Hallo allerseits,
ich sitze hier verzweifelt an der Einrichtung einer VPN-Verbindung zu einem Draytek 2600. Ich selbst besitze den LANCOM ADSL 1821 Router. Glücklicherweise (so dachte ich zunächst) hat LANCOM eine FAQ-Seite unter der ich zu einer Installationsanleitung wie dieser komme:
http://www2.lancom.de/kb.nsf/a5ddf48173 ... tek,German
Ein Punkt dieser Installationsanleitung verwundert mich. Es handelt sich dabei um den Punkt: "Neu LANconfig Konfiguration (6)".
Dort kann man zwei Passwörter eintragen. Einmal ein "Kennwort" und einmal ein "Shared Secret". Das zweite Kennwort, daß "Shared Secret" ist logisch. Das erste verwirrt mich. Und zwar deshalb, weil meine Verbindung über das Internet via DynDNS erteilter IPs erfolgt, und ich für meinen VPN-Tunnel nur noch einen Shared Secret benötige (oder? Denkfehler?). Darüberhinaus kann ich im Draytek gar kein solches Kennwort finden, sondern eben nur den Shared Secret.
Als nächstes verwirrt mich die Anleitung mit dem Erstellen einer IDENTITÄT für den Aggressive Mode. Wo bitte schön findet man in den zahllosen Kateireitern das Erstellen einer Identität??? Abschließend wird noch verlangt die PFS-Gruppe auf "0" zu stellen, dabei meckert LANconfig, weil es die nicht gibt. Ist das trotzdem OK? Warum macht man das?
Zu letzt (ich hoffe das ist nicht nervend) eine generelle Fragen:
Wofür steht die Bezeichnung WIZ- ...?
[/url]
VPN vom LANCOM 1821 zu Draytek 2600 und generelle Fragen
Moderator: Lancom-Systems Moderatoren
Normalerweise richtet das Lancom bei einer Netzwerkverbindung den Main Mode ein. Bei Lancom wird mit diesem zusätzlichen Kennwort schon beim Verbindungsaufbau einiges Verschlüsselt.Dort kann man zwei Passwörter eintragen. Einmal ein "Kennwort" und einmal ein "Shared Secret"
Da du für den Draytek auf Aggressive Mode umstellen mußt, sollte dieses Kennwort belanglos sein.
Die Identiät findest du bei IKE-Parameter, IKE-SchlüsselAls nächstes verwirrt mich die Anleitung mit dem Erstellen einer IDENTITÄT für den Aggressive Mode
Das sollte besser Backslash beantworten...PFS-Gruppe auf "0" zu stellen, dabei meckert LANconfig, weil es die nicht gibt. Ist das trotzdem OK?
WIZ = Wizard = Einrichtungsassistent. Daran erkennt man, daß dieser Eintrag vom Assi vorgenommen worden ist.Wofür steht die Bezeichnung WIZ- ...?
Wo ist jetzt deine Verzweiflung? - Was genau läuft schief?
Gruß
COMCARGRU
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet???
Hallo COMCARGRU,
erstmal vielen Dank für Deine schnelle Antwort.
Zum Punkt was genau funktioniert nicht:
Ich bekomme beim Verbindungsaufbau folgende Fehlermeldung:
"Zeitüberschreitung während IKE- oder IPSec-Verhandlung"
In den LANCom FAQs habe ich gelesen, daß sobald diese Fehlermeldung erscheint, man die LOGs des gegnerischen Routers einsehen soll, um den Fehler zu lokalisieren. Und genau das ist mein Problem. Der loggt nicht. Der Syslog Dämon (den man für den Draytek kostenlos herunterladen kann) zeigt nichts an. Ich persönlich vermute (vielleicht kannst mich korrigieren), das der Schlüsselabtausch zu lange dauert. Bei meinen IKE-Proposals stehen an erster Stelle sehr aktuelle Verschlüsselungsverfahren. Der Draytek beherrscht soviel ich weiss nur DES, 3DES und SHA1.
Bevor ich den LANCOM hier einsetzte hatte ich hier auch einen Draytek zu stehen. Mit dem klappte auch alles ganz gut. Nur mit dem LANCOM jetzt habe ich dieses Problem. Sicherlich. Ich werde irgentwo ein Häkchen falsch gesetzt haben (am liebsten wäre mir ein Linuxrechner der hier mit Conffiles aufwartet statt dieser Klicki-Bunti-Geschichte).
Hast Du vielleicht noch eine andere Idee oder meinst Du auch das meine Vermutung richtig ist ?
Liebe Grüße,
Guybrush
erstmal vielen Dank für Deine schnelle Antwort.
Zum Punkt was genau funktioniert nicht:
Ich bekomme beim Verbindungsaufbau folgende Fehlermeldung:
"Zeitüberschreitung während IKE- oder IPSec-Verhandlung"
In den LANCom FAQs habe ich gelesen, daß sobald diese Fehlermeldung erscheint, man die LOGs des gegnerischen Routers einsehen soll, um den Fehler zu lokalisieren. Und genau das ist mein Problem. Der loggt nicht. Der Syslog Dämon (den man für den Draytek kostenlos herunterladen kann) zeigt nichts an. Ich persönlich vermute (vielleicht kannst mich korrigieren), das der Schlüsselabtausch zu lange dauert. Bei meinen IKE-Proposals stehen an erster Stelle sehr aktuelle Verschlüsselungsverfahren. Der Draytek beherrscht soviel ich weiss nur DES, 3DES und SHA1.
Bevor ich den LANCOM hier einsetzte hatte ich hier auch einen Draytek zu stehen. Mit dem klappte auch alles ganz gut. Nur mit dem LANCOM jetzt habe ich dieses Problem. Sicherlich. Ich werde irgentwo ein Häkchen falsch gesetzt haben (am liebsten wäre mir ein Linuxrechner der hier mit Conffiles aufwartet statt dieser Klicki-Bunti-Geschichte).
Hast Du vielleicht noch eine andere Idee oder meinst Du auch das meine Vermutung richtig ist ?
Liebe Grüße,
Guybrush
Hi guybrush
Wird die IP-Adresse des Draytek korrekt aufgelöst?
Stimmen die IKE-Proposals?
Stimmt die Identität?
Stimmt der pre shared key?
Es gibt zu viele Möglichkeiten, weshalb die Meldung "Zeitüberschreitung während IKE- oder IPSec-Verhandlung" kommen kann. Sie besagt einfach, daß der Tunnel nicht innerhalb von 30 Sekunden aufgebaut werden konnte.
- genau hinsehen ob alles korrekt konfiguriert ist
- rumprobieren, bis es endlich läuft
- Kaffeesatz lesen um herauszufinden, was der Draytek nicht mag
Gruß
Backslash
ja, das ist OK. LANconfig meckert, weil die Gruppe 0 nicht definiert ist (das ist etwas unschön...)Abschließend wird noch verlangt die PFS-Gruppe auf "0" zu stellen, dabei meckert LANconfig, weil es die nicht gibt. Ist das trotzdem OK?
Die Gruppe 0 sagt nichts anderes, als daß PFS abgeschaltet wird. Normalerweise sollte man PFS immer aktiviert haben, aber es gibt Router, die PFS nicht können - und genau für die ist die Gruppe 0 vorgesehen.Warum macht man das?
ist das die einzige Meldung, die du bekommst, oder siehst du wenigstens noch die Vendor-Meldung der Gegenüberliegenden Seite? Die sehen i.Ü. in etwa so aus:Ich bekomme beim Verbindungsaufbau folgende Fehlermeldung:
"Zeitüberschreitung während IKE- oder IPSec-Verhandlung"
Code: Alles auswählen
[VPN-Status] 2005/03/08 17:36:49,090
VpnIpm: info; The remote server 10.0.0.115:500 peer CLIENT-2 id <no_id> supports draft-ietf-ipsec-isakmp-xauth
VpnIpm: info; The remote server 10.0.0.115:500 peer CLIENT-2 id <no_id> negotiated rfc-3706-dead-peer-detectionStimmen die IKE-Proposals?
Stimmt die Identität?
Stimmt der pre shared key?
Es gibt zu viele Möglichkeiten, weshalb die Meldung "Zeitüberschreitung während IKE- oder IPSec-Verhandlung" kommen kann. Sie besagt einfach, daß der Tunnel nicht innerhalb von 30 Sekunden aufgebaut werden konnte.
Das glaube ich kaum, denn die Meldung kommt erst nach 30 Sekunden - bis dahin sollte jeder Schlüsselaustausch hundertmal abgeschlossen sein. Der Grund, weshalb in den LANCOM FAQs auf die Gegenseite verwiesen wird ist der, daß dort u.U. noch ein paar zusätzliche Informationen anfallen könnten. Ein VPN-Server muß nämlich bei falschen Proposals, Schlüsseln etc. gar nicht antworten und dem anfragenden mitteilen was ihm nicht gepaßt hat. Mit viel Glück schreibt er wenigstens noch ein Logfile. Wenn er selbst das nicht macht, dann heißt esIch persönlich vermute (vielleicht kannst mich korrigieren), das der Schlüsselabtausch zu lange dauert.
- genau hinsehen ob alles korrekt konfiguriert ist
- rumprobieren, bis es endlich läuft
- Kaffeesatz lesen um herauszufinden, was der Draytek nicht mag
Gruß
Backslash
Teilerfolg
Hallo Backslash,
danke. Ich habe zunächst einen Teilerfolg - soll heißen: Der Verbindungsaufbau vom Draytek zum Lancom funzt - nur umgekehrt gibt es noch die oben erwähnte Fehlermeldung. Leider loggt der LANCom zu wenig.
Gruss,
Guybrush
danke. Ich habe zunächst einen Teilerfolg - soll heißen: Der Verbindungsaufbau vom Draytek zum Lancom funzt - nur umgekehrt gibt es noch die oben erwähnte Fehlermeldung. Leider loggt der LANCom zu wenig.
Gruss,
Guybrush
Na, das halte ich aber fuer ein Geruecht. "trace # vpn-st" und ein "show vpn" geben ja schon sehr detailierte Infos.Leider loggt der LANCom zu wenig.
> show vpn ?
usage: show vpn [<option> ...]
<option>: rules - show VPN rules (short)
long - show VPN rules (long)
ifc - show VPN interfaces
spd - show VPN Security Policy Database
sadb - show VPN SA Database
Ciao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
Hallo,
ich bin wirklich den Tränen nahe!!!!!!!!!!!
Heute klappt die umgekehrte Richtung. (Vom Lancom zum Vigor jedoch nicht Vigor -> Lancom).
Doch erst zum ersten:
Wenn ich versuche vom Lancom zum Vigor eine Verbindung aufzubauen bekomme ich beim Lancom folgendes geloggt:
Wenn ich jetzt vom Vigor eine Verbindung versuche aufzubauen, loggt der Lancom folgendes:
Ich bin drauf und drann alles hinzuschmeissen und doch keine LANcoms mehr zu kaufen. Wenn ich die meinen Kunden ausliefere bin ich geliefert. Ihr müsst dringend die Benutzermaske freundlicher gestalten! Oder den Router für Linuxerfahrene freigeben. Egal was auch immer.
Liebe Grüße
Guybrush
ich bin wirklich den Tränen nahe!!!!!!!!!!!
Heute klappt die umgekehrte Richtung. (Vom Lancom zum Vigor jedoch nicht Vigor -> Lancom).
Doch erst zum ersten:
Wenn ich versuche vom Lancom zum Vigor eine Verbindung aufzubauen bekomme ich beim Lancom folgendes geloggt:
Sieht denke ich schon mal ganz gut aus. Aber ich kann nicht pingen. Sprich ich kann Netzwerktechnisch die anderen Rechner im Vigornetz nicht erreichen (Obwohl ich beim Vigor Ping nicht blocke!) Keine Ahnung Warum.VpnIpm: info; Phase-1 negotiation started for peer WESTBERLIN rule isakmp-peer-WESTBERLIN using AGGRESSIVE mode
[VPN-Status] 2005/03/17 20:14:11,720
VpnIpm: info; Phase-1 remote proposal 1 for peer WESTBERLIN matched with local proposal 1
[VPN-Status] 2005/03/17 20:14:11,890
VpnIpm: info; Phase-1 [inititiator] for peer WESTBERLIN between initiator id westberlin.test.de, responder id westberlin.test.de done
VpnIpm: info; SA ISAKMP for peer WESTBERLIN encryption des-cbc authentication md5
VpnIpm: info; life time ( 8000 sec/ 0 kb)
[VPN-Status] 2005/03/17 20:14:12,050
VpnIpm: info; Phase-2 [inititiator] done with 2 SAS for peer WESTBERLIN rule ipsec-0-WESTBERLIN-pr0-l0-r0
VpnIpm: info; rule:' ipsec 192.168.42.0/255.255.255.0 <-> 192.168.1.0/255.255.255.0 '
VpnIpm: info; SA ESP [0x0d068353] alg 3DES keylength 192 +hmac HMAC_MD5 outgoing
VpnIpm: info; SA ESP [0x16736831] alg 3DES keylength 192 +hmac HMAC_MD5 incoming
VpnIpm: info; life soft( 1800 sec/180000 kb) hard (2000 sec/200000 kb)
VpnIpm: info; tunnel between src: 217.231.100.106 dst: 213.6.1.208
[VPN-Status] 2005/03/17 20:14:13,070
VPN: WESTBERLIN (213.6.1.208) connected
Wenn ich jetzt vom Vigor eine Verbindung versuche aufzubauen, loggt der Lancom folgendes:
Irgentwie hat der Lancom ein Problem die Netze zu identifizieren. Aber wo stelle ich nun das wieder ein beim Lancom. Vor allem habe ich beim LANcom nichts verändert gegenüber Montag, und trotzdem geht es nicht.VpnIpm: info; Phase-1 remote proposal 1 for peer WESTBERLIN matched with local proposal 1
[VPN-Status] 2005/03/17 20:17:53,120
VpnIpm: info; Phase-1 [responder] for peer WESTBERLIN between initiator id westberlin.test.de, responder id westberlin.test.de done
VpnIpm: info; SA ISAKMP for peer WESTBERLIN encryption des-cbc authentication md5
VpnIpm: info; life time ( 28800 sec/ 0 kb)
[VPN-Status] 2005/03/17 20:17:53,150
VpnIpm: info; Phase-2 failed for peer WESTBERLIN: no rule matches the phase-2 ids 213.6.1.208/255.255.255.255 <-> 192.168.42.0/255.255.255.0
VpnIpm: info; dropped message from peer WESTBERLIN 213.6.1.208 port 500 due to notification type NO_PROPOSAL_CHOSEN
[VPN-Status] 2005/03/17 20:17:53,150
VPN: Error: IPSEC-R-No-rule-matched-IDs (0x3201) for WESTBERLIN (213.6.1.208)
[VPN-Status] 2005/03/17 20:17:56,250
VpnIpm: info; Phase-2 failed for peer WESTBERLIN: no rule matches the phase-2 ids 213.6.1.208/255.255.255.255 <-> 192.168.42.0/255.255.255.0
VpnIpm: info; dropped message from peer WESTBERLIN 213.6.1.208 port 500 due to notification type NO_PROPOSAL_CHOSEN
[VPN-Status] 2005/03/17 20:17:56,250
VPN: Error: IPSEC-R-No-rule-matched-IDs (0x3201) for WESTBERLIN (213.6.1.208)
[VPN-Status] 2005/03/17 20:18:03,390
VpnIpm: info; Phase-2 failed for peer WESTBERLIN: no rule matches the phase-2 ids 213.6.1.208/255.255.255.255 <-> 192.168.42.0/255.255.255.0
VpnIpm: info; dropped message from peer WESTBERLIN 213.6.1.208 port 500 due to notification type NO_PROPOSAL_CHOSEN
[VPN-Status] 2005/03/17 20:18:03,400
VPN: Error: IPSEC-R-No-rule-matched-IDs (0x3201) for WESTBERLIN (213.6.1.208)
[VPN-Status] 2005/03/17 20:18:06,520
VpnIpm: info; Phase-2 failed for peer WESTBERLIN: no rule matches the phase-2 ids 213.6.1.208/255.255.255.255 <-> 192.168.42.0/255.255.255.0
VpnIpm: info; dropped message from peer WESTBERLIN 213.6.1.208 port 500 due to notification type NO_PROPOSAL_CHOSEN
[VPN-Status] 2005/03/17 20:18:06,530
VPN: Error: IPSEC-R-No-rule-matched-IDs (0x3201) for WESTBERLIN (213.6.1.208)
Ich bin drauf und drann alles hinzuschmeissen und doch keine LANcoms mehr zu kaufen. Wenn ich die meinen Kunden ausliefere bin ich geliefert. Ihr müsst dringend die Benutzermaske freundlicher gestalten! Oder den Router für Linuxerfahrene freigeben. Egal was auch immer.
Liebe Grüße
Guybrush
-
FrankMeyer
- Beiträge: 17
- Registriert: 19 Mär 2005, 19:18
Hallo Guybrush, ich habe das gleiche Problem wie du ("Zeitüberschreitung während IKE- oder IPSec-Verhandlung"). Aber ich habe es noch nicht einmal geschafft, vom Draytek 2600 auf den Lancom 1811 zu Verbinden, immer diese Meldung. Wie hast du denn das hinbekommen, den Teilerfolg würd ich gerne wissen. Bei meiner 1. Konfiguration laut Lancom Tutorial bin ich auf die gleichen Ungereimtheiten gestoßen wie du.
Viele Grüße . Frank
Viele Grüße . Frank
Hi guybrush
Ggf. mal den Support von Draytek quälen.
Das LANCOM verhält sich jedenfalls korrekt.
Gruß
Backslash
ist OK, die Verbindung steht - im LANCOM sind die Regeln also schonmal richtig. DochWenn ich versuche vom Lancom zum Vigor eine Verbindung aufzubauen bekomme ich beim Lancom folgendes geloggt:
(...)
nein, es ist nicht das LANCOM, das hier ein Problem hat, sondern der Draytek. Der will nämlich einen Tunnel von seiner öffentlichen IP-Adresse (213.6.1.208/255.255.255.255) zum Netz des LANCOMs (192.168.42.0/255.255.255.0) aufbauen. Und daß das LANCOM diesen Versucht ablehnt, ist korrekt. Da mußt du im Draytek schauen, warum er nicht sein lokales Netz (also 192.168.1.0/255.255.255.0) verwenden will.
(...)
[VPN-Status] 2005/03/17 20:17:53,150
VpnIpm: info; Phase-2 failed for peer WESTBERLIN: no rule matches the phase-2 ids 213.6.1.208/255.255.255.255 <-> 192.168.42.0/255.255.255.0
VpnIpm: info; dropped message from peer WESTBERLIN 213.6.1.208 port 500 due to notification type NO_PROPOSAL_CHOSEN
(...)
Irgentwie hat der Lancom ein Problem die Netze zu identifizieren. Aber wo stelle ich nun das wieder ein beim Lancom. Vor allem habe ich beim LANcom nichts verändert gegenüber Montag, und trotzdem geht es nicht.
Ggf. mal den Support von Draytek quälen.
Das LANCOM verhält sich jedenfalls korrekt.
Gruß
Backslash
Danke
Danke Backslash,
ich habe den Fehler gefunden. Die NAT Einstellungen des Draytek waren fehlerhaft. OK. Alles funzt, bis auf diese PING Geschichte. Wenn ich vom Lancom den Tunnel aufbaue kann ich nach dem erfolgreichen Aufbau nicht pingen ???
lg,
sven
ich habe den Fehler gefunden. Die NAT Einstellungen des Draytek waren fehlerhaft. OK. Alles funzt, bis auf diese PING Geschichte. Wenn ich vom Lancom den Tunnel aufbaue kann ich nach dem erfolgreichen Aufbau nicht pingen ???
lg,
sven
Hi guybrush
Gruß
Backslash
dann ist es ja gut...ich habe den Fehler gefunden. Die NAT Einstellungen des Draytek waren fehlerhaft. OK
das ist erstaunlich, da das LANCOM ja ein Paket (z.B. ein ping) braucht um den Tunnel überhaupt aufzubauen. Mach mal einen VPN-Packet-Trace um zu sehen ob das LANCOM das Problem hat oder der Draytek (aber bitte nur dann, wenn nichts sonstiges über die Strecke läuft - sonst sieht man den Wald vor lauter Bäumen nicht). Wenn im Trace steht, daß das LANCOM das Paket verschlüsselt und verschickt hat, dann aber keine Antwort bekommt, dann hat der Draytek ein Problem und du mußt dort weiterschauen. Kommt die Antwort, dann muß im LANCOM weitergesucht werden...OK. Alles funzt, bis auf diese PING Geschichte. Wenn ich vom Lancom den Tunnel aufbaue kann ich nach dem erfolgreichen Aufbau nicht pingen ???
Gruß
Backslash
hat mir sehr geholfen 
es klappt - ich kann pingen - und ich nehme auch alles über den lancom (bis auf die karteireiter) zurück - die logging möglichkeiten sind sehr gut dank trace!hi guybrush,
habe hier aehnliches Problem:
draytek 2600 vs. lancom 1821
entsprechend der Anleitung konfiguriert und nix tut.
allerdings liegt das Prob schon bei der dyn Namensaufloesung und einer Nichterreichbarkeit bei ping. kannst du die dirty tricks bzgl. nat beim draytek mal kurz darstellen?
merci...
habe hier aehnliches Problem:
draytek 2600 vs. lancom 1821
entsprechend der Anleitung konfiguriert und nix tut.
allerdings liegt das Prob schon bei der dyn Namensaufloesung und einer Nichterreichbarkeit bei ping. kannst du die dirty tricks bzgl. nat beim draytek mal kurz darstellen?
merci...
--
Lancom: 1x 1781 VAW ALL-IP + VPN25 + Public Spot, 1 x 1781 AW All-IP, 1x 1821+, 1 x L54 AG
Frotzbix: 1 x 7530, 1 x 7412 (Modem)
Technicolor: DGA4132 (SVDSL Modem)
<°)))))><
Lancom: 1x 1781 VAW ALL-IP + VPN25 + Public Spot, 1 x 1781 AW All-IP, 1x 1821+, 1 x L54 AG
Frotzbix: 1 x 7530, 1 x 7412 (Modem)
Technicolor: DGA4132 (SVDSL Modem)
<°)))))><