Hallo,
ich versuche eine Site2Site Verbindung zwischen einer Cisco ASA 5505 und einem Lancom 1721 herzustellen. Wenn man vom Lancom aus das Cisco Netz pingt, wird die Site2Site Verbindung aufgebaut. (Dann kann ich auch beidseitig pingen usw.)
Nur vom Cisco Netz zu Lancom die Verbindung aufzubauen geht nicht. Ich bekomme die Fehlermeldung Invalid Payload. Hier mal der Log des Lancom:
[VPN-Status] 2014/06/03 10:48:05,827
IKE log: 104805.827596 Default isPayloadSupportedBy: exchange DOI_MIN does not support payload NOTIFY!
[VPN-Status] 2014/06/03 10:48:05,827
IKE log: 104805.827835 Default dropped message from CISCO-IP port 500 due to notification type INVALID_PAYLOAD_TYPE
Hier von Cisco:
5 Jun 03 2014 10:48:03 713119 Group = LancomIP, IP = LancomIP, PHASE 1 COMPLETED
5 Jun 03 2014 10:48:03 713068 Group = LancomIP, IP = LancomIP, Received non-routine Notify message: Invalid Payload (1)
Was mache ich falsch?!
Schönen Gruß
VPN Problem
Moderator: Lancom-Systems Moderatoren
Re: VPN Problem
Hi,
Es scheint das der Cisco standartmäßig isakmp exchange types (in dem Fall 32) verwendet welche laut iana
http://www.iana.org/assignments/ipsec-r ... egistry-17
nicht dem standart ensprechend gültig.
Daher wird es von dem Lancom abgewiesen.
Wenn der Lancom die Verbindung aufbaut, macht der Cisco mit, da es in diesem Fall standartkonform ist.
Wie man nun dem Cisco beibringt standartkonform zu arbeiten, davon hab ich leider keine Ahnung.
Gruß
Es scheint das der Cisco standartmäßig isakmp exchange types (in dem Fall 32) verwendet welche laut iana
http://www.iana.org/assignments/ipsec-r ... egistry-17
nicht dem standart ensprechend gültig.
Daher wird es von dem Lancom abgewiesen.
Wenn der Lancom die Verbindung aufbaut, macht der Cisco mit, da es in diesem Fall standartkonform ist.
Wie man nun dem Cisco beibringt standartkonform zu arbeiten, davon hab ich leider keine Ahnung.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Re: VPN Problem
Hi air101,
da es nach Vollendung der Phase-1 passiert vermute ich eher, daß der Cisco da ein XAUTH versucht, wenn der die Verbindung aufbaut... Versuch entweder ihm das abzugewöhnen oder sorg dafür daß der Tunnel immer vom LANCOM aus aufgebaut wird - es ist ja in Zeiten von Flatrates ja kein Problem mehr den Tunnel dazuerhaft stehen zu lassen...
Gruß
Backslash
da es nach Vollendung der Phase-1 passiert vermute ich eher, daß der Cisco da ein XAUTH versucht, wenn der die Verbindung aufbaut... Versuch entweder ihm das abzugewöhnen oder sorg dafür daß der Tunnel immer vom LANCOM aus aufgebaut wird - es ist ja in Zeiten von Flatrates ja kein Problem mehr den Tunnel dazuerhaft stehen zu lassen...
Gruß
Backslash
Re: VPN Problem
Hmm also Xauth ist nicht aktiv in der conf. Alles sehr komisch mit den Lancom Teilen ;P Cisco macht da unter sich (fast) keine Probleme
Re: VPN Problem
Lol 
"Alles sehr komisch mit den Cisco Teilen ;P LANCOM macht da unter sich keine Probleme." Hehehe
SCNR
LoUiS
"Alles sehr komisch mit den Cisco Teilen ;P LANCOM macht da unter sich keine Probleme." Hehehe
SCNR
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
-
Bernie137
- Beiträge: 1700
- Registriert: 17 Apr 2013, 21:50
- Wohnort: zw. Chemnitz und Annaberg-Buchholz
Re: VPN Problem
Hi,
ich musste erst diese Woche wieder einen Site2Site VPN-Tunnel zu einem Cisco einrichten. Dabei war ich aber nicht für den 450km entfernten Cisco zuständig. Mir wurden nur diese Daten mitgeteilt, zzgl. IPs und PSK:
Dafür war Nacharbeit im Lancom angesagt, wenn man es wie ich mit dem Assistenten angelegt hat. Du hast solche Daten erhalten?
Ansonsten hatte ich schon mal eine kompliziertere Anbindung an einen Cisco mit Xauth und IP NAT (Lancom verhält sich wie ein VPN-Client) wie hier beschrieben: http://www.lancom-forum.de/fragen-zum-t ... ilit=cisco Vielleicht hilft Dir etwas von beidem.
vg Bernie
ich musste erst diese Woche wieder einen Site2Site VPN-Tunnel zu einem Cisco einrichten. Dabei war ich aber nicht für den 450km entfernten Cisco zuständig. Mir wurden nur diese Daten mitgeteilt, zzgl. IPs und PSK:
Code: Alles auswählen
Phase 1 DH Group: Group 2 - 1024 bit
Phase 1 Encryption: 3DES
Phase 1 Authentication: SHA1
Perfect Forward Secrecy: yes
Phase 1 SA Life Time 86400 Seconds
Phase 2 DH Group Group 2 - 1024 bit
Phase 2 Encryption 3DES
Phase 2 Authentication SHA1
Phase 2 SA Life Time 28800 Seconds
Ansonsten hatte ich schon mal eine kompliziertere Anbindung an einen Cisco mit Xauth und IP NAT (Lancom verhält sich wie ein VPN-Client) wie hier beschrieben: http://www.lancom-forum.de/fragen-zum-t ... ilit=cisco Vielleicht hilft Dir etwas von beidem.
vg Bernie
Man lernt nie aus.
Re: VPN Problem
Hi,
Gruß
du kannst dir gerne die iana Standarts anschauen und dich davon überzeugen welche vpn Implementierung aus der Reihe tanzt. 2 falsch Tanzende tanzen insich dann (fast) syncron.Alles sehr komisch mit den Lancom Teilen ;P Cisco macht da unter sich (fast) keine Probleme.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.