VPN Zwischen Draytek 2800 und Lancom 1721 VPN

FMS · Beitrag von **FMS** » 25 Aug 2008, 17:44

Hallo Leute

Ich bekomm die VPN Verbindung zwischen dem Draytek 2800 und den Lancom nicht hin. Leider kenne ich mich auch nicht so gut mit Lancom aus. Ist unser erster Router dieser Marke.

Ich bekomme unter VPN Trace immer folgende Meldung und weiß nicht unter welchem Punkt ich in der Lancom Config ansetzen soll

IKE info: phase-1 proposal failed: remote No 1 group = 1 <-> local No 1 group = 2
IKE info: phase-1 proposal failed: remote No 1 hash algorithm = SHA <-> local No 2 hash algorithm = MD5
IKE info: Phase-1 remote proposal 1 failed for peer DRAYTEK

Vieleicht weiß ja jemand was zu dieser Fehlermeldung.

Danke

Gruß Florian

backslash · Beitrag von **backslash** » 25 Aug 2008, 18:18

Hi FMS

IKE info: phase-1 proposal failed: remote No 1 group = 1 <-> local No 1 group = 2

Hier fordert der Draytek die Verwendung der IKE-Gruppe 1 (MODP 768), das LANCOM erwartet aber Gruppe 2 (MODP 1024). Die Gruppe kannst du zwar auch im LANCOM auf Gruppe 1 umstellen (VPN -> Allgemein -> Verbindungs-Parameter -> Parameter für den Draytek), aus Sicherheitsgründen solltest du aber den Draytek auf Gruppe 2 umstellen.

IKE info: phase-1 proposal failed: remote No 1 hash algorithm = SHA <-> local No 2 hash algorithm = MD5

Im verwendeten IKE-Proposal ist als Hash-Algoritmus MD5 eingetragen, der Draytek erwartet aber SHA1. Wenn du die vorgegebenen Poprosal-Listen (IKE_PRESH_KEY oder IKE_RSA_SIG) verwendest, dann werden dort alle sinnvollen Kombinationen aus Verschlüsselungs- (AES, Blowfisch, Cast und 3DES) und Hashalgorithmen (MD5 und SHA1) angeboten, so daß auch für den Draytek ein passendes Proposal dabei ist.

Wenn du also im Draytek die IKE-Gruppe auf 2 (MODP 1024) umstellst, dann sollte die Verbindung zustande kommen

Gruß
Backslash

AS1306 · Beitrag von **AS1306** » 25 Aug 2008, 18:19

Hallo FMS,

hast Du Dich an die Anleitung in der KnowledgeBase von Lancom gehalten?

Schau mal hier: http://www2.lancom.de/kb.nsf/0/84ecaae3 ... enDocument

Ist zwar ein Draytec 2600 und LANCOM-Router , sollte aber doch auch funktionieren

Bis dann

Andreas

FMS · Beitrag von **FMS** » 25 Aug 2008, 18:45

Hallo

Danke für die Antworten.

@AS1306

ja ich hab es nach der Anleitung eingerichtet. Doch dann funktioniert es leider nicht.

@backslash

ich hab jetzt nochmal was umgestellt.

Nun bekomme ich folgende Infos

[TraceStarted] 2008/08/25 18:47:47,000
Used config:
trace + VPN-Status
trace + VPN-Packet
[VPN-Status] 2008/08/25 18:47:50,820
IKE info: The remote server xxxx:500 peer DRAYTEK id <no_id> negotiated rfc-3706-dead-peer-detection
IKE info: The remote server xxxx:500 peer DRAYTEK id <no_id> supports NAT-T in mode rfc
IKE info: The remote server xxxx:500 peer DRAYTEK id <no_id> supports NAT-T in mode rfc
IKE info: The remote server xxxx:500 peer DRAYTEK id <no_id> supports NAT-T in mode rfc
IKE info: The remote server xxxx:500 peer DRAYTEK id <no_id> supports NAT-T in mode rfc
IKE info: The remote server xxxx:500 peer DRAYTEK id <no_id> supports NAT-T in mode rfc
[VPN-Status] 2008/08/25 18:47:50,830
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = DES_CBC <-> local No 1 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = DES_CBC <-> local No 2 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = DES_CBC <-> local No 3 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = DES_CBC <-> local No 4 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = DES_CBC <-> local No 5 encryption algorithm = 3DES_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = DES_CBC <-> local No 6 encryption algorithm = 3DES_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = DES_CBC <-> local No 7 encryption algorithm = CAST_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = DES_CBC <-> local No 8 encryption algorithm = CAST_CBC
IKE info: Phase-1 remote proposal 1 failed for peer DRAYTEK
IKE info: phase-1 proposal failed: remote No 2 encryption algorithm = DES_CBC <-> local No 1 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 2 encryption algorithm = DES_CBC <-> local No 2 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 2 encryption algorithm = DES_CBC <-> local No 3 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 2 encryption algorithm = DES_CBC <-> local No 4 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 2 encryption algorithm = DES_CBC <-> local No 5 encryption algorithm = 3DES_CBC
IKE info: phase-1 proposal failed: remote No 2 encryption algorithm = DES_CBC <-> local No 6 encryption algorithm = 3DES_CBC
IKE info: phase-1 proposal failed: remote No 2 encryption algorithm = DES_CBC <-> local No 7 encryption algorithm = CAST_CBC
IKE info: phase-1 proposal failed: remote No 2 encryption algorithm = DES_CBC <-> local No 8 encryption algorithm = CAST_CBC
IKE info: Phase-1 remote proposal 2 failed for peer DRAYTEK
IKE info: phase-1 proposal failed: remote No 3 encryption algorithm = 3DES_CBC <-> local No 1 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 3 encryption algorithm = 3DES_CBC <-> local No 2 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 3 encryption algorithm = 3DES_CBC <-> local No 3 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 3 encryption algorithm = 3DES_CBC <-> local No 4 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 3 group = 1 <-> local No 5 group = 2
IKE info: phase-1 proposal failed: remote No 3 hash algorithm = MD5 <-> local No 6 hash algorithm = SHA
IKE info: phase-1 proposal failed: remote No 3 encryption algorithm = 3DES_CBC <-> local No 7 encryption algorithm = CAST_CBC
IKE info: phase-1 proposal failed: remote No 3 encryption algorithm = 3DES_CBC <-> local No 8 encryption algorithm = CAST_CBC
IKE info: Phase-1 remote proposal 3 failed for peer DRAYTEK
IKE info: phase-1 proposal failed: remote No 4 encryption algorithm = 3DES_CBC <-> local No 1 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 4 encryption algorithm = 3DES_CBC <-> local No 2 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 4 encryption algorithm = 3DES_CBC <-> local No 3 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 4 encryption algorithm = 3DES_CBC <-> local No 4 encryption algorithm = BLOWFISH_CBC
IKE info: Phase-1 remote proposal 4 for peer DRAYTEK matched with local proposal 5
[VPN-Status] 2008/08/25 18:47:51,280
VPN: Error: IKE-R-IKE-group-mismatch (0x2204) for DRAYTEK (xxxx)
[VPN-Status] 2008/08/25 18:47:51,280
VPN: selecting next remote gateway using strategy eFirst for DRAYTEK
=> no remote gateway selected
[VPN-Status] 2008/08/25 18:47:51,280
VPN: selecting first remote gateway using strategy eFirst for DRAYTEK
=> CurrIdx=0, IpStr=>xxxx<, IpAddr=xxxx, IpTtl=0s
[VPN-Status] 2008/08/25 18:47:51,280
VPN: installing ruleset for DRAYTEK (xxxx)
[VPN-Status] 2008/08/25 18:47:51,450
VPN: rulesets installed
[VPN-Status] 2008/08/25 18:47:51,870
IKE info: Phase-1 [responder] got initial contact from peer DRAYTEK (xxxx)
[VPN-Status] 2008/08/25 18:47:51,870
IKE info: Phase-1 [responder] for peer DRAYTEK between initiator id xxxx, responder id xxxx done
IKE info: SA ISAKMP for peer DRAYTEK encryption 3des-cbc authentication md5
IKE info: life time ( 28800 sec/ 0 kb)
[VPN-Status] 2008/08/25 18:47:51,910
IKE info: Phase-2 proposal failed: remote No 1, esp algorithm 3DES <-> local No 1, esp algorithm DES
IKE info: Phase-2 proposal failed: remote No 1, esp hmac HMAC_SHA <-> local No 1, esp hmac HMAC_MD5
IKE info: Phase-2 proposal failed: remote No 1, esp pfs group 0 <-> local No 1, esp pfs group 2
IKE info: Phase-2 proposal failed: remote No 1, esp algorithm 3DES <-> local No 2, esp algorithm DES
IKE info: Phase-2 proposal failed: remote No 1, esp pfs group 0 <-> local No 2, esp pfs group 2
IKE info: Phase-2 proposal failed: remote No 1, number of protos 1 <-> local No 3, number of protos 2
IKE info: Phase-2 proposal failed: remote No 1, esp hmac HMAC_SHA <-> local No 4, esp hmac HMAC_MD5
IKE info: Phase-2 proposal failed: remote No 1, esp pfs group 0 <-> local No 4, esp pfs group 2
IKE info: Phase-2 proposal failed: remote No 1, esp pfs group 0 <-> local No 5, esp pfs group 2
IKE info: Phase-2 remote proposal 1 failed for peer DRAYTEK
IKE log: 184751 Default message_negotiate_sa: no compatible proposal found
IKE log: 184751 Default dropped message from xxxx port 500 due to notification type NO_PROPOSAL_CHOSEN
IKE info: dropped message from peer DRAYTEK xxxx port 500 due to notification type NO_PROPOSAL_CHOSEN
[VPN-Status] 2008/08/25 18:47:51,920
VPN: Error: IPSEC-R-PFS-group-mismatch (0x3203) for DRAYTEK (xxxx)
[VPN-Status] 2008/08/25 18:47:51,920
VPN: selecting next remote gateway using strategy eFirst for DRAYTEK
=> no remote gateway selected
[VPN-Status] 2008/08/25 18:47:51,920
VPN: selecting first remote gateway using strategy eFirst for DRAYTEK
=> CurrIdx=0, IpStr=>xxxx<, IpAddr=xxxx, IpTtl=0s
[VPN-Status] 2008/08/25 18:47:51,920
VPN: installing ruleset for DRAYTEK (xxxx)
[VPN-Status] 2008/08/25 18:47:51,930
VPN: rulesets installed
[VPN-Status] 2008/08/25 18:47:54,950
IKE info: Phase-2 proposal failed: remote No 1, esp algorithm 3DES <-> local No 1, esp algorithm DES
IKE info: Phase-2 proposal failed: remote No 1, esp hmac HMAC_SHA <-> local No 1, esp hmac HMAC_MD5
IKE info: Phase-2 proposal failed: remote No 1, esp pfs group 0 <-> local No 1, esp pfs group 2
IKE info: Phase-2 proposal failed: remote No 1, esp algorithm 3DES <-> local No 2, esp algorithm DES
IKE info: Phase-2 proposal failed: remote No 1, esp pfs group 0 <-> local No 2, esp pfs group 2
IKE info: Phase-2 proposal failed: remote No 1, number of protos 1 <-> local No 3, number of protos 2
IKE info: Phase-2 proposal failed: remote No 1, esp hmac HMAC_SHA <-> local No 4, esp hmac HMAC_MD5
IKE info: Phase-2 proposal failed: remote No 1, esp pfs group 0 <-> local No 4, esp pfs group 2
IKE info: Phase-2 proposal failed: remote No 1, esp pfs group 0 <-> local No 5, esp pfs group 2
IKE info: Phase-2 remote proposal 1 failed for peer DRAYTEK
IKE log: 184754 Default message_negotiate_sa: no compatible proposal found
IKE log: 184754 Default dropped message from xxxx port 500 due to notification type NO_PROPOSAL_CHOSEN
IKE info: dropped message from peer DRAYTEK xxxx port 500 due to notification type NO_PROPOSAL_CHOSEN
[VPN-Status] 2008/08/25 18:47:54,950
VPN: Error: IPSEC-R-PFS-group-mismatch (0x3203) for DRAYTEK (xxxx)
[VPN-Status] 2008/08/25 18:47:54,950
VPN: selecting next remote gateway using strategy eFirst for DRAYTEK
=> no remote gateway selected
[VPN-Status] 2008/08/25 18:47:54,950
VPN: selecting first remote gateway using strategy eFirst for DRAYTEK
=> CurrIdx=0, IpStr=>xxxx<, IpAddr=xxxx, IpTtl=0s
[VPN-Status] 2008/08/25 18:47:54,950
VPN: installing ruleset for DRAYTEK (xxxx)
[VPN-Status] 2008/08/25 18:47:54,970
VPN: rulesets installed
[VPN-Status] 2008/08/25 18:48:00,970
IKE info: Phase-2 proposal failed: remote No 1, esp algorithm 3DES <-> local No 1, esp algorithm DES
IKE info: Phase-2 proposal failed: remote No 1, esp hmac HMAC_SHA <-> local No 1, esp hmac HMAC_MD5
IKE info: Phase-2 proposal failed: remote No 1, esp pfs group 0 <-> local No 1, esp pfs group 2
IKE info: Phase-2 proposal failed: remote No 1, esp algorithm 3DES <-> local No 2, esp algorithm DES
IKE info: Phase-2 proposal failed: remote No 1, esp pfs group 0 <-> local No 2, esp pfs group 2
IKE info: Phase-2 proposal failed: remote No 1, number of protos 1 <-> local No 3, number of protos 2
IKE info: Phase-2 proposal failed: remote No 1, esp hmac HMAC_SHA <-> local No 4, esp hmac HMAC_MD5
IKE info: Phase-2 proposal failed: remote No 1, esp pfs group 0 <-> local No 4, esp pfs group 2
IKE info: Phase-2 proposal failed: remote No 1, esp pfs group 0 <-> local No 5, esp pfs group 2
IKE info: Phase-2 remote proposal 1 failed for peer DRAYTEK
IKE log: 184800 Default message_negotiate_sa: no compatible proposal found
IKE log: 184800 Default dropped message from xxxx port 500 due to notification type NO_PROPOSAL_CHOSEN
IKE info: dropped message from peer DRAYTEK xxxx port 500 due to notification type NO_PROPOSAL_CHOSEN
[VPN-Status] 2008/08/25 18:48:00,980
VPN: Error: IPSEC-R-PFS-group-mismatch (0x3203) for DRAYTEK (xxxx)
[VPN-Status] 2008/08/25 18:48:00,980
VPN: selecting next remote gateway using strategy eFirst for DRAYTEK
=> no remote gateway selected
[VPN-Status] 2008/08/25 18:48:00,980
VPN: selecting first remote gateway using strategy eFirst for DRAYTEK
=> CurrIdx=0, IpStr=>xxxx<, IpAddr=xxxx, IpTtl=0s
[VPN-Status] 2008/08/25 18:48:00,980
VPN: installing ruleset for DRAYTEK (xxxx)
[VPN-Status] 2008/08/25 18:48:00,990
VPN: rulesets installed
[VPN-Status] 2008/08/25 18:48:03,980
IKE info: ISAKMP_NOTIFY_DPD_R_U_THERE sent for Phase-1 SA to peer DRAYTEK, sequence nr 0x68c95756
[VPN-Status] 2008/08/25 18:48:04,020
IKE info: NOTIFY received of type ISAKMP_NOTIFY_DPD_R_U_THERE_ACK for peer DRAYTEK Seq-Nr 0x68c95756, expected 0x68c95756
[VPN-Status] 2008/08/25 18:48:04,030
IKE info: Delete Notification received for Phase-1 SA isakmp-peer-DRAYTEK peer DRAYTEK cookies [e1f0f87cbedfef77 de6b4ce2ea2dc72d]

Sorry aber ich blick langsam nicht mehr durch. Versuche das jetzt schon den Ganzen Tag zum laufen zu bringen.

Danke
Gruß FMS

backslash · Beitrag von **backslash** » 26 Aug 2008, 16:42

Hi FMS

IKE info: Phase-2 proposal failed: remote No 1, esp pfs group 0 <-> local No 4, esp pfs group 2
IKE info: Phase-2 proposal failed: remote No 1, esp pfs group 0 <-> local No 5, esp pfs group 2

hier hast du einerseits als PFS-Gruppe 2 eingetragen, während der Draytek 0 erwartet. Stelle entweder im Draytek die Verwendung der PFS-Gruppe 2 (MODP1024) ein oder im LANCOM unter VPN -> Allgemein -> Verbindungs-Parameter -> Parameter für den Draytek die Gruppe 0 (= kein PFS)

Auch hier ist aus Sicherheitsgründen die Änderung im Draytek vorzuziehen...

Gruß
Backslash

FMS · Beitrag von **FMS** » 26 Aug 2008, 17:39

Hallo,

Danke für die Antwort. Ich muss aber noch mal nerven.

Leider habe ich jetzt wieder ein anderes Problem.
Jetzt bekomme ich folgende Meldung:

[VPN-Status] 2008/08/26 18:41:54,240
IKE info: Phase-1 remote proposal 1 for peer DRAYTEK matched with local proposal 1
[VPN-Status] 2008/08/26 18:41:55,030
IKE info: Phase-1 [responder] for peer DRAYTEK between initiator id xxxx, responder id xxxx done
IKE info: SA ISAKMP for peer DRAYTEK encryption des-cbc authentication md5
IKE info: life time ( 28800 sec/ 0 kb)
[VPN-Status] 2008/08/26 18:41:55,030
IKE info: Phase-2 remote proposal 1 for peer DRAYTEK matched with local proposal 1
[VPN-Status] 2008/08/26 18:42:06,300
IKE info: Delete Notification received for Phase-1 SA isakmp-peer-DRAYTEK peer DRAYTEK cookies [7abd5eaf572b95ca 1dec0a3848b90887]

Ich sehe momentan keinen Fehler mehr. Warum wird die Verbindung nicht aufgebaut?

Danke

Gruß FMS

backslash · Beitrag von **backslash** » 27 Aug 2008, 16:58

Hi FMS

aus irgendeinem Grund bricht die Verhandlung mitten in der Phase-2 ab. Hat der Draytek irgendwelche Trace-Möglichkeiten?

Wie sehen die Netzbeziehungen aus, also welche Netze sind auf beiden Seiten? Soll der Draytek vielleicht seine Defaultroute durch den VPN-Tunnel lenken (soetwas wäre ein Grund für einen plötzlichen Abbruch)?

Gruß
Backslash

FMS · Beitrag von **FMS** » 27 Aug 2008, 17:16

Hallo backslash

Leider ist mir heute der Lancom abgebraucht. So das ich Ihn auf Werkseinstellungen zurück setzten musste. Natürlich hatte ich auch keine Sicherung der Konig.

Da das ganze Thema so viel Zeit kostet, bin ich am überlegen mir für unsere Filiale ebenfalls einen Lancom Router zu kaufen.

Von Lancom zu Lancom sollte die VPN Verbindung einfach aufzubauen sein oder?
Welchen Router würdest du mir empfehlen.

Danke für deine Hilfe.

AS1306 · Beitrag von **AS1306** » 27 Aug 2008, 17:59

Hallo FMS,

kann ich Dir nur "zuraten". Die Verbindung zwischen 2 LANCOM´s ist in 1 Minute erledigt! Wollte es selber nicht glauben, aber der 1 Click VPN Slogan funktioniert.

LANConfig starten - hier findest Du Deinen lokalen LANCOM, danach auf Gerät hinzufügen - anstelle der IP den DynDNS-Namen eingeben - Gerätepasswort eintragen und suchen lassen. Danach ziehst Du den entfernten LANCOM auf den lokalen per Drug & Drop und fertig is ...
WICHTIG! Für diese Art die Zugriffsrechte für HTTP/HTTPS wie oben beschrieben auf "erlaubt" setzen.
Geht natürlich auch per Assistent alles ohne Probleme - sind 2 Schritte mehr

Zur Frage welcher Router: - Frage des Einsatzes (VoIP notwendig, WLAN erforderlich, internes Modem von Bedeutung?) Ich schwör zur Zeit auf den 1823 alles an Bord

Nur Loadbalancing schwierig, da nur 2 Ethernetschnittstellen! Ansonsten verweise ich gerne auf die Hardwareliste im Forum:

http://www.lancom-forum.de/topic,115,-L ... ttung.html

Aus Erfahrung rate ich zu einem Gerät mit 533 MHz und einem "großen" 32 MB Speicher, wenn Du eh neu kaufst. Oder den 1811 mit 533 MHz - hab ich seit 5 Jahren am Laufen - durch den Investitionsschutz bin ich jetzt auch günstig zu meinem 1823 gekommen

, LANCOM meint es echt ernst.

Bis denne

Andreas

FMS · Beitrag von **FMS** » 29 Aug 2008, 14:37

Danke für deine Hilfe

Gruß FMS