Hallo zusammen,
ich habe hier einen Lancom 1721 und einen 1711+ per Wizzard über VPN verbunden. Leider erscheinen im LANmonitor immernoch Fehler auf den VPN Verbindungen.
Diese lauten:
Verbunden mit B_S_XXXXX (über T-DSLBIZ) - Keine Regel für ID's gefunden - unbekannte Verbindung oder fehlerhafte ID (z.B. IP-Netzwerkdefinition) (Responder, IPSec) [0x3201]
und auf der Gegenseite:
Verbunden mit Z_S_XXXXXXX (über INTERNET) - Kein übereinstimmendes Proposal gefunden (Initiator, IPSec) [0x3102]
VPN Regeln (je Seite) für das jeweilige Netz zum VPN habe ich schon erstellt, leider funz es immer noch nicht.
Hat jemand einen Tipp für mich? Danke!
Lars
VPN OK - trotzdem Fehlermeldungen (0x3102 & 0x3201)
Moderator: Lancom-Systems Moderatoren
Hi subby
hier fordert die eine Seite eine Netzbeziehung, die auf der anderen Seite nicht definiert ist. Das passiert z.B. wenn man auf einer Seite zwei ARF-Netze definiert, auf der anderen aber nur eine Route in eines dieser Netze eingetragen hat.
Mach doch mal auf der Seite, die die Meldung "Keine Regel für ID's gefunden" ausgibt, einen VPN-Status-Trace von dem Aufbau. Darin siehst du, welche Netzbeziehung die andere Seite zusätzlich anfordert.
Gruß
Backslash
hier fordert die eine Seite eine Netzbeziehung, die auf der anderen Seite nicht definiert ist. Das passiert z.B. wenn man auf einer Seite zwei ARF-Netze definiert, auf der anderen aber nur eine Route in eines dieser Netze eingetragen hat.
Mach doch mal auf der Seite, die die Meldung "Keine Regel für ID's gefunden" ausgibt, einen VPN-Status-Trace von dem Aufbau. Darin siehst du, welche Netzbeziehung die andere Seite zusätzlich anfordert.
Gruß
Backslash
Hallo backslash,
danke für die Hilfe. Auf der Seite Keine Regel für ID's gefunden habe ich folgenden Trace ausgeführt: trace + VPN-Status
Dabei kam folgendes heraus:
Leider werde ich daraus nicht wirklich schlau - Hilfe ist noch von Nöten!
Grüße
Lars
danke für die Hilfe. Auf der Seite Keine Regel für ID's gefunden habe ich folgenden Trace ausgeführt: trace + VPN-Status
Dabei kam folgendes heraus:
Code: Alles auswählen
[VPN-Status] 2009/08/26 20:04:04,520
IKE info: Phase-2 failed for peer Z_S_XXXXXXXXX: no rule matches the phase-2 ids 0.0.0.0/0.0.0.0 <-> 192.168.1.0/255.255.255.0
IKE log: 200404.000000 Default message_negotiate_sa: no compatible proposal found
IKE log: 200404.000000 Default dropped message from 87.139.xx.xxx port 500 due to notification type NO_PROPOSAL_CHOSEN
IKE info: dropped message from peer Z_S_XXXXXXXXX 87.139.xx.xxx port 500 due to notification type NO_PROPOSAL_CHOSEN
[VPN-Status] 2009/08/26 20:03:58,360
VPN: Error: IPSEC-R-No-rule-matched-IDs (0x3201) for Z_S_XXXXXXXXX (87.139.xx.xxx)
[VPN-Status] 2009/08/26 20:03:58,370
IKE info: NOTIFY received of type NO_PROPOSAL_CHOSEN for peer Z_S_XXXXXXXXX
[VPN-Status] 2009/08/26 20:03:58,370
VPN: Error: IPSEC-I-No-proposal-matched (0x3102) for Z_S_XXXXXXXXX (87.139.xx.xxx)Grüße
Lars
Hallo subby,
schau doch mal in dem folgenden threat:
http://www.lancom-forum.de/htopic,8788,.html
Da hat mir backslash netterweise beschrieben, wie die Regeln für die zusätzlichen Netze aussehen müssen. Vielleicht hilft es Dir ja auch...
Gruß
Rookie
schau doch mal in dem folgenden threat:
http://www.lancom-forum.de/htopic,8788,.html
Da hat mir backslash netterweise beschrieben, wie die Regeln für die zusätzlichen Netze aussehen müssen. Vielleicht hilft es Dir ja auch...
Gruß
Rookie
Hi subby
hier hat die Gegenseite die Defaultroute auf den VPN-Tunnel gelegt. Daher mußt du nun in der Firewall eine VPN-Regel anlegen, die das auch zuläßt:
und natürlich muß eine Route für das 192.168.1.x-Netz auf die VPN-Gegenstelle ( Z_S_XXXXXXXXX ) zeigen.
Gruß
Backslash
hier hat die Gegenseite die Defaultroute auf den VPN-Tunnel gelegt. Daher mußt du nun in der Firewall eine VPN-Regel anlegen, die das auch zuläßt:
Code: Alles auswählen
[x] Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen
Aktion: übertragen
Quelle: alle Stationen
Ziel: VPN-Gegenstelle ( Z_S_XXXXXXXXX )
Dienste: alle Dienste Gruß
Backslash
Hi subby
Die Netzbeziehungen müssen exakt stimmen. Da die Firewall-Regel offenbar korrekt aussieht, muß die Route zum 192.168.1.x-Netz fehlen
Gruß
Backslash
das heißt nichts... Wenn du - wie ich bereits in meiner ersten Antwort erwähnte - zwei ARF-Netze in Z_S_XXXXXXXXX hast....die Routen sind OK - ping geht ja auch durch.
Die Netzbeziehungen müssen exakt stimmen. Da die Firewall-Regel offenbar korrekt aussieht, muß die Route zum 192.168.1.x-Netz fehlen
Gruß
Backslash
Hi subby
genau hier ist schon irgendwie der Fehler...
Laut der Routing-Tabelle ist nirgendwo eine Default-Route auf der VPN-Verbindung definiert. Trotzdem erstellst du in B_S_Bremen manuell eine Regel, die die Default-Route fordert.
Die Korrektur hängt jetzt davon ab, was du willst...
Eentweder du korrigierst die Firewallregel so, daß sie als Quelle nur das entfernte Netz (also 10.0.0.0/255.0.0.0) enthält und nicht mehr "alle Stationen" oder du richtest auf der anderen Seite eine Default-Route auf den VPN-Tunnel...
Gruß
Backslash
genau hier ist schon irgendwie der Fehler...
Laut der Routing-Tabelle ist nirgendwo eine Default-Route auf der VPN-Verbindung definiert. Trotzdem erstellst du in B_S_Bremen manuell eine Regel, die die Default-Route fordert.
Die Korrektur hängt jetzt davon ab, was du willst...
Eentweder du korrigierst die Firewallregel so, daß sie als Quelle nur das entfernte Netz (also 10.0.0.0/255.0.0.0) enthält und nicht mehr "alle Stationen" oder du richtest auf der anderen Seite eine Default-Route auf den VPN-Tunnel...
Gruß
Backslash