Lancom R800+ VPN zu IPCop

realdave · Beitrag von **realdave** » 24 Sep 2006, 19:37

Hallo,

ich sitze seit Stunden daran, eine IPCop Distribution mit einem Lancom R800+ per Net2Net VPN zu verbinden. Beide Gegenstellen haben einen dynamische DNS Eintrag, der auch aktuell ist.

Folgendes habe ich im Lancom Log stehen:

Code: Alles auswählen

A new configuration is being uploaded ...

Configuration has been uploaded successfully
[VPN-Status] 2006/09/24 19:26:52,660
VPN: installing ruleset generally

[VPN-Status] 2006/09/24 19:26:52,710
VPN: rulesets installed

[VPN-Status] 2006/09/24 19:27:06,220
IKE info: The remote server 84.141.28.101:500 peer xxxxxx id <no_id> supports NAT-T in mode rfc
IKE info: The remote server 84.141.28.101:500 peer xxxxxx id <no_id> supports NAT-T in mode rfc
IKE info: The remote server 84.141.28.101:500 peer xxxxxx id <no_id> supports NAT-T in mode rfc
IKE info: The remote server 84.141.28.101:500 peer xxxxxx id <no_id> supports NAT-T in mode rfc
IKE info: The remote server 84.141.28.101:500 peer xxxxxx id <no_id> negotiated rfc-3706-dead-peer-detection


[VPN-Status] 2006/09/24 19:27:06,230
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = AES_CBC <-> local No 1 encryption algorithm = 3DES_CBC
IKE info: Phase-1 remote proposal 1 for peer xxxxxx matched with local proposal 2


[VPN-Status] 2006/09/24 19:27:06,440
IKE info: unexpected cleartext message received from peer xxxxxx and dropped in phase-1


[VPN-Status] 2006/09/24 19:27:06,440
IKE log: 192706 Default dropped message from xxx.xxx.xxx.xxx port 500 due to notification type INVALID_FLAGS


[VPN-Status] 2006/09/24 19:27:06,440
IKE info: dropped message from peer unknown xxx.xxx.xxx.xxx port 500 due to notification type INVALID_FLAGS

Das ganze geht dann immer so weiter. Habe weder hier im Forum noch in anderen, noch bei google eine Lösung für mein Problem gefunden.
Habt ihr eventuell noch eine Idee?

Danke für eure Hilfe,
realdave

ittk · Beitrag von **ittk** » 24 Sep 2006, 20:02

IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = AES_CBC <-> local No 1 encryption algorithm = 3DES_CBC

Bist du sicher, dass die Phase-1 absolviert wird. Welche ISKAMP-Proposals sind bei dir auf beiden Seiten definiert?

Diese sollten zumindest nach mehrmaligen Versuchen "einen gemeinsam unterstützten" enthalten.

z.b. Phase-1

AES-128bit -CBC - Hash: MD5 Lieftime 43.200 sec.

realdave · Beitrag von **realdave** » 25 Sep 2006, 10:08

Moin,

das tun sie doch, eine Zeile nach der von dir genannten:

Code: Alles auswählen

IKE info: Phase-1 remote proposal 1 for peer xxxxxx matched with local proposal 2

Oder täusche ich mich?

ittk · Beitrag von **ittk** » 25 Sep 2006, 11:01

Nutzen beide denselben Schlüsselaustauschmechanismus?

MAIN-Mode oder Aggressive-Mode, da ein "unerwartetes" unverschlüsseltes Paket von IPCop empfangen wird.

realdave · Beitrag von **realdave** » 25 Sep 2006, 11:21

Den selben Schlüsselaustauschmechanismus nutzen beide, sonst hätten sie sich ja nicht geeinigt, oder?

Es nutzen beide den Mainmode. Kein Agressive.

eagle1900 · Beitrag von **eagle1900** » 16 Nov 2006, 09:29

Hallo,

gibt es in der Zwischenzeit vielleicht eine Lösung für das Problem, ich versuche das nämlich auch zum laufen zu bekommen, leider erfolglos. Danke für die Infos,

viele Grüße