VPN Verbindung schlägt immer fehl... Error 4021

Florian Knobel · Beitrag von **Florian Knobel** » 22 Apr 2009, 14:40

Hallo alle zusammen,

Ich hab ein kleines Problem! Ich versuche seit dem Wochenende vergeblich eine VPN Verbindung auf meinem Frisch Konfiguriertes LC 1722 VoIP einzurichten.

Vorweg, ist grob folgendes Konfiguriert im LC und Funktioniert auch:

- DynDNS
- Zeit Server
- VDSL 50MBit Anschluss mit Externem HS300 Modem über LAN Port 1 incl. IPTV
- LC OS 7.60
- DHCP und DNS Server
- Ping wird auf WAN nicht beantwortet und LC befindet sich im Stealts Modus (Nicht sichtbar im WAN)
- Firewall mit Standart LC Regeln incl. IPTV Regeln

Ich hab VPN Manuel und per Wizzard Konfiguriert. So wohl Standart VPN Zugang als auch Advancend VPN Client Zugang! Von diesem hab ich auch mal das Protokoll angehangen:

22.04.2009 14:24:31System: Client using OperatingSystem - 5
22.04.2009 14:24:31Firewall: FW configures adapter NCP VPN Adapter
22.04.2009 14:24:31System: Installed as a test license - 5.
22.04.2009 14:24:31System: License for Oem Version - 0
22.04.2009 14:24:31System: Found adapter - name=<NDISWAN> with MTU 1400 bytes
22.04.2009 14:24:31Firewall: FW configures adapter NDISWAN
22.04.2009 14:24:31System: Adapter init => stopping/starting Boot Firewall (0) due to no FNDMODE or RAS adapter or no IP address for adapter - NDISWAN
22.04.2009 14:24:31System: Found adapter - name=<Broadcom NetXtreme Gigabit Ethernet> with MTU 1500 bytes
22.04.2009 14:24:31Firewall: FW configures adapter Broadcom NetXtreme Gigabit Ethernet
22.04.2009 14:24:31System: Adapter init => stopping/starting Boot Firewall (0) due to no FNDMODE or RAS adapter or no IP address for adapter - Broadcom NetXtreme Gigabit Ethernet
22.04.2009 14:24:31System: Found adapter - name=<Treiber für Bluetooth-LAN-Zugangsserver> with MTU 1500 bytes
22.04.2009 14:24:31Firewall: FW configures adapter Treiber für Bluetooth-LAN-Zugangsserver
22.04.2009 14:24:31System: Adapter init => stopping/starting Boot Firewall (0) due to no FNDMODE or RAS adapter or no IP address for adapter - Treiber für Bluetooth-LAN-Zugangsserver
22.04.2009 14:24:31BUDGET: NcpBudgetInit -> No budget manager configuration found
22.04.2009 14:24:31BUDGET: NcpBudgetInit -> OK
22.04.2009 14:24:31System: Testversion time expired
22.04.2009 14:24:31LANCOM Advanced VPN Client V2.10 Build 58
22.04.2009 14:24:31System: Installed as a test license - 2591706.
22.04.2009 14:24:31System: License for Oem Version - 5
22.04.2009 14:24:31MONITOR: Installed - LANCOM Advanced VPN Client 210 Build 58 (910)
22.04.2009 14:24:31MONITOR: Trial version (valid for another 30 days)
22.04.2009 14:24:32System: Disconnect cause - Manual Disconnect.
22.04.2009 14:24:32System: Disconnect cause - Manual Disconnect.
22.04.2009 14:25:01System: Protecting RAS adapter - 0
22.04.2009 14:25:03IPSec: Start building connection
22.04.2009 14:25:03IPSec: DNSREQ: resolving dnserver over lan: zeus-it.dyndns.org
22.04.2009 14:25:03IPSec: DNSREQ: resolved ipadr: 091.061.127.022
22.04.2009 14:25:03Ike: phase1:name(LCFKN-FKN-HOME-AD) - outgoing connect request - aggressive mode.
22.04.2009 14:25:03Ike: XMIT_MSG1_AGGRESSIVE - LCFKN-FKN-HOME-AD
22.04.2009 14:25:33ERROR - 4021: IKE(phase1) - Could not contact Gateway (No response) in state <Wait for Message 2> - LCFKN-FKN-HOME-AD.
22.04.2009 14:25:33Ike: phase1:name(LCFKN-FKN-HOME-AD) - error - retry timeout - max retries
22.04.2009 14:25:33IPSec: Disconnected from LCFKN-FKN-HOME-AD on channel 1.

Wie gesagt, hab alles mögliche schon ausprobiert. Sogar von zwei unterschiedlichen Rechnern aus... "Beide Extern!"

Denke diese Zeile aus dem protokol bringt es auf den Punkt. kann aber selber irgendwie keinen Fehler finden:

22.04.2009 14:25:33ERROR - 4021: IKE(phase1) - Could not contact Gateway (No response) in state <Wait for Message 2> - LCFKN-FKN-HOME-AD.

Hat von euch noch jemand einen guten Tip?

Danke und Gruß

Florian

agollin · Beitrag von **agollin** » 22 Apr 2009, 15:07

hallo,
ich habe zwar auch nicht so viel Ahnung, aber vielleicht könntest du noch eine Log vom Verbindungsaufbau ins Forum stellen. Dazu solltest du dich über ein Terminal auf deinen LC verbinden und "trace # vpn-status" eingeben.
Das hillft vielleicht den Profis.
Grüße

Florian Knobel · Beitrag von **Florian Knobel** » 22 Apr 2009, 15:23

Hallo,

Das Log ist oben zu sehen... und auf dem LC kommt nichts sichtbar an. Das ist ja das Abstrakte!

Aber erreichbar ist es auf jeden fall bzw. die DNS Namesauflösung Funktioniert... das hab ich schon auf anderem Weg getestet.

Gruß

Florian

backslash · Beitrag von **backslash** » 22 Apr 2009, 18:44

Hi Florian Knobel

Das Log ist oben zu sehen... und auf dem LC kommt nichts sichtbar an. Das ist ja das Abstrakte!

wenn beim LANCOM nichts ankommt, dann gibt es eigentlich nur zwei Gründe:

- entweder du hast im Client eine falsche IP-Adresse angegeben
- oder auf Clientseite ist noch eine Firewall, die IPSec nicht durchläßt (kann z.B. ei UMTS-Providern passieren, die das extra bezahlt haben wollen)

Da du eine dyndns-adresse verwendest: Hast du auch überprüft, ob die Adresse korrekt aufgelöst wurde?

Ach ja: es gibt natürlich auch immer die Möglichkeit, daß der Client selbst aus irgend einem Grund nicht funktioniert (z.B. wenn mehrere Clients auf einem PC installiert sind)

Und nun noch eine Anmerkung hierzu:

Ping wird auf WAN nicht beantwortet und LC befindet sich im Stealts Modus (Nicht sichtbar im WAN)

Wenn ein Gerät nicht auf Pings antwortet, bzw. den Stealth-Modus verwendet heißt es nicht, daß es "nicht sichtbar" ist. Vielmehr bedeutet daß daß es sehr wohl sichtbar ist und nur ein riesieges Schild mit der Aufschrift "ihr könnt mich nicht sehen" hochhält... Denn wäre es tatsächlich nicht sichtbar würde schon der Router vorher ein "host unreachable" zurückschicken - und die tatsache, daß der Router das nicht macht, deutet mit einem roten blinkenden Pfeil auf dein LANCOM...

Ping-Blocking und Stealth-Mode sind eher ein Problem, daß die Fehlersuche erschwert, als ein Sicherheitsvorteil - auch wenn selbsternannte Sicherheitsexperten aus fragwürdigen Comuter-Redaktionen etwas anderes behaupten - aber die lieben ja auch personal Firewalls...

Gruß
Backslash

Florian Knobel · Beitrag von **Florian Knobel** » 22 Apr 2009, 19:08

Hi Backslash,

Das mit dem UMTS Provider werd ich mal überprüfen. Hab es bei einer Maschien (Notebook) nämlich in der Tat über meine T-Mobile UMTS Karte Versucht. Die Andere Maschiene ist hier in der Firma... da könnte es ebenfalls so sein das die Firewall genau das Blockt.

DynDNS Funktiooniert übrigens. Der Name wird Korrekt aufgelöst... daran kann es also nicht liegen.

Bezüglich Stealts Modus und Ping Block. Ja, ist halt nur ein minimales Hidnerniss bzw. garkein's wenn die Leute wirklich ahnung haben. Ist ne alte angewohnheit von mir... hat in der vergangenheit aber nie Probleme in verbindung mit VPN bei meinen Lancom's gemacht. In sofern hab ich es mal als Fehlerquele ausgeschlossen... hab ich übrigens auch schon ohne getestet. keine änderung am Fehlerbild!

WerdHeute abend noch mal schauen...

Danke schon mal!

Florian

Florian Knobel · Beitrag von **Florian Knobel** » 23 Apr 2009, 18:32

Hallo,

Also ich hab noch mal geschaut... keine Firewall dei Blockt. Und bei T-Mobile kann cih auch kein Problem feststellen!

Den Stealtsmodus und das Ping Blocking hab ich auch Deaktiviert. Da lag es auch nicht dran...

Noch wehr eine Idee?

Danke und Gruß

Florian