VPN-Verbindung zwischen LANCOM und IPCOP

PX166 · Beitrag von **PX166** » 10 Mai 2011, 10:53

Hallo zusammen,

ich habe einen 1711+ der mit einem IPCOP per VPN verbunden ist. Beide haben eine feste IP und einen DNS-Namen.

Leider ist seit der Einrichtung der VPN-Verbindnug alle 5 Min eine Trennung der VPN-Verbindung zu sehen. Auch wenn Daten übertragen werden. Hier wird nach dem neuen Aufbau der Verbindung weiter übertragen, aber komisch finde ich das schon und ich finde einfach den Grund nicht.

Kann mir vielleicht jemand einen Tipp geben?

Habe im Internet eine schöne (aber veraltete) Anleitung für LANCOM mit IPCOP gefunden, habe diese aber nicht befolgt, da die VPN-Verbindung ja zu stande kommt. HIer der Link: http://www.nwlab.net/tutorials/LANCOM-IPCOP-VPN/

backslash · Beitrag von **backslash** » 10 Mai 2011, 11:46

Hi PX166

Kann mir vielleicht jemand einen Tipp geben?

als erstes solltest du mal ein VPN-Status-Trace auf dem LANCOM machen, um zu sehen, was genau passiert.

Gruß
Backslash

PX166 · Beitrag von **PX166** » 13 Mai 2011, 09:43

Hi Backslash,

anbei wie gewünscht, der Trace:

Code: Alles auswählen

DEVICE:           LANCOM 1711+ VPN
HW-RELEASE:       G
VERSION:          8.00.0221RU2 / 07.10.2010


[VPN-Status] 2011/05/13 09:36:43,557  Devicetime: 2011/05/13 09:35:14,880
IKE info: Delete Notification received for Phase-2 SA ipsec-0-VPN-Name-pr0-l0-r0 peer VPN-Name spi [0xa3ab4888]

[VPN-Status] 2011/05/13 09:36:43,557  Devicetime: 2011/05/13 09:35:14,880
IKE info: Phase-2 SA removed: peer VPN-Name rule ipsec-0-VPN-Name-pr0-l0-r0 removed
IKE info: containing Protocol IPSEC_ESP, with spis [a3ab4888  ] [288d2e12  ]

[VPN-Status] 2011/05/13 09:36:43,557  Devicetime: 2011/05/13 09:35:14,890
IKE info: Delete Notification received for Phase-1 SA isakmp-peer-VPN-Name peer VPN-Name cookies [fab42a25a2fe16d8 c92f4a5576695349]

[VPN-Status] 2011/05/13 09:36:43,557  Devicetime: 2011/05/13 09:35:14,890
IKE info: Phase-1 SA removed: peer VPN-Name rule VPN-Name removed

[VPN-Status] 2011/05/13 09:36:43,557  Devicetime: 2011/05/13 09:35:14,890
VPN: VPN-Name (IP-Adresse)  disconnected

[VPN-Status] 2011/05/13 09:36:43,733  Devicetime: 2011/05/13 09:35:14,930
selecting first remote gateway using strategy eFirst for VPN-Name
     => CurrIdx=0, IpStr=>gate2.etamax.de<, IpAddr=IP-Adresse, IpTtl=43494s

[VPN-Status] 2011/05/13 09:36:43,733  Devicetime: 2011/05/13 09:35:14,930
VPN: installing ruleset for VPN-Name (IP-Adresse)

[VPN-Status] 2011/05/13 09:36:43,733  Devicetime: 2011/05/13 09:35:14,940
IKE info: The remote server IP-Adresse:500 (UDP) peer VPN-Name id <no_id> supports NAT-T in mode rfc
IKE info: The remote server IP-Adresse:500 (UDP) peer VPN-Name id <no_id> supports NAT-T in mode rfc
IKE info: The remote server IP-Adresse:500 (UDP) peer VPN-Name id <no_id> supports NAT-T in mode rfc
IKE info: The remote server IP-Adresse:500 (UDP) peer VPN-Name id <no_id> supports NAT-T in mode rfc
IKE info: The remote server IP-Adresse:500 (UDP) peer VPN-Name id <no_id> negotiated rfc-3706-dead-peer-detection

[VPN-Status] 2011/05/13 09:36:43,733  Devicetime: 2011/05/13 09:35:14,940
IKE info: phase-1 proposal failed: remote No 1 hash algorithm = SHA <-> local No 1 hash algorithm = MD5
IKE info: Phase-1 remote proposal 1 for peer VPN-Name matched with local proposal 2

[VPN-Status] 2011/05/13 09:36:44,052  Devicetime: 2011/05/13 09:35:15,550
IKE info: Phase-1 [responder] for peer VPN-Name between initiator id  IP-Adresse, responder id  IP-Adresse done
IKE info: SA ISAKMP for peer VPN-Name encryption aes-cbc authentication sha1
IKE info: life time ( 3600 sec/ 0 kb)

[VPN-Status] 2011/05/13 09:36:44,052  Devicetime: 2011/05/13 09:35:15,550
IKE info: Phase-1 SA Rekeying Timeout (Soft-Event) for peer VPN-Name set to 3240 seconds (Responder)

[VPN-Status] 2011/05/13 09:36:44,052  Devicetime: 2011/05/13 09:35:15,550
IKE info: Phase-1 SA Timeout (Hard-Event) for peer VPN-Name set to 3600 seconds (Responder)

[VPN-Status] 2011/05/13 09:36:44,292  Devicetime: 2011/05/13 09:35:15,580
IKE info: Phase-2 proposal failed: remote No 1, esp hmac HMAC_SHA <-> local No 1, esp hmac HMAC_MD5
IKE info: Phase-2 proposal failed: remote No 1, esp algorithm AES <-> local No 2, esp algorithm BLOWFISH
IKE info: Phase-2 proposal failed: remote No 1, number of protos 1 <-> local No 3,  number of protos 2
IKE info: Phase-2 proposal failed: remote No 1, esp algorithm AES <-> local No 4, esp algorithm 3DES
IKE info: Phase-2 proposal failed: remote No 1, esp hmac HMAC_SHA <-> local No 4, esp hmac HMAC_MD5
IKE info: Phase-2 proposal failed: remote No 1, esp algorithm AES <-> local No 5, esp algorithm 3DES
IKE info: Phase-2 remote proposal 1 failed for peer VPN-Name
IKE info: Phase-2 remote proposal 2 for peer VPN-Name matched with local proposal 1

[VPN-Status] 2011/05/13 09:36:44,443  Devicetime: 2011/05/13 09:35:15,930
VPN: connecting to VPN-Name (IP-Adresse)

[VPN-Status] 2011/05/13 09:36:44,579  Devicetime: 2011/05/13 09:35:15,990
VPN: installing ruleset for VPN-Name (IP-Adresse)

[VPN-Status] 2011/05/13 09:36:44,715  Devicetime: 2011/05/13 09:35:16,190
IKE info: Phase-2 SA Rekeying Timeout (Soft-Event) for peer VPN-Name set to 25920 seconds (Responder)

[VPN-Status] 2011/05/13 09:36:44,715  Devicetime: 2011/05/13 09:35:16,190
IKE info: Phase-2 SA Timeout (Hard-Event) for peer VPN-Name set to 28800 seconds (Responder)

[VPN-Status] 2011/05/13 09:36:44,715  Devicetime: 2011/05/13 09:35:16,190
IKE info: Phase-2 [responder] done with 2 SAS for peer VPN-Name rule ipsec-0-VPN-Name-pr0-l0-r0
IKE info: rule:' ipsec 192.168.1.0/255.255.255.0 <-> 192.168.135.0/255.255.255.0 '
IKE info: SA ESP [0xa3ab4889]  alg AES keylength 128 +hmac HMAC_MD5 outgoing
IKE info: SA ESP [0x443f5ba9]  alg AES keylength 128 +hmac HMAC_MD5 incoming
IKE info: life soft( 25920 sec/0 kb) hard (28800 sec/0 kb)
IKE info: tunnel between src: IP-Adresse dst: IP-Adresse  

[VPN-Status] 2011/05/13 09:36:44,715  Devicetime: 2011/05/13 09:35:16,190
VPN: start IKE negotiation for VPN-Name (IP-Adresse)

[VPN-Status] 2011/05/13 09:36:44,715  Devicetime: 2011/05/13 09:35:16,220
VPN: ruleset installed for VPN-Name (IP-Adresse)

[VPN-Status] 2011/05/13 09:36:45,409  Devicetime: 2011/05/13 09:35:17,230
VPN: VPN-Name (IP-Adresse) connected


[TraceStopped] 2011/05/13 09:36:57,469
Used config:
# Trace config
trace + VPN-Status @ + VPN-Name

# Show commands
show bootlog 
[Index] 2009/07/09 00:00:00,000
103,137,7;110,607,28;106,913,31;8,190,3;8,240,4;8,211,3;8,144,3;8,123,3;8,225,4;8,132,3;8,620,7;8,267,4;8,314,5;8,179,3;8,170,3;8,840,10;8,123,3;8,132,3;
8,180,3;8,171,3;8,541,8;8,135,3;8,131,3;8,120,4;104,137,7;

backslash · Beitrag von **backslash** » 13 Mai 2011, 11:20

Hi PX166

ich hätte zwar lieber einen ganzen Trace, vom Start der Verbindung, bis zu deren Ende (und nicht wie hier das Ende der Alten und den Start der Neuen), aber hier sieht man zumindest daß die Verbimndung vom IPCOP getrennt wird:

Code: Alles auswählen

[VPN-Status] 2011/05/13 09:36:43,557  Devicetime: 2011/05/13 09:35:14,880
IKE info: Delete Notification received for Phase-2 SA ipsec-0-VPN-Name-pr0-l0-r0 peer VPN-Name spi [0xa3ab4888] 

(...)

[VPN-Status] 2011/05/13 09:36:43,557  Devicetime: 2011/05/13 09:35:14,890
IKE info: Delete Notification received for Phase-1 SA isakmp-peer-VPN-Name peer VPN-Name cookies [fab42a25a2fe16d8 c92f4a5576695349]

Warum der IPCOP hier getrennt hat, das sieht man allerdings nicht. Zum IPCOP kann ich leider nicht viel sagen, wenn er aber eine Trace-Möglichkeit hat oder ausführliche Logs schreibt, dann solltest du da mal reinschauen

Gruß
Backslash

PX166 · Beitrag von **PX166** » 13 Mai 2011, 20:28

Hi Backslash,

danke für deine Antwort.
Sorry, das habe ich gar nicht bemerkt.

Vielleicht liegt es am NAT? Vielleicht sollte ich die Verbindung noch mal einrichten ohne NAT. Der IPCOP unterstützt dies glaub ich so nicht...