VPN nach DSL/1611 ... über DSL/10 (2x DynIP)

ghost · Beitrag von **ghost** » 06 Apr 2005, 16:44

So, um genau zu erklären was ich möchte habe ich mal was vorbereitet:

Bild

Ich sitze an Rechner A & B. Die Firewall ist an beiden Router während des testens deaktiviert. Die Verbindung zwischen den Switches ist getrennt. Ich möchte jetzt nicht die beiden LANs miteinander verbinden. Das würde allein deshalb nicht gehen, da der DSL/10 kein VPN macht. Aber IPSec weiterleiten kann der doch, oder? Jedenfalls liesst man überall, dass der VPN Passthrought kann. Ich möchte mich lediglich in mein LAN #2 einwählen. Das mache ich per DYNDNS, welche auf dem DSL/1611 eingerichtet ist, und meine IP immer aktuell hält. Provider vom LAN#1 ist AOL. Provider vom LAN#2 ist T-Online.

Die VPN Verbindung wird auch laut LANCOM VPN Client Advanced hergestellt. Ich sehe den grünen Schlüssel und so... Wenn ich jetzt von Rechner A (welcher ein Webserver ist) anwähle (mit http://192.168.3.2) dann timed der sich nach ca. 20 Sek aus. Dabei fällt mir auf das der TX Zähler im LANCOM Client zählt. Der RX aber nicht. Kann das sein, dass das ganze VPN in eine Richtung klappt? In die andere aber nicht?

So, wer weiss was schief läuft?

Ich habe hier noch ein paar Logs:

DSL/1611: mit trace # netbios vpn-pa vpn-st

[VPN-Status] 2005/04/06 16:20:14,370
VpnIpm: info; dropped message from peer unknown 172.178.11.103 port 500 due to notification type INVALID_COOKIE

[VPN-Status] 2005/04/06 16:20:14,380
VpnIpm: info; dropped message from peer unknown 172.178.11.103 port 500 due to notification type INVALID_COOKIE

[VPN-Status] 2005/04/06 16:20:14,490
VpnIpm: info; The remote server 172.178.11.103:500 peer ip-allow-aggress id <no_id> supports draft-ietf-ipsec-isakmp-xauth
VpnIpm: info; The remote client 172.178.11.103:500 peer ip-allow-aggress id <no_id> is NCP LANCOM Serial Number Protocol 1.0 with serial number 0

[VPN-Status] 2005/04/06 16:20:14,500
VpnIpm: info; phase-1 proposal failed: remote No 1 hash algorithm = SHA <-> local No 1 hash algorithm = MD5
VpnIpm: info; Phase-1 remote proposal 1 for peer ip-allow-aggress matched with local proposal 2

[VPN-Status] 2005/04/06 16:20:15,470
VpnIpm: info; Phase-1 [responder] got initial contact from peer EXT_INTERFAC (172.178.11.103)

[VPN-Status] 2005/04/06 16:20:15,470
VpnIpm: info; Phase-1 [responder] for peer EXT_INTERFAC between initiator id interface, responder id interface done
VpnIpm: info; SA ISAKMP for peer EXT_INTERFAC encryption aes-cbc authentication sha1
VpnIpm: info; life time ( 28800 sec/ 0 kb)

[VPN-Status] 2005/04/06 16:20:15,480
VpnIpm: info; IKE-CFG: Received REQUEST message with id 0 from peer EXT_INTERFAC
VpnIpm: info; IKE-CFG: Attribute INTERNAL_IP4_ADDRESS len 0 value (none) received
VpnIpm: info; IKE-CFG: Attribute INTERNAL_IP4_DNS len 0 value (none) received
VpnIpm: info; IKE-CFG: Attribute INTERNAL_IP4_NBNS len 0 value (none) received
VpnIpm: info; IKE-CFG: Attribute <Unknown 20002> len 0 is private -> ignore
VpnIpm: info; IKE-CFG: Attribute <Unknown 28672> len 0 is private -> ignore
VpnIpm: info; IKE-CFG: Attribute <Unknown 28673> len 0 is private -> ignore
VpnIpm: info; IKE-CFG: Attribute <Unknown 28674> len 0 is private -> ignore
VpnIpm: info; IKE-CFG: Attribute <Unknown 28675> len 0 is private -> ignore
VpnIpm: info; IKE-CFG: Attribute <Unknown 28676> len 0 is private -> ignore
VpnIpm: info; IKE-CFG: Attribute <Unknown 28677> len 0 is private -> ignore
VpnIpm: info; IKE-CFG: Attribute <Unknown 28678> len 0 is private -> ignore
VpnIpm: info; IKE-CFG: Attribute <Unknown 28679> len 0 is private -> ignore
VpnIpm: info; IKE-CFG: Attribute <Unknown 28681> len 0 is private -> ignore

[VPN-Status] 2005/04/06 16:20:15,490
VpnIpm: info; IKE-CFG: Creating REPLY message with id 0 for peer EXT_INTERFAC
VpnIpm: info; IKE-CFG: Attribute INTERNAL_IP4_NBNS len 0 value (none) added
VpnIpm: info; IKE-CFG: Attribute INTERNAL_IP4_DNS len 4 value 192.168.3.1 added
VpnIpm: info; IKE-CFG: Attribute INTERNAL_IP4_ADDRESS len 4 value 192.168.3.30 added
VpnIpm: info; IKE-CFG: Sending message

[VPN-Status] 2005/04/06 16:20:15,730
VpnIpm: info; Phase-2 remote proposal 1 for peer EXT_INTERFAC matched with local proposal 1

[VPN-Status] 2005/04/06 16:20:16,440
VpnIpm: info; Phase-2 [responder] done with 2 SAS for peer EXT_INTERFAC rule ipsec-0-EXT_INTERFAC-pr0-l0-r0
VpnIpm: info; rule:' ipsec 192.168.3.0/255.255.255.0 <-> 192.168.3.30/255.255.255.255 '
VpnIpm: info; SA ESP [0x76b29384] alg AES keylength 128 +hmac HMAC_MD5 outgoing
VpnIpm: info; SA ESP [0x2f19ad2a] alg AES keylength 128 +hmac HMAC_MD5 incoming
VpnIpm: info; life soft( 25920 sec/0 kb) hard (28800 sec/0 kb)
VpnIpm: info; tunnel between src: 80.139.203.139 dst: 172.178.11.103

[VPN-Status] 2005/04/06 16:20:16,450
VPN: wait for IKE negotiation from EXT_INTERFAC (172.178.11.103)

[NetBIOS] 2005/04/06 16:20:17,580
NetBIOS Name Service Dst-IP: 255.255.255.255
Node Status Request:
* <00>

WAN-Tx (Peer EXT_INTERFAC)

[VPN-Status] 2005/04/06 16:20:17,580
VPN: EXT_INTERFAC (172.178.11.103) connected

[VPN-Packet] 2005/04/06 16:20:17,640
for send: 192.168.3.1->255.255.255.255 78 UDP port 137->137

[NetBIOS] 2005/04/06 16:20:17,710
NetBIOS Name Service Dst-IP: 255.255.255.255
Node Status Request:
* <00>

WAN-Tx (Peer EXT_INTERFAC)

[VPN-Packet] 2005/04/06 16:20:17,710
for send: 192.168.3.1->255.255.255.255 78 UDP port 137->137

[NetBIOS] 2005/04/06 16:20:22,790
NetBIOS - Age tables
Group table:
Host table:
Server table:
done

[ARP] 2005/04/06 16:21:10,350
ARP : LAN-TX: ARP REQ for 192.168.3.201

[NetBIOS] 2005/04/06 16:21:22,790
NetBIOS - Age tables
Group table:
Host table:
Server table:
done

DSL/10: Lancom VPN Advanced Client:
06.04.2005 16:20:16 IPSDIALCHAN::start building connection
06.04.2005 16:20:16 IPSDIAL::DNSREQ: resolving dnserver over lan: dynaddr.dyndsn.org
06.04.2005 16:20:16 IPSDIAL->DNSREQ: resolved ipadr: xxx.xxx.xxx.xxx
06.04.2005 16:20:16 NCPIKE-phase1:name(test) - outgoing connect request - aggressive mode.
06.04.2005 16:20:16 XMIT_MSG1_AGGRESSIVE - test
06.04.2005 16:20:17 RECV_MSG2_AGGRESSIVE - test
06.04.2005 16:20:17 IPSDIAL->FINAL_TUNNEL_ENDPOINT:xxx.xxx.xxx.xxx
06.04.2005 16:20:17 XMIT_MSG3_AGGRESSIVE - test
06.04.2005 16:20:17 NCPIKE-phase1:name(test) - connected
06.04.2005 16:20:17 XMIT_IKECFG_REQUEST - test
06.04.2005 16:20:17 RECV_IKECFG_REPLY - test
06.04.2005 16:20:17 NCPIKE-xauth:name(test) - IkeCfg: enter state open
06.04.2005 16:20:17 XMIT_MSG1_QUICK - test
06.04.2005 16:20:17 RECV_MSG2_QUICK - test
06.04.2005 16:20:17 XMIT_MSG3_QUICK - test
06.04.2005 16:20:17 NCPIKE-phase2:name(test) - connected
06.04.2005 16:20:17 IPSDIAL - verbunden mit test auf Kanal 1.
06.04.2005 16:20:17 IPCP - verbunden mit test mit IP Adresse: 192.168.003.030. : 192.168.003.031.

backslash · Beitrag von **backslash** » 06 Apr 2005, 17:07

Hi ghost,

Das Problem dürfte der 1611 sein. In der Firmware 4.02 war ein Fehler, wenn ein IPSec-Client eine Adresse aus dem loakeln Netz zugewiesen bekommen hat (Proxy-ARP). Spiel die 4.12 ein und es sollte funktionieren
(oder weise dem Client eine Adresse zu, die außerhalb des LANs liegt)...

Gruß
Backslash

ghost · Beitrag von **ghost** » 06 Apr 2005, 20:18

Scheint leider nicht so zu sein. Hab den 1611 die neuste Firmware verpasst... und dabei auch gleich resettet. Nur die Internet Verbindungsdaten eingegeben, die VPN Bereitstellung per Assistent eingerichtet und die Firewall deaktiviert.

Dann natürlich auf dem Rechner A, per Assistent die neue Client Verbindung eingerichet und versucht zu connecten. VPN wird erstellt, aber wieder kein wirkliche Verbindung. RX Zähler zählt diesmal auch nicht ... Was mir auffällt: Unter "Verbindungs-Informationen" ist keine ISP-IP Adresse, und kein DNS aufgeführt. Macht das was?

Woran kann das ganze denn liegen?
Mit dem alten Standart VPN Client hatte das MAL, (in einem kurzen Test) funktioniert. Aber dank SP2 kann man den ja auch nicht mehr benutzen ...

Michael008 · Beitrag von **Michael008** » 06 Apr 2005, 20:22

Für den Standard VPN client gibt es einen SP2 Patch im Forum zum DL.
Michael

ghost · Beitrag von **ghost** » 06 Apr 2005, 20:36

Ähmm, wo ist denn der Unterschied zwischen den beiden Clienten? Sicherheit, oder Funktionalität?

COMCARGRU · Beitrag von **COMCARGRU** » 07 Apr 2005, 07:53

Funktionalität und zwas erheblich!

Gruß
COMCARGRU

ghost · Beitrag von **ghost** » 07 Apr 2005, 11:56

@COMCARGRU:
Und in wie fern?

Sollte so eine Verbindung die ich da aufbauen möchte, nicht total trivial sein?! Warum hab ich da nur so grosse Probleme?

COMCARGRU · Beitrag von **COMCARGRU** » 07 Apr 2005, 12:35

http://www.lancom-forum.de/htopic,543,a ... lient.html

Gruß
COMCARGRU

ghost · Beitrag von **ghost** » 07 Apr 2005, 19:25

Danke. Aber wie mir scheint, macht der Advanced VPN Client nicht nur bei mir Probleme... ist der Standart Client denn unbedingt schlechter? Ist er unsicherer? Wann ist denn zu erwarten, dass der Advanced Client überarbeitet / bzw. verbessert wird?

COMCARGRU · Beitrag von **COMCARGRU** » 08 Apr 2005, 01:10

Der Standard Client hat genau ein Problem! Er arbeitet nicht sauber mit dem XP SP2 zusammen. Will sagen die FW muß abgeschaltet sein.

Ansonsten rennt der ganz gut...

Gruß
COMCARGRU