Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

IPSec Problem mit VPN Access 25 und Shrewsoft VPN Client (Phase2)

Frage Netzwerke Router & Routing

Mitglied: lastminute

lastminute (Level 1) - Jetzt verbinden

14.05.2012, aktualisiert 17.05.2012, 6787 Aufrufe, 2 Kommentare

Hallo,

ich habe ein Problem beim Tunnelaufbau (Phase 2).

Die Konfiguration sieht folgendermaßen aus:

VPN25 steht hinter einer Fritzbox (ind der DMZ vom Speedport 920v geht es genauso wenig) welche im vpn25 als gateway eingetragen ist.

UDP Port 500 und 4500 sowie ESP also auch GRE Protokoll werden durch die FB auf den vpn25 geforwarded.

Hier mal die Log vom VPN Client:

01.
 ## : IKE Daemon, ver 2.2.0 
02.
 ## : Copyright 2009 Shrew Soft Inc. 
03.
 ## : This product linked OpenSSL 0.9.8h 28 May 2008 
04.
 ii : opened 'C:\Program Files\ShrewSoft\VPN Client\debug\iked.log' 
05.
 ii : opened 'C:\Program Files\ShrewSoft\VPN Client/debug/dump-ike-decrypt.cap' 
06.
 ii : opened 'C:\Program Files\ShrewSoft\VPN Client/debug/dump-ike-encrypt.cap' 
07.
 ii : rebuilding vnet device list ... 
08.
 ii : device ROOT\VNET\0000 disabled 
09.
 ii : device ROOT\VNET\0001 disabled 
10.
 ii : network process thread begin ... 
11.
 ii : pfkey process thread begin ... 
12.
 ii : ipc server process thread begin ... 
13.
 ii : ipc client process thread begin ... 
14.
 <A : peer config add message 
15.
 <A : proposal config message 
16.
 <A : proposal config message 
17.
 <A : client config message 
18.
 <A : local id 'vpn' message 
19.
 <A : remote id 'vpn25' message 
20.
 <A : preshared key message 
21.
 <A : peer tunnel enable message 
22.
 DB : peer added ( obj count = 1 ) 
23.
 ii : local address 192.168.178.48 selected for peer 
24.
 DB : tunnel added ( obj count = 1 ) 
25.
 DB : new phase1 ( ISAKMP initiator ) 
26.
 DB : exchange type is aggressive 
27.
 DB : 192.168.178.48:500 <-> **.***.***.**:500 
28.
 DB : 5888744ea3416ed2:0000000000000000 
29.
 DB : phase1 added ( obj count = 1 ) 
30.
 >> : security association payload 
31.
 >> : - proposal #1 payload  
32.
 >> : -- transform #1 payload  
33.
 >> : -- transform #2 payload  
34.
 >> : -- transform #3 payload  
35.
 >> : -- transform #4 payload  
36.
 >> : -- transform #5 payload  
37.
 >> : -- transform #6 payload  
38.
 >> : -- transform #7 payload  
39.
 >> : -- transform #8 payload  
40.
 >> : -- transform #9 payload  
41.
 >> : -- transform #10 payload  
42.
 >> : -- transform #11 payload  
43.
 >> : -- transform #12 payload  
44.
 >> : -- transform #13 payload  
45.
 >> : -- transform #14 payload  
46.
 >> : -- transform #15 payload  
47.
 >> : -- transform #16 payload  
48.
 >> : -- transform #17 payload  
49.
 >> : -- transform #18 payload  
50.
 >> : key exchange payload 
51.
 >> : nonce payload 
52.
 >> : identification payload 
53.
 >> : vendor id payload 
54.
 ii : local supports nat-t ( draft v00 ) 
55.
 >> : vendor id payload 
56.
 ii : local supports nat-t ( draft v01 ) 
57.
 >> : vendor id payload 
58.
 ii : local supports nat-t ( draft v02 ) 
59.
 >> : vendor id payload 
60.
 ii : local supports nat-t ( draft v03 ) 
61.
 >> : vendor id payload 
62.
 ii : local supports nat-t ( rfc ) 
63.
 >> : vendor id payload 
64.
 ii : local supports FRAGMENTATION 
65.
 >> : vendor id payload 
66.
 >> : vendor id payload 
67.
 ii : local supports DPDv1 
68.
 >> : vendor id payload 
69.
 ii : local is SHREW SOFT compatible 
70.
 >> : vendor id payload 
71.
 ii : local is NETSCREEN compatible 
72.
 >> : vendor id payload 
73.
 ii : local is SIDEWINDER compatible 
74.
 >> : vendor id payload 
75.
 ii : local is CISCO UNITY compatible 
76.
 >= : cookies 5888744ea3416ed2:0000000000000000 
77.
 >= : message 00000000 
78.
 -> : send IKE packet 192.168.178.48:500 -> **.***.***.**:500 ( 1190 bytes ) 
79.
 DB : phase1 resend event scheduled ( ref count = 2 ) 
80.
 <- : recv IKE packet **.***.***.**:500 -> 192.168.178.48:500 ( 461 bytes ) 
81.
 DB : phase1 found 
82.
 ii : processing phase1 packet ( 461 bytes ) 
83.
 =< : cookies 5888744ea3416ed2:b3305fb57e6c80f0 
84.
 =< : message 00000000 
85.
 << : security association payload 
86.
 << : - propsal #1 payload  
87.
 << : -- transform #1 payload  
88.
 ii : matched isakmp proposal #1 transform #1 
89.
 ii : - transform    = ike 
90.
 ii : - cipher type  = aes 
91.
 ii : - key length   = 256 bits 
92.
 ii : - hash type    = md5 
93.
 ii : - dh group     = group2 ( modp-1024 ) 
94.
 ii : - auth type    = psk 
95.
 ii : - life seconds = 86400 
96.
 ii : - life kbytes  = 0 
97.
 << : key exchange payload 
98.
 << : nonce payload 
99.
 << : identification payload 
100.
 ii : phase1 id match  
101.
 ii : received = fqdn vpn25 
102.
 << : hash payload 
103.
 << : vendor id payload 
104.
 ii : unknown vendor id ( 16 bytes ) 
105.
 0x : 0048e227 0bea8395 ed778d34 3cc2a076 
106.
 << : vendor id payload 
107.
 ii : unknown vendor id ( 16 bytes ) 
108.
 0x : 810fa565 f8ab1436 9105d706 fbd57279 
109.
 << : vendor id payload 
110.
 ii : peer supports nat-t ( draft v03 ) 
111.
 << : vendor id payload 
112.
 ii : peer supports nat-t ( draft v02 ) 
113.
 << : vendor id payload 
114.
 ii : unknown vendor id ( 16 bytes ) 
115.
 0x : cd604643 35df21f8 7cfdb2fc 68b6a448 
116.
 << : vendor id payload 
117.
 ii : peer supports nat-t ( draft v00 ) 
118.
 << : vendor id payload 
119.
 ii : peer supports DPDv1 
120.
 << : nat discovery payload 
121.
 << : nat discovery payload 
122.
 ii : nat discovery - local address is translated 
123.
 ii : nat discovery - remote address is translated 
124.
 ii : switching to src nat-t udp port 4500 
125.
 ii : switching to dst nat-t udp port 4500 
126.
 == : DH shared secret ( 128 bytes ) 
127.
 == : SETKEYID ( 16 bytes ) 
128.
 == : SETKEYID_d ( 16 bytes ) 
129.
 == : SETKEYID_a ( 16 bytes ) 
130.
 == : SETKEYID_e ( 16 bytes ) 
131.
 == : cipher key ( 32 bytes ) 
132.
 == : cipher iv ( 16 bytes ) 
133.
 == : phase1 hash_i ( computed ) ( 16 bytes ) 
134.
 >> : hash payload 
135.
 >> : nat discovery payload 
136.
 >> : nat discovery payload 
137.
 >= : cookies 5888744ea3416ed2:b3305fb57e6c80f0 
138.
 >= : message 00000000 
139.
 >= : encrypt iv ( 16 bytes ) 
140.
 == : encrypt packet ( 88 bytes ) 
141.
 == : stored iv ( 16 bytes ) 
142.
 DB : phase1 resend event canceled ( ref count = 1 ) 
143.
 -> : send NAT-T:IKE packet 192.168.178.48:4500 -> **.***.***.**:4500 ( 124 bytes ) 
144.
 == : phase1 hash_r ( computed ) ( 16 bytes ) 
145.
 == : phase1 hash_r ( received ) ( 16 bytes ) 
146.
 ii : phase1 sa established 
147.
 ii : **.***.***.**:4500 <-> 192.168.178.48:4500 
148.
 ii : 5888744ea3416ed2:b3305fb57e6c80f0 
149.
 ii : sending peer INITIAL-CONTACT notification 
150.
 ii : - 192.168.178.48:4500 -> **.***.***.**:4500 
151.
 ii : - isakmp spi = 5888744ea3416ed2:b3305fb57e6c80f0 
152.
 ii : - data size 0 
153.
 >> : hash payload 
154.
 >> : notification payload 
155.
 == : new informational hash ( 16 bytes ) 
156.
 == : new informational iv ( 16 bytes ) 
157.
 >= : cookies 5888744ea3416ed2:b3305fb57e6c80f0 
158.
 >= : message e95bd5ee 
159.
 >= : encrypt iv ( 16 bytes ) 
160.
 == : encrypt packet ( 76 bytes ) 
161.
 == : stored iv ( 16 bytes ) 
162.
 -> : send NAT-T:IKE packet 192.168.178.48:4500 -> **.***.***.**:4500 ( 108 bytes ) 
163.
 DB : config added ( obj count = 1 ) 
164.
 ii : building config attribute list 
165.
 ii : - IP4 Address 
166.
 ii : - Address Expiry 
167.
 ii : - IP4 Netamask 
168.
 ii : - IP4 WINS Server 
169.
 ii : - IP4 Subnet 
170.
 == : new config iv ( 16 bytes ) 
171.
 ii : sending config pull request 
172.
 >> : hash payload 
173.
 >> : attribute payload 
174.
 == : new configure hash ( 16 bytes ) 
175.
 >= : cookies 5888744ea3416ed2:b3305fb57e6c80f0 
176.
 >= : message d7af0889 
177.
 >= : encrypt iv ( 16 bytes ) 
178.
 == : encrypt packet ( 76 bytes ) 
179.
 == : stored iv ( 16 bytes ) 
180.
 -> : send NAT-T:IKE packet 192.168.178.48:4500 -> **.***.***.**:4500 ( 108 bytes ) 
181.
 DB : config resend event scheduled ( ref count = 2 ) 
182.
 DB : phase2 not found 
183.
 -> : resend 1 config packet(s) [0/2] 192.168.178.48:4500 -> **.***.***.**:4500 
184.
 -> : resend 1 config packet(s) [1/2] 192.168.178.48:4500 -> **.***.***.**:4500 
185.
 DB : phase1 found 
186.
 ii : sending peer DPDV1-R-U-THERE notification 
187.
 ii : - 192.168.178.48:4500 -> **.***.***.**:4500 
188.
 ii : - isakmp spi = 5888744ea3416ed2:b3305fb57e6c80f0 
189.
 ii : - data size 4 
190.
 >> : hash payload 
191.
 >> : notification payload 
192.
 == : new informational hash ( 16 bytes ) 
193.
 == : new informational iv ( 16 bytes ) 
194.
 >= : cookies 5888744ea3416ed2:b3305fb57e6c80f0 
195.
 >= : message 8b96ad2d 
196.
 >= : encrypt iv ( 16 bytes ) 
197.
 == : encrypt packet ( 80 bytes ) 
198.
 == : stored iv ( 16 bytes ) 
199.
 -> : send NAT-T:IKE packet 192.168.178.48:4500 -> **.***.***.**:4500 ( 124 bytes ) 
200.
 ii : DPD ARE-YOU-THERE sequence 3ae6735b requested 
201.
 DB : phase1 found 
202.
 -> : send NAT-T:KEEP-ALIVE packet 192.168.178.48:4500 -> **.***.***.**:4500 
203.
 <- : recv NAT-T:IKE packet **.***.***.**:4500 -> 192.168.178.48:4500 ( 92 bytes ) 
204.
 DB : phase1 found 
205.
 ii : processing informational packet ( 92 bytes ) 
206.
 == : new informational iv ( 16 bytes ) 
207.
 =< : cookies 5888744ea3416ed2:b3305fb57e6c80f0 
208.
 =< : message 4c0f3b5c 
209.
 =< : decrypt iv ( 16 bytes ) 
210.
 == : decrypt packet ( 92 bytes ) 
211.
 <= : trimmed packet padding ( 12 bytes ) 
212.
 <= : stored iv ( 16 bytes ) 
213.
 << : hash payload 
214.
 << : notification payload 
215.
 == : informational hash_i ( computed ) ( 16 bytes ) 
216.
 == : informational hash_c ( received ) ( 16 bytes ) 
217.
 ii : informational hash verified 
218.
 ii : received peer DPDV1-R-U-THERE-ACK notification 
219.
 ii : - **.***.***.**:4500 -> 192.168.178.48:4500 
220.
 ii : - isakmp spi = 5888744ea3416ed2:b3305fb57e6c80f0 
221.
 ii : - data size 4 
222.
 ii : DPD ARE-YOU-THERE-ACK sequence 3ae6735b accepted 
223.
 ii : next tunnel DPD request in 15 secs for peer **.***.***.**:4500 
224.
 -> : resend 1 config packet(s) [2/2] 192.168.178.48:4500 -> **.***.***.**:4500 
225.
 <A : peer tunnel disable message 
226.
 DB : policy not found 
227.
 DB : policy not found 
228.
 DB : policy not found 
229.
 DB : policy not found 
230.
 DB : tunnel dpd event canceled ( ref count = 4 ) 
231.
 DB : tunnel natt event canceled ( ref count = 3 ) 
232.
 DB : removing tunnel config references 
233.
 DB : config resend event canceled ( ref count = 1 ) 
234.
 DB : config deleted ( obj count = 0 ) 
235.
 DB : removing tunnel phase2 references 
236.
 DB : removing tunnel phase1 references 
237.
 DB : phase1 soft event canceled ( ref count = 3 ) 
238.
 DB : phase1 hard event canceled ( ref count = 2 ) 
239.
 DB : phase1 dead event canceled ( ref count = 1 ) 
240.
 ii : sending peer DELETE message 
241.
 ii : - 192.168.178.48:4500 -> **.***.***.**:4500 
242.
 ii : - isakmp spi = 5888744ea3416ed2:b3305fb57e6c80f0 
243.
 ii : - data size 0 
244.
 >> : hash payload 
245.
 >> : delete payload 
246.
 == : new informational hash ( 16 bytes ) 
247.
 == : new informational iv ( 16 bytes ) 
248.
 >= : cookies 5888744ea3416ed2:b3305fb57e6c80f0 
249.
 >= : message 4bafaaa3 
250.
 >= : encrypt iv ( 16 bytes ) 
251.
 == : encrypt packet ( 76 bytes ) 
252.
 == : stored iv ( 16 bytes ) 
253.
 -> : send NAT-T:IKE packet 192.168.178.48:4500 -> **.***.***.**:4500 ( 108 bytes ) 
254.
 ii : phase1 removal before expire time 
255.
 DB : phase1 deleted ( obj count = 0 ) 
256.
 DB : tunnel deleted ( obj count = 0 ) 
257.
 DB : removing all peer tunnel refrences 
258.
 DB : peer deleted ( obj count = 0 ) 
259.
 ii : ipc client process thread exit ...
Ich vermute mal dass ich den Wald vor lauter Bäumen nicht sehe

Bin für jede Hilfe dankbar!
Mitglied: aqui
14.05.2012 um 20:50 Uhr
Fehlermeldung lesen...
Du hast einen Policy Mismatch oder besser eine fehlende Policy. D.h. das eine Ende schlägt was vor was das andere Tunnelende nicht kann.
Irgendwas stimmt also in deinen IP Adressen, FQDNs oder Schlüsselalgorythmen nicht.
Du solltest akribisch überprüfen ob beide Enden die gleichen Settings haben !
Bitte warten ..
Mitglied: lastminute
17.05.2012 um 15:05 Uhr
Zitat von aqui:
Du solltest akribisch überprüfen ob beide Enden die gleichen Settings haben !


Danke für deinen Tipp. Ich habe vor längerer Zeit ein bintect Geräte eingerichtet und schon damals einen ähnlichen Fehler gemacht.

Es lag an der IP Adresse.
Damlas beim r232 habe die Vergabe mit IKE Config Mode welcher bei diesem Gerät so scheinbar nicht vorhanden ist (oder ich bin zu .... wenig mit der Materie vertraut) gelöst.

Hier mal eine hilfreiche Anleitung (vll. hat ja irgendwann jmd anders ein ähnliches Problem):
http://faq.teldat.de/faq_bintec_212_ipsec_verbindung_r3000_ipsecclient_ ...
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Firewall
PFSense 2.3.1-RELEASE-p5 und IPSec Problem (1)

Frage von bchristopeit zum Thema Firewall ...

Router & Routing
gelöst Mikrotik VPN - Router hat Zugriff, Client nicht (28)

Frage von BirdyB zum Thema Router & Routing ...

Firewall
gelöst Site-to-Site-VPN und Cisco VPN-Client von gleicher IP (2)

Frage von TripleDouble zum Thema Firewall ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...