VPN Verbindung: 1711 <-> Netgear FVS114

heiniheini · Beitrag von **heiniheini** » 18 Apr 2006, 22:18

hi leute!

tolles forum.. ich hab mich jetzt eine zeit lang durchgelesen und wende mich mit meiner verzweiflung an euch..

1)

ich versuche diese 2 geräte zu koppeln.. eigentlich funktioniert auch alles (phase 1, phase 2 werden ja aufgebaut)

nur leider bekomm ich andauernd PAYLOAD_MALFORMED Errors.. siehe traces

2) Kann mir wer den Unterschied zwischen dem "Kennwort" und dem "Shared Key" im Wizzard erklären?

vielen vielen dank für eure Beiträge

mit schlurchzenden grüßen
heini

Code: Alles auswählen

punktB.blabla.at =  195.110.128.113 (offizielle IP)
punktA.blabla.at =  194.133.121.176 (dynamische Ip, dns -> dyndns)


#
| LANCOM 1711 VPN
| Ver. 6.06.0012 / 27.03.2006
| SN.  049340600032
| Copyright (c) LANCOM Systems

Lancom1711_1, Connection No.: 002 (LAN)

Password:

root@Lancom1711_1:/
> trace + vpn
VPN             :
VPN-Status      ON
VPN-Packet      ON

root@Lancom1711_1:/
>
[VPN-Status] 2006/04/18 21:57:18,650
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <
-> local No 1 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <
-> local No 2 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <
-> local No 3 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <
-> local No 4 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 1 hash algorithm = SHA <-> local No
 5 hash algorithm = MD5
IKE info: Phase-1 remote proposal 1 for peer PUNKTA matched with local proposa
l 6


[VPN-Status] 2006/04/18 21:57:20,440
IKE info: Phase-1 [responder] for peer PUNKTA between initiator id PUNKTA.blabla.at, responder id punktB.blabla.at done
IKE info: SA ISAKMP for peer PUNKTA encryption 3des-cbc authentication sha1
IKE info: life time ( 28800 sec/ 0 kb)


[VPN-Status] 2006/04/18 21:57:20,450
IKE info: Phase-2 proposal failed: remote No 1, esp algorithm 3DES <-> local No
1, esp algorithm AES
IKE info: Phase-2 proposal failed: remote No 1, esp algorithm keylen 0 <-> local
 No 1, esp algorithm keylen 128,128:256
IKE info: Phase-2 proposal failed: remote No 1, esp hmac HMAC_SHA <-> local No 1
, esp hmac HMAC_MD5
IKE info: Phase-2 proposal failed: remote No 1, esp algorithm 3DES <-> local No
2, esp algorithm BLOWFISH
IKE info: Phase-2 proposal failed: remote No 1, esp algorithm keylen 0 <-> local
 No 2, esp algorithm keylen 128,128:448
IKE info: Phase-2 proposal failed: remote No 1, number of protos 1 <-> local No
3,  number of protos 2
IKE info: Phase-2 proposal failed: remote No 1, esp hmac HMAC_SHA <-> local No 4
, esp hmac HMAC_MD5
IKE info: Phase-2 remote proposal 1 for peer PUNKTA matched with local proposa
l 5


[VPN-Status] 2006/04/18 21:57:20,490
IKE info: Phase-2 [responder] done with 2 SAS for peer PUNKTA rule ipsec-0-MOE
DLING-pr0-l0-r0
IKE info: rule:' ipsec 192.168.11.0/255.255.255.0 <-> 192.168.0.0/255.255.255.0
'
IKE info: SA ESP [0xa6cabd58]  alg 3DES keylength 192 +hmac HMAC_SHA outgoing
IKE info: SA ESP [0x74919247]  alg 3DES keylength 192 +hmac HMAC_SHA incoming
IKE info: life soft( 77760 sec/0 kb) hard (86400 sec/0 kb)
IKE info: tunnel between src: 195.110.128.113 dst: 194.133.121.176


[VPN-Status] 2006/04/18 21:57:20,490
VPN: wait for IKE negotiation from PUNKTA (194.133.121.176)

[VPN-Status] 2006/04/18 21:57:21,520
VPN: PUNKTA (194.133.121.176) connected

[VPN-Status] 2006/04/18 21:57:22,420
VPN: starting external DNS resolution for PUNKTA
     IpStr=>punktA.blabla.at<, IpAddr(old)=194.133.121.176, IpTtl(old)=60s

[VPN-Status] 2006/04/18 21:57:22,470
VPN: external DNS resolution for PUNKTA
     IpStr=>punktA.blabla.at<, IpAddr(old)=194.133.121.176, IpTtl(old)=60s
     IpStr=>punktA.blabla.at<, IpAddr(new)=194.133.121.176, IpTtl(new)=60s

[VPN-Status] 2006/04/18 21:57:25,230
IKE log: 215725 Default message_parse_payloads: reserved field non-zero: 73


[VPN-Status] 2006/04/18 21:57:25,230
IKE log: 215725 Default dropped message from 194.133.121.176 port 500 due to not
ification type PAYLOAD_MALFORMED


[VPN-Status] 2006/04/18 21:57:25,230
IKE info: dropped message from peer PUNKTA 194.133.121.176 port 500 due to not
ification type PAYLOAD_MALFORMED


[VPN-Status] 2006/04/18 21:57:30,230
IKE log: 215730 Default message_parse_payloads: reserved field non-zero: 73


[VPN-Status] 2006/04/18 21:57:30,240
IKE log: 215730 Default dropped message from 194.133.121.176 port 500 due to not
ification type PAYLOAD_MALFORMED


[VPN-Status] 2006/04/18 21:57:30,240
IKE info: dropped message from peer PUNKTA 194.133.121.176 port 500 due to not
ification type PAYLOAD_MALFORMED


[VPN-Status] 2006/04/18 21:57:35,230
IKE log: 215735 Default message_parse_payloads: reserved field non-zero: 73


[VPN-Status] 2006/04/18 21:57:35,230
IKE log: 215735 Default dropped message from 194.133.121.176 port 500 due to not
ification type PAYLOAD_MALFORMED


[VPN-Status] 2006/04/18 21:57:35,230
IKE info: dropped message from peer PUNKTA 194.133.121.176 port 500 due to not
ification type PAYLOAD_MALFORMED


[VPN-Status] 2006/04/18 21:58:23,470
VPN: starting external DNS resolution for PUNKTA
     IpStr=>punktA.blabla.at<, IpAddr(old)=194.133.121.176, IpTtl(old)=60s

[VPN-Status] 2006/04/18 21:58:23,520
VPN: external DNS resolution for PUNKTA
     IpStr=>punktA.blabla.at<, IpAddr(old)=194.133.121.176, IpTtl(old)=60s
     IpStr=>punktA.blabla.at<, IpAddr(new)=194.133.121.176, IpTtl(new)=60s

[VPN-Status] 2006/04/18 21:59:24,520
VPN: starting external DNS resolution for PUNKTA
     IpStr=>punktA.blabla.at<, IpAddr(old)=194.133.121.176, IpTtl(old)=60s

[VPN-Status] 2006/04/18 21:59:24,640
VPN: external DNS resolution for PUNKTA
     IpStr=>punktA.blabla.at<, IpAddr(old)=194.133.121.176, IpTtl(old)=60s
     IpStr=>punktA.blabla.at<, IpAddr(new)=194.133.121.176, IpTtl(new)=60s

[VPN-Status] 2006/04/18 22:00:25,640
VPN: starting external DNS resolution for PUNKTA
     IpStr=>punktA.blabla.at<, IpAddr(old)=194.133.121.176, IpTtl(old)=60s

[VPN-Status] 2006/04/18 22:00:25,760
VPN: external DNS resolution for PUNKTA
     IpStr=>punktA.blabla.at<, IpAddr(old)=194.133.121.176, IpTtl(old)=60s
     IpStr=>punktA.blabla.at<, IpAddr(new)=194.133.121.176, IpTtl(new)=60s


A new configuration is being uploaded ...

Configuration has been uploaded successfully
[VPN-Status] 2006/04/18 22:00:46,680
VPN: installing ruleset generally

[VPN-Status] 2006/04/18 22:00:46,740
VPN: rulesets installed


Verbindung zu Host verloren.

C:\Dokumente und Einstellungen\Heini>




NETGEAR FVS114



[2006-04-18 11:57:08][==== IKE PHASE 1(to 195.110.128.113) START (initiator) ====]
[2006-04-18 11:57:08]**** SENT OUT  FIRST MESSAGE OF AGGR MODE **** 
[2006-04-18 11:57:08]<POLICY: PUNKTB> PAYLOADS: SA,PROP,TRANS,KE,NONCE,ID
[2006-04-18 11:57:08]**** RECEIVED SECOND MESSAGE OF AGGR MODE **** 
[2006-04-18 11:57:08]<POLICY: PUNKTB> PAYLOADS: SA,PROP,TRANS,KE,NONCE,ID,HASH,VID
[2006-04-18 11:57:08]<LocalRID> Type=ID_FQDN,ID Data=punktB.blabla.at 
[2006-04-18 11:57:08]<RemoteLID> Type=ID_FQDN,ID Data=punktB.blabla.at 
[2006-04-18 11:57:08]**** AGGRESSIVE MODE COMPLETED **** 
[2006-04-18 11:57:08][==== IKE PHASE 1 ESTABLISHED====]
[2006-04-18 11:57:08][==== IKE PHASE 2(to 195.110.128.113) START (initiator) ====]
[2006-04-18 11:57:08]**** SENT OUT  FIRST MESSAGE OF QUICK MODE **** 
[2006-04-18 11:57:08]<Initiator IPADDR=192.168.0.0,PORT=0>
[2006-04-18 11:57:08]<Responder IPADDR=192.168.11.0,PORT=0>
[2006-04-18 11:57:08]**** RECEIVED SECOND MESSAGE OF QUICK MODE **** 
[2006-04-18 11:57:08]<POLICY: PUNKTB> PAYLOADS: HASH,SA,PROP,TRANS,NONCE,ID,ID
[2006-04-18 11:57:08]**** SENT OUT  THIRD MESSAGE OF QUICK MODE **** 
[2006-04-18 11:57:08]**** QUICK MODE COMPLETED **** 
[2006-04-18 11:57:08][==== IKE PHASE 2 ESTABLISHED====]
[2006-04-18 11:57:13]**** RECEIVED IKE NOTIFY PAYLOAD(PAYLOAD_MALFORMED) ****
[2006-04-18 11:57:18]**** RECEIVED IKE NOTIFY PAYLOAD(PAYLOAD_MALFORMED) ****
[2006-04-18 11:57:23]**** RECEIVED IKE NOTIFY PAYLOAD(PAYLOAD_MALFORMED) ****

heiniheini · Beitrag von **heiniheini** » 18 Apr 2006, 23:30

ich verstehs einfach nicht:

payload malformed... ok... alles soweit klar.. --> shared secret checken --> ok

aber angenommen es wäre falsch...

wieso komm ich dann durch phase 1 bzw. 2 ?

hiiiilllllllllllfeeeeeeeeeeeeee

trop · Beitrag von **trop** » 24 Apr 2006, 22:44

zu dem protokoll kann ich nichts sagen aber vieleicht zu punkt 2 der erste eintrag ist wohl erst mal zum bekannt machen das du überhaupt das gerät ansprechen darfst (tach ich bin heinz ) wenn die gegenstelle dann der meinung ist das das sein könnte beginnen die verhandlungen für den tunnel und erst dann kommt der shared secret zum einsatz dat ist dann für die eigentliche verschlüsslung zuständig so weit ich das aber vom fsv318 kenne gibt es keine vorabverhandlung ers sei den das das die local oder remot ipsec indefer sein soll aber dann müsste ja dort deine eigene ip oder dns adresse eingetragen werden Ach ja bin heute unter lancom auf eine doku für verbindung fsv318 und lancomxy gestossen vieleicht da mal reinschaun irgend wo unter support knuddelbase im moment scheinbar offline sonst hätte ich den link komplett reingestellt
http://www.mylancom.de/Support_KnowledgeBase.63.0.html
...Die Seite kann nicht angezeigt werden

trop · Beitrag von **trop** » 24 Apr 2006, 22:56

hier der link vieleicht hilfts ja
http://www2.lancom.de/kb.nsf/a5ddf48173 ... vpn,German