Ich versuch mich grad an der Konfiguration des Shrewsoft VPN Clients (V1.1.0) um einen Lancom 1711VPN zu erreichen (Fw: 6.06.0012). Der Lancom hängt an einer festen IP und ist per DNS erreichbar. Der Client hat eine dynamische IP.
- Ich hab mit dem LANconfig Assistenten auf dem Lancom eine Verbindung für "VPN-Client mit benutzerdef. Parametern" konfiguriert.
- Die Standart-IKE-Proposals hab ich auf WIZ-IKE-ADVCLIENT belassen.
- Als Identitäten habe ich "Fully Qualified Username" eingestellt und vergeben.
- PFS ist an und auf Gruppe 2 gestellt.
- Als Verschlüsselungsverfahren habe ich testweise alle freigegeben (AES-128, Blowfish, 3DES und DES)
- Als Authentifizierungsverfahren hab ich ebenfalls alle (HMAC-MD5-96 und HMAC-SHA1-96) erlaubt
- AH ist auf HMAC-MD5
- IPCOMP ist aus
- die IP ist 192.168.1.251, das lokale Netz 192.168.1.0/24
Im Shrewsoft Client habe ich folgende Einstellungen getätigt:
- Remotehost auf Domainname des Lancom
- NATT an und Fragmentation Support aus
- Die Authentifizierung steht auf "Mutual PSK".
- Für die lokale Identität habe ich den o.a. "Fully Qualified Username" angegeben
- Die Remote Identität steht auf IP Address und wird automatisch ermittelt.
- Unter Cedentials hab ich den PSK angegeben
- Die Proposal Parameter f. phase 1 sind "aggressive mode", "DH exchange: group 2", "cipher: AES-128", "Hash: MD5"
- Phase 2 wurde mit Tranform Algorithm=ESP-3DES, HMAC=MD5 und PFS-Exchange=Auto angegeben.
Versuche ich nun mit dem Client eine Verbindung zu öffnen, so passiert das hier
Ein Trace auf den VPN-Status meldet mir das hier:config loaded for site 'gateway-domain'
configuring client settings ...
attached to IPSEC daemon ...
peer configured
local id configured
pre-shared key configured
bringing up tunnel ...
peer authentication error
tunnel disabled
detached from IPSEC daemon ...
[VPN-Status] 1900/01/12 06:13:03,360
IKE info: The remote server <Client-IP>:500 peer def-aggr-peer id <no_id> supports NAT-T in mode draft
IKE info: The remote server <Client-IP>:500 peer def-aggr-peer id <no_id> supports NAT-T in mode rfc
IKE info: The remote server <Client-IP>:500 peer def-aggr-peer id <no_id> negotiated rfc-3706-dead-peer-detection
[VPN-Status] 1900/01/12 06:13:03,360
IKE info: Phase-1 remote proposal 1 for peer def-aggr-peer matched with local proposal 1
[VPN-Status] 1900/01/12 06:13:03,520
IKE info: unexpected cleartext message received from peer unknown and dropped in phase-2
[VPN-Status] 1900/01/12 06:13:03,520
IKE log: 061303 Default dropped message from <Client-IP> port 500 due to notification type INVALID_FLAGS
[VPN-Status] 1900/01/12 06:13:03,530
IKE info: dropped message from peer unknown <Client-IP> port 500 due to notification type INVALID_FLAGS
Halten wir fest, der Handshake hat geklappt. Was mir jetzt mal so pauschal garnichts sagt ist die unexpected cleartext message. Wie komm ich der jetzt bei?
Habt Ihr ein paar Tipps für mich?
Gruß Jens