VPN zu Lancom1781VA 4G mit Advanced Client funktioniertnicht

[MariusP]

Hi,
Und du bekommst dennoch im Trace nichts angezeigt auch wenn Pakete zwischen den Geräten hin und herlaufen?
Teste bitte dazu auch mal den VPN-IKE Trace. Es würde mich doch sehr wundern warum du auch dann nichts sehen solltest.
Gruß

[hightower998]

Wie mach ich das? Trace vpn-ike?

Habe auch mal trace vpn gemacht da kommen 3 Einträge ich glaube es war vpn ike,vpn Status,vpn Pakete. Die sind alle auf off außer teste mit dem Client die Verbindung dann ist der vpn-Status ne Zeitlang on!

[MariusP]

Hi,
Wenn du "tr" eingibst siehst du alle Trace und welche an oder aus sind.
Der Paket trace bietet dir eine Anzeige ob VPN pakete eingehen daher interessant ob Pakete ankommen.
Der IKE trace bietet dir eine Analyse der Verhandlungsparameter.
Der Status trace bietet dir die Möglichkeit zu sehen wie und warum welche Entscheidungen der VPN-Componente getroffen werden.

Mir geht es mit meinen Fragen nach Traces herrauszufinden, wie weit die Verhandlung gelangt, um dann zu erkennen wo der Fehler dann liegt.
Also bitte ich dich und an deinen Trace Ergebnissen teilhaben zu lassen. Dabei kannst du gerne IPs verschleiern.
Gruß

[hightower998]

Einfach nur tr eingeben? Oder auch vpn dahinter?

Sorry bin absoluter Telnet Anfänger!

[MariusP]

Hi,
"tr" ist die Kurzform von "trace".
Probier es einfach aus, dann wirst du verstehen was ich meine.
Du kannst auch per Lanmonitor tracen.

Mir geht es mit meinen Fragen nach Traces herrauszufinden, wie weit die Verhandlung gelangt, um dann zu erkennen wo der Fehler dann liegt.
Also bitte ich dich und an deinen Trace Ergebnissen teilhaben zu lassen. Dabei kannst du gerne IPs verschleiern.

Bitte beachte auch diese zwei Zeilen.
Gruß

[hightower998]

Wenn ich in der Konsole trace eingebe kommen nur on off einträge!

Beim Lanmonitor und VPN bekomme ich folgendes:

[hightower998]

Wenn ich an der Fritzbox alle Ports auf mache sieht es so aus:

[MariusP]

Hi,
Du weist das du auch einfach hättest den Text kopieren können?
Auch ein "richtiger" Screenshot hätte funkitoniert.

Wie es scheint kommt ja zumindenstens zu dem Anfang der Verhandlung, die Ausgabe davon interessant, auch wenn auf dem bisschen was man sieht es so ausschaut als ob die Proposals nicht zueinander passen.
Am besten du richtest auf beiden Seiten ausschließlich AES-256 und SHA256 ein.
Und damit du auf deiner Fritzbox nicht alle Ports aufmachen musst, schleife(Port-Forwarding) einfach Port 500 und 4500 durch.
Das sind die IKE und die NAT-Traversal Ports, welchen du wohl brauchen wirst wegen der Fritzbox dazwischen.
Gruß

[hightower998]

Wie mach ich das mit dem AES und SHA?


VPN-Status] 2016/06/13 19:47:16,112 Devicetime: 2016/06/13 19:47:23,525
IKE info: The remote server xxxxxxxxxxxxxxxxxx (UDP) peer def-main-peer id <no_id> supports draft-ietf-ipsec-isakmp-xauth
IKE info: The remote peer def-main-peer supports NAT-T in draft mode
IKE info: The remote peer def-main-peer supports NAT-T in draft mode
IKE info: The remote peer def-main-peer supports NAT-T in RFC mode
IKE info: The remote server xxxxxxxxxxxxxx (UDP) peer def-main-peer id <no_id> negotiated rfc-3706-dead-peer-detection
IKE info: The remote client xxxxxxxxxxxxxxx (UDP) peer def-main-peer id <no_id> is NCP LANCOM Serial Number Protocol 1.0 with serial number xxxxxxxxxx

[VPN-Status] 2016/06/13 19:47:16,112 Devicetime: 2016/06/13 19:47:23,526
IKE info: phase-1 proposal failed: remote No 1 hash algorithm = MD5 <-> local No 1 hash algorithm = SHA1
IKE error: 194723.526469 Default attribute_unacceptable: conf_match_num failed, type [14]: No such file or directory
IKE info: phase-1 proposal failed: remote No 1 hash algorithm = MD5 <-> local No 3 hash algorithm = SHA1
IKE info: Phase-1 remote proposal 1 for peer def-main-peer matched with local proposal 4

[VPN-Status] 2016/06/13 19:47:38,092 Devicetime: 2016/06/13 19:47:45,506
IKE log: 194745.506169 Default message_validate_delete: got unauthenticated DELETE

[hightower998]

Habe mit dem Advanced Client jetzt eine verbindung hinbekommen;)
Aber nur wenn alle Ports offen sind!
MyVpn geht auch noch nicht.
So geht es nicht:

[GrandDixence]

Das LCOS v9.20-Referenzhandbuch Kapitel "NAT Traversal (NAT-T):

https://www.lancom-systems.de/docs/LCOS ... 75697.html

beschreibt klipp und klar die Konfiguration des Port-Forwarding. Nur Port UDP 500 und Port UDP 4500 sind durchzulassen! Kein "ESP", kein Port TCP 10000 und kein TCP Port 4500 sind durch die Firewall/NAT-Router durchzulassen!

Wichtig: Auf allen Netzwerkgeräten mit NAT-Funktionalität (z.B. Fritzbox) muss die Funktion "VPN Pass through" deaktiviert sein!
=>Siehe auch die Abbildungen im LCOS-Referenzhandbuch Kapitel "NAT Traversal (NAT-T).

Begründung aus RFC 4306 wieso "VPN Pass through" auf allen NAT-Geräten deaktiviert sein muss:

Port 4500 is reserved for UDP-encapsulated ESP and IKE. When working through a NAT, it is generally better to pass IKE packets over port 4500 because some older NATs handle IKE traffic on port 500 cleverly in an attempt to transparently establish IPsec connections between endpoints that don't handle NAT traversal themselves. Such NATs may interfere with the straightforward NAT traversal envisioned by this document, so an IPsec endpoint that discovers a NAT between it and its correspondent MUST send all subsequent traffic to and from port 4500, which NATs should not treat specially (as they might with port 500).

https://tools.ietf.org/html/rfc4306#page-38

Gemäss der Beschreibung:
https://avm.de/service/fritzbox/fritzbo ... einsetzen/
ist die Fritzbox als ein "older NAT" gemäss RFC 4306 Kapitel 2.23 zu betrachten.

[GrandDixence]

[VPN-Status] 2016/06/13 19:47:16,112 Devicetime: 2016/06/13 19:47:23,526
IKE info: phase-1 proposal failed: remote No 1 hash algorithm = MD5 <-> local No 1 hash algorithm = SHA1
IKE error: 194723.526469 Default attribute_unacceptable: conf_match_num failed, type [14]: No such file or directory
IKE info: phase-1 proposal failed: remote No 1 hash algorithm = MD5 <-> local No 3 hash algorithm = SHA1
IKE info: Phase-1 remote proposal 1 for peer def-main-peer matched with local proposal 4

MD5 und SHA-1 gilt als unsicher und sollte nicht mehr eingesetzt werden. Siehe:
http://www.lancom-forum.de/fragen-zum-t ... 14937.html

[MariusP]

Hi,
Ich komme mir vor wie beim Hacker Jeopardy, Ports für 1000:
"Darauf läuft Network Data Management Protocol", "Was ist Port 10000?", "Richtig, wählen sie bitte Ihre nächste Kategorie."
Gruß

[hightower998]

Mit den angegebenen Ports geht es nicht!

Auf der Frittzbox Seite steht dass ich nicht ändern muss.


Wenn ich myVPN Trace kommen dasselbe wie vorher mitm Client,aber ich kann doch bei myVPN schlecht was ander Verschlüsselung ändern da ich auf dem Ipad Iphone nur das Profil und das kann ich ja nicht ändern oder doch?


PS: Vielen Dank für eure Hilfe!!!!!!

[MariusP]

Hi,

Auf der Frittzbox Seite steht dass ich nicht ändern muss.

Könntest du das bitte etwas genauer ausführen, da ich glaube das die Aussage nicht zu dem Problem der Portweiterleitung nicht passt.
Gruß