Kein Zugang per VPN möglich

snachtsheim · Beitrag von **snachtsheim** » 06 Sep 2006, 21:19

Hallo,
ich habe eine VPN-Zugang mit LANconfig erstellt (nach Advanced-VPN-Client-Installation-Guide).
Versuche ich mit dem Advanced VPN Client die Verbindung herzustellen erhalte ich dort folgende Fehlermeldung (Auszug aus dem Log):

Code: Alles auswählen

06.09.2006 21:16:01  IPSDIALCHAN::start building connection
06.09.2006 21:16:01  IPSDIAL::DNSREQ: resolving dnserver over lan: ***** .dyndns.org
06.09.2006 21:16:01  IPSDIAL->DNSREQ: resolved ipadr: 084.169.034.018
06.09.2006 21:16:01  NCPIKE-phase1:name(***** GmbH DE) - outgoing connect request - aggressive mode.
06.09.2006 21:16:01  XMIT_MSG1_AGGRESSIVE - ***** GmbH DE
06.09.2006 21:16:31  NCPIKE-phase1:name(***** GmbH DE) - error - retry timeout - max retries
06.09.2006 21:16:31  IPSDIAL  - disconnected from ***** GmbH DE on channel 1.

Der Router gibt folgendes aus (trace + vpn)

Code: Alles auswählen

[VPN-Status] 2006/09/06 20:38:54,330
IKE info: Phase-1 negotiation failed: no configuration found for incoming peer 134.93.60.234

[VPN-Status] 2006/09/06 20:38:59,540
IKE info: Phase-1 negotiation failed: no configuration found for incoming peer 134.93.60.234

[VPN-Status] 2006/09/06 20:39:06,550
IKE info: Phase-1 negotiation failed: no configuration found for incoming peer 134.93.60.234

[VPN-Status] 2006/09/06 20:39:14,560
IKE info: Phase-1 negotiation failed: no configuration found for incoming peer 134.93.60.234

[VPN-Status] 2006/09/06 20:39:23,570
IKE log: 203923 Default message_recv: invalid message id

[VPN-Status] 2006/09/06 20:39:23,570
IKE log: 203923 Default dropped message from 134.93.60.234 port 500 due to notification type INVALID_MESSAGE_ID

[VPN-Status] 2006/09/06 20:39:23,580
IKE info: dropped message from peer unknown 134.93.60.234 port 500 due to notification type INVALID_MESSAGE_ID

Was mache ich falsch? Hoffe, jemand kann mir weiterhelfen.
Grüße,
snachtsheim

EDIT ich benutze einen 1721 VPN mit LCOS 6.14 und LANconfig 6.14

EDIT2:
"show vpn long" liefert folgendes:

> show vpn long

VPN SPD and IKE configuration:

# of connections = 1

Connection #1 192.168.2.0/255.255.255.0:0 <-> 192.168.2.100/255.255.255.25 5:0 any

Name: TEST
Unique Id: ipsec-0-TEST-pr0-l0-r0
Flags: aggressive-mode
Local Network: IPV4_ADDR_SUBNET(any:0, 192.168.2.0/255.255.255.0)
Local Gateway: IPV4_ADDR(any:0, 84.***.**.18)
Remote Gateway: IPV4_ADDR(any:0, 0.0.0.0)
Remote Network: IPV4_ADDR(any:0, 192.168.2.100/255.255.255.255)
IKE Proposal List: isakmp-WIZ-IKE-ADVCLIENT-gr2-aggr
# of proposals = 1
IKE Proposal #1: prop-WIZ-PSK-AES-MD5-ike-gr2
IKE Encryption: AES_CBC
IKE Hash: MD5
Authentication: PRE_SHARED
IKE Group: MODP_1024
Lifetime (sec, hard): 108000,0:108000
Lifetime (KB, hard): ANY
IKE Identities and Key:
Local Identity: USER_FQDN: <test@blubb.net>
Remote Identity: USER_FQDN: <test@blubb.net>
Key: *
IPSec Proposal List: ipsec-WIZ-IPS-ADVCLIENT-gr2
# of proposals = 1
IPSec Proposal #1: IPSEC_ESP AES(128,128:256) HMAC_MD5
Encapsulation Mode: TUNNEL
PFS Group: MODP_1024
Lifetime (sec, hard): 2000,0:2000
Lifetime (KB, hard): 200000,0:200000

backslash · Beitrag von **backslash** » 07 Sep 2006, 11:36

Hi snachtsheim,

[VPN-Status] 2006/09/06 20:38:54,330
IKE info: Phase-1 negotiation failed: no configuration found for incoming peer 134.93.60.234

das deutet auf eine unbekannte Identität hin...

IKE Identities and Key:
Local Identity: USER_FQDN: <test@blubb.net>
Remote Identity: USER_FQDN: <test@blubb.net>

die lokale Identität ist hier schonmal überflüssig (sie schadet in diesem Szenario aber auch nicht).

Stimmt den die remote Identität mit dem überein, was du im Client eingetragen hast? Stimmt auch der Typ ("USER_FQDN" im LANCOM entspricht "Fully Qualified Username" im Client)?

Gruß
Backslash

snachtsheim · Beitrag von **snachtsheim** » 07 Sep 2006, 16:12

ja, im client habe ich ebenfalls "test@blubb.net" eingetragen.
Kann es sein, dass er irgendeine Regel für die IP 134.93.60.234 erwartet?

Grüße,
Stephan

EDIT:

habe es jetzt mal mit Zertifikaten probiert. Da bleibt er auch in phase 1 hängen. Dann ab ich statt den lancom VPN-Client zu nutzen mal testweise mein WinXP mit IPSEC wie in der FAQ hier beschrieben konfiguriert um eine VPN-Verbindung aufzubauen. Auch hier bleibt er in phase 1 stecken:

root@vpnGW_de_1:/
> trace + vpn
VPN :
VPN-Status ON
VPN-Packet ON

root@vpnGW_de_1:/
>
[VPN-Status] 2006/09/08 00:59:55,130
IKE info: The remote server 134.93.60.234:500 peer def-main-peer id <no_id> supports NAT-T in mode draft
IKE info: The remote server 134.93.60.234:500 peer def-main-peer id <no_id> supports NAT-T in mode draft

[VPN-Status] 2006/09/08 00:59:55,130
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <-> local No 1 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <-> local No 2 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <-> local No 3 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <-> local No 4 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 1 hash algorithm = SHA <-> local No 5 hash algorithm = MD5
IKE info: Phase-1 remote proposal 1 for peer def-main-peer matched with local proposal 6

Ich bin mittlerweile total ratlos!

@Moderator: Wäre es vielleicht möglich, den Thread in das VPN-Forum zu verschieben? Möglicherweise sind da mehr Leute, die mir helfen können?

liebe Grüße,
Stephan