Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

LANCOM VPN Client: VPN Gateway antwortet nicht (Warten auf Msg 2)

Frage Netzwerke LAN, WAN, Wireless

Mitglied: DerKabelTrommler

DerKabelTrommler (Level 1) - Jetzt verbinden

12.06.2014, aktualisiert 16.06.2014, 18954 Aufrufe, 22 Kommentare

Hallo,

ich habe folgendes Problem:
Ein Client baut eine VPN Verbindung zu einem Partner auf, um dort zu arbeiten.
Der User arbeitet auf einer virtuellen Maschine. Aufgrund eines IP Adresskonflikts, hat besagter User seine IP Adresse geändert.
Seit dem kommt beim Versuch eine VPN Verbindung aufzubauen, die in dem Titel angegebene Fehlermeldung.

Das VPN Gateway lässt sich anpingen.

Hier einmal der Logeintrag:
12.06.2014 13:01:36 IPSec: Start building connection
12.06.2014 13:01:36 IpsDial: connection time interface choice,LocIpa=100.10.10.240,AdapterIndex=202
12.06.2014 13:01:36 Ike: Outgoing connect request AGGRESSIVE mode - gateway=62.xxx.xxx.xxx : Zentrale-VPN
12.06.2014 13:01:36 Ike: XMIT_MSG1_AGGRESSIVE - Zentrale-VPN
12.06.2014 13:01:58 ERROR - 4021: IKE(phase1) - Could not contact Gateway (No response) in state <Wait for Message 2> - Zentrale-VPN
12.06.2014 13:01:58 Ike: phase1:name(Zentrale-VPN) - ERROR - retry timeout - max retries
12.06.2014 13:01:58 IPSec: Disconnected from Zentrale-VPN on channel 1.

Ich vermute, es hängt mit der IP Änderung zusammen. Auch das erneute Ändern auf die alte IP hat nicht geholfen.

Eventuell habt ihr noch einen Tipp, oder hattet ein ähnliches Problem.

Gruß
Der Trommler
Mitglied: flow.ryan
12.06.2014 um 13:54 Uhr
Hallo,

hat der User seinen Rechner nach dem Ändern der IP-Adresse denn einmal neu gestartet?
Bzw. einen IKE-Reset gemacht?

Ggf. einmal die Firewall prüfen,...

Gruß,
Florian
Bitte warten ..
Mitglied: DerKabelTrommler
12.06.2014 um 14:04 Uhr
Hi,

erstmal danke für deine schnelle Antwort!

Der User hat nach der Änderung einen Neustart gemacht.
Wie macht man denn einen IKE-Reset?

In der Firewall ist alles soweit in Ordnung.

Gruß
Der Trommler
Bitte warten ..
Mitglied: keine-ahnung
12.06.2014 um 14:11 Uhr
Moin,
Ein Client baut eine VPN Verbindung zu einem Partner auf, um dort zu arbeiten.
wo steht eigentlich der Lancom, zu dem verbunden wird? Beim "Partner"??
Aufgrund eines IP Adresskonflikts, hat besagter User seine IP Adresse geändert
Was für ein Adresskonflikt war das? Haben die Netze noch unterschiedliche ranges? Weder den VPN-Client noch den Lancom sollte die netzinterne Adresse interessieren ... Habt Ihr mal das Profil für den VPN-Client im Router neu erstellt?

LG vom Kattegat, Thomas
Bitte warten ..
Mitglied: DerKabelTrommler
12.06.2014 um 14:18 Uhr
Zitat von keine-ahnung:

Moin,
> Ein Client baut eine VPN Verbindung zu einem Partner auf, um dort zu arbeiten.
wo steht eigentlich der Lancom, zu dem verbunden wird? Beim "Partner"??
> Aufgrund eines IP Adresskonflikts, hat besagter User seine IP Adresse geändert
Was für ein Adresskonflikt war das? Haben die Netze noch unterschiedliche ranges? Weder den VPN-Client noch den Lancom sollte
die netzinterne Adresse interessieren ... Habt Ihr mal das Profil für den VPN-Client im Router neu erstellt?

LG vom Kattegat, Thomas

Hi,

der Lancom steht beim Partner. Darauf habe ich auch keinen Zugriff.
Ich kann mir auch nicht vorstellen, dass die interne IP irgendetwas damit zu tun hat. Aber es war nunmal die letzte Änderung vor besagtem Problem.

Gruß
Der Trommler
Bitte warten ..
Mitglied: keine-ahnung
12.06.2014 um 14:30 Uhr
Dann kann doch der Partner mal probehalber für den client ein neues Profil erstellen und Euch zumailen?

LG, Thomas
Bitte warten ..
Mitglied: DerKabelTrommler
12.06.2014, aktualisiert um 14:55 Uhr
Ich habe schon mit der EDV des Partners gesprochen. Die erstellen jetzt ein neues Profil.
Ich werde das dann ausprobieren und mich nochmal melden.

Gruß
Der Trommler

EDIT: Auch das neue Profil hat nicht geholfen.
Bitte warten ..
Mitglied: DerKabelTrommler
13.06.2014 um 08:13 Uhr
Hallo,

leider bisher keine Lösung in Sicht.
Hat noch Jemand eine Idee?

Gruß
Der Trommler
Bitte warten ..
Mitglied: flow.ryan
13.06.2014 um 08:15 Uhr
Hi,

was sagt denn der Syslog vom LANCOM-Gateway - kannst du das mal in Erfahrung bringen?

Gruß,
Florian.
Bitte warten ..
Mitglied: DerKabelTrommler
13.06.2014 um 08:46 Uhr
Laut Partner EDV anscheinend garnichts. Es geht von der VM wohl nichts raus und nichts rein.
Könntest du mir vielleicht nochmal erklären, wie das mit dem IKE-Reset geht. So blöd das klingt, aber das höre ich zum ersten mal.

Gruß
Der Trommler
Bitte warten ..
Mitglied: keine-ahnung
13.06.2014 um 10:34 Uhr
Moin,

was mir gerade so durch den Urlaubskopf schiesst: Eure eigene firewall kann da nicht zwischenfunken, wenn die Adresse des LAN-Clients jetzt eine andere ist? Ansonsten auch mal in das Info-center des VPN-Clients schauen, eventuell gibt es da noch Informationen?

LG, Thomas
Bitte warten ..
Mitglied: flow.ryan
13.06.2014 um 10:46 Uhr
Hi,

also ich tippe auch ganz stark auf die Firewall. Was ich bei den NCP Clients schon hatte (und der Advanced VPN Client ist ja ein solcher), dass nach der IP Adress-Änderung ein Rechner-Neustart von Nöten war.
Die Windows-Firewall pfuscht ab und zu auch mal dazwischen - aber eine Hardware-Firewall könnte dies auch...

Mit dem IKE-Reset habe ich mich etwas getäuscht - das hilft bei den Greenbow-VPN Clients. Wird aber auch beim Rechner-Neustart erledigt.

Wenn du einmal das Profil im VPN-Client öffnest und bei Verbindungsmedium "LAN (over IP)" auswählst - funktioniert es dann?


Was mich auch stutzig macht:
12.06.2014 13:01:36 IpsDial: connection time interface choice,LocIpa=100.10.10.240,AdapterIndex=202

Ist eure Local-IP an dem Client wirklich 100.10.10.240?!

Gruß,
Florian
Bitte warten ..
Mitglied: DerKabelTrommler
13.06.2014 um 11:50 Uhr
Hi,

die Firewall lässt die Verbindung durch. Das habe ich soweit angepasst. Auch eben nochmal überprüft.

Ich schaue mir gleich das InfoCenter nochmal an.

Gruß
Der Trommler
Bitte warten ..
Mitglied: DerKabelTrommler
13.06.2014, aktualisiert um 12:18 Uhr
Hi,

der Rechner wurde neugestartet. Windows Firewall ist deaktiviert.

Lan (over IP) war schon ausgewählt. Die Local-IP stimmt. Ist 100.10.10.240.

Was mich schon stört, ist das der Datendurchsatz bei 0,00 kb/s bleibt....


Gruß
Der Trommler
Bitte warten ..
Mitglied: flow.ryan
13.06.2014 um 12:26 Uhr
Hallo,

Dann überdenkt bitte einmal die Adressierung. Der Bereich 100.x.x.x ist öffentlich!
Bitte warten ..
Mitglied: keine-ahnung
13.06.2014 um 12:28 Uhr
Greift da noch ein anderes Gerät über die selbe öffentliche Adresse auf den Lancom zu? Das würde nur funktionieren, wenn das VPN über den aggressive, nicht über den main-mode zustande kommt. Zusätzlich kann der "Lancom-Chef" diesen Zettel noch mal abarbeiten.

LG, Thomas
Bitte warten ..
Mitglied: DerKabelTrommler
13.06.2014 um 12:59 Uhr
Oh man, das was ich vorher geschrieben habe war murks - Die IP ist natürlich 10.10.10.240 !!! Ich hatte den Log nur angepasst und dabei wollte ich auch die lokale IP ändern und dann aber wieder nicht und dann ist wohl die 100 stehen geblieben...

Gruß
Der Trommler
Bitte warten ..
Mitglied: DerKabelTrommler
13.06.2014, aktualisiert um 13:22 Uhr
Hi,

nein, dieses ist das einzige Gerät was auf den Lancom zugreift.

Ich habe dem Partner den Zettel geschickt. Leider schint der mir nicht sonderlich kooperativ Heute....

Ich sehe auch gerade, dass bei dem NCP Secure Client Virtual Adapter (Bei den Netzwerkverbindungen) steh: Netzwerkkabel wurde entfernt. Hat dieser Adapter irgendetwas damit zu tun? Ich kenne mich wirklich nicht gut mit der Materie aus... -> Woran könnte das denn liegen?

Gruß
Der Trommler
Bitte warten ..
Mitglied: keine-ahnung
13.06.2014 um 13:41 Uhr
Wenn der keine Verbindung hat, ist das normal. Was ist das überhaupt für eine IP? Wenn Du Dich auf dem VPN-Router einwählst, sollte der VPN-Adapter eine IP vom DHCP des Lancom-Netzes erhalten, wenn das so eingerichtet ist ... respektive eine statische IP aus dieser range konfiguriert bekommen.

LG, Thomas
Bitte warten ..
Mitglied: DerKabelTrommler
13.06.2014 um 13:47 Uhr
Ich vermute mal, das der eine IP aus dem Lancom Netz bekommt (via DHCP). Eingetragen ist auf jeden Fall "IP-Adresse automatisch beziehen"

Gruß
Der Trommler
Bitte warten ..
Mitglied: flow.ryan
13.06.2014 um 16:24 Uhr
Hallo,

Dann versuche folgendes: VPN Client deinstallieren, neu starten, Netzwereinstellungen nochmals prüfen. Dann den VPN Client neu installieren und wieder Neustart. Dann Profil importieren und prüfen.

Gruß Florian
Bitte warten ..
Mitglied: aqui
LÖSUNG 14.06.2014, aktualisiert 16.06.2014
Ich kann mir auch nicht vorstellen, dass die interne IP irgendetwas damit zu tun hat...
Ohh doch !
Gerade weil ihr 10er IP Adressen verwendet ist hier die Subnetzmaske essentiell wichtig. Es darf keinerlei Überschneidungen geben bei Client und Server. Prüfe das genau !
Siehe auch hier: http://www.administrator.de/wissen/ipsec-vpn-mit-cisco-mikrotik-pfsense ... im Kapitel "Allgemeine Tips zum IP Adressdesign" !

Im Zweifel wenn alle Stricke reissen nimm dir immer einen Wireshark Sniffer und checke an der Firewall ob dort IKE Pakete (Phase 1 bei IPsec) des Clients ankommen !
Laut der Fehlermeldung sieht es so aus als ob das genau nicht der Fall ist.
Die Firewall muss UDP 500, UDP 4500 und das ESP Protokoll (Nr. 50) durchlassen für IPsec.
Gerade bei ESP wird immer und immer wieder ein Fehler gemacht, denn Laien denken das ist TCP oder UDP 50 was es aber genau nicht ist. ESP ist ein eigenständiges IP Protokoll mit der Nummer 50 und muss auch entsprechend so in der FW eingetragen sein.
Mit einem kostenfreien Shrew VPN Client https://www.shrew.net funktioniert so die Verbindung auf einen Lancom vollkommen problemlos.
Bitte warten ..
Mitglied: DerKabelTrommler
16.06.2014 um 20:00 Uhr
Hi,

der Tipp mit dem Shrew VPN Client hat geholfen! Damit klappts!

Vielen Dank!

Der Trommler
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Router & Routing
gelöst Lancom VPN-Client - überschreibt der auch bestehende Routen? (7)

Frage von FA-jka zum Thema Router & Routing ...

LAN, WAN, Wireless
gelöst Windows 7 IP-Sec VPN Client Alternative (4)

Frage von mario87 zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
Script bei starten einer VPN Verbindung mit Checkpoint-VPN Client (2)

Frage von maddig zum Thema LAN, WAN, Wireless ...

Windows 10
gelöst Windows 10 interner vpn client funktioniert nicht (3)

Frage von tobias3355 zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (9)

Frage von JayyyH zum Thema Switche und Hubs ...

Backup
Clients als Server missbrauchen? (8)

Frage von 1410640014 zum Thema Backup ...