VPN-Fehler: IKE Gruppen stimmen nicht überein

mfochti · Beitrag von **mfochti** » 18 Apr 2005, 08:54

Hallo zusammen,

hab mit meinem DSL/I-1611 (Firmware 4.12) eine VPN-Verbindung zu einer BenHur.
Die Verbindung steht auch einwandfrei.
Mich stört nur, dass folgender Fehler im LanMonitor angezeigt wird:
IKE Gruppen stimmen nicht überein (Responder, IKE) [0x2204]

In der Verbindungsliste ist der IKE-Exchange auf Main Mode gestellt
und IKE-CFG auf AUS.

Wie kann ich diesen Fehler abstellen?

Danke,
Marcus

backslash · Beitrag von **backslash** » 18 Apr 2005, 17:40

Hi mfochti,

also wenn diese Meldung kommt, dann wage ich zu bezweifeln, daß die Verbindung besteht. Denn wenn die IKE-Gruppen nicht stimmen, dann können überhaupt keine Schlüssel ermittelt werden.

Schau mal auf beiden Seiten nach welche IKE-Gruppe eingestellt ist. Beim LANCOM richtet der Wizzard Gruppe 2 ein ein (was i.A. mit 1024 Bit Schlüssellänge auch ausreichend ist). Ein VPN-Status-Trace kann da auch recht hilfreich sein, da dieser ausgibt, welche Grupppe auf der Gegensteite konfiguriert ist

Gruß
Backslash

mfochti · Beitrag von **mfochti** » 19 Apr 2005, 11:02

VPN-Status bringt folgendes Ergebnis:

[VPN-Status] 2005/04/19 10:37:49,000
VpnIpm: info; phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_C
BC <-> local No 1 encryption algorithm = BLOWFISH_CBC
VpnIpm: info; phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_C
BC <-> local No 2 encryption algorithm = BLOWFISH_CBC
VpnIpm: info; phase-1 proposal failed: remote No 1 group = 5 <-> local No 3 grou
p = 2
VpnIpm: info; phase-1 proposal failed: remote No 1 hash algorithm = MD5 <-> loca
l No 4 hash algorithm = SHA
VpnIpm: info; phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_C
BC <-> local No 5 encryption algorithm = CAST_CBC
VpnIpm: info; phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_C
BC <-> local No 6 encryption algorithm = CAST_CBC
VpnIpm: info; Phase-1 remote proposal 1 failed for peer VPN-NABERN
VpnIpm: info; phase-1 proposal failed: remote No 2 encryption algorithm = 3DES_C
BC <-> local No 1 encryption algorithm = BLOWFISH_CBC
VpnIpm: info; phase-1 proposal failed: remote No 2 encryption algorithm = 3DES_C
BC <-> local No 2 encryption algorithm = BLOWFISH_CBC
VpnIpm: info; Phase-1 remote proposal 2 for peer VPN-NABERN matched with local p
roposal 3

[VPN-Status] 2005/04/19 10:37:49,320
VPN: Error: IKE-R-IKE-group-mismatch (0x2204) for VPN-NABERN (62.225.aaa.bbb)

[VPN-Status] 2005/04/19 10:37:50,020
VpnIpm: info; Phase-1 [responder] for peer VPN-NABERN between initiator id 62.2
25.aaa.bbb, responder id 217.91.xxx.yyy done
VpnIpm: info; SA ISAKMP for peer VPN-NABERN encryption 3des-cbc authentication m
d5
VpnIpm: info; life time ( 3600 sec/ 0 kb)

Aber wie gesagt, die VPN-Verbindung wird trotzdem aufgebaut.

backslash · Beitrag von **backslash** » 19 Apr 2005, 17:55

Hi mfochti

der Grund für die Fehlermeldung ist hier:

VpnIpm: info; phase-1 proposal failed: remote No 1 group = 5 <-> local No 3 group = 2

daß es danach dann doch funktioniert liegt daran, daß der BenHur im zweiten Proposal doch die Gruppe 2 anbietet. Es gibt für dich nun zwei Möglichkeiten die Meldung los zu werden:

1. Stelle im LANCOM für diese Verbindung die IKE-Gruppe von 2 auf 5 um
2. Entferne im BenHur das erste Proposal, daß die Gurppe 5 fordert

Gruß
Backslash

mfochti · Beitrag von **mfochti** » 20 Apr 2005, 08:20

Hallo Backslash,

vielen Dank für den Hinweis - genau das war die Ursache

Hab die Default IKE-Gruppe auf 5 gestellt, der Fehler tritt nun
nicht mehr auf.

Vielen Dank
Grüße,
Marcus