Lancom 1611+ VPN Verbindungsaufbau scheitert

Slacky · Beitrag von **Slacky** » 06 Apr 2009, 17:22

Hallo miteinander

ich habe einen LANCOM 1611+ hier stehen der eine VPN Verbindung aufbauen soll zu einem Remotenetzwerk. So wie es aussieht geht die Phase 1 auch glatt über die Bühne, allerdnigs bekomme ich dann einen Timeout. Das Tracelog ist sehr missverständlich, das letzte was geloggt wird ist ein Packetaustausch der erfolgreich ist, danach kommt nur ein Timeout.

Kennt jemand das Problem?

Code: Alles auswählen

[VPN-Status] 2009/04/06 16:58:33,320
VPN: connecting to BLUBB (x.x.x.x)

[VPN-Status] 2009/04/06 16:58:33,320
VPN: installing ruleset for BLUBB (x.x.x.x)

[VPN-Status] 2009/04/06 16:58:33,350
VPN: ruleset installed for BLUBB (x.x.x.x)

[VPN-Status] 2009/04/06 16:58:33,350
VPN: start IKE negotiation for BLUBB (x.x.x.x)

[VPN-Status] 2009/04/06 16:58:33,370
VPN: rulesets installed

[VPN-Status] 2009/04/06 16:58:33,370
IKE info: Phase-1 negotiation started for peer BLUBB rule isakmp-peer-BLUBB using MAIN mode


[VPN-Status] 2009/04/06 16:58:33,460
IKE info: The remote server x.x.x.x:500 peer BLUBB id <no_id> negotiated rfc-3706-dead-peer-detection


[VPN-Status] 2009/04/06 16:58:33,460
IKE info: Phase-1 remote proposal 1 for peer BLUBB matched with local proposal 1


[VPN-Status] 2009/04/06 16:58:34,120
IKE info: Phase-1 [inititiator] for peer BLUBB between initiator id local-id, responder id remote-id done
IKE info: SA ISAKMP for peer BLUBB encryption aes-cbc authentication sha1
IKE info: life time ( 28800 sec/ 0 kb)


[VPN-Status] 2009/04/06 16:58:34,120
IKE info: Phase-1 SA Rekeying Timeout (Soft-Event) for peer BLUBB set to 23040 seconds (Initiator)


[VPN-Status] 2009/04/06 16:58:34,120
IKE info: Phase-1 SA Timeout (Hard-Event) for peer BLUBB set to 28800 seconds (Initiator)


[VPN-Status] 2009/04/06 16:58:41,130
IKE info: ISAKMP_NOTIFY_DPD_R_U_THERE sent for Phase-1 SA to peer BLUBB, sequence nr 0x62548e2b


[VPN-Status] 2009/04/06 16:58:41,220
IKE info: NOTIFY received of type ISAKMP_NOTIFY_DPD_R_U_THERE_ACK for peer BLUBB Seq-Nr 0x62548e2b, expected 0x62548e2b


[VPN-Status] 2009/04/06 16:59:03,370
VPN: connection for BLUBB (x.x.x.x) timed out: no response

[VPN-Status] 2009/04/06 16:59:03,370
VPN: Error: IFC-I-Connection-timeout-IKE-IPSEC (0x1106) for BLUBB (x.x.x.x)

[VPN-Status] 2009/04/06 16:59:03,370
VPN: disconnecting BLUBB (x.x.x.x)

[VPN-Status] 2009/04/06 16:59:03,370
VPN: Error: IFC-I-Connection-timeout-IKE-IPSEC (0x1106) for BLUBB (x.x.x.x)

[VPN-Status] 2009/04/06 16:59:03,390
IKE info: Delete Notificaton sent for Phase-1 SA to peer BLUBB


[VPN-Status] 2009/04/06 16:59:03,390
IKE info: Phase-1 SA removed: peer BLUBB rule BLUBB removed


[VPN-Status] 2009/04/06 16:59:03,410
VPN: BLUBB (x.x.x.x) disconnected

[VPN-Status] 2009/04/06 16:59:03,410
VPN: Disconnect info: remote-disconnected (0x4301) for BLUBB (x.x.x.x)

[VPN-Status] 2009/04/06 16:59:03,430
VPN: selecting next remote gateway using strategy eFirst for BLUBB
     => no remote gateway selected

[VPN-Status] 2009/04/06 16:59:03,430
VPN: selecting first remote gateway using strategy eFirst for BLUBB
     => CurrIdx=0, IpStr=>some.ip.net<, IpAddr=x.x.x.x, IpTtl=3600s

[VPN-Status] 2009/04/06 16:59:03,430
VPN: installing ruleset for BLUBB (x.x.x.x)

[VPN-Status] 2009/04/06 16:59:03,430
VPN: BLUBB (x.x.x.x) disconnected

[VPN-Status] 2009/04/06 16:59:03,440
VPN: rulesets installed

backslash · Beitrag von **backslash** » 06 Apr 2009, 18:28

Hi Slacky

was sagt denn ein show vpn - sprich wird die Regel für die Gegenstelle korrekt angelegt? Hat die Gegenseite auch eine Trace-Möglichkeit?

Das Tracelog ist sehr missverständlich, das letzte was geloggt wird ist ein Packetaustausch der erfolgreich ist, danach kommt nur ein Timeout.

nun ja, der Paketaustausch ist das DPD-Polling, das nur eine Phase 1 SA benötigt und daher funktioniert. Der Timeout kommt, weil aus irgend einem Grund keine Phase 2 SA ausgehandelt wird.

Gruß
Backslash

Slacky · Beitrag von **Slacky** » 07 Apr 2009, 09:03

Hi backlash

anbei das show vpn output

Code: Alles auswählen

show vpn

VPN SPD and IKE configuration:

  # of connections = 1

  Connection #1                 xx.xx.71.41/255.255.255.255:0 <-> xx.xx.0.0/255.0.0.0:0 any

    Name:                       BLUBB
    Unique Id:                  ipsec-0-BLUBB-pr0-l0-r0
    Flags:                      main-mode
    Local  Network:             IPV4_ADDR(any:0, xx.xx.71.41/255.255.255.255)
    Local  Gateway:             IPV4_ADDR(any:0, 217.232.144.188)
    Remote Gateway:             IPV4_ADDR(any:0, yy.yy.yy.yy)
    Remote Network:             IPV4_ADDR_SUBNET(any:0, xx.xx.0.0/255.0.0.0)


root@LANCOMRouter:/

Wird meines Erachtens korrekt eingerichtet. Habe aber keine Ahnung ob da etwas fehlen könnte.

Slacky · Beitrag von **Slacky** » 07 Apr 2009, 11:08

Noch eine kleine Frage: wo kann ich, wenn ich "Regelerstellung" von automatisch nach manuell setze, die Regeln definieren? Habs in der FW versucht, mit dem Häckchen "für VPN Regeln verwenden" aber ein show vpn hat anschliessend nichts ergeben.

backslash · Beitrag von **backslash** » 07 Apr 2009, 14:21

Hi Slacky

Habs in der FW versucht, mit dem Häckchen "für VPN Regeln verwenden"

genau dort legst du die manuellen Regeln an...

aber ein show vpn hat anschliessend nichts ergeben.

Die manuellen Regeln berücksichtigen beim Ziel auch die Routing-Tabelle. Es muß also eine Route zum Ziel existieren und das Ziel in der Regel muß über die VPN-Route erreichbar sein, damit aus einer Firewall-Regel auch eine VPN-Regel wird.

Gruß
Backslash