[solved] Shrewsoft und Lancom 1711 VPN

Forum: LANCOM FAQ-Bereich

Moderator: Lancom-Systems Moderatoren

Antworten
JClasen
Beiträge: 15
Registriert: 12 Feb 2007, 14:31

[solved] Shrewsoft und Lancom 1711 VPN

Beitrag von JClasen »

Moin Moin.

Ich versuch mich grad an der Konfiguration des Shrewsoft VPN Clients (V1.1.0) um einen Lancom 1711VPN zu erreichen (Fw: 6.06.0012). Der Lancom hängt an einer festen IP und ist per DNS erreichbar. Der Client hat eine dynamische IP.

- Ich hab mit dem LANconfig Assistenten auf dem Lancom eine Verbindung für "VPN-Client mit benutzerdef. Parametern" konfiguriert.
- Die Standart-IKE-Proposals hab ich auf WIZ-IKE-ADVCLIENT belassen.
- Als Identitäten habe ich "Fully Qualified Username" eingestellt und vergeben.
- PFS ist an und auf Gruppe 2 gestellt.
- Als Verschlüsselungsverfahren habe ich testweise alle freigegeben (AES-128, Blowfish, 3DES und DES)
- Als Authentifizierungsverfahren hab ich ebenfalls alle (HMAC-MD5-96 und HMAC-SHA1-96) erlaubt
- AH ist auf HMAC-MD5
- IPCOMP ist aus
- die IP ist 192.168.1.251, das lokale Netz 192.168.1.0/24

Im Shrewsoft Client habe ich folgende Einstellungen getätigt:
- Remotehost auf Domainname des Lancom
- NATT an und Fragmentation Support aus
- Die Authentifizierung steht auf "Mutual PSK".
- Für die lokale Identität habe ich den o.a. "Fully Qualified Username" angegeben
- Die Remote Identität steht auf IP Address und wird automatisch ermittelt.
- Unter Cedentials hab ich den PSK angegeben
- Die Proposal Parameter f. phase 1 sind "aggressive mode", "DH exchange: group 2", "cipher: AES-128", "Hash: MD5"
- Phase 2 wurde mit Tranform Algorithm=ESP-3DES, HMAC=MD5 und PFS-Exchange=Auto angegeben.

Versuche ich nun mit dem Client eine Verbindung zu öffnen, so passiert das hier
config loaded for site 'gateway-domain'
configuring client settings ...
attached to IPSEC daemon ...
peer configured
local id configured
pre-shared key configured
bringing up tunnel ...
peer authentication error
tunnel disabled
detached from IPSEC daemon ...
Ein Trace auf den VPN-Status meldet mir das hier:
[VPN-Status] 1900/01/12 06:13:03,360
IKE info: The remote server <Client-IP>:500 peer def-aggr-peer id <no_id> supports NAT-T in mode draft
IKE info: The remote server <Client-IP>:500 peer def-aggr-peer id <no_id> supports NAT-T in mode rfc
IKE info: The remote server <Client-IP>:500 peer def-aggr-peer id <no_id> negotiated rfc-3706-dead-peer-detection


[VPN-Status] 1900/01/12 06:13:03,360
IKE info: Phase-1 remote proposal 1 for peer def-aggr-peer matched with local proposal 1


[VPN-Status] 1900/01/12 06:13:03,520
IKE info: unexpected cleartext message received from peer unknown and dropped in phase-2


[VPN-Status] 1900/01/12 06:13:03,520
IKE log: 061303 Default dropped message from <Client-IP> port 500 due to notification type INVALID_FLAGS


[VPN-Status] 1900/01/12 06:13:03,530
IKE info: dropped message from peer unknown <Client-IP> port 500 due to notification type INVALID_FLAGS

Halten wir fest, der Handshake hat geklappt. Was mir jetzt mal so pauschal garnichts sagt ist die unexpected cleartext message. Wie komm ich der jetzt bei?

Habt Ihr ein paar Tipps für mich?

Gruß Jens
Zuletzt geändert von JClasen am 15 Feb 2007, 13:40, insgesamt 1-mal geändert.
JClasen
Beiträge: 15
Registriert: 12 Feb 2007, 14:31

Beitrag von JClasen »

Erledigt. Ich hab nochmal von vorne angefangen und dabei ist aufgefallen, das a) IPSec und VMware sich gegenseitig beißen und b) das ich die Identitäten doppelt vergeben hatte. Nach noch ein bißchen weiterem hin und her läuft das ganze jetzt einwandfrei.

Kleines HOWTO:

- Mittels Lanconfig-Assistent wird eine neue Verbindung erstellt.
- Als Client wird der Lancom Advanced Client ausgewählt und dann nach Lancom-Anleitung weiterverfahren

Im Shrewsoft Client werden folgende Einstellungen getätigt:
- Remotehost auf Domainname des Lancom
- Als Localhost verwendet man die IP aus dem Lancom-Assistenten, sowie die Netzmaske 255.255.255.0
- Die Authentifizierung wird auf "Mutual PSK" gestellt.
- Für die lokale Identität wird die in Lanconfig vergebene Identität als "Fully Qualified Username" angegeben
- Die Remote Identität wird genauso eingestellt wie die lokale
- Unter Credentials wird der im Assistenten vergebene PSK angegeben
- Die Proposal Parameter f. phase 1 sind "aggressive mode", "DH exchange: group 2", "cipher: AES-128", "Hash: MD5"
- Phase 2 wird mit Tranform Algorithm=ESP-AES, HMAC=MD5 und PFS-Exchange=Group 2 angegeben.
- Unter Policy wird der Haken "Obtain the remote network topology ..." entfernt und eine Verbindung zum privaten Netz hinter dem Lancom angegeben

Gruß Jens
bigtbigt
Beiträge: 8
Registriert: 30 Aug 2007, 10:09

Beitrag von bigtbigt »

hallo ich habe es nach deiner anleitung versucht. ich habe zwar einen anderen router aber theoretisch müsste der es auch können.

Daten:
Lancom DSL/I 1611 mit VPN-Option Firmware 7.20
Laptop mit UMTS-Karte (Verbindung steht(Internet))
den shrewsoft CLient version 2.0.0

ich bekomme keine verbindung.
er sagt mir immer "gateway not responding","tunnel disabled", "detached from key daemon"

muss ich beim router ncoh was zusätzlich beachten i.s. ports oder soetwas?
Holzer
Beiträge: 34
Registriert: 20 Okt 2005, 12:18

Beitrag von Holzer »

Mahlzeit!

Ich habe mich ebenfalls am Shrew-Client versucht, allerdings bekomme ich auch die Fehlermeldungen, obwohl ich mich penibel an das o.g. HOWTO gehalten habe. :shock:

Fehlermeldungen (Shrew-Client)
"gateway not responding","tunnel disabled", "detached from key daemon"

Ich habe die Versionen 1.1.0 und 2.0.2 getestet, allerdings beide Male ohne Erfolg (auch mit deaktivierter Firewall).

Ich setze derzeit 2 Router ein:
- Business LAN R800+ (Firmware 7.22.0016)
- LANCOM 1621 (Firmware 6.30.0022)

und bei beiden Routern hatte ich keinen Erfolg. :shock:

Falls jemand noch'n Tip hat, dann immer her damit
Gruss
Holzer
thorsten
Beiträge: 21
Registriert: 20 Mär 2007, 19:45
Wohnort: Berlin

Beitrag von thorsten »

Wenn die Verbindung nicht klappt, dann stimmen Deine im Lancom definierten Proposals nicht mit denen im Shrew überein. Das kannst Du mittels tr # vpn überprüften. Shrew 2.03 läuft hier stabil an einem 1823.

Thorsten
ellegon
Beiträge: 32
Registriert: 11 Mär 2005, 15:07

Beitrag von ellegon »

Nachdem ich selbst zwei Tage überwiegend mit meiner eigenen Dummheit gekämpft habe, stelle ich einfach mal das obige HowTo etwas detaillierter für DAUs wie mich hier rein - vielleicht hilfts ja jemand Anderem.

Bei mir läuft jetzt ein 1821 mit ShrewSoft 2.0.3 und diversen Win2k-Clients sehr gut.

-- Schnippeldischnapp erweitertes HowTo --

------ Lancom-seitig: -----------
Vor Installation der Clients neuen VPN-Verbindung im Lanconfig anlegen:
- Setup-Assistent => Zugang bereitstellen (RAS, VPN, 1-Click-VPN) => Weiter
- VPN-Verbindung über das Internet => Weiter
- Lancom Advanced VPN Client, Haken "1-Click" entfernen (!) => Weiter
- Name vergeben (VPN_xxx, wobei xxx einem lokalen Usernamen aus Initialen besteht. z.B. fritz, hans,...)
- Adresse dieses Routers: xyz.dyndns.org => Weiter
- Gemeinsames Passwort (Preshared Key) und aggressive Mode
- Passwort als Preshared Key eingeben
- Fully Qualified Username: xxx@yyy eingeben, xxx sollte bevorzugter User auf eigenem Server sein
- IP-Adresse eingeben, Freie Adresse aus anhängender Liste wählen. => Weiter
- Folgendes Netzwerk soll erreicht werden können: Nur xxx.yy.zzz.0 => Weiter
- NetBIOS über IP Routing aktivieren => Weiter

- Profil abspeichern als .ini, am Besten gleich drucken in pdf. ACHTUNG ! Passwort und FQUN stehen als Klartext in der Datei.... Andererseits ist das hier auch nicht besser.

- Fertig. Zugang kann gleich benutzt werden
------/Lancom-seitig: -----------

------ Client-seitig: -----------
- Client downloaden von www.shrew.net

- Installieren, möglichst nicht vom Netzwerklaufwerk sondern von lokalem Laufwerk
(Grund: verliert während Installation mehrfach kurzfristig die Netzwerk-Verbindung)

- Start => Programme => Shrewsoft VPN Client => Access Manager

- Profil hinzufügen ("+")

"General":
- Remotehost auf Domainname des Lancom
- Use virtual Adapter and assigned address, KEIN Haken bei "obtain autmatically"
- Als Localhost verwendet man die IP aus dem Lancom-Assistenten, sowie die Netzmaske 255.255.255.0

"Client" und "Name Resolution": nix ändern

"Authentication":
- Die Authentifizierung wird auf "Mutual PSK" gestellt.
- Für die lokale Identität wird die in Lanconfig vergebene Identität als "User Fully Qualified Domein Name" angegeben
- Die Remote Identität wird genauso eingestellt wie die lokale
- Unter Credentials wird der im Assistenten vergebene PSK angegeben

"Phase1":
- Die Proposal Parameter f. phase 1 sind "aggressive mode", "DH exchange: group 2", "cipher: AES-128", "Hash: MD5"

"Phase2":
- Phase 2 wird mit Tranform Algorithm=ESP-AES-auto, HMAC=MD5 und PFS-Exchange=Group 2 angegeben.

"Policy":
- Unter Policy wird der Haken "Obtain the remote network topology ..." entfernt und eine Verbindung zum privaten Netz hinter dem Lancom angegeben
(include, xxx.yyy.zzz.0, 255.255.255.0)
Antworten