VPN zwischen LANCOM 1821 und Sonicwall

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
paschyth
Beiträge: 2
Registriert: 20 Mär 2006, 19:47

VPN zwischen LANCOM 1821 und Sonicwall

Beitrag von paschyth »

Es gab zwar schon im Februar eine Thread zum Thema, aber der hat mir nicht weitergeholfen.
Nachdem ich alles manuell konfiguriert habe, komme ich zwar soweit, dass die Proposals übereinstimmen, aber weiter geht es nicht.

Die Konfiguration im LANCOM:

Bild
Bild
Bild
Bild
Bild
Bild
Bild
Bild

So sieht der trace im LANCOM aus:

[VPN-Status] 2006/03/20 21:25:12,160
VPN: connecting to PENELL-PY (xxx.xxx.xxx.xxx)

[VPN-Status] 2006/03/20 21:25:12,160
VPN: installing ruleset for PENELL-PY (xxx.xxx.xxx.xxx)

[VPN-Status] 2006/03/20 21:25:12,190
VPN: ruleset installed for PENELL-PY (xxx.xxx.xxx.xxx)

[VPN-Status] 2006/03/20 21:25:12,190
VPN: start IKE negotiation for PENELL-PY (xxx.xxx.xxx.xxx)

[VPN-Status] 2006/03/20 21:25:12,210
VPN: rulesets installed

[VPN-Status] 2006/03/20 21:25:12,220
IKE info: Phase-1 negotiation started for peer PENELL-PY rule isakmp-peer-PENELL-PY using MAIN mode

[VPN-Status] 2006/03/20 21:25:12,290
IKE info: Phase-1 remote proposal 1 for peer PENELL-PY matched with local proposal 1

[VPN-Status] 2006/03/20 21:25:12,380
IKE info: The remote server xxx.xxx.xxx.xxx:500 peer PENELL-PY id <no_id> supports draft-ietf-ipsec-isakmp-xauth
IKE info: The remote server xxx.xxx.xxx.xxx:500 peer PENELL-PY id <no_id> negotiated rfc-3706-dead-peer-detection

[VPN-Status] 2006/03/20 21:25:12,620
IKE log: 212512 Default ipsec_get_keystate: no keystate in ISAKMP SA 00d45360

[VPN-Status] 2006/03/20 21:25:19,620
IKE info: unexpected cleartext message received from peer unknown and dropped in phase-2

[VPN-Status] 2006/03/20 21:25:19,620
IKE log: 212519 Default dropped message from xxx.xxx.xxx.xxx port 500 due to notification type INVALID_FLAGS

[VPN-Status] 2006/03/20 21:25:19,630
IKE info: dropped message from peer unknown xxx.xxx.xxx.xxx port 500 due to notification type INVALID_FLAGS

[VPN-Status] 2006/03/20 21:25:28,690
IKE info: unexpected cleartext message received from peer unknown and dropped in phase-2

[VPN-Status] 2006/03/20 21:25:28,690
IKE log: 212528 Default dropped message from xxx.xxx.xxx.xxx port 500 due to notification type INVALID_FLAGS

[VPN-Status] 2006/03/20 21:25:28,690
IKE info: dropped message from peer unknown xxx.xxx.xxx.xxx port 500 due to notification type INVALID_FLAGS

----------------------------------------------------------------------

Nach dem, was ich bisher zu "Default ipsec_get_keystate: no keystate in ISAKMP" gefunden habe, handelt es sich wohl um einen Fehler im Preshared Key. Aber den haben wir schon "mehrfach" geprüft :(

Ich hoffe, dass jemand noch einen Tip parat hat.

Gru
Thomas
Nach oben
eddia
Beiträge: 1239
Registriert: 15 Nov 2004, 09:30

Beitrag von eddia »

Hallo Thomas,

zuerst mal: Dein Routingeintrag ist schon merkwürdig. Soll das wirklich nur eine Hostroute sein?
[VPN-Status] 2006/03/20 21:25:12,620
IKE log: 212512 Default ipsec_get_keystate: no keystate in ISAKMP SA 00d45360

[VPN-Status] 2006/03/20 21:25:19,620
IKE info: unexpected cleartext message received from peer unknown and dropped in phase-2
Hier steht, dass der Lancom ein verschlüsseltes Paket erwartete, aber die Gegenstelle aus irgendwelchen Gründen dies unverschlüsselt versendet hat (Was in Phase-2 schon merkwürdig ist). Ich würde den Fehler bei Deiner Gegenstelle suchen.

Gruß

Mario
Nach oben
paschyth
Beiträge: 2
Registriert: 20 Mär 2006, 19:47

Beitrag von paschyth »

Zunächt einmal Danke für deine Nachricht Mario.

Also der Routing-Eintrag ist ganz bewusst so gewählt, da wir noch einen zweiten Kunden haben, der ausgerechnet den gleichen Bereich benutzt. Natürlich könnte ich die Adressen im LANCOM umsetzen lassen, aber da wir nur auf den Server müssen und dieser zum Glück eine andere Adresse hat, wurde die Route bewusst nur auf den jeweiligen Server gesetzt.

Ich habe den Verantwortlichen auf der Gegenseite schon gebeten, mir zu allen Konfigurationsseiten unserer verbindung auf der SonicWALL Hardcopies zuzuschicken. Allerdings werde ich die wohl erst am Donnerstag abend oder Freitag sehen, da ich erstmal zwei Tage geschäftlich in .AT bin.

Dann müssen wir mal weiterschaun. Jemand anderes hat ja auch schon eine Verbindung zwischen LANCOM und 'ner SonicWALL hinbekommen, also nehme ich langsam auch an, dass auf der Gegenseite ein Fehler steckt.

Gruß
Thomas
Nach oben
Antworten

Zurück zu „Fragen zum Thema VPN“