ich muss mit unserer LANCOM 1711 eine VPN Verbindung mit einer WatchGuard herstellen und bin langsam am verzweifeln. Das schwierige an der Sache ist dass die Watchguard ein XAUTH verlangt.
Ich habe die Parameter für die Verbindung mit dem LANCOM Advanced VPN Client ausprobiert und erfolgreich einen Tunnel aufbauen können. Ich benötige allerdings eine Verbindung über die 1711 da auch andere Rechner im Netz den Tunnel nutzen sollen.
Parameter für VPN-Verbindung im 1711 (Firmware 7.70):
+ IKE-Exchange: Aggressive Mode
+ IKE-CFG: Client
+ XAUTH: Client
+ Eigene IKE- und IPSec-Proposals (entsprechend denen im AVC getesteten Parametern)
+ Lokale Identität: FQUN
+ Entfernte Identität: IP-Adresse (wird erwartet sonst entsprechende Fehlermeldung im Trace)
+ XAUTH User/Password unter Kommunikation->Protokolle->PPP-Liste bei der Gegenstelle eingetragen
Hier der Trace des VPN-Status:
Code: Alles auswählen
VPN-Status ON
[VPN-Status] 2009/09/29 14:01:42,780
VPN: connecting to WATCHGUARD (xxx.xxx.xxx.xxx)
[VPN-Status] 2009/09/29 14:01:42,780
VPN: start IKE negotiation for WATCHGUARD (xxx.xxx.xxx.xxx)
[VPN-Status] 2009/09/29 14:01:42,840
IKE info: Phase-1 negotiation started for peer WATCHGUARD rule isakmp-peer-WATCHGUARD using AGGRESSIVE mode
[VPN-Status] 2009/09/29 14:01:43,080
IKE info: The remote server xxx.xxx.xxx.xxx:500 peer WATCHGUARD id <no_id> negotiated rfc-3706-dead-peer-detection
IKE info: The remote server xxx.xxx.xxx.xxx:500 peer WATCHGUARD id <no_id> supports NAT-T in mode draft
[VPN-Status] 2009/09/29 14:01:43,080
IKE info: Phase-1 remote proposal 1 for peer WATCHGUARD matched with local proposal 1
[VPN-Status] 2009/09/29 14:01:43,190
IKE info: Phase-1 [inititiator] for peer WATCHGUARD between initiator id LOCAL_ID, responder id xxx.xxx.xxx.xxx done
IKE info: SA ISAKMP for peer WATCHGUARD encryption 3des-cbc authentication sha1
IKE info: life time ( 28800 sec/ 0 kb)
[VPN-Status] 2009/09/29 14:01:43,200
IKE info: Phase-1 SA Rekeying Timeout (Soft-Event) for peer WATCHGUARD set to 23040 seconds (Initiator)
[VPN-Status] 2009/09/29 14:01:43,200
IKE info: Phase-1 SA Timeout (Hard-Event) for peer WATCHGUARD set to 28800 seconds (Initiator)
[VPN-Status] 2009/09/29 14:01:43,400
IKE info: IKE-CFG: Received REQUEST message with id 1 from peer WATCHGUARD
IKE info: IKE-CFG: Attribute XAUTH_USER_NAME len 0 value (none) received
IKE info: IKE-CFG: Attribute XAUTH_PASSWORD len 0 value (none) received
IKE info: IKE-CFG: Attribute XAUTH_MESSAGE len 42 value Please Enter Your User Name and Password : received
[VPN-Status] 2009/09/29 14:01:43,410
IKE info: IKE-CFG: Creating REPLY message with id 1 for peer WATCHGUARD
IKE info: IKE-CFG: Attribute XAUTH_MESSAGE len 0 skipped
IKE info: IKE-CFG: Attribute XAUTH_PASSWORD len 9 value * added
IKE info: IKE-CFG: Attribute XAUTH_USER_NAME len 8 value XAUTH_ID added
IKE info: IKE-CFG: Sending message
[VPN-Status] 2009/09/29 14:01:44,650
IKE log: 140144.000000 Default exchange_run: [case -1] exchange_validate2 failed
[VPN-Status] 2009/09/29 14:01:44,650
IKE log: 140144.000000 Default dropped message from xxx.xxx.xxx.xxx port 500 due to notification type PAYLOAD_MALFORMED
[VPN-Status] 2009/09/29 14:01:44,650
IKE info: dropped message from peer WATCHGUARD xxx.xxx.xxx.xxx port 500 due to notification type PAYLOAD_MALFORMED
[VPN-Status] 2009/09/29 14:01:44,650
VPN: Error: IKE-R-General-failure (0x22ff) for WATCHGUARD (xxx.xxx.xxx.xxx)
Wie gesagt mit dem AVC funktioniert es. Ich hoffe das jemand einen Tip für mich hat...
Gruß
iceage