7111 VPN und AVC: Fehler Phase 2: NO_PROPOSAL_CHOSEN

jaX* · Beitrag von jaX* » 08 Apr 2010, 15:53

hallo zusammen,

ich bin neu und habe leider auch kein sehr tiefen kenntnisse zum thema routing, vpn und dem ganzen zeug. also schon mal eine pauschale entschuldigung für dumme fragen.

zu meinem problem:

ich möchte mit dem Lancom Advanced VPN Client eine VPN Verbindung zu einem Lancom 7111 VPN (7.60.0160) aufbauen. Leider scheitert der Verbindungsaufbau in Phase 2. Hier der wohl entscheidene Auszug aus dem Log aus dem Trace:

Code: Alles auswählen

[VPN-Status] 2010/04/08 15:28:28,900
IKE info: Phase-2 failed for peer VMC: no rule matches the phase-2 ids  xx.xx.xx.xx <->  0.0.0.0/0.0.0.0
IKE log: 152828.000000 Default message_negotiate_sa: no compatible proposal found
IKE log: 152828.000000 Default dropped message from xx.xx.xx.xx port -8098 due to notification type NO_PROPOSAL_CHOSEN
IKE info: dropped message from peer VMC xx.xx.xx.xx port -8098 due to notification type NO_PROPOSAL_CHOSEN

[VPN-Status] 2010/04/08 15:28:23,910
VPN: Error: IPSEC-R-No-rule-matched-IDs (0x3201) for VMC (xx.xx.xx.xx)

Ich habe bereits mehrfach die IPSec Einstellungen auf Router und Client verglichen, kann aber nichts feststellen.

Weiß jemand was ich falsch konfiguriert haben könnte?

Danke für jede Hilfe!
jaX*

jaX* · Beitrag von jaX* » 21 Apr 2010, 09:12

niemand eine Idee?

ft2002 · Beitrag von **ft2002** » 22 Apr 2010, 23:26

Sei nicht sauer,
sieht aber so aus, als wenn Du es nicht mal versucht hast mit dem Config-Manager einzurichten.

Versuchen wir es mal ganz von vorn.

Wie hast Du den den Client im Router eingerichtet und mit welchen Hilfsmitteln

Wenn die den CM nimmst und einfach Durchklickst hast Du schon mal 99% erledigt und wenn Du zum schluß die erzeugte *.ini Datei in den Client einspielst sollte es eigendlich funktionieren.

Welchen Client hast Du eigendlich ?

siehe auch mal hier:
http://www2.lancom.de/kb.nsf/1275/20788 ... enDocument

Dr.Einstein · Beitrag von **Dr.Einstein** » 23 Apr 2010, 10:31

Der Fehler in dem Trace besagt, dass die Netzbeziehung zwischen dem Advanced Client und deinem VPN-Router nicht übereinstimmen.

Bei dem Assistenten wirst du gefragt, welche Netze miteinander dürfen.
Dort ist standartmäßig "alle IP-Adressen für den VPN-Client erlauben" eingetragen. Ich gehe davon aus, dass du den Wert verändert hast. Lass die Standarteinstellung drin.

Solltest du dies nicht machen, musst du die VPN Netze im Client anschauen sowie in den Firewalleinstellung die Regeln zur VPN Erzeugung für den Client überprüfen.

jaX* · Beitrag von jaX* » 23 Apr 2010, 15:28

Hallo,

danke für eure Antworten. Ich hatte die Einstellungen bewusst nicht mit dem Assistenten erstellt, um selber die Konfiguration und vor allem die Namen der Verbindungen usw. angeben zu können.

Da das ja jetzt nicht geklappt hat habe ich doch eine Verbindung mit dem Assistenten erstellt und anschließend die Sicherheit überprüft und die Bezeichnungen angepasst. Die Einwahl mit den von der INI importierten Einstellungen funktioniert.

Ist es normal, dass keine aktive Firewallregel vom Assistenten generiert wird? Ich konnte erst auf das interne Netz zugreifen, nachdem ich eine Firewallregel erstellt hatte und entsprechende Protokolle geöffnet hatte.

Gruß

cambies · Beitrag von **cambies** » 31 Mai 2010, 14:31

Ja, das ist normal und richtig. Den die Firewallregel, die der Assistent erzeugt, definiert Deine Netzwerkbeziehungen, von der Einstein sprach.
Wahrscheinlich hast Du bei deinem ersten Versuch genau so eine Firewallregel für die VPN-Gegenstelle nicht eingerichtet.

Gruß