VPN zwischen Lancom 1681V und Watchguard will nicht

[Konradius]

Hallo zusammen,

kennst sich jemand von euch mit der VPN-Einrichtung zwischen einem Lancom und einer Watchguard aus ?
Habe mit beiden zum ersten mal zu tun und bin langsam am verzweifeln.

Was mir auch etwas rätselhaft erscheint ist die Tatsache das der Traffic-Monitor der Watchguard nur Verbindungsversuche anzeigt, wenn ich ne Dynamic VPN auf dem Lancom erstelle.

Der Versuch mit der Dynamic VPN deshalb da die Watchguard eine feste IP hat und der Lancom dyndns.

Momentan versuche ich jedoch eine "normale" VPN aufzubauen.

Der Fehler aktuell laut LANMonitor lautet: Kein übereinstimmendes Prospal gefunden (Initator,IPSEC)[0x3102]


Vielen Dank schonmal

[VPN-Status] 2012/02/15 21:51:08,120 Devicetime: 2012/02/15 21:51:07,610
IKE info: Delete Notificaton sent for Phase-1 SA to peer QPERSOBREMEN

[VPN-Status] 2012/02/15 21:51:08,120 Devicetime: 2012/02/15 21:51:07,610
IKE info: Phase-1 SA removed: peer QPERSOBREMEN rule QPERSOBREMEN removed

[VPN-Status] 2012/02/15 21:51:08,120 Devicetime: 2012/02/15 21:51:07,630
VPN: QPERSOBREMEN (FESTE IP WATCHGUARD) disconnected

[VPN-Status] 2012/02/15 21:51:08,120 Devicetime: 2012/02/15 21:51:07,630
vpn-maps[21], remote: QPERSOBREMEN, idle, static-name

[VPN-Status] 2012/02/15 21:51:08,120 Devicetime: 2012/02/15 21:51:07,630
selecting first remote gateway using strategy eFirst for QPERSOBREMEN
=> CurrIdx=0, IpStr=>FESTE IP WATCHGUARD<, IpAddr=FESTE IP WATCHGUARD, IpTtl=0s

[VPN-Status] 2012/02/15 21:51:08,120 Devicetime: 2012/02/15 21:51:07,630
VPN: installing ruleset for QPERSOBREMEN (FESTE IP WATCHGUARD)

[VPN-Status] 2012/02/15 21:51:08,120 Devicetime: 2012/02/15 21:51:07,630
VPN: WAN state changed to WanIdle for QPERSOBREMEN (FESTE IP WATCHGUARD), called by: 006bcf90

[VPN-Status] 2012/02/15 21:51:08,120 Devicetime: 2012/02/15 21:51:07,630
VPN: QPERSOBREMEN (FESTE IP WATCHGUARD) disconnected

[VPN-Status] 2012/02/15 21:51:08,120 Devicetime: 2012/02/15 21:51:07,640
VPN: rulesets installed

[VPN-Status] 2012/02/15 21:51:08,915 Devicetime: 2012/02/15 21:51:08,630
VPN: WAN state changed to WanCall for QPERSOBREMEN (FESTE IP WATCHGUARD), called by: 006bcf90

[VPN-Status] 2012/02/15 21:51:08,915 Devicetime: 2012/02/15 21:51:08,630
VPN: connecting to QPERSOBREMEN (FESTE IP WATCHGUARD)

[VPN-Status] 2012/02/15 21:51:08,915 Devicetime: 2012/02/15 21:51:08,630
vpn-maps[21], remote: QPERSOBREMEN, nego, static-name, connected-by-name

[VPN-Status] 2012/02/15 21:51:08,915 Devicetime: 2012/02/15 21:51:08,630
vpn-maps[21], remote: QPERSOBREMEN, nego, static-name, connected-by-name

[VPN-Status] 2012/02/15 21:51:08,915 Devicetime: 2012/02/15 21:51:08,640
vpn-maps[21], remote: QPERSOBREMEN, nego, static-name, connected-by-name

[VPN-Status] 2012/02/15 21:51:08,915 Devicetime: 2012/02/15 21:51:08,640
VPN: start IKE negotiation for QPERSOBREMEN (FESTE IP WATCHGUARD)

[VPN-Status] 2012/02/15 21:51:08,915 Devicetime: 2012/02/15 21:51:08,640
VPN: WAN state changed to WanProtocol for QPERSOBREMEN (FESTE IP WATCHGUARD), called by: 006bcf90

[VPN-Status] 2012/02/15 21:51:08,915 Devicetime: 2012/02/15 21:51:08,640
IKE info: Phase-1 negotiation started for peer QPERSOBREMEN rule isakmp-peer-QPERSOBREMEN using AGGRESSIVE mode

[VPN-Status] 2012/02/15 21:51:09,134 Devicetime: 2012/02/15 21:51:08,760
IKE info: Phase-1 remote proposal 1 for peer QPERSOBREMEN matched with local proposal 1

[VPN-Status] 2012/02/15 21:51:09,134 Devicetime: 2012/02/15 21:51:08,800
IKE info: Phase-1 [inititiator] for peer QPERSOBREMEN between initiator id qpersoleipzig.no-ip.org, responder id FESTE IP WATCHGUARD done
IKE info: SA ISAKMP for peer QPERSOBREMEN encryption 3des-cbc authentication sha1
IKE info: life time ( 864000 sec/ 0 kb)

[VPN-Status] 2012/02/15 21:51:09,134 Devicetime: 2012/02/15 21:51:08,800
IKE info: Phase-1 SA Rekeying Timeout (Soft-Event) for peer QPERSOBREMEN set to 691200 seconds (Initiator)

[VPN-Status] 2012/02/15 21:51:09,134 Devicetime: 2012/02/15 21:51:08,800
IKE info: Phase-1 SA Timeout (Hard-Event) for peer QPERSOBREMEN set to 864000 seconds (Initiator)

[VPN-Status] 2012/02/15 21:51:09,352 Devicetime: 2012/02/15 21:51:08,880
IKE info: NOTIFY received of type NO_PROPOSAL_CHOSEN for peer QPERSOBREMEN

[VPN-Status] 2012/02/15 21:51:09,352 Devicetime: 2012/02/15 21:51:08,880
policy manager error indication: QPERSOBREMEN (FESTE IP WATCHGUARD), cause: 12546

[VPN-Status] 2012/02/15 21:51:09,352 Devicetime: 2012/02/15 21:51:08,880
VPN: Error: IPSEC-I-No-proposal-matched (0x3102) for QPERSOBREMEN (FESTE IP WATCHGUARD)


[VPN-Status] 2012/02/15 21:51:16,216 Devicetime: 2012/02/15 21:51:15,950
IKE info: NOTIFY received of type NO_PROPOSAL_CHOSEN for peer QPERSOBREMEN

[VPN-Status] 2012/02/15 21:51:16,216 Devicetime: 2012/02/15 21:51:15,950
policy manager error indication: QPERSOBREMEN (FESTE IP WATCHGUARD), cause: 12546

[VPN-Status] 2012/02/15 21:51:16,216 Devicetime: 2012/02/15 21:51:15,950
VPN: Error: IPSEC-I-No-proposal-matched (0x3102) for QPERSOBREMEN (FESTE IP WATCHGUARD)

Gruß

Konradius

[Konradius]

Die Einstellungen auf der Watchguard lauten wie folgt:

Phrase 1:
Nat Traversal: nein
IKE Keep-alive: nein
DPD: nein

Authentification: SHA1
Encryption: 3DES

Key Group: Diffle-Hellman Group1

Phrase 2:
PFS: nein
Type:ESP
Authentification: SHA1
Encryption: 3DES
Force Key Expiration: ja

[Pothos]

Hi Konradius,

das Problem hängt irgendwo in der Phase 2 siehe:

[VPN-Status] 2012/02/15 21:51:09,352 Devicetime: 2012/02/15 21:51:08,880
policy manager error indication: QPERSOBREMEN (FESTE IP WATCHGUARD), cause: 12546

[VPN-Status] 2012/02/15 21:51:09,352 Devicetime: 2012/02/15 21:51:08,880
VPN: Error: IPSEC-I-No-proposal-matched (0x3102) for QPERSOBREMEN (FESTE IP WATCHGUARD)


[VPN-Status] 2012/02/15 21:51:16,216 Devicetime: 2012/02/15 21:51:15,950
IKE info: NOTIFY received of type NO_PROPOSAL_CHOSEN for peer QPERSOBREMEN

Wenn die Watchguard den Tunnel aufbaut und du dann auf dem LANCOM einen Trace laufen lässt wird man mehr erkennen können.

Gruß

Pothos

[Konradius]

Vielen Dank Pothos für den Typ werde heute abend gleich nochmal nachschauen. Was mich allerdings noch etwas stutzig macht das im Traffic Monitor der Watchguard nur Anfragen vom Lancom auftauchen wenn ich eine Dynamic VPN einrichte ist das normal ?

[Pothos]

Hi Konradius,

beim Dynamic versucht der LANCOM seine WAN IP der Watchguard zu übermitteln. Wenn dann die Haltezeit auf 9999 steht, baut der LANCOM die ganze Zeit weiter auf. Die Haltezeit einfach auf 0 setzen. Ich persönlich würde das Ganze auch ohne Dynamic aufbauen. Sprich beide Seiten haben eine feste IP oder DynDns Namen.

Gruß

Pothos

[Konradius]

Hallo zusammen,

mittlerweile bekomme ich im Lancom den Fehler
VPN: Error: IFC-I-Connection-timeout-IKE-IPSEC (0x1106)

auf der Watchguard wird eine ICMP Anfrage auf Port 84 geblockt

was kann ich da jetzt machen ? den Port auf der Watchguard aufmachen ist nicht ohne weiteres möglich da ich momentan keinen schreibenden Zugriff drauf habe.

[Konradius]

so hab nur mittlerweile Schreibrechte für die Watchguard allerdings bin ich bezüglich der VPN noch kein bisschen weiter. Habe auch mal die Prospals auf beiden Seiten abgeändert ohne Erfolg.

Immernoch VPN: Error: IFC-I-Connection-timeout-IKE-IPSEC (0x1106)

Und den Log in der Watchguard habe ich auch noch nicht gefunden.

Lancom und Watchguard sind momentan wie anfangs erwähnt eben noch Neuland für mich.

Deshalb bin ich über jeden Tipp von euch dankbar.

Gruß

Konradius

[Konradius]

Guten Morgen Forum,

nun habe ich glaube ich den Fehler gefunden.
Habe noch folgendes angepasst und seitdem funktioniert es:

Extranet-Adresse: 0.0.0.0
Haltezeit: 0 Sekunden

Wünsche euch einen schönen Sonntag

Gruß

Konradius