Nachdem ich auf unsere Router die LCOS 6.22 aufgespielt habe kommt es nach dem VPN Verbindungsaufbau zu folgender Fehlermeldung:
Keine Regel für ID's gefunden - unbekannte Verbindung oder fehlerhafte ID (z.B. IP-Netzwerkdefinition) (Responder, IPSec) [0x3201]
und auf der Gegenseite:
Kein übereinstimmendes Proposal gefunden (Initiator, IPSec) [0x3102]
Die VPN Verbindung wird aber als verbunden angezeigt, halt nur mit diesen Fehlermeldungen. Woran könnte das liegen?
Ich jetzt erstmal wieder die alte Firmware aktiviert, die läuft einwandfrei.
Letztendlich bedeutet diese Meldung, daß der Initiator eine VPN-Regel hat, die im Responder nicht existiert.
Die 6.20 baut alle definierten SAs sofort auf, ohne von einem Paket getriggert worden zu sein (siehe Release-Notes), während die früheren Firmwaren immer ein Datenpaket benötigten um eine SA aufzubauen.
Daher kann es sehr wohl sein, daß die Meldung früher nicht aufgetaucht ist, weil nie ein "passendes" Datenpaket übertragen werden sollte.
schau die mal mit "show vpn" die Regeln an. Ggf. hilft auch ein VPN-Status-Trace beim Responder, da dieser ausgibt, welche Netze der initiator gefordert hat.
Mögliche Gründe für den Fehler sind:
- falsche (bzw. zusätzliche) Eintäge in der IP-Routing-Tabelle
- falsche manuelle VPN-Regeln.
Ein Beispiel:
Auf der einen Seite ist das Netz 192.168.1.x und auf der anderen 192.168.2.x
Fall 1: (falscher Routing-Eintrag):
auf der einen Seite wurde eine zusätzliche Route z.B. zum Netz 192.168.3.x gelegt.
Fall 2 (falsche Regeln):
auf der einen Seite existiert eine Regel, die den Traffic zwischen allen Netzen im 192.168.x.x Netz für das VPN zulassen soll. Dann *MUSS* in der Routing-Tabelle der anderen Seite auch das komplette 192.168.x.x Netz und nicht nur ein Teilnetz in den VPN-Tunnel geroutet werden
