Vigor2910 mit LanCom

Lan2Lan, VPN, SSL-VPN, Remote DialIn, statische Routen, Radius Setup

Moderatoren: TommyTC, alf, Petrus, andreastc, DSL-Hexe, nobody

Vigor2910 mit LanCom

Beitragvon 12345x » Do 08.04.2010 - 14:20

Hallo

Ich sitze hier vor dem Problem, dass ich keine VPN Verbindung über IPSec zu einem LanCom Router aufbauen kann. Das Problem liegt glaub ich mehr auf der LanCom seite, weil dort viel mehr Einstellungen zu treffen sind als beim Vigor.
Kurze Beschreibung:
Ich bin im Besitz des Vigor2910 Router und der soll eine VPN Verbindung zu einem entfernten LanCom Router aufbauen. Mein Vigor hat eine dynamische IP, die gegenstelle verfügt über ein Feste IP.

Kann mir jemand sagen, welche Einstellungen man beim Lancom treffen muss, wenn man beim Vigor2910 folgendes drin stehen hat:
Code: Alles auswählen
Verbindung zum VPN-Server über -> IPSec
Server-IP -> XXX.XXX.XXX.XXX

IKE-Authentifizierungsmethode -> Pre-Shared Key

IPSec-Sicherheitsmethode -> Hoch(ESP) AES mit Authentifizierung

IKE Phase 1 Modus -> Main Mode
IKE Phase 1 Proposal -> AES128_SHA1_G2
IKE Phase 2 Proposal -> AES
IKE Phase 1 Key lifetime -> 28800
IKE Phase 2 Key lifetime -> 28800
Perfect Forward Secret -> Inaktiv


Wir haben es schon mal soweit gehabt, dass der Vigor in der 'Phase 2' (Start IKE Quick Mode ) war. Und hier sollte doch nur ein Hash Wert ermittelt und ausgetauscht werden. Aber weiter ist die Verbindung nicht aufgebaut wurden.

Ich denke, es fehlt nicht mehr viel.

Kann jemand erfahrungen bzw. tipps geben.

MfG
12345x
Grünschnabel
 
Beiträge: 4
Registriert: Do 14.05.2009 - 15:41

Beitragvon 12345x » Mi 21.04.2010 - 16:29

Hallo,
keine eine Idee?

hab hier noch einen Auszug von Syslog:

Code: Alles auswählen

1412010-04-20 17:00:05Apr 20 16:59:27   Vigor   Dialing Node2 (Ansorge DZ) : ***.***.***.***
1412010-04-20 17:00:05Apr 20 16:59:27   Vigor   Initiating IKE Main Mode to ***.***.***.***
1412010-04-20 17:00:07Apr 20 16:59:28   Vigor   ISAKMP SA established with ***.***.***.***
1412010-04-20 17:00:07Apr 20 16:59:28   Vigor   Start IKE Quick Mode to ***.***.***.***
1662010-04-20 17:00:05Apr 20 16:59:27   Vigor   IKE ==>, Next Payload=ISAKMP_NEXT_SA, Exchange Type = 0x2, Message ID = 0x0
1662010-04-20 17:00:05Apr 20 16:59:27   Vigor   IKE <==, Next Payload=ISAKMP_NEXT_SA, Exchange Type = 0x2, Message ID = 0x0
1662010-04-20 17:00:06Apr 20 16:59:27   Vigor   IKE ==>, Next Payload=ISAKMP_NEXT_KE, Exchange Type = 0x2, Message ID = 0x0
1662010-04-20 17:00:06Apr 20 16:59:27   Vigor   IKE <==, Next Payload=ISAKMP_NEXT_KE, Exchange Type = 0x2, Message ID = 0x0
1662010-04-20 17:00:07Apr 20 16:59:28   Vigor   IKE ==>, Next Payload=ISAKMP_NEXT_ID, Exchange Type = 0x2, Message ID = 0x0
1662010-04-20 17:00:07Apr 20 16:59:28   Vigor   IKE <==, Next Payload=ISAKMP_NEXT_ID, Exchange Type = 0x2, Message ID = 0x0
1662010-04-20 17:00:07Apr 20 16:59:28   Vigor   IKE ==>, Next Payload=ISAKMP_NEXT_HASH, Exchange Type = 0x20, Message ID = 0xcc8d6edf
1662010-04-20 17:00:07Apr 20 16:59:28   Vigor   IKE <==, Next Payload=ISAKMP_NEXT_HASH, Exchange Type = 0x5, Message ID = 0x7780534b
1662010-04-20 17:00:10Apr 20 16:59:32   Vigor   IKE <==, Next Payload=ISAKMP_NEXT_HASH, Exchange Type = 0x5, Message ID = 0x13fa6759
1662010-04-20 17:00:16Apr 20 16:59:38   Vigor   IKE <==, Next Payload=ISAKMP_NEXT_HASH, Exchange Type = 0x5, Message ID = 0x22141838
1662010-04-20 17:00:18Apr 20 16:59:40   Vigor   IKE ==>, Next Payload=ISAKMP_NEXT_HASH, Exchange Type = 0x5, Message ID = 0x9f0538d2
1662010-04-20 17:00:23Apr 20 16:59:44   Vigor   WAN1 PPPoE ==> Protocol:LCP(c021) EchoReq Identifier:0xA9Magic Number: 0x0 00 00 ##
1662010-04-20 17:00:23Apr 20 16:59:44   Vigor   WAN1 PPPoE <== Protocol:LCP(c021) EchoRep Identifier:0xA9Magic Number: 0x64ca c4 bc ##
1662010-04-20 17:00:28Apr 20 16:59:49   Vigor   WAN1 PPPoE ==> Protocol:LCP(c021) EchoReq Identifier:0xAAMagic Number: 0x0 00 00 ##
1662010-04-20 17:00:28Apr 20 16:59:49   Vigor   WAN1 PPPoE <== Protocol:LCP(c021) EchoRep Identifier:0xAAMagic Number: 0x64ca c4 bc ##

12345x
Grünschnabel
 
Beiträge: 4
Registriert: Do 14.05.2009 - 15:41

Beitragvon Mossi » Mo 26.04.2010 - 10:13

Nur als Idee:
Versuchs mal mit Aggressive Mode und stellt die Lifetime für die Phase 2 auf 3600.
Evtl. bringt das was...

Vielleicht auch nicht direkt mit AES und "volle Kanne" starten, sondern erst mal tiefer stapel und wenns dann geht Sicherheit nach oben schrauben.
Mossi
Ambitionierter User
 
Beiträge: 37
Registriert: Do 16.03.2006 - 20:54

Beitragvon 12345x » Di 27.04.2010 - 10:01

hey,
ich würde schon gerne es bei diesen einstellungen belassen :?. was mich stutzig macht sind diese zeilen:

1412010-04-20 17:00:07Apr 20 16:59:28 Vigor Start IKE Quick Mode to XXX.XXX.XXX.XXX
16:59:28 Vigor IKE ==>, Next Payload=ISAKMP_NEXT_HASH, Exchange Type = 0x20, Message ID = 0xcc8d6edf
16:59:28 Vigor IKE <==, Next Payload=ISAKMP_NEXT_HASH, Exchange Type = 0x5, Message ID = 0x7780534b
16:59:32 Vigor IKE <==, Next Payload=ISAKMP_NEXT_HASH, Exchange Type = 0x5, Message ID = 0x13fa6759
16:59:38 Vigor IKE <==, Next Payload=ISAKMP_NEXT_HASH, Exchange Type = 0x5, Message ID = 0x22141838
16:59:40 Vigor IKE ==>, Next Payload=ISAKMP_NEXT_HASH, Exchange Type = 0x5, Message ID = 0x9f0538d2


Da stimmt doch die länge des hash wertes nicht, was der Lancom mir zurück sendet. Ich sende ihm Type 0x20 und er mir Type 0x5
da sollte doch der hund begraben sein?
12345x
Grünschnabel
 
Beiträge: 4
Registriert: Do 14.05.2009 - 15:41

Beitragvon Mossi » Di 27.04.2010 - 17:05

Kann ich schon verstehen, dass du das gerne so belassen würdest.. aber es geht doch jetzt darum, das es überhaupt mal funktionieren soll, oder?
Da es sich also um ein reines Ausprobieren handelt, würde ich auf jeden Fall das mit Aggressive und so versuchen! Soabld es einmal funktioniert kann man doch weiter schrauben.
Wenn du allerdings von vornherein sagst "will ich nicht", wirst du dich vermutlich im Kreis drehen.

Dann solltest du vielleicht mal Google bemühen... Die Wort "VPN Vigor Lancom" fördern dabei z.B. folgendes zu Tage:

http://www2.lancom.de/kb.nsf/0/84ecaae3 ... enDocument

Und siehe da.. in dieser Anleitung wird explizit vom Aggressive Mode gesprochen (auch wenn es sich dabei um einen 2600er handelt), sowie von einer Lifetime von 3600 in phase2.
Na, wollen wirs doch noch mal versuchen? :wink:

Viel Erfolg! Bitte berichten!
Mossi
Ambitionierter User
 
Beiträge: 37
Registriert: Do 16.03.2006 - 20:54

Beitragvon 12345x » Do 10.06.2010 - 16:05

Also, es klappt jetzt.
Wir haben noch mal alles nach der Anleitung durchgenommen. Der einzigste unterschied war, dass wir nicht den Assisten genommen haben sondern alle Einstellungen per hand eingestellt. Da sollte man beim Lancom etwas aufpassen. Die vorgehensweise ist dort, dass man die Rubrik VPN wählt und alle Reiter von rechts nach links abarbeitet.

Funktioniert jetzt einwahnfrei. Ich glaub, es haette schon viel früher funktioniert. Das Problem ist eben, dass man nicht selber vor dem Geraet sitzt. ;)

thx für die Hilfe
12345x
Grünschnabel
 
Beiträge: 4
Registriert: Do 14.05.2009 - 15:41


Zurück zu Fernzugriff und Netzwerkkopplung

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste

cron