VPN mit Windows-Boardmitteln

Philipp · Beitrag von **Philipp** » 10 Nov 2006, 15:39

Hallo zusammen,

auf unserer 7111er sind wir gerade dabei, einen VPN-Zugang gemäß
http://www.lancom-forum.de/topic,1507,- ... lient.html einzurichten. Wir sind da jetzt auch (unserer Meinung nach

) recht weit gekommen, allerdings klappt die Verbindung noch nicht ganz.

Das Trace sieht nun so aus:

Code: Alles auswählen

Configuration has been uploaded successfully
[VPN-Status] 2006/11/09 15:19:13,120
VPN: installing ruleset generally

[VPN-Status] 2006/11/09 15:19:13,120
IKE log: 151913 Default OpenSSL: 1:error:0B083077:x509 certificate routines:X509
_NAME_ENTRY_create_by_txt:invalid field name:x509name.c:307:name=S


[VPN-Status] 2006/11/09 15:19:13,120
IKE log: 151913 Default x509_string_DN: X509_NAME_add_entry_by_txt failed


[VPN-Status] 2006/11/09 15:19:13,120
IKE log: 151913 Default OpenSSL: 1:error:0B083077:x509 certificate routines:X509
_NAME_ENTRY_create_by_txt:invalid field name:x509name.c:307:name=S


[VPN-Status] 2006/11/09 15:19:13,120
IKE log: 151913 Default x509_string_DN: X509_NAME_add_entry_by_txt failed


[VPN-Status] 2006/11/09 15:19:13,180
VPN: rulesets installed

[VPN-Status] 2006/11/09 15:19:22,330
IKE info: The remote server x.y.z.10:500 peer def-main-peer id <no_id> suppo
rts NAT-T in mode draft
IKE info: The remote server x.y.z.10:500 peer def-main-peer id <no_id> suppo
rts NAT-T in mode draft


[VPN-Status] 2006/11/09 15:19:22,330
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <
-> local No 1 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <
-> local No 2 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <
-> local No 3 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <
-> local No 4 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <
-> local No 5 encryption algorithm = CAST_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <
-> local No 6 encryption algorithm = CAST_CBC
IKE info: phase-1 proposal failed: remote No 1 hash algorithm = SHA <-> local No
 7 hash algorithm = MD5
IKE info: Phase-1 remote proposal 1 for peer def-main-peer matched with local pr
oposal 8

Mehr gibt's erst mal nicht. Eine Verbindung kommt nicht zu stande, wobei imho die letzte Zeile nicht gerade schlecht aussieht.

Kann mir jemand sagen, wo hier die Fehlerquelle liegen könnte?

Viele Grüße,

Philipp

eddia · Beitrag von **eddia** » 10 Nov 2006, 19:30

Hallo Philipp,

Das Trace sieht nun so aus:

ohne das jetzt deuten zu können; aber es sieht so aus, als ob Du auf dem Lancom die Zertifikate fehlerhaft installiert hast.

Mehr gibt's erst mal nicht. Eine Verbindung kommt nicht zu stande, wobei imho die letzte Zeile nicht gerade schlecht aussieht.

Das sagt noch gar nichts. Da haben sich beide erst mal auf ein Schlüsselmaterial geeinigt.

Gruß

Mario

Philipp · Beitrag von **Philipp** » 17 Nov 2006, 15:36

Hallo Mario,

danke für die Antwort. Wir haben jetzt nochmals bei Null angefangen, sind aber nicht wirklich weiter gekommen:

Code: Alles auswählen

A new configuration is being uploaded ...

Configuration has been uploaded successfully
[VPN-Status] 2006/11/17 15:31:07,400
VPN: selecting first remote gateway using strategy eFirst for VPN_1
     => no remote gateway selected

[VPN-Status] 2006/11/17 15:31:07,410
VPN: installing ruleset generally

[VPN-Status] 2006/11/17 15:31:07,470
VPN: rulesets installed


[VPN-Status] 2006/11/17 15:32:20,660
IKE info: The remote server x.y.z.199:500 peer def-main-peer id <no_id> supp
orts NAT-T in mode draft
IKE info: The remote server x.y.z.199:500 peer def-main-peer id <no_id> supp
orts NAT-T in mode draft


[VPN-Status] 2006/11/17 15:32:20,670
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <
-> local No 1 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <
-> local No 2 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <
-> local No 3 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <
-> local No 4 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <
-> local No 5 encryption algorithm = CAST_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <
-> local No 6 encryption algorithm = CAST_CBC
IKE info: phase-1 proposal failed: remote No 1 hash algorithm = SHA <-> local No
 7 hash algorithm = MD5
IKE info: Phase-1 remote proposal 1 for peer def-main-peer matched with local pr
oposal 8


[VPN-Status] 2006/11/17 15:32:20,830
IKE log: 153220 Default ipsec_get_keystate: no keystate in ISAKMP SA 00a47960

[VPN-Status] 2006/11/17 15:34:29,330
IKE log: 153429 Default message_recv: invalid cookie(s) f3619f5e8357200a 08df2df
02871bc7e


[VPN-Status] 2006/11/17 15:34:29,330
IKE log: 153429 Default dropped message from x.y.z.199 port 500 due to notif
ication type INVALID_COOKIE


[VPN-Status] 2006/11/17 15:34:29,330
IKE info: dropped message from peer unknown x.y.z.199 port 500 due to notifi
cation type INVALID_COOKIE

Jemand noch eine Idee?

Gruß, Philipp

eddia · Beitrag von **eddia** » 17 Nov 2006, 20:45

Hallo Philipp,

[VPN-Status] 2006/11/17 15:32:20,830
IKE log: 153220 Default ipsec_get_keystate: no keystate in ISAKMP SA 00a47960

dieser Fehler tritt genau dann auf, wenn in der ipsec.conf nicht der korrekte DN des auf dem Lancom installierten CA-Zertifikates eingetragen ist.

Bei Änderungen an der ipsec.conf muss die IPSec-Regel mit ipsec -delete entfernt und dann neu erzeugt werden.

Gruß

Mario