VPN-Tunnel zwischen LANCOM 1751 UMTS und Bintec R1202

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
systemservice
Beiträge: 1
Registriert: 10 Okt 2012, 09:33

VPN-Tunnel zwischen LANCOM 1751 UMTS und Bintec R1202

Beitrag von systemservice »

Hallo,

ich versuche ein VPN zwischen LANCOM 1751 UMTS und Bintec R1202 einzurichten. Die Firmware wurde neulich aktualisiert.

Es sind 2 verschiedene Standorte, die im Internet erreichbar sind, allerdings ist der Lancom-Router nur indirekt erreichbar. Er befindet sich in einem UMTS-Netz und hat deshalb eine virtuelle IP. Deshalb muss der Lancom-Router selbst den Bintec-Router ansprechen, um eine VPN-Verbindung mit Bintec herzustellen, und nicht andersrum.

Das alles ist auch so konfiguriert, teilweise habe ich dafür die folgende Anleitung verwendet: "LANCOM Support Knowledgebase Dokument-Nr. 0406.0323.1326.MBRI - V1.20 - VPN Verbindung zwischen LANCOM Router und BinTec Router X2300i".

Leider wird die Verbindung nicht vollständig aufgebaut, der Lancom-Router sendet die Zugansdaten an den Bintec, und der Bintec sagt. der empfangene Benutzername sei 0 Zeichen lang, und antwortet dann mit FAIL:

Protokoll Lancom:

Code: Alles auswählen

[VPN-Status] 2012/10/10 09:24:07,218  Devicetime: 2012/10/10 09:24:16,678
IKE info: Phase-1 negotiation started for peer BINTEC rule isakmp-peer-BINTEC using AGGRESSIVE mode

[VPN-Status] 2012/10/10 09:24:07,406  Devicetime: 2012/10/10 09:24:16,808
icmp/upd reply for BINTEC (84.166.140.13)

[VPN-Status] 2012/10/10 09:24:07,531  Devicetime: 2012/10/10 09:24:16,890
IKE info: The remote peer BINTEC supports NAT-T in draft mode
IKE info: The remote peer BINTEC supports NAT-T in draft mode
IKE info: The remote server 84.166.140.13:500 (UDP) peer BINTEC id <no_id> supports draft-ietf-ipsec-isakmp-xauth
IKE info: The remote server 84.166.140.13:500 (UDP) peer BINTEC id <no_id> negotiated rfc-3706-dead-peer-detection

[VPN-Status] 2012/10/10 09:24:07,531  Devicetime: 2012/10/10 09:24:16,890
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <-> local No 1 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <-> local No 2 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <-> local No 3 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <-> local No 4 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <-> local No 5 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 1 hash algorithm = MD5 <-> local No 6 hash algorithm = SHA
IKE info: Phase-1 remote proposal 1 for peer BINTEC matched with local proposal 7

[VPN-Status] 2012/10/10 09:24:07,531  Devicetime: 2012/10/10 09:24:16,987
IKE info: Phase-1 [inititiator] for peer BINTEC between initiator id lancom.test, responder id bintec.test done
IKE info: SA ISAKMP for peer BINTEC encryption 3des-cbc authentication md5
IKE info: life time ( 108000 sec/ 0 kb)

[VPN-Status] 2012/10/10 09:24:07,531  Devicetime: 2012/10/10 09:24:16,987
IKE info: Phase-1 SA Rekeying Timeout (Soft-Event) for peer BINTEC set to 86400 seconds (Initiator)

[VPN-Status] 2012/10/10 09:24:07,531  Devicetime: 2012/10/10 09:24:16,987
IKE info: Phase-1 SA Timeout (Hard-Event) for peer BINTEC set to 108000 seconds (Initiator)

[VPN-Status] 2012/10/10 09:24:07,734  Devicetime: 2012/10/10 09:24:17,139
IKE info: IKE-CFG: Received REQUEST message with id 12019 from peer BINTEC
IKE info: IKE-CFG:   Attribute XAUTH_TYPE               len 2 value XAUTH_TYPE_GENERIC received
IKE info: IKE-CFG:   Attribute XAUTH_USER_NAME          len 0 value (none) received
IKE info: IKE-CFG:   Attribute XAUTH_PASSWORD           len 0 value (none) received

[VPN-Status] 2012/10/10 09:24:07,734  Devicetime: 2012/10/10 09:24:17,139
IKE info: IKE-CFG: Creating REPLY message with id 12019 for peer BINTEC
IKE info: IKE-CFG:   Attribute XAUTH_PASSWORD           len 11 value * added
IKE info: IKE-CFG:   Attribute XAUTH_USER_NAME          len 11 value USER1234567 added
IKE info: IKE-CFG:   Attribute XAUTH_TYPE               len 2 value XAUTH_TYPE_GENERIC added
IKE info: IKE-CFG: Sending message

[VPN-Status] 2012/10/10 09:24:07,953  Devicetime: 2012/10/10 09:24:17,299
IKE info: IKE-CFG: Received SET message with id 12019 from peer BINTEC
IKE info: IKE-CFG:   Attribute XAUTH_STATUS             len 2 value FAIL received

[VPN-Status] 2012/10/10 09:24:07,953  Devicetime: 2012/10/10 09:24:17,299
IKE info: IKE-CFG: Creating ACK message with id 12019 for peer BINTEC
IKE info: IKE-CFG:   Attribute XAUTH_STATUS             len 0 skipped
IKE info: IKE-CFG: Sending message
Protokoll Bintec:

Code: Alles auswählen

22	2012-10-10	09:12:23	Informationen	IPSec	XAUTH: peer 3 (LANCOM) sa 1393 (I): extended authentication for user '' failed
23	2012-10-10	09:12:23	Informationen	IPSec	XAUTH: peer 3 (LANCOM) sa 1393 (I): user name of length 0 received
24	2012-10-10	09:12:23	Informationen	IPSec	XAUTH: peer 3 (LANCOM) sa 1393 (I): reply for extended authentication received
25	2012-10-10	09:12:23	Informationen	IPSec	XAUTH: peer 3 (LANCOM) sa 1393 (I): request client for extended authentication
26	2012-10-10	09:12:23	Informationen	IPSec	P1: peer 3 (LANCOM) sa 0 (-): reactivated
27	2012-10-10	09:12:23	Informationen	IPSec	P1: peer 3 (LANCOM) sa 1393 (R): done id fqdn(any:0,[0..10]=bintec.test) <- id fqdn(any:0,[0..10]=lancom.test) AG[38bc4dd9 bb8158a5 : d62807e6 141916ae]
28	2012-10-10	09:12:23	Informationen	IPSec	P1: peer 0 () sa 1393 (R): Vendor ID: 77.24.7.95:500 (No Id) is 'Dead Peer Detection (DPD, RFC 3706)'
29	2012-10-10	09:12:23	Informationen	IPSec	P1: peer 0 () sa 1393 (R): Vendor ID: 77.24.7.95:500 (No Id) is 'draft-ietf-ipsra-isakmp-xauth-06'
30	2012-10-10	09:12:23	Informationen	IPSec	P1: peer 0 () sa 1393 (R): Vendor ID: 77.24.7.95:500 (No Id) is '4a131c81070358455c5728f20e95452f'
31	2012-10-10	09:12:23	Informationen	IPSec	P1: peer 0 () sa 1393 (R): Vendor ID: 77.24.7.95:500 (No Id) is 'draft-ietf-ipsec-nat-t-ike-03'
32	2012-10-10	09:12:23	Informationen	IPSec	P1: peer 0 () sa 1393 (R): Vendor ID: 77.24.7.95:500 (No Id) is 'draft-ietf-ipsec-nat-t-ike-02'
33	2012-10-10	09:12:23	Informationen	IPSec	P1: peer 0 () sa 1393 (R): Vendor ID: 77.24.7.95:500 (No Id) is 'eeefa37809e32ad4de4f6b010c26a640'
34	2012-10-10	09:12:23	Informationen	INET	NAT: refused incoming session on ifc 10001 prot 1 84.166.140.13:2150 <- 77.24.7.95:0
35	2012-10-10	09:12:22	Informationen	IPSec	P1: peer 3 (LANCOM) sa 0 (-): blocked for 15 seconds
36	2012-10-10	09:12:22	Informationen	IPSec	P1: peer 3 (LANCOM) sa 0 (-): start failed: no address
37	2012-10-10	09:12:22	Informationen	IPSec	P1: peer 3 (LANCOM) sa 1392 (R): delete ip 84.166.140.13 <- ip 77.24.7.95: Received delete
Was könnte das sein?

Noch ein Paar Stichpunkte zur aktuellen Konfiguration des Bintec-Routers,
sieht aber auch im Lancom-Router ähnlich aus, nur das der Bintec als Server und der Lancom als Client konfiguriert sind:

- IPSec
- IKEv1
- Phase 1: Agressive Mode, 3DES, MD5, DH-Gruppe 2 (1024 Bit), PSK
- Phase 2: 3DES, MD5, PFS-Gruppe 2 (1024 Bit), Komprimirung = aus, Erreichbarkeitsprüfung: inaktiv, PMTU Propagieren: inaktiv
- Überprüfung der Rückrouter = inaktiv
- Startmodus = immer aktiv
Nach oben
Antworten

Zurück zu „Fragen zum Thema VPN“