derkabeltrommler
Goto Top

LANCOM VPN Client: VPN Gateway antwortet nicht (Warten auf Msg 2)

Hallo,

ich habe folgendes Problem:
Ein Client baut eine VPN Verbindung zu einem Partner auf, um dort zu arbeiten.
Der User arbeitet auf einer virtuellen Maschine. Aufgrund eines IP Adresskonflikts, hat besagter User seine IP Adresse geändert.
Seit dem kommt beim Versuch eine VPN Verbindung aufzubauen, die in dem Titel angegebene Fehlermeldung.

Das VPN Gateway lässt sich anpingen.

Hier einmal der Logeintrag:
12.06.2014 13:01:36 IPSec: Start building connection
12.06.2014 13:01:36 IpsDial: connection time interface choice,LocIpa=100.10.10.240,AdapterIndex=202
12.06.2014 13:01:36 Ike: Outgoing connect request AGGRESSIVE mode - gateway=62.xxx.xxx.xxx : Zentrale-VPN
12.06.2014 13:01:36 Ike: XMIT_MSG1_AGGRESSIVE - Zentrale-VPN
12.06.2014 13:01:58 ERROR - 4021: IKE(phase1) - Could not contact Gateway (No response) in state <Wait for Message 2> - Zentrale-VPN
12.06.2014 13:01:58 Ike: phase1:name(Zentrale-VPN) - ERROR - retry timeout - max retries
12.06.2014 13:01:58 IPSec: Disconnected from Zentrale-VPN on channel 1.

Ich vermute, es hängt mit der IP Änderung zusammen. Auch das erneute Ändern auf die alte IP hat nicht geholfen.

Eventuell habt ihr noch einen Tipp, oder hattet ein ähnliches Problem.

Gruß
Der Trommler

Content-Key: 240718

Url: https://administrator.de/contentid/240718

Ausgedruckt am: 29.03.2024 um 06:03 Uhr

Mitglied: 110135
110135 12.06.2014 um 13:54:31 Uhr
Goto Top
Hallo,

hat der User seinen Rechner nach dem Ändern der IP-Adresse denn einmal neu gestartet?
Bzw. einen IKE-Reset gemacht?

Ggf. einmal die Firewall prüfen,...

Gruß,
Florian
Mitglied: DerKabelTrommler
DerKabelTrommler 12.06.2014 um 14:04:49 Uhr
Goto Top
Hi,

erstmal danke für deine schnelle Antwort!

Der User hat nach der Änderung einen Neustart gemacht.
Wie macht man denn einen IKE-Reset?

In der Firewall ist alles soweit in Ordnung.

Gruß
Der Trommler
Mitglied: keine-ahnung
keine-ahnung 12.06.2014 um 14:11:33 Uhr
Goto Top
Moin,
Ein Client baut eine VPN Verbindung zu einem Partner auf, um dort zu arbeiten.
wo steht eigentlich der Lancom, zu dem verbunden wird? Beim "Partner"??
Aufgrund eines IP Adresskonflikts, hat besagter User seine IP Adresse geändert
Was für ein Adresskonflikt war das? Haben die Netze noch unterschiedliche ranges? Weder den VPN-Client noch den Lancom sollte die netzinterne Adresse interessieren ... Habt Ihr mal das Profil für den VPN-Client im Router neu erstellt?

LG vom Kattegat, Thomas
Mitglied: DerKabelTrommler
DerKabelTrommler 12.06.2014 um 14:18:38 Uhr
Goto Top
Zitat von @keine-ahnung:

Moin,
> Ein Client baut eine VPN Verbindung zu einem Partner auf, um dort zu arbeiten.
wo steht eigentlich der Lancom, zu dem verbunden wird? Beim "Partner"??
> Aufgrund eines IP Adresskonflikts, hat besagter User seine IP Adresse geändert
Was für ein Adresskonflikt war das? Haben die Netze noch unterschiedliche ranges? Weder den VPN-Client noch den Lancom sollte
die netzinterne Adresse interessieren ... Habt Ihr mal das Profil für den VPN-Client im Router neu erstellt?

LG vom Kattegat, Thomas

Hi,

der Lancom steht beim Partner. Darauf habe ich auch keinen Zugriff.
Ich kann mir auch nicht vorstellen, dass die interne IP irgendetwas damit zu tun hat. Aber es war nunmal die letzte Änderung vor besagtem Problem.

Gruß
Der Trommler
Mitglied: keine-ahnung
keine-ahnung 12.06.2014 um 14:30:03 Uhr
Goto Top
Dann kann doch der Partner mal probehalber für den client ein neues Profil erstellen und Euch zumailen?

LG, Thomas
Mitglied: DerKabelTrommler
DerKabelTrommler 12.06.2014 aktualisiert um 14:55:01 Uhr
Goto Top
Ich habe schon mit der EDV des Partners gesprochen. Die erstellen jetzt ein neues Profil.
Ich werde das dann ausprobieren und mich nochmal melden.

Gruß
Der Trommler

EDIT: Auch das neue Profil hat nicht geholfen.
Mitglied: DerKabelTrommler
DerKabelTrommler 13.06.2014 um 08:13:43 Uhr
Goto Top
Hallo,

leider bisher keine Lösung in Sicht.
Hat noch Jemand eine Idee?

Gruß
Der Trommler
Mitglied: 110135
110135 13.06.2014 um 08:15:04 Uhr
Goto Top
Hi,

was sagt denn der Syslog vom LANCOM-Gateway - kannst du das mal in Erfahrung bringen?

Gruß,
Florian.
Mitglied: DerKabelTrommler
DerKabelTrommler 13.06.2014 um 08:46:37 Uhr
Goto Top
Laut Partner EDV anscheinend garnichts. Es geht von der VM wohl nichts raus und nichts rein.
Könntest du mir vielleicht nochmal erklären, wie das mit dem IKE-Reset geht. So blöd das klingt, aber das höre ich zum ersten mal.

Gruß
Der Trommler
Mitglied: keine-ahnung
keine-ahnung 13.06.2014 um 10:34:02 Uhr
Goto Top
Moin,

was mir gerade so durch den Urlaubskopf schiesst: Eure eigene firewall kann da nicht zwischenfunken, wenn die Adresse des LAN-Clients jetzt eine andere ist? Ansonsten auch mal in das Info-center des VPN-Clients schauen, eventuell gibt es da noch Informationen?

LG, Thomas
Mitglied: 110135
110135 13.06.2014 um 10:46:01 Uhr
Goto Top
Hi,

also ich tippe auch ganz stark auf die Firewall. Was ich bei den NCP Clients schon hatte (und der Advanced VPN Client ist ja ein solcher), dass nach der IP Adress-Änderung ein Rechner-Neustart von Nöten war.
Die Windows-Firewall pfuscht ab und zu auch mal dazwischen - aber eine Hardware-Firewall könnte dies auch...

Mit dem IKE-Reset habe ich mich etwas getäuscht - das hilft bei den Greenbow-VPN Clients. Wird aber auch beim Rechner-Neustart erledigt.

Wenn du einmal das Profil im VPN-Client öffnest und bei Verbindungsmedium "LAN (over IP)" auswählst - funktioniert es dann?


Was mich auch stutzig macht:
12.06.2014 13:01:36 IpsDial: connection time interface choice,LocIpa=100.10.10.240,AdapterIndex=202

Ist eure Local-IP an dem Client wirklich 100.10.10.240?!

Gruß,
Florian
Mitglied: DerKabelTrommler
DerKabelTrommler 13.06.2014 um 11:50:08 Uhr
Goto Top
Hi,

die Firewall lässt die Verbindung durch. Das habe ich soweit angepasst. Auch eben nochmal überprüft.

Ich schaue mir gleich das InfoCenter nochmal an.

Gruß
Der Trommler
Mitglied: DerKabelTrommler
DerKabelTrommler 13.06.2014 aktualisiert um 12:18:44 Uhr
Goto Top
Hi,

der Rechner wurde neugestartet. Windows Firewall ist deaktiviert.

Lan (over IP) war schon ausgewählt. Die Local-IP stimmt. Ist 100.10.10.240.

Was mich schon stört, ist das der Datendurchsatz bei 0,00 kb/s bleibt....


Gruß
Der Trommler
Mitglied: 110135
110135 13.06.2014 um 12:26:25 Uhr
Goto Top
Hallo,

Dann überdenkt bitte einmal die Adressierung. Der Bereich 100.x.x.x ist öffentlich!
Mitglied: keine-ahnung
keine-ahnung 13.06.2014 um 12:28:45 Uhr
Goto Top
Greift da noch ein anderes Gerät über die selbe öffentliche Adresse auf den Lancom zu? Das würde nur funktionieren, wenn das VPN über den aggressive, nicht über den main-mode zustande kommt. Zusätzlich kann der "Lancom-Chef" diesen Zettel noch mal abarbeiten.

LG, Thomas
Mitglied: DerKabelTrommler
DerKabelTrommler 13.06.2014 um 12:59:28 Uhr
Goto Top
Oh man, das was ich vorher geschrieben habe war murks - Die IP ist natürlich 10.10.10.240 !!! Ich hatte den Log nur angepasst und dabei wollte ich auch die lokale IP ändern und dann aber wieder nicht und dann ist wohl die 100 stehen geblieben...

Gruß
Der Trommler
Mitglied: DerKabelTrommler
DerKabelTrommler 13.06.2014 aktualisiert um 13:22:37 Uhr
Goto Top
Hi,

nein, dieses ist das einzige Gerät was auf den Lancom zugreift.

Ich habe dem Partner den Zettel geschickt. Leider schint der mir nicht sonderlich kooperativ Heute....

Ich sehe auch gerade, dass bei dem NCP Secure Client Virtual Adapter (Bei den Netzwerkverbindungen) steh: Netzwerkkabel wurde entfernt. Hat dieser Adapter irgendetwas damit zu tun? Ich kenne mich wirklich nicht gut mit der Materie aus... -> Woran könnte das denn liegen?

Gruß
Der Trommler
Mitglied: keine-ahnung
keine-ahnung 13.06.2014 um 13:41:39 Uhr
Goto Top
Wenn der keine Verbindung hat, ist das normal. Was ist das überhaupt für eine IP? Wenn Du Dich auf dem VPN-Router einwählst, sollte der VPN-Adapter eine IP vom DHCP des Lancom-Netzes erhalten, wenn das so eingerichtet ist ... respektive eine statische IP aus dieser range konfiguriert bekommen.

LG, Thomas
Mitglied: DerKabelTrommler
DerKabelTrommler 13.06.2014 um 13:47:28 Uhr
Goto Top
Ich vermute mal, das der eine IP aus dem Lancom Netz bekommt (via DHCP). Eingetragen ist auf jeden Fall "IP-Adresse automatisch beziehen"

Gruß
Der Trommler
Mitglied: 110135
110135 13.06.2014 um 16:24:50 Uhr
Goto Top
Hallo,

Dann versuche folgendes: VPN Client deinstallieren, neu starten, Netzwereinstellungen nochmals prüfen. Dann den VPN Client neu installieren und wieder Neustart. Dann Profil importieren und prüfen.

Gruß Florian
Mitglied: aqui
Lösung aqui 14.06.2014, aktualisiert am 16.06.2014 um 19:59:57 Uhr
Goto Top
Ich kann mir auch nicht vorstellen, dass die interne IP irgendetwas damit zu tun hat...
Ohh doch !
Gerade weil ihr 10er IP Adressen verwendet ist hier die Subnetzmaske essentiell wichtig. Es darf keinerlei Überschneidungen geben bei Client und Server. Prüfe das genau !
Siehe auch hier: IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software im Kapitel "Allgemeine Tips zum IP Adressdesign" !

Im Zweifel wenn alle Stricke reissen nimm dir immer einen Wireshark Sniffer und checke an der Firewall ob dort IKE Pakete (Phase 1 bei IPsec) des Clients ankommen !
Laut der Fehlermeldung sieht es so aus als ob das genau nicht der Fall ist.
Die Firewall muss UDP 500, UDP 4500 und das ESP Protokoll (Nr. 50) durchlassen für IPsec.
Gerade bei ESP wird immer und immer wieder ein Fehler gemacht, denn Laien denken das ist TCP oder UDP 50 was es aber genau nicht ist. ESP ist ein eigenständiges IP Protokoll mit der Nummer 50 und muss auch entsprechend so in der FW eingetragen sein.
Mit einem kostenfreien Shrew VPN Client https://www.shrew.net funktioniert so die Verbindung auf einen Lancom vollkommen problemlos.
Mitglied: DerKabelTrommler
DerKabelTrommler 16.06.2014 um 20:00:44 Uhr
Goto Top
Hi,

der Tipp mit dem Shrew VPN Client hat geholfen! Damit klappts!

Vielen Dank!

Der Trommler