Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Remote einwahl über IPSec VPN (Apple Client) auf einem Cisco 886VA (mit fester öffentlicher IP Adresse)

Frage Netzwerke LAN, WAN, Wireless

Mitglied: Timisi

Timisi (Level 1) - Jetzt verbinden

30.07.2013 um 19:35 Uhr, 1957 Aufrufe, 4 Kommentare, 1 Danke

Hallo,
die Config von dem oben gennanten Router soll jetzt erweitert werden, das sich ein Apple Client über IPSec einwählen kann.

Ich stocher gerade so ein bisschen im Dunklen. Da mir das alles ein wenig zu komplex scheint.. (wahrscheinlich ist es da garnicht )


Mir scheint das die Verbindung nicht über phase 1 hinausgeht bevor sie abbricht. (ein debug ist weiter unten)


01.
 
02.
! Last configuration change at 18:44:24 CEST Tue Jul 30 2013 by admin 
03.
version 15.3 
04.
no service pad 
05.
service timestamps debug datetime msec localtime show-timezone 
06.
service timestamps log datetime msec localtime show-timezone 
07.
service password-encryption 
08.
service linenumber 
09.
10.
hostname Cisco886va 
11.
12.
boot-start-marker 
13.
boot system flash c880data-universalk9-mz.153-1.T.bin 
14.
boot-end-marker 
15.
16.
17.
security authentication failure rate 3 log 
18.
security passwords min-length 6 
19.
enable secret 4 uiMZjxdU.2QFtuntlqVsFdgbcmo9edcUUwY4bSg7YeQ 
20.
21.
aaa new-model 
22.
23.
24.
aaa authentication login remote local 
25.
aaa authentication login groupname local 
26.
aaa authentication login defaut local 
27.
aaa authorization network remote local  
28.
aaa authorization network groupname local  
29.
30.
31.
32.
33.
34.
aaa session-id common 
35.
memory-size iomem 10 
36.
clock timezone CET 1 0 
37.
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00 
38.
39.
crypto pki trustpoint TP-self-signed-2467175886 
40.
 enrollment selfsigned 
41.
 subject-name cn=IOS-Self-Signed-Certificate-2467175886 
42.
 revocation-check none 
43.
 rsakeypair TP-self-signed-2467175886 
44.
45.
46.
crypto pki certificate chain TP-self-signed-2467175886 
47.
no ip source-route 
48.
no ip gratuitous-arps 
49.
50.
51.
52.
ip dhcp excluded-address xx.xx.xx.xx 10.0.40.19 
53.
ip dhcp excluded-address xx.xx.xx.xx 10.0.40.254 
54.
ip dhcp ping timeout 100 
55.
56.
ip dhcp pool ccp-pool1 
57.
 network xx.xx.xx.xx 255.255.255.0 
58.
 dns-server xx.xxx.xx.xx  
59.
 default-router xx.xx.xx.xx 
60.
61.
62.
63.
ip multicast-routing  
64.
ip inspect name Firewall tcp 
65.
ip inspect name Firewall udp 
66.
ip cef 
67.
no ipv6 cef 
68.
ipv6 multicast rpf use-bgp 
69.
70.
71.
license udi pid CISCO886VA-K9 sn FCZ1623C1VY 
72.
73.
74.
vtp mode transparent 
75.
username admin privilege 15 secret 5 xxxx 
76.
username remote1 password 7 xxxx 
77.
78.
79.
80.
81.
82.
controller VDSL 0 
83.
 operating mode vdsl2 
84.
 firmware filename flash:vdsl.bin-A2pv6C035j 
85.
 description DTAG VDSL 50 Leitung 
86.
87.
csdb tcp synwait-time 30 
88.
csdb tcp idle-time 3600 
89.
csdb tcp finwait-time 5 
90.
csdb tcp reassembly max-memory 1024 
91.
csdb tcp reassembly max-queue-length 16 
92.
csdb udp idle-time 30 
93.
csdb icmp idle-time 10 
94.
csdb session max-session 65535 
95.
!  
96.
crypto keyring L2TP   
97.
  pre-shared-key address xx.xx.xx.xx 255.255.255.0 key xxx 
98.
99.
crypto isakmp policy 1 
100.
 encr 3des 
101.
 hash md5 
102.
 authentication pre-share 
103.
 group 2 
104.
 lifetime 3600 
105.
crypto isakmp keepalive 3600 
106.
crypto isakmp client configuration address-pool local ccp-pool1 
107.
108.
crypto isakmp client configuration group remote 
109.
 key gRoup5hare85n1 
110.
 pool ccp-pool1 
111.
112.
crypto ipsec security-association lifetime seconds 28800 
113.
114.
crypto ipsec transform-set vpn1 esp-des esp-md5-hmac  
115.
 mode tunnel 
116.
117.
118.
119.
crypto dynamic-map dynmap 1 
120.
 set transform-set vpn1  
121.
 reverse-route 
122.
123.
124.
crypto map static-map client authentication list local 
125.
crypto map static-map isakmp authorization list remote 
126.
crypto map static-map client configuration address respond 
127.
crypto map static-map 1 ipsec-isakmp dynamic dynmap  
128.
129.
bridge irb 
130.
131.
132.
133.
134.
interface Ethernet0 
135.
 description VDSL Physical Interface 
136.
 no ip address 
137.
 no ip route-cache 
138.
139.
interface Ethernet0.7 
140.
 description VDSL Daten Verbindung 
141.
 encapsulation dot1Q 7 
142.
 no ip route-cache 
143.
 pppoe enable group global 
144.
 pppoe-client dial-pool-number 1 
145.
146.
interface Ethernet0.8 
147.
 description VDSL Multicast Verbindung 
148.
 encapsulation dot1Q 8 
149.
 ip dhcp client broadcast-flag clear 
150.
 ip address dhcp 
151.
 no ip route-cache 
152.
 ip igmp version 3 
153.
 ip igmp query-interval 15 
154.
 ip igmp proxy-service 
155.
156.
interface BRI0 
157.
 no ip address 
158.
 encapsulation hdlc 
159.
 shutdown 
160.
 isdn termination multidrop 
161.
162.
interface ATM0 
163.
 no ip address 
164.
 shutdown 
165.
 no atm ilmi-keepalive 
166.
167.
interface ATM0.1 point-to-point 
168.
 pvc 1/32  
169.
  pppoe-client dial-pool-number 1 
170.
171.
172.
interface FastEthernet0 
173.
 description Netzwerk_Intern 
174.
 no ip address 
175.
176.
interface FastEthernet1 
177.
 description Airport 
178.
 no ip address 
179.
180.
interface FastEthernet2 
181.
 no ip address 
182.
183.
interface FastEthernet3 
184.
 no ip address 
185.
186.
interface Virtual-Template1 
187.
 ip unnumbered Vlan1 
188.
 peer default ip address pool VPNPool 
189.
 no keepalive 
190.
 ppp mtu adaptive 
191.
 ppp encrypt mppe 128 required 
192.
 ppp authentication chap ms-chap 
193.
194.
interface Vlan1 
195.
 description Lokales Heim Neitzwerk 
196.
 ip address xx.xx.xx.xx 255.255.255.0 
197.
 ip nat inside 
198.
 ip virtual-reassembly in 
199.
 ip tcp adjust-mss 1452 
200.
 ip igmp version 3 
201.
 ip igmp explicit-tracking 
202.
 ip igmp query-interval 15 
203.
 ip igmp proxy-service 
204.
205.
interface Dialer0 
206.
 description VDSL Einwahl Interface 
207.
 ip address negotiated 
208.
 ip access-group 102 in 
209.
 no ip redirects 
210.
 no ip unreachables 
211.
 no ip proxy-arp 
212.
 ip mtu 1492 
213.
 ip nat outside 
214.
 ip inspect Firewall out 
215.
 ip virtual-reassembly in 
216.
 encapsulation ppp 
217.
 dialer pool 1 
218.
 dialer-group 1 
219.
 no keepalive 
220.
 ppp authentication chap callin 
221.
 ppp chap hostname xx 
222.
 ppp chap password 7 xx 
223.
 ppp ipcp dns request 
224.
 ppp ipcp mask request 
225.
 ppp ipcp route default 
226.
 no cdp enable 
227.
 crypto map static-map 
228.
229.
interface BVI1 
230.
 shutdown 
231.
232.
 
233.
no ip forward-protocol nd 
234.
ip http server 
235.
ip http access-class 23 
236.
ip http secure-server 
237.
ip http timeout-policy idle 60 life 86400 requests 10000 
238.
239.
ip dns server 
240.
ip nat inside source list 101 interface Dialer0 overload 
241.
242.
ip access-list log-update threshold 1 
243.
dialer-list 1 protocol ip list 101 
244.
no cdp run 
245.
246.
access-list 23 permit xx.xx.xx.xx 0.0.0.255 
247.
access-list 101 permit ip xx.xx.xx.xx 0.0.0.255 any 
248.
access-list 102 permit udp any eq 50 any 
249.
access-list 102 permit udp any eq isakmp any 
250.
access-list 102 permit udp any eq non500-isakmp any 
251.
access-list 102 permit udp any eq domain any 
252.
access-list 102 permit tcp any eq 4500 any 
253.
access-list 102 permit icmp any any echo-reply 
254.
access-list 102 permit icmp any any packet-too-big 
255.
access-list 102 permit icmp any any time-exceeded 
256.
access-list 102 permit icmp any any unreachable 
257.
access-list 102 permit tcp any eq 10000 any 
258.
access-list 102 deny   ip any any 
259.
260.
261.
bridge 1 protocol ieee 
262.
bridge 1 route ip 
263.
264.
265.
line con 0 
266.
 logging synchronous 
267.
 no modem enable 
268.
line aux 0 
269.
line vty 0 4 
270.
 access-class 23 in 
271.
 privilege level 15 
272.
 transport input ssh 
273.
274.
275.
end 
276.
<code> 
277.
 
278.
 
279.
 
280.
 
281.
<Code> 
282.
*Jul 22 18:26:22.971 CEST: ISAKMP (0): received packet from xx.xx.xx.xx dport 500 sport 500 Global (N) NEW SA 
283.
*Jul 22 18:26:22.971 CEST: ISAKMP: Created a peer struct for xx.xx.xx.xx , peer port 500 
284.
*Jul 22 18:26:22.971 CEST: ISAKMP: New peer created peer = 0x8879CFE4 peer_handle = 0x80000003 
285.
*Jul 22 18:26:22.971 CEST: ISAKMP: Locking peer struct 0x8879CFE4, refcount 1 for crypto_isakmp_process_block 
286.
*Jul 22 18:26:22.971 CEST: ISAKMP:(0):Setting client config settings 89148928 
287.
*Jul 22 18:26:22.971 CEST: ISAKMP:(0):(Re)Setting client xauth list  and state 
288.
*Jul 22 18:26:22.971 CEST: ISAKMP/xauth: initializing AAA request 
289.
*Jul 22 18:26:22.971 CEST: ISAKMP: local port 500, remote port 500 
290.
*Jul 22 18:26:22.971 CEST: ISAKMP: Find a dup sa in the avl tree during calling isadb_insert sa = 89220B08 
291.
*Jul 22 18:26:22.971 CEST: ISAKMP:(0): processing SA payload. message ID = 0 
292.
*Jul 22 18:26:22.971 CEST: ISAKMP:(0): processing ID payload. message ID = 0 
293.
*Jul 22 18:26:22.971 CEST: I 
294.
Cisco886va#SAKMP (0): ID payload 
295.
        next-payload : 13 
296.
        type         : 11 
297.
        group id     : remote 
298.
        protocol     : 0 
299.
        port         : 0 
300.
        length       : 14 
301.
*Jul 22 18:26:22.971 CEST: ISAKMP:(0):: peer matches *none* of the profiles 
302.
*Jul 22 18:26:22.971 CEST: ISAKMP:(0): processing vendor id payload 
303.
*Jul 22 18:26:22.971 CEST: ISAKMP:(0): processing IKE frag vendor id payload 
304.
*Jul 22 18:26:22.971 CEST: ISAKMP:(0):Support for IKE Fragmentation not enabled 
305.
*Jul 22 18:26:22.971 CEST: ISAKMP:(0): processing vendor id payload 
306.
*Jul 22 18:26:22.971 CEST: ISAKMP:(0): vendor ID seems Unity/DPD but major 69 mismatch 
307.
*Jul 22 18:26:22.971 CEST: ISAKMP (0): vendor ID is NAT-T RFC 3947 
308.
*Jul 22 18:26:22.971 CEST: ISAKMP:(0): processing vendor id payload 
309.
*Jul 22 18:26:22.971 CEST: ISAKMP:(0): vendor ID seems Unity/DPD but major 198 mismatch 
310.
*Jul 22 18:26:22.971 CEST: ISAKMP:(0): processing vendor id payload 
311.
*Jul 22 18:26:22.971 CEST: ISAKMP:(0): vendor ID seems Unity/DPD but major 29 mismatch 
312.
*Jul 22 18:26:22.971 CEST: ISAKMP:(0): processing vendor id payload 
313.
*Jul 22 18:26:22.971 CEST: ISAKMP:(0): vendor ID seems Unity/DPD but major 245 mismatch 
314.
*Jul 22 18:26:22.971 CEST: ISAKMP (0): vendor ID is NAT-T v7 
315.
*Jul 22 18:26:22.971 CEST: ISAKMP:(0): processing vendor id payload 
316.
*Jul 22 18:26:22.971 CEST: ISAKMP:(0): vendor ID seems Unity/DPD but major 114 mismatch 
317.
*Jul 22 18:26:22.971 CEST: ISAKMP:(0): processing vendor id payload 
318.
*Jul 22 18:26:22.971 CEST: ISAKMP:(0): vendor ID seems Unity/DPD but major 227 mismatch 
319.
*Jul 22 18:26:22.971 CEST: ISAKMP:(0): processing vendor id payload 
320.
*Jul 22 18:26:22.971 CEST: ISAKMP:(0): vendor ID seems Unity/DPD but major 250 mismatch 
321.
*Jul 22 18:26:22.975 CEST: ISAKMP:(0): processing vendor id payload 
322.
*Jul 22 18:26:22.975 CEST: ISAKMP:(0): vendor ID seems Unity/DPD but major 157 mismatch 
323.
*Jul 22 18:26:22.975 CEST: ISAKMP:(0): vendor ID is NAT-T v3 
324.
*Jul 22 18:26:22.975 CEST: ISAKMP:(0): processing vendor id payload 
325.
*Jul 22 18:26:22.975 CEST: ISAKMP:(0): vendor ID seems Unity/DPD but major 164 mismatch 
326.
*Jul 22 18:26:22.975 CEST: ISAKMP:(0): processing vendor id payload 
327.
*Jul 22 18:26:22.975 CEST: ISAKMP:(0): vendor ID seems Unity/DPD but major 123 mismatch 
328.
*Jul 22 18:26:22.975 CEST: ISAKMP:(0): vendor ID is NAT-T v2 
329.
*Jul 22 18:26:22.975 CEST: ISAKMP:(0): processing vendor id payload 
330.
*Jul 22 18:26:22.975 CEST: ISAKMP:(0): vendor ID seems Unity/DPD but major 242 mismatch 
331.
*Jul 22 18:26:22.975 CEST: ISAKMP:(0): vendor ID is XAUTH 
332.
*Jul 22 18:26:22.975 CEST: ISAKMP:(0): processing vendor id payload 
333.
*Jul 22 18:26:22.975 CEST: ISAKMP:(0): vendor ID is Unity 
334.
*Jul 22 18:26:22.975 CEST: ISAKMP:(0): processing vendor id payload 
335.
*Jul 22 18:26:22.975 CEST: ISAKMP:(0): vendor ID is DPD 
336.
*Jul 22 18:26:22.975 CEST: ISAKMP:(0): Authentication by xauth preshared 
337.
*Jul 22 18:26:22.975 CEST: ISAKMP:(0):Checking ISAKMP transform 1 against priority 1 policy 
338.
*Jul 22 18:26:22.975 CEST: ISAKMP:      life type in seconds 
339.
*Jul 22 18:26:22.975 CEST: ISAKMP:      life duration (basic) of 3600 
340.
*Jul 22 18:26:22.975 CEST: ISAKMP:      encryption AES-CBC 
341.
*Jul 22 18:26:22.975 CEST: ISAKMP:      keylength of 256 
342.
*Jul 22 18:26:22.975 CEST: ISAKMP:      auth XAUTHInitPreShared 
343.
*Jul 22 18:26:22.975 CEST: ISAKMP:      hash SHA 
344.
*Jul 22 18:26:22.975 CEST: ISAKMP:      default group 2 
345.
*Jul 22 18:26:22.975 CEST: ISAKMP:(0):Encryption algorithm offered does not match policy! 
346.
*Jul 22 18:26:22.975 CEST: ISAKMP:(0):atts are not acceptable. Next payload is 3 
347.
*Jul 22 18:26:22.975 CEST: ISAKMP:(0):Checking ISAKMP transform 2 against priority 1 policy 
348.
*Jul 22 18:26:22.975 CEST: ISAKMP:      life type in seconds 
349.
*Jul 22 18:26:22.975 CEST: ISAKMP:      life duration (basic) of 3600 
350.
*Jul 22 18:26:22.975 CEST: ISAKMP:      encryption AES-CBC 
351.
*Jul 22 18:26:22.975 CEST: ISAKMP:      keylength of 128 
352.
*Jul 22 18:26:22.975 CEST: ISAKMP:      auth XAUTHInitPreShared 
353.
*Jul 22 18:26:22.975 CEST: ISAKMP:      hash SHA 
354.
*Jul 22 18:26:22.975 CEST: ISAKMP:      default group 2 
355.
*Jul 22 18:26:22.975 CEST: ISAKMP:(0):Encryption algorithm offered does not match policy! 
356.
*Jul 22 18:26:22.975 CEST: ISAKMP:(0):atts are not acceptable. Next payload is 3 
357.
*Jul 22 18:26:22.975 CEST: ISAKMP:(0):Checking ISAKMP transform 3 against priority 1 policy 
358.
*Jul 22 18:26:22.975 CEST: ISAKMP:      life type in seconds 
359.
*Jul 22 18:26:22.975 CEST: ISAKMP:      life duration (basic) of 3600 
360.
*Jul 22 18:26:22.975 CEST: ISAKMP:      encryption AES-CBC 
361.
*Jul 22 18:26:22.975 CEST: ISAKMP:      keylength of 256 
362.
*Jul 22 18:26:22.975 CEST: ISAKMP:      auth XAUTHInitPreShared 
363.
*Jul 22 18:26:22.975 CEST: ISAKMP:      hash MD5 
364.
*Jul 22 18:26:22.975 CEST: ISAKMP:      default group 2 
365.
*Jul 22 18:26:22.975 CEST: ISAKMP:(0):Encryption algorithm offered does not match policy! 
366.
*Jul 22 18:26:22.975 CEST: ISAKMP:(0):atts are not acceptable. Next payload is 3 
367.
*Jul 22 18:26:22.975 CEST: ISAKMP:(0):Checking ISAKMP transform 4 against priority 1 policy 
368.
*Jul 22 18:26:22.975 CEST: ISAKMP:      life type in seconds 
369.
*Jul 22 18:26:22.975 CEST: ISAKMP:      life duration (basic) of 3600 
370.
*Jul 22 18:26:22.975 CEST: ISAKMP:      encryption AES-CBC 
371.
*Jul 22 18:26:22.975 CEST: ISAKMP:      keylength of 128 
372.
*Jul 22 18:26:22.975 CEST: ISAKMP:      auth XAUTHInitPreShared 
373.
*Jul 22 18:26:22.975 CEST: ISAKMP:      hash MD5 
374.
*Jul 22 18:26:22.975 CEST: ISAKMP:      default group 2 
375.
*Jul 22 18:26:22.975 CEST: ISAKMP:(0):Encryption algorithm offered does not match policy! 
376.
*Jul 22 18:26:22.975 CEST: ISAKMP:(0):atts are not acceptable. Next payload is 3 
377.
*Jul 22 18:26:22.975 CEST: ISAKMP:(0):Checking ISAKMP transform 5 against priority 1 policy 
378.
*Jul 22 18:26:22.975 CEST: ISAKMP:      life type in seconds 
379.
*Jul 22 18:26:22.975 CEST: ISAKMP:      life duration (basic) of 3600 
380.
*Jul 22 18:26:22.975 CEST: ISAKMP:      encryption 3DES-CBC 
381.
*Jul 22 18:26:22.975 CEST: ISAKMP:      auth XAUTHInitPreShared 
382.
*Jul 22 18:26:22.975 CEST: ISAKMP:      hash SHA 
383.
*Jul 22 18:26:22.975 CEST: ISAKMP:      default group 2 
384.
*Jul 22 18:26:22.975 CEST: ISAKMP:(0):Hash algorithm offered does not match policy! 
385.
*Jul 22 18:26:22.975 CEST: ISAKMP:(0):atts are not acceptable. Next payload is 3 
386.
*Jul 22 18:26:22.975 CEST: ISAKMP:(0):Checking ISAKMP transform 6 against priority 1 policy 
387.
*Jul 22 18:26:22.975 CEST: ISAKMP:      life type in seconds 
388.
*Jul 22 18:26:22.975 CEST: ISAKMP:      life duration (basic) of 3600 
389.
*Jul 22 18:26:22.975 CEST: ISAKMP:      encryption 3DES-CBC 
390.
*Jul 22 18:26:22.975 CEST: ISAKMP:      auth XAUTHInitPreShared 
391.
*Jul 22 18:26:22.975 CEST: ISAKMP:      hash MD5 
392.
*Jul 22 18:26:22.975 CEST: ISAKMP:      default group 2 
393.
*Jul 22 18:26:22.975 CEST: ISAKMP:(0):atts are acceptable. Next payload is 3 
394.
*Jul 22 18:26:22.975 CEST: ISAKMP:(0):Acceptable atts:actual life: 3600 
395.
*Jul 22 18:26:22.975 CEST: ISAKMP:(0):Acceptable atts:life: 0 
396.
*Jul 22 18:26:22.975 CEST: ISAKMP:(0):Basic life_in_seconds:3600 
397.
*Jul 22 18:26:22.975 CEST: ISAKMP:(0):Returning Actual lifetime: 3600 
398.
*Jul 22 18:26:22.979 CEST: ISAKMP:(0)::Started lifetime timer: 3600. 
399.
 
400.
*Jul 22 18:26:22.979 CEST: ISAKMP:(0): processing KE payload. message ID = 0 
401.
*Jul 22 18:26:23.011 CEST: ISAKMP:(0): processing NONCE payload. message ID = 0 
402.
*Jul 22 18:26:23.011 CEST: ISAKMP (0): vendor ID is NAT-T RFC 3947 
403.
*Jul 22 18:26:23.011 CEST: ISAKMP (0): vendor ID is NAT-T v7 
404.
*Jul 22 18:26:23.011 CEST: ISAKMP:(0): vendor ID is NAT-T v3 
405.
*Jul 22 18:26:23.011 CEST: ISAKMP:(0): vendor ID is NAT-T v2 
406.
*Jul 22 18:26:23.011 CEST: ISAKMP:(0):Input = IKE_MESG_FROM_PEER, IKE_AM_EXCH 
407.
*Jul 22 18:26:23.011 CEST: ISAKMP:(0):Old State = IKE_READY  New State = IKE_R_AM_AAA_AWAIT 
408.
 
409.
*Jul 22 18:26:23.011 CEST: ISAKMP:(2002): constructed NAT-T vendor-rfc3947 ID 
410.
*Jul 22 18:26:23.011 CEST: ISAKMP:(2002):SA is doing pre-shared key authentication plus XAUTH using id type ID_IPV4_ADDR 
411.
*Jul 22 18:26:23.011 CEST: ISAKMP (2002): ID payload 
412.
        next-payload : 10 
413.
        type         : 1 
414.
        address      : xx.xx.xx.xx 
415.
        protocol     : 0 
416.
        port         : 0 
417.
        length       : 12 
418.
*Jul 22 18:26:23.011 CEST: ISAKMP:(2002):Total payload length: 12 
419.
*Jul 22 18:26:23.011 CEST: ISAKMP:(2002): sending packet to xx..x.x.x. my_port 500 peer_port 500 (R) AG_INIT_EXCH 
420.
*Jul 22 18:26:23.011 CEST: ISAKMP:(2002):Sending an IKE IPv4 Packet. 
421.
*Jul 22 18:26:23.015 CEST: ISAKMP:(2002):Input = IKE_MESG_FROM_AAA, PRESHARED_KEY_REPLY 
422.
*Jul 22 18:26:23.015 CEST: ISAKMP:(2002):Old State = IKE_R_AM_AAA_AWAIT  New State = IKE_R_AM2 
423.
 
424.
Cisco886va# 
425.
Cisco886va# 
426.
*Jul 22 18:26:33.011 CEST: ISAKMP:(2002): retransmitting phase 1 AG_INIT_EXCH... 
427.
*Jul 22 18:26:33.011 CEST: ISAKMP (2002): incrementing error counter on sa, attempt 1 of 5: retransmit phase 1 
428.
*Jul 22 18:26:33.011 CEST: ISAKMP:(2002): retransmitting phase 1 AG_INIT_EXCH 
429.
*Jul 22 18:26:33.011 CEST: ISAKMP:(2002): sending packet to x.x.x.x. my_port 500 peer_port 500 (R) AG_INIT_EXCH 
430.
*Jul 22 18:26:33.011 CEST: ISAKMP:(2002):Sending an IKE IPv4 Packet. 
431.
Cisco886va# 
432.
*Jul 22 18:26:43.011 CEST: ISAKMP:(2002): retransmitting phase 1 AG_INIT_EXCH... 
433.
*Jul 22 18:26:43.011 CEST: ISAKMP (2002): incrementing error counter on sa, attempt 2 of 5: retransmit phase 1 
434.
*Jul 22 18:26:43.011 CEST: ISAKMP:(2002): retransmitting phase 1 AG_INIT_EXCH 
435.
*Jul 22 18:26:43.011 CEST: ISAKMP:(2002): sending packet to x.x.x.x my_port 500 peer_port 500 (R) AG_INIT_EXCH 
436.
*Jul 22 18:26:43.011 CEST: ISAKMP:(2002):Sending an IKE IPv4 Packet. 
437.
Cisco886va#sh cr 
438.
*Jul 22 18:26:53.011 CEST: ISAKMP:(2002): retransmitting phase 1 AG_INIT_EXCH... 
439.
*Jul 22 18:26:53.011 CEST: ISAKMP (2002): incrementing error counter on sa, attempt 3 of 5: retransmit phase 1 
440.
*Jul 22 18:26:53.011 CEST: ISAKMP:(2002): retransmitting phase 1 AG_INIT_EXCH 
441.
*Jul 22 18:26:53.011 CEST: ISAKMP:(2002): sending packet to x.x.x.x. my_port 500 peer_port 500 (R) AG_INIT_EXCH 
442.
*Jul 22 18:26:53.011 CEST: ISAKMP:(2002):Sending an IKE IPv4 Packet. 
443.
Cisco886va# 
444.
*Jul 22 18:27:03.011 CEST: ISAKMP:(2002): retransmitting phase 1 AG_INIT_EXCH... 
445.
*Jul 22 18:27:03.011 CEST: ISAKMP (2002): incrementing error counter on sa, attempt 4 of 5: retransmit phase 1 
446.
*Jul 22 18:27:03.011 CEST: ISAKMP:(2002): retransmitting phase 1 AG_INIT_EXCH 
447.
*Jul 22 18:27:03.011 CEST: ISAKMP:(2002): sending packet tox.x.x.x my_port 500 peer_port 500 (R) AG_INIT_EXCH 
448.
*Jul 22 18:27:03.011 CEST: ISAKMP:(2002):Sending an IKE IPv4 Packet.

bisher habe ich die Access liste überprüft ob alle Ports geöffnet sind die sein sollen:

UDP 50 (IPSEC)
UDP 500 (ISAKMP)
UDP 4500 (NAT)
TCP 10000 (NAT)

.. und diverse Transform-Sets ausprobiert.

Meine Variablen dürften auch stimmen...



Wer kann mir hier weiterhelfen.
(falls ihr noch weitere Infos braucht stehe ich natürlich zur Verfügung.)

Mit freundlichen Grüßen

Timisi

Mitglied: Deepsys
31.07.2013 um 09:54 Uhr
Hi,

bei der Cisco-Konfig können dir andere Kollegen weiterhelfen, ich kann nur sagen das der Apple IPSec Client sehr unflexibel ist.
Du musst genau dessen Parameter benutzen, da die zum Großteil nicht umstellbar sind (da sollte dir eine Suchmaschine helfen können).
Auch ist das VPN ein Cisco-"Dialekt", sollte aber bei dir ja gut klappen.

Guck mal in die Richtung.

VG
Deepsys
Bitte warten ..
Mitglied: Timisi
28.08.2013 um 22:08 Uhr
Aktueller Stand:

Leider gibt es keine Informationen seitens Apple welche Parameter der Native Apple IPSec VPN Client für OSX hat/braucht
(nicht fürs IOS - da gibts vieles : http://help.apple.com/iosdeployment-vpn/mac/1.2/#app36c95bff) .

Durch viel testen meine ich kurz vor einer funktionierenden Config zu stehen.

Ich komme jetzt über die ISAKMP Phase 1 hinaus:
01.
 ISAKMP:(2011):Old State = IKE_XAUTH_SET_SENT  New State = IKE_P1_COMPLETE 
Ich vermute aktuell das ich meine Xauth Config nicht passt auf dem MAC werden schon username und Passwort abgefragt danach bricht es aber ab.
01.
Old State = IKE_P1_COMPLETE  New State = IKE_XAUTH_REQ_SENT   
02.
 ISAKMP: Config payload REPLY 
03.
 ISAKMP/xauth: reply attribute XAUTH_USER_NAME_V2 
04.
 ISAKMP/xauth: reply attribute XAUTH_USER_PASSWORD_V2 
05.
 ISAKMP:(2012):deleting node -166701176 error FALSE reason "Done with xauth request/reply exchange"
Ich werden als nächstes die richtigen AAA Authentication und Crypto Map Parameter herausfinden.
Siehe:
ex4-1
http://www.ciscopress.com/articles/article.asp?p=421514

.

Ich versuche euch mal auf dem Laufenden zu halten.
Bitte warten ..
Mitglied: Timisi
09.09.2013 um 22:35 Uhr
Juhu, meine Remote IP SEC config läuft endlich. Der remote Client bekommt eine IP Adresse aus einem eigenen IP Pool zugewiesen, kann aber trotzdem die clients im netzwerk anpingen.

Bis es lief gab es 3 Probleme zu bewältigen:

1. XAUTH wird über AAA Parameter UND Crypto Map definiert:

01.
02.
aaa authentication login VPN local 
03.
aaa authorization network vpn1 local  
04.
!
und
01.
crypto map static-map client authentication list VPN 
02.
crypto map static-map isakmp authorization list vpn1
2. Ein eigenes IP DHCP Pool muss zugewiesen werden. Sonst funktioniert das nicht.

3. für die Phase zwei musste das richtige Transform-Set eingerichtet werden . Für IPads und Native IOS Apple Clients ist funkionieren folgende Parameter:

crypto ipsec transform-set vpn1 esp-3des esp-md5-hmac .


Allerdings kommt jetzt mein nächstes Problem:

Der RemoteUser kann auf keinen der anderen Rechner im lokalen Netzwerk zugreifen. Anpingen geht , aber nich mehr !

Es handelt sich ausschließlich um Macs. Fest steht, das es kein Problem bis zu Network layer sein kann. Hinweg und Rückweg sind Aktiv, wie der Ping beweist. Also muss es Protokolle der Höheren Schichten betreffen die allerhöchstens durch eine Firewall blockiert werden können. Oder lieg ich da falsch?

naja, ich geh mal weiter auf die Suche.
Bitte warten ..
Mitglied: Deepsys
10.09.2013 um 09:10 Uhr
Zitat von Timisi:
Juhu, meine Remote IP SEC config läuft endlich.
Schön!

Der RemoteUser kann auf keinen der anderen Rechner im lokalen Netzwerk zugreifen. Anpingen geht , aber nich mehr !

Es handelt sich ausschließlich um Macs. Fest steht, das es kein Problem bis zu Network layer sein kann. Hinweg und
Rückweg sind Aktiv, wie der Ping beweist. Also muss es Protokolle der Höheren Schichten betreffen die
allerhöchstens durch eine Firewall blockiert werden können. Oder lieg ich da falsch?
Nö, das wird die Firewall sein.
Bitte warten ..
Neuester Wissensbeitrag
Microsoft

Lizenzwiederverkauf und seine Tücken

(5)

Erfahrungsbericht von DerWoWusste zum Thema Microsoft ...

Ähnliche Inhalte
Router & Routing
Cisco IPSEC VPN - Magic Packet (WOL) - ip helper-address (4)

Frage von Bernhard-B zum Thema Router & Routing ...

Router & Routing
gelöst 18 Standorte via IPSEC VPN verbinden (26)

Frage von Nichtsnutz zum Thema Router & Routing ...

LAN, WAN, Wireless
gelöst L2TP-IPsec VPN pfSense 2.3 (6)

Frage von maddig zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Windows Netzwerk
Windows 10 RDP geht nicht (16)

Frage von Fiasko zum Thema Windows Netzwerk ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (13)

Frage von Motte990 zum Thema Microsoft Office ...