VPN Tunnel wird nicht aufgebaut

santas-littlehelper · Beitrag von **santas-littlehelper** » 02 Mär 2006, 10:58

Hallo alle zusammen,

ich habe ein Problem mit Dynmaisch-Statischem VPN zwischen einem 1722 und 8011.
Ich erhalte auf dem 1722 immer den Fehler: "Zeitüberschreitung während IKE- oder IPSec-Verhandlung (Initiator)"
Die Proposals sind aber aufeinander abgestimmt.

Anbei die Fehlermeldungen vom 8011 aus Telnet.
Hoffentlich kann mir jmd. helfen!

VPN-Status] 1900/01/03 00:25:57,170
IKE info: phase-1 proposal failed: remote No 1 authentication method = preshared
key <-> local No 1 authentication method = RSA_SIG
IKE info: phase-1 proposal failed: remote No 1 hash algorithm = MD5 <-> local No
2 hash algorithm = SHA
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = BLOWFISH_C
BC <-> local No 3 encryption algorithm = 3DES_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = BLOWFISH_C
BC <-> local No 4 encryption algorithm = 3DES_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = BLOWFISH_C
BC <-> local No 5 encryption algorithm = CAST_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = BLOWFISH_C
BC <-> local No 6 encryption algorithm = CAST_CBC
IKE info: Phase-1 remote proposal 1 failed for peer def-main-peer
IKE info: phase-1 proposal failed: remote No 2 hash algorithm = SHA <-> local No
1 hash algorithm = MD5
IKE info: phase-1 proposal failed: remote No 2 authentication method = preshared
key <-> local No 2 authentication method = RSA_SIG
IKE info: phase-1 proposal failed: remote No 2 encryption algorithm = BLOWFISH_C
BC <-> local No 3 encryption algorithm = 3DES_CBC
IKE info: phase-1 proposal failed: remote No 2 encryption algorithm = BLOWFISH_C
BC <-> local No 4 encryption algorithm = 3DES_CBC
IKE info: phase-1 proposal failed: remote No 2 encryption algorithm = BLOWFISH_C
BC <-> local No 5 encryption algorithm = CAST_CBC
IKE info: phase-1 proposal failed: remote No 2 encryption algorithm = BLOWFISH_C
BC <-> local No 6 encryption algorithm = CAST_CBC
IKE info: Phase-1 remote proposal 2 failed for peer def-main-peer
IKE info: phase-1 proposal failed: remote No 3 encryption algorithm = 3DES_CBC <
-> local No 1 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 3 encryption algorithm = 3DES_CBC <
-> local No 2 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 3 authentication method = preshared
key <-> local No 3 authentication method = RSA_SIG
IKE info: phase-1 proposal failed: remote No 3 hash algorithm = MD5 <-> local No
4 hash algorithm = SHA
IKE info: phase-1 proposal failed: remote No 3 encryption algorithm = 3DES_CBC <
-> local No 5 encryption algorithm = CAST_CBC
IKE info: phase-1 proposal failed: remote No 3 encryption algorithm = 3DES_CBC <
-> local No 6 encryption algorithm = CAST_CBC
IKE info: Phase-1 remote proposal 3 failed for peer def-main-peer
IKE info: phase-1 proposal failed: remote No 4 encryption algorithm = 3DES_CBC <
-> local No 1 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 4 encryption algorithm = 3DES_CBC <
-> local No 2 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 4 hash algorithm = SHA <-> local No
3 hash algorithm = MD5
IKE info: phase-1 proposal failed: remote No 4 authentication method = preshared
key <-> local No 4 authentication method = RSA_SIG
IKE info: phase-1 proposal failed: remote No 4 encryption algorithm = 3DES_CBC <
-> local No 5 encryption algorithm = CAST_CBC
IKE info: phase-1 proposal failed: remote No 4 encryption algorithm = 3DES_CBC <
-> local No 6 encryption algorithm = CAST_CBC
IKE info: Phase-1 remote proposal 4 failed for peer def-main-peer
IKE info: phase-1 proposal failed: remote No 5 encryption algorithm = CAST_CBC <
-> local No 1 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 5 encryption algorithm = CAST_CBC <
-> local No 2 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 5 encryption algorithm = CAST_CBC <
-> local No 3 encryption algorithm = 3DES_CBC
IKE info: phase-1 proposal failed: remote No 5 encryption algorithm = CAST_CBC <
-> local No 4 encryption algorithm = 3DES_CBC
IKE info: phase-1 proposal failed: remote No 5 authentication method = preshared
key <-> local No 5 authentication method = RSA_SIG
IKE info: phase-1 proposal failed: remote No 5 hash algorithm = MD5 <-> local No
6 hash algorithm = SHA
IKE info: Phase-1 remote proposal 5 failed for peer def-main-peer
IKE info:
tr # vpn-st
VPN-Status OFF

eddia · Beitrag von **eddia** » 02 Mär 2006, 23:38

Hallo santas-littlehelper,

IKE info: phase-1 proposal failed: remote No 1 authentication method = preshared
key <-> local No 1 authentication method = RSA_SIG

Deine Gegenstelle will per Main-Mode eine Authentifizierung per PSK durchführen - aber irgendwie kennt der 8011 die IP-Adresse der Gegenstelle nicht. Ich vermute mal, dass Du mit 'dynamisch' meinst, dass die Gegenstelle nicht per dyndns aufgelöst werden kann und Du entsprechend auf beiden Seiten den Assistenten ausgeführt hast.

Damit jetzt eine Main-Mode Verbindung funktioniert, muss der 1711 vorher seine IP-Adresse an den 8011 übertragen - und das erfolgt über eine Authentifizierung über die PPP-Liste. Und hier gelten die typischen Lancom-Regeln: Der Name der Gegenstelle auf der einen Seite muss mit dem lokalen Bezeichner auf der anderen Seite übereinstimmen - umgekehrt genauso. Das Passwort muss natürlich auf beiden Seiten identisch sein. Das Problem kannst Du in der PPP-Liste auf beiden Seiten direkt beheben, oder einfach noch mal die Assistenten durchlaufen lassen.

Gruß

Mario

santas-littlehelper · Beitrag von **santas-littlehelper** » 03 Mär 2006, 10:37

Danke für die Antwort.
Aber das Problem lag darin, dass ich vergessen hatte eine Route einzutragen...