VPN Verbindungsaufbau schlägt fehl

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
Benutzeravatar
Bogie
Beiträge: 64
Registriert: 23 Okt 2019, 10:44

VPN Verbindungsaufbau schlägt fehl

Beitrag von Bogie »

Hallo,

wir haben einen R883+ durch einen 883 mit 10.50.0953RU8 ersetzt. Die Konfiguration wurde per Skript übernommen. Die Routerverbindung zu einem R884 mit fester IP funktioniert einwandfrei. Leider funktionieren VPN Einwahl via IKEv2 mit iPhone oder NCP-Client seit der Umstellung nicht mehr.

Der Trace gibt folgenden Hinweis:

Code: Alles auswählen

[VPN-Status] 2022/08/30 18:16:50,653  Devicetime: 2022/08/30 18:16:41,429
Peer DEFAULT: Received an IKE_SA_INIT-REQUEST of 604 bytes
Gateways: ###.###.###.###:500<--###.###.###.###:500
SPIs: 0xED3E26354EAEB4530000000000000000, Message-ID 0
Peer identified: DEFAULT
Could not create an IKE_SA_INIT exchange for peer DEFAULT (could not set ike peer rules)
Was können wir daraus ableiten und überprüfen?
Gruß
Bogie


"The person who asks a question is a fool for a minute. The person who does not ask, is a fool for life." --Confucius
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: VPN Verbindungsaufbau schlägt fehl

Beitrag von Dr.Einstein »

Von welcher LCOS-Version bist du gekommen? Es gab ein paar Änderungen bzgl. der VPN-Regelerzeugung (SA)
Benutzeravatar
Bogie
Beiträge: 64
Registriert: 23 Okt 2019, 10:44

Re: VPN Verbindungsaufbau schlägt fehl

Beitrag von Bogie »

Der R883+ lief zuletzt unter 10.50.0819.
Wir hatten schon überlegt, den 883 testweise downzugraden. Wäre das eine Lösung oder kann es durch Umkonfigurieren behoben werden?
Gruß
Bogie


"The person who asks a question is a fool for a minute. The person who does not ask, is a fool for life." --Confucius
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: VPN Verbindungsaufbau schlägt fehl

Beitrag von GrandDixence »

LCOS auf den Stable-Zweig downgraden (Aktuell: v10.42).
https://www.lancom-systems.de/produkte/ ... ebersicht/

Dann VPN-Server korrekt gemäss:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
konfigurieren. => Alles andere ist reine Zeitverschwendung.

Hier ist offenbar die VPN-Gegenstelle "DEFAULT" mangelhaft konfiguriert.
ua
Beiträge: 704
Registriert: 29 Apr 2005, 12:29

Re: VPN Verbindungsaufbau schlägt fehl

Beitrag von ua »

Hi,

doofe Frage: Hat der Router ggf. eine neue externe IP bekommen?

VG
... das Netz ist der Computer ...
n* LC und vieles mehr...
Benutzeravatar
Bogie
Beiträge: 64
Registriert: 23 Okt 2019, 10:44

Re: VPN Verbindungsaufbau schlägt fehl

Beitrag von Bogie »

GrandDixence hat geschrieben: 31 Aug 2022, 13:37 LCOS auf den Stable-Zweig downgraden (Aktuell: v10.42).
https://www.lancom-systems.de/produkte/ ... ebersicht/

Dann VPN-Server korrekt gemäss:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
konfigurieren. => Alles andere ist reine Zeitverschwendung.

Hier ist offenbar die VPN-Gegenstelle "DEFAULT" mangelhaft konfiguriert.
Danke GrandDixence,

unter 10.42 lief alles noch einwandfrei und an der VPN Konfiguration haben wir bis 10.50.0819 nichts geändert.

Die Posts zum Thema VPN bin ich schon einige Male durchgegangen, konnte aber nicht erkennen, wo wir ggf. Fehler gemacht haben könnten. Nur arbeiten wir nicht mit Zertifikaten sondern mit FQDN und FQUN.
Gruß
Bogie


"The person who asks a question is a fool for a minute. The person who does not ask, is a fool for life." --Confucius
Benutzeravatar
Bogie
Beiträge: 64
Registriert: 23 Okt 2019, 10:44

Re: VPN Verbindungsaufbau schlägt fehl

Beitrag von Bogie »

Dr.Einstein hat geschrieben: 30 Aug 2022, 21:07 Von welcher LCOS-Version bist du gekommen? Es gab ein paar Änderungen bzgl. der VPN-Regelerzeugung (SA)
Danke Dr.Einstein,

wenn es an der VPN-Regelerzeugung (SA) Änderungen gab, gibt es dann eine Doku dazu, die die korrekte Verwendung der SAs beschreibt?
Gruß
Bogie


"The person who asks a question is a fool for a minute. The person who does not ask, is a fool for life." --Confucius
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: VPN Verbindungsaufbau schlägt fehl

Beitrag von Dr.Einstein »

Da der R883+ mit 10.50.0819 lief, ist das nicht weiter relevant. Aber zur Info: Lancom hat das Regelwerk verschoben in den VPN Teil. Es ist noch parallel kompatibel, aber wer weiß, ob das Skript alles korrekt überführt hat. Mit 10.60 fallen die VPN-Firewallregeln ganz weg. https://support.lancom-systems.com/know ... d=85885720

Folgendes Vorgehen würde ich dir empfehlen: Erstelle dir trocken eine nackte Lancom Konfiguration (Rechtsklick, neue Datei -> Lancom Konfiguration) oder im LanConfig. Dann gehst du auf den Punkt VPN / IKEv2 und vergleichst dort alle Default Werte mit dem deines 883+. Hier sollte es Unterschiede geben. Guck dir explizit an, auf welche Konfigurationsunterpunkte das Default Profil zugreift und kontrolliere, ob diese ebenfalls korrekt vorhanden sind.

Andere Möglichkeiten wie ein Script von alt und neu ziehen und mittels Compare-Funktion vergleichen kannst du natürlich auch machen.

Gruß Dr.Einstein
mh1
Beiträge: 47
Registriert: 24 Feb 2022, 11:17

Re: VPN Verbindungsaufbau schlägt fehl

Beitrag von mh1 »

Bogie hat geschrieben: 30 Aug 2022, 18:38 (...)
Could not create an IKE_SA_INIT exchange for peer DEFAULT (could not set ike peer rules)[/code]
Die Gegenestelle bzw. Peer DEFAULT ist falsch konfiguriert.

Oft habe ich auch schon gesehe, dass der Admin dieses DEFAULT einfach gelöscht hat, aber DEFAULT muss immer existieren, da sonst IKE_SA_INIT gar nicht verarbeitet werden kann.


EDIT:
Huch - ich sehe gerade, dass der Thread ja schon beantwortet wurde.
Da hätt ich mal vorher nach unten scrollen sollen, bevor ich einen Kommentar eintippe - Sorry! :wink:
Benutzeravatar
Bogie
Beiträge: 64
Registriert: 23 Okt 2019, 10:44

Re: VPN Verbindungsaufbau schlägt fehl

Beitrag von Bogie »

Hallo mh1,

danke für den Hinweis. Das hatten wir schon überprüft. Die Ikev2 Authentifizierung "Default" ist auf unseren Routern überall gleich.

Code: Alles auswählen

{name} "DEFAULT"        
{Local-Auth}  Digital-Signature    
{Local-Dig-Sig-Profile}  "DEFAULT-RSA-PKCS"        
{Local-ID-Type}  No-Identity          
{Local-ID}  ""                                                                                                                  
{Local-Password}  ""                                                               
{Remote-Auth}  Digital-Signature    
{Remote-Dig-Sig-Profile}  "DEFAULT-RSA-PKCS"        
{Remote-EAP-Profile}  ""                  
{Remote-ID-Type}  No-Identity          
{Remote-ID}  ""                                                                                                                 
{Remote-Password}  ""                                                               
{Addit.-Remote-ID-List}  "DEFAULT"             
{Local-Certificate}  "VPN9"                                                                                                     
{Remote-Cert-ID-Check}  No                     
{OCSP-Check}  No              
{CRL-Check}  Yes
Gruß
Bogie


"The person who asks a question is a fool for a minute. The person who does not ask, is a fool for life." --Confucius
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: VPN Verbindungsaufbau schlägt fehl

Beitrag von Dr.Einstein »

Und die ganzen Unterpunkte, auf die im Peer verwiesen sind, sind ebenfalls identisch? Hattest du den Router danach einmal neugestartet? Ich hatte schon mehrfach, dass das Default-Peer korrekt war, jedoch nach Konfigupload erst nach einem Routerneustart funktioniert hat, Lancom untypisch.

Gruß Dr.Einstein
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: VPN Verbindungsaufbau schlägt fehl

Beitrag von GrandDixence »

Addit.-Remote-ID-List ist mit hoher Wahrscheinlichkeit falsch konfiguriert.
Es wurde vorgängig ein Zertifikatspaket in den Zertifikatspaketspeicher VPN9 hochgeladen?

/Setup/VPN/IKEv2/Gegenstellen/

korrekt konfiguriert gemäss oben verlinkten VPN-Anleitungen?
fragen-zum-thema-vpn-f14/windows-phone- ... tml#p86789
mh1
Beiträge: 47
Registriert: 24 Feb 2022, 11:17

Re: VPN Verbindungsaufbau schlägt fehl

Beitrag von mh1 »

Also ich mach ja zum Testen immer erstmal den IKEv2 mit PSK und erst wenn da alle IKE Telegramme richtig ausgetauscht werden und der Tunnel wird aufgebaut, dann erst stell ich die Authentisierung auf Zertifikate um.
Benutzeravatar
Bogie
Beiträge: 64
Registriert: 23 Okt 2019, 10:44

Re: [gelöst] VPN Verbindungsaufbau schlägt fehl

Beitrag von Bogie »

Danke Euch allen für die Hinweise.

Wir haben heute die neue Release 10.70.0086Rel vom 6.9.22 installiert und siehe da, das VPN geht auch wieder, ohne dass wir Änderungen an der bewährten Konfiguration vorgenommen hätten.

Es wurde also offensichtlich etwas gefunden und behoben :wink:
Gruß
Bogie


"The person who asks a question is a fool for a minute. The person who does not ask, is a fool for life." --Confucius
Antworten