: IP-Adresse
Entfernte Identität: IP-Adresse der Hauptstelle
Der Reiter IP-Sec Param
Unter IPSecPropals eine neuen Eintrag gemacht. Dort steht folgendes drin:
Mode: Tunnel
Verschlüsselung: DES-CPC
Authentifizierung: HMAC-MD5
AH-Proposal: Kein AH
IPCOMP-Proposal: Kein IPCOMP
Gültigsdauer: 28800, 200.000 kBytes
Bei dem Letzten bin ich mir nicht merhr sicher ob das stimmt.
Dann habe ich mir die Logs auf der Soniwall angesehen. Dort steht ein Eintrag: Warning - VPN IKE - IKE Initiator: Proposed IKE ID mismatch - xx.xxx.xx.xx, 500 - 217.67.xx.xx, 500,
Lanmonitor zeigt die Fehlermeldung:
Kein Übertragungskanal verfügbar (Initiator) [0x1102]
Ich hoffe, ich habe zuviel Mist hier verzapft.
VPN mit 1721 und Soniwall 2040
Moderator: Lancom-Systems Moderatoren
So, ich versuche hier noch mal einen zweiten Anlauf.
Ich habe in den letzten Tagen viel probiert. Bis jetzt habe ich folgenden Zustand:
In dem Log der Sonicwall steht, das Phase 1 erfolgreich abgeschlossen ist. Bei Phase 2 kommt er nicht weiter. Dort steht NO_PROPOSAL_CHOSEN. Laut Aussage Handbuch Lancom und in anderen Foren, liegt es wohl daran, dass die Sonicwall die Vorschläge (ESP/AH) abgelehnt hat.
Nur mir ist jetzt nicht klar, warum diese abgelehnt wurden. Im Lancom über telnet (TRACE + VPN-STATUS) wird nichts angezeigt was darauf hindeuten könnte.
Ich habe habe schon alle Kombinationen durchprobiert:
Protokol entweder ESP oder AH
Verschlüsselung entweder DES, 3DES oder AES
Authentikation MD5 oder SHA1
Hat hier jemand eine Idee, wonach ich noch suchen könnte?
Ich habe in den letzten Tagen viel probiert. Bis jetzt habe ich folgenden Zustand:
In dem Log der Sonicwall steht, das Phase 1 erfolgreich abgeschlossen ist. Bei Phase 2 kommt er nicht weiter. Dort steht NO_PROPOSAL_CHOSEN. Laut Aussage Handbuch Lancom und in anderen Foren, liegt es wohl daran, dass die Sonicwall die Vorschläge (ESP/AH) abgelehnt hat.
Nur mir ist jetzt nicht klar, warum diese abgelehnt wurden. Im Lancom über telnet (TRACE + VPN-STATUS) wird nichts angezeigt was darauf hindeuten könnte.
Ich habe habe schon alle Kombinationen durchprobiert:
Protokol entweder ESP oder AH
Verschlüsselung entweder DES, 3DES oder AES
Authentikation MD5 oder SHA1
Hat hier jemand eine Idee, wonach ich noch suchen könnte?
Hi RalphT
ein NO_PROPOSAL_CHOSEN in der Phase 2 kann zwei Gründe haben:
1. Verschlüsseungsoptionen stimmen nicht überein z.B. DES in der Sonic-Wall und AES im LANCOM (BTW: DES ist mittlerweile keine Verschlüsselung mehr...)
2. Die Netzbeziehungen stimmen nicht überein. Das ist der häufigste Fehler
Gruß
Backslash
ein NO_PROPOSAL_CHOSEN in der Phase 2 kann zwei Gründe haben:
1. Verschlüsseungsoptionen stimmen nicht überein z.B. DES in der Sonic-Wall und AES im LANCOM (BTW: DES ist mittlerweile keine Verschlüsselung mehr...)
2. Die Netzbeziehungen stimmen nicht überein. Das ist der häufigste Fehler
Gruß
Backslash
So, ich habe das jetzt hinbekommen. Allerdings war es langer steiniger Weg dahin.
Mein Problem noch z.Z.: Ich weiß nicht warum es jetzt funktioniert!
Ich habe zuerst natürlich, wenn auch zum 30ten Mal die Verschlüsselungen, Protokolle überprüft.
Dann hatte ich mich auf die Firewall gestürtzt. Dort dachte ich den Fehlergefunden zu haben. Im Lancom hatte ich 192.168.1.2 bis 192.168.1.253 freigeschaltet. In der SONICWALL war es 192.168.1.0/24. Also unterschiedlich. Aber das war nicht die Lösung.
Danach hatte ich alles, was mit der VPN-Verbindung zu tun hatte gelöscht. Die Route, die Regel in der Firewall und alles unter VPN, was ich dort erstellt hatte. Anschließend den VPN-Wizard gestartet.
Nachdem der Wizard fertig war, die Verschlüsselungen/Protokolle angepasst und noch die Firewallregel eingetragen. Danach funktionierte es!
Jetzt noch meine Frage: Ich hatte vorher die Konfig als Datei gesichert. Hat man mit den beiden Dateien eine Möglichkeit, Unterschiede herauszufinden?
Sonst wüsste ich jetzt nicht wie herausfinden könnte, was vorher falsch gelaufen ist.
Oder noch anders gefragt: Was macht dieser Wizard eigentlich?
Zum Schluss noch eine Frage zu den Firewalleinstellungen:
Ich wollte eigengtlich nicht das Netz ein einer Richtung komplett freigeben. Kann in der Firewall eine Einschränkung vorgenommen werden, ohne dass der Tunnel nicht funktioniert?
Mein Problem noch z.Z.: Ich weiß nicht warum es jetzt funktioniert!
Ich habe zuerst natürlich, wenn auch zum 30ten Mal die Verschlüsselungen, Protokolle überprüft.
Dann hatte ich mich auf die Firewall gestürtzt. Dort dachte ich den Fehlergefunden zu haben. Im Lancom hatte ich 192.168.1.2 bis 192.168.1.253 freigeschaltet. In der SONICWALL war es 192.168.1.0/24. Also unterschiedlich. Aber das war nicht die Lösung.
Danach hatte ich alles, was mit der VPN-Verbindung zu tun hatte gelöscht. Die Route, die Regel in der Firewall und alles unter VPN, was ich dort erstellt hatte. Anschließend den VPN-Wizard gestartet.
Nachdem der Wizard fertig war, die Verschlüsselungen/Protokolle angepasst und noch die Firewallregel eingetragen. Danach funktionierte es!
Jetzt noch meine Frage: Ich hatte vorher die Konfig als Datei gesichert. Hat man mit den beiden Dateien eine Möglichkeit, Unterschiede herauszufinden?
Sonst wüsste ich jetzt nicht wie herausfinden könnte, was vorher falsch gelaufen ist.
Oder noch anders gefragt: Was macht dieser Wizard eigentlich?
Zum Schluss noch eine Frage zu den Firewalleinstellungen:
Ich wollte eigengtlich nicht das Netz ein einer Richtung komplett freigeben. Kann in der Firewall eine Einschränkung vorgenommen werden, ohne dass der Tunnel nicht funktioniert?
Hi RalphT
Gruß
Backslash
du könntest ein diff machen... Aber ob das dir wirklich weiterhilft...Jetzt noch meine Frage: Ich hatte vorher die Konfig als Datei gesichert. Hat man mit den beiden Dateien eine Möglichkeit, Unterschiede herauszufinden?
nun ja: Es lag vermutlich an deiner VPN-Regel: Die Sonicwall wollte das ganze Netz haben und das LANCOM hat den Adreßbereich von x.x.x.2 bis x.x.x.253 gefordert. Es gibt ganz wenige VPN-Gateways, die mit IP-Ranges in den Regeln ungehen können...Sonst wüsste ich jetzt nicht wie herausfinden könnte, was vorher falsch gelaufen ist.
Der richtet einfach die Route und die Verschlüsselungsparameter einOder noch anders gefragt: Was macht dieser Wizard eigentlich?
ja... Richte einfach entsprechende Sperr- und Allow-Regeln ein - aber achte darauf, daß diese Regel *nur* für die Firewall aktiv sind, als das Häkchen bei "Diese Regel wird zur Erzeugung von VPN-Regeln herangezohen" *NICHT* gesetzt ist.Kann in der Firewall eine Einschränkung vorgenommen werden, ohne dass der Tunnel nicht funktioniert?
Gruß
Backslash