Jun 12, 2011, updated at Oct 18, 2012 (UTC)

21764

Router VPN konfiguration - Telekom support hat aufgegeben

Nach dem Versuch von 3 router- Speedport W722, Linksys, und Apple router - Internetzugang ist kein problem - nur VPN funktioniert nicht (auch mit de-aktivierter Router-Firewall). Die VPN Verbindung kann jedoch ohne Problem ueber ein als Modem konfiguriertes iPhone (tethering) aufgebaut werden oder aber bei oeffentlichen WLans. D.h. aus meiner Sicht muss es an der DSL Routerkonfiguration oder an der alten geraeten DSL/ISDN verbindung liegen (Der Router ist direkt an dem NTBA angeschlossen).

Bitte um Unterstuetzung / Ratschlag bei folgendem Problem

Internetzugang funktionirt prima nur kann keine VPN verbindung aufgebaut werden. die VPN verbinung bricht ab mit folgenden Fehlermeldung:

93 04:58:51.160 06/12/2011 Sev=Info/4 CM/0x43100002
Begin connection process

94 04:58:51.160 06/12/2011 Sev=Warning/2 CVPND/0x83400011
Error -28 sending packet. Dst Addr: 0xAC10CEFF, Src Addr: 0xAC10CE01 (DRVIFACE:1158).

95 04:58:51.161 06/12/2011 Sev=Warning/2 CVPND/0x83400011
Error -28 sending packet. Dst Addr: 0xC0A827FF, Src Addr: 0xC0A82701 (DRVIFACE:1158).

96 04:58:51.161 06/12/2011 Sev=Info/4 CM/0x43100004
Establish secure connection using Ethernet

97 04:58:51.161 06/12/2011 Sev=Info/4 CM/0x43100024
Attempt connection with server "xxx.xxx.xxx.xx"

98 04:58:51.161 06/12/2011 Sev=Info/4 CVPND/0x43400019
Privilege Separation: binding to port: (500).

99 04:58:51.162 06/12/2011 Sev=Info/4 CVPND/0x43400019
Privilege Separation: binding to port: (4500).

100 04:58:51.162 06/12/2011 Sev=Info/6 IKE/0x4300003B
Attempting to establish a connection with xxx.xxx.xxx.xx.

101 04:58:51.252 06/12/2011 Sev=Info/4 IKE/0x43000013
SENDING >>> ISAKMP OAK AG (SA, KE, NON, ID, VID(Xauth), VID(dpd), VID(Frag), VID(Nat-T), VID(Unity)) to xxx.xxx.xxx.xx

102 04:58:51.477 06/12/2011 Sev=Info/4 IPSEC/0x43700008
IPSec driver successfully started

103 04:58:51.477 06/12/2011 Sev=Info/4 IPSEC/0x43700014
Deleted all keys

104 04:58:56.477 06/12/2011 Sev=Info/4 IKE/0x43000021
Retransmitting last packet!

105 04:58:56.477 06/12/2011 Sev=Info/4 IKE/0x43000013
SENDING >>> ISAKMP OAK AG (Retransmission) to xxx.xxx.xxx.xx

106 04:59:01.977 06/12/2011 Sev=Info/4 IKE/0x43000021
Retransmitting last packet!

107 04:59:01.977 06/12/2011 Sev=Info/4 IKE/0x43000013
SENDING >>> ISAKMP OAK AG (Retransmission) to xxx.xxx.xxx.xx

108 04:59:07.475 06/12/2011 Sev=Info/4 IKE/0x43000021
Retransmitting last packet!

109 04:59:07.475 06/12/2011 Sev=Info/4 IKE/0x43000013
SENDING >>> ISAKMP OAK AG (Retransmission) to xxx.xxx.xxx.xx

110 04:59:12.475 06/12/2011 Sev=Info/4 IKE/0x43000017
Marking IKE SA for deletion (I_Cookie=8FD037F78D1FD426 R_Cookie=0000000000000000) reason = DEL_REASON_PEER_NOT_RESPONDING

111 04:59:12.975 06/12/2011 Sev=Info/4 IKE/0x4300004B
Discarding IKE SA negotiation (I_Cookie=8FD037F78D1FD426 R_Cookie=0000000000000000) reason = DEL_REASON_PEER_NOT_RESPONDING

112 04:59:12.975 06/12/2011 Sev=Info/4 CM/0x43100014
Unable to establish Phase 1 SA with server "xxx.xxx.xxx.xx" because of "DEL_REASON_PEER_NOT_RESPONDING"

113 04:59:12.975 06/12/2011 Sev=Info/5 CM/0x43100025
Initializing CVPNDrv

114 04:59:12.977 06/12/2011 Sev=Info/4 CVPND/0x4340001F
Privilege Separation: restoring MTU on primary interface.

115 04:59:12.977 06/12/2011 Sev=Info/4 IKE/0x43000001
IKE received signal to terminate VPN connection

116 04:59:13.026 06/12/2011 Sev=Info/4 IPSEC/0x43700014
Deleted all keys

117 04:59:13.026 06/12/2011 Sev=Info/4 IPSEC/0x43700014
Deleted all keys

118 04:59:13.026 06/12/2011 Sev=Info/4 IPSEC/0x43700014
Deleted all keys

119 04:59:13.026 06/12/2011 Sev=Info/4 IPSEC/0x4370000A
IPSec driver successfully stopped

Vielen Dank

Please also mark the comments that contributed to the solution of the article

Content-Key: 167909

Url: https://administrator.de/contentid/167909

Printed on: April 20, 2024 at 00:04 o'clock

13 Comments

Latest comment

Was will uns der Künstler damit sagen, sind das noch die Nachwirkungen vom Frühschoppen?!?

Gruß, Arch Stanton

In der Tat ! Die Informationen sind recht dürftig und unvollständig. Relevant wäre z.B. als Wichtigstes WELCHES der zahllosen VPN Protokolle (PPTP, IPsec, L2TP, SSL usw.) der TO denn verwendet aber auch hier zieht er es lieber vor uns im Dunkeln im freien Fall raten zu lassen.
Das ist dann auch irgendwie verständlich das mit diesen mageren Grundlagen beim Telekom Support ebenfalls nix bei rauskommt, denn die Kollegen dort können ja dann auch nur raten. Nundenn...
Sieht man sich einmal die zusammenhanglos geposteten Fehlermeldungen etwas genauer an hier, kommt man zu dem vorsichtigen Schluss das der VPN Client hinter dem NAT Router das IPsec Protokoll verwendet. Zum Client selber sagt der TO ja auch rein gar nix, also raten wir mal wieder das dieser das besagte iPhone mit dem integrierten Cisco IPsec Client ist.
Normalerweise kommt IPsec NICHT über eine bestehende NAT (Adress Translation) Firewall rüber wie sie alle DSL Router ja betreiben.
Wichtigste Voraussetzung ist zudem das Feature "VPN Passthrough" was zwingend der Router supporten muss sonst wird es nix.
IPsec besteht aus folgenden Einzelprotokollen:
UDP 500 = IKE
UDP 4500 = NAT Traversal
ESP = IP Protokoll mit der Nummer 50 (kein UDP oder TCP 50 !)
Solltest du L2TP als VPN Protokoll verwenden kommt noch der Port 1701 hinzu. (Das aber NUR bei L2TP !)
Du gehst nun in das Menü "Port Forwarding" oder "Port Weiterleitung" (meist unter NAT oder Firewall zu finden) auf diesen Routern und trägst dort eintsprechend ein Port Forwarding oder Port Weiterleitung dieser 3 Ports ein und das auf die lokale IP Adresse deines VPN Clients im lokalen Netzwerk.
Tunlichst solltest du dem VPN Client (iPhone ?!) dann anhand seiner Mac Adresse eine feste IP im DHCP zuteilen sofern der Router das supportet oder mit statischen IPs (außerhalb des Router DHCP Bereichs) arbeiten.
Das dient der Sicherheit, denn sollte sich die IP Adresse deines Clients im lokalen Netzwerk einmal wegen der Dynamik von DHCP (automatische IP Adressvergabe) ändern läuft deinen statische Port Weiterleitung, die zwingend notwendig ist für IPsec, logischerweise ins Leere.
Eine Konstanz der Client IP ist also nicht unwichtig !
Wenn du diese 3 Protokolle dann forgewardet hast wird auch deine IPsec VPN Verbindung fehlerfrei und auf Anhieb funktionieren.
Das es bei dir nicht klappt siehst du an den letzten o.a. Meldungen wo es schon am Zustandekommen der SA Phase 1 hapert weil die Gegenstelle nicht antwortet. Ein zu 90% sicheres Indiz dafür das dein Port Forwarding schlicht fehlt oder nicht funktioniert.
Ein Bespiel wie das beim VPN Protokoll PPTP aussieht kannst du hier sehen:
VPNs einrichten mit PPTP
(ACHTUNG: Bitte NICHT diese Ports im Beispiel kopieren denn es ist PPTP und KEIN IPsec wie bei dir !!)
Leider ein täglicher Klassiker hier bei Admin.de und leider muss man sagen das der Speedport ein sehr übler Vertreter ist was das Thema "VPN Passthrough" anbetrifft da er sehr inkonsistent funktioniert damit.
Hier gilt: Unbedingt die aktuellste Firmware verwenden und den Router ggf. updaten. Generell gilt das auch für alle Router in so einem Umfeld !

Zitat von @aqui:

Leider ein täglicher Klassiker hier bei Admin.de und leider muss man sagen das der Speedport ein sehr übler Vertreter
ist was das Thema "VPN Passthrough" anbetrifft da er sehr inkonsistent funktioniert damit.

Mein Tipp in solchen Fällen ist, falls es ein AVM-Speedprt ist, ihn mit freetz zu flashen, um daraus eine Fritzbox zu machen. Ist zwar auch nicht immer das gelbe vom Ei, aber meist besser als die Speedport-Firmware.

Vielen Dank !
Hier die fehlenden Informationen
IPSEC ist das VPN protokoll
Cisco VPN client

Mit dem Telekom support hatte ich eine direkte Dial up Verbindung aufgebaut (DSL-Modem) um die Router-Firewall zu umgehen - auch dann ohne Erfolg.
Funktionieren tut das VPN nur mit iPhone (AT&T provider).

Interessant ist dass eine Fritzbox ueber 1&1 ohne grosse Konfiguration funktioniert (Test ueber einen anderen Anschluss). Nur ueber den Telekom Anschluss gibt es probleme.

Zu den vorgeschlagenen Aenderungen:
- "VPN Passthrough" wird nach aussage der Endgeraete Service-Hotlin von dem Speedport W 722V unterstuetzt - nach Deiner Aussage bzgl. inkonsistenz werde ich morgen einen anderen Router kaufen.
- UDP 500 und UDP 4500 habe ich in dem Speedport eingetragen - leider ohne Erfolg
- ESP konnte ich nicht validieren da ich keine Einstellung hierzu gefunden habe ...

Vielen Dank
Martin D.

Bestätigt letztlich die Erfahrung hier das Speedports im Allgemeinen keinen guten VPN Passthrough Support haben. Die Tatsache das eine FB (und vermutlich auch andere Router) das problemlos supporten erhärtet diese Aussage.
Ggf. Solltest du also besser den Speedport entsorgen und etwas besseres und anständigeres dort einsetzen.
Das löst wenigstens dein Problem umfassend und final.
Wenn der SP kein ESP forwarden kann ist es klar das VPNs damit scheitern müssen...

OK - Ich habe jetzt eine Fritzbox Fon WLAN 7270 gekauft. Leider bislang nur ein Teilerfolg. Ich kann mich jetzt ans VPN anmelden (die Verbindung wird erfolgreich aufgebaut) nur dann funktioniert der Zugriff auf die Netzlaufwerke und viel wichtiger die Replikation mit Lotus Notes nicht.

Wie gesagt - wenn ich mich in einem oeffentlichen WLAN (z.B. Hotel) oder bei Bekannten mit einem 1&1 Anchluss anmelde fuktioniert alles ohne probleme.

Was koennte ich noch bei der Konfiguration vergessen haben.

Vielen Dank
Martin D.

Die Beantwortung folgender Fragen wäre hilfreich:

Befindet sich deine neue Fritzbox direkt am DSL Splitter ? Oder ist davor noch der olle Speedport ?
Wenn die VPN Verbindung hergestellt ist kannst du das LAN Interface (lokales LAN) der Fritz box anpingen ?
Wenn ja, kannst du auch den Server auf den dein Laufwerksmapping ausgeführt wird anpingen bei aktiver VPN Verbindung ?
Falls du den Server nicht anpingen kannst: Hast du die lokale Firewall des Servers entsprechend angepasst ? Stimmt das Default Gateway des Servers (muss auf die neue FB zeigen !)
Was weiterhin noch unklar ist: WOHIN machst du deine VPN Verbindung ?? Ist das ein Server der direkt hinter der FB steht (VPN Passthrough mit Portweiterleitung im Router) oder terminierst du die VPN Verbindung direkt auf dem FB Router wie HIER beschrieben ?

Wichtig ist erstmal die Tatsache zu klären ob du wirklich eine funktionierende IP VPN Verbindung in das Netzwerk hast über die neue FB !

Vielen Dank ! Hier die Antworten:

1) Befindet sich deine neue Fritzbox direkt am DSL Splitter ? -->JA
Oder ist davor noch der olle Speedport ? --> Speedport konnte ich wieder bei T-Punkt zurueckgeben

2) Wenn die VPN Verbindung hergestellt ist kannst du das LAN Interface (lokales LAN) der Fritz box anpingen ? --> NEIN --> Ich bekomme einen "reuest timed out"

3) Wenn ja, kannst du auch den Server auf den dein Laufwerksmapping ausgeführt wird anpingen bei aktiver VPN Verbindung ? --> Nicht zutreffend
4) Falls du den Server nicht anpingen kannst: Hast du die lokale Firewall des Servers entsprechend angepasst ? --> Der VPN FirmenServer steht in den USA. Ich connecte mich wireless mit meinem Notebook.
Stimmt das Default Gateway des Servers (muss auf die neue FB zeigen !) --> vermutlich ein missverstandnis meiner seite - Ich habe keine Admin rechte auf dem Notebook und wie gesagt die VPN verbindung klappt prima von anderen Netzwerverbindungen (1&1, oder ueber ein iPhone-Modem).

5) Was weiterhin noch unklar ist: WOHIN machst du deine VPN Verbindung ? ? Ist das ein Server der direkt hinter der FB steht (VPN Passthrough mit Portweiterleitung im Router) oder terminierst du die VPN Verbindung direkt auf dem FB Router wie HIER beschrieben ? --> Der Server steht in den USA. Mehr details kenne ich leider nicht

Wichtig ist erstmal die Tatsache zu klären ob du wirklich eine funktionierende IP VPN Verbindung in das Netzwerk hast über die neue FB !

nach dem Ping test der fehlschlaegt gehe ich davon aus dass ich KEINE functionirte IP VPN Verbindung habe ...

Korrektur -> Ich hann die anderen Geraete im Netzwerk ueber Ping erreichen

Hier mein letztes Log File des VPN Clients:
Cisco Systems VPN Client Version 5.0.03.0560
Copyright (C) 1998-2007 Cisco Systems, Inc. All Rights Reserved.
Client Type(s): Windows, WinNT
Running on: 5.1.2600 Service Pack 3

51 12:31:19.156 06/18/11 Sev=Info/4 CM/0x63100002
Begin connection process

52 12:31:19.156 06/18/11 Sev=Info/4 CM/0x63100004
Establish secure connection

53 12:31:19.156 06/18/11 Sev=Info/4 CM/0x63100024
Attempt connection with server "usconn1.aschulman.com"

54 12:31:19.203 06/18/11 Sev=Info/6 IKE/0x6300003B
Attempting to establish a connection with 12.168.67.62.

55 12:31:19.203 06/18/11 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK AG (SA, KE, NON, ID, VID(Xauth), VID(dpd), VID(Frag), VID(Nat-T), VID(Unity)) to 12.168.67.62

56 12:31:19.250 06/18/11 Sev=Info/4 IPSEC/0x63700008
IPSec driver successfully started

57 12:31:19.250 06/18/11 Sev=Info/4 IPSEC/0x63700014
Deleted all keys

58 12:31:19.250 06/18/11 Sev=Info/6 IPSEC/0x6370002C
Sent 162 packets, 0 were fragmented.

59 12:31:19.375 06/18/11 Sev=Info/5 IKE/0x6300002F
Received ISAKMP packet: peer = 12.168.67.62

60 12:31:19.375 06/18/11 Sev=Info/4 IKE/0x63000014
RECEIVING <<< ISAKMP OAK AG (SA, KE, NON, ID, HASH, VID(Unity), VID(Xauth), VID(dpd), VID(Nat-T), NAT-D, NAT-D, VID(Frag), VID(?)) from 12.168.67.62

61 12:31:19.375 06/18/11 Sev=Info/5 IKE/0x63000001
Peer is a Cisco-Unity compliant peer

62 12:31:19.375 06/18/11 Sev=Info/5 IKE/0x63000001
Peer supports XAUTH

63 12:31:19.375 06/18/11 Sev=Info/5 IKE/0x63000001
Peer supports DPD

64 12:31:19.375 06/18/11 Sev=Info/5 IKE/0x63000001
Peer supports NAT-T

65 12:31:19.375 06/18/11 Sev=Info/5 IKE/0x63000001
Peer supports IKE fragmentation payloads

66 12:31:19.375 06/18/11 Sev=Info/6 IKE/0x63000001
IOS Vendor ID Contruction successful

67 12:31:19.375 06/18/11 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK AG *(HASH, NOTIFY:STATUS_INITIAL_CONTACT, NAT-D, NAT-D, VID(?), VID(Unity)) to 12.168.67.62

68 12:31:19.375 06/18/11 Sev=Info/6 IKE/0x63000055
Sent a keepalive on the IPSec SA

69 12:31:19.375 06/18/11 Sev=Info/4 IKE/0x63000083
IKE Port in use - Local Port = 0x07BF, Remote Port = 0x1194

70 12:31:19.375 06/18/11 Sev=Info/5 IKE/0x63000072
Automatic NAT Detection Status:
Remote end is NOT behind a NAT device
This end IS behind a NAT device

71 12:31:19.375 06/18/11 Sev=Info/4 CM/0x6310000E
Established Phase 1 SA. 1 Crypto Active IKE SA, 0 User Authenticated IKE SA in the system

72 12:31:19.531 06/18/11 Sev=Info/5 IKE/0x6300002F
Received ISAKMP packet: peer = 12.168.67.62

73 12:31:19.531 06/18/11 Sev=Info/4 IKE/0x63000014
RECEIVING <<< ISAKMP OAK TRANS *(HASH, ATTR) from 12.168.67.62

74 12:31:19.531 06/18/11 Sev=Info/4 CM/0x63100015
Launch xAuth application

75 12:31:19.546 06/18/11 Sev=Info/6 GUI/0x63B00012
Authentication request attributes is 6h.

76 12:31:25.140 06/18/11 Sev=Info/4 CM/0x63100017
xAuth application returned

77 12:31:25.140 06/18/11 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK TRANS *(HASH, ATTR) to 12.168.67.62

78 12:31:25.312 06/18/11 Sev=Info/5 IKE/0x6300002F
Received ISAKMP packet: peer = 12.168.67.62

79 12:31:25.312 06/18/11 Sev=Info/4 IKE/0x63000014
RECEIVING <<< ISAKMP OAK TRANS *(HASH, ATTR) from 12.168.67.62

80 12:31:25.312 06/18/11 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK TRANS *(HASH, ATTR) to 12.168.67.62

81 12:31:25.312 06/18/11 Sev=Info/4 CM/0x6310000E
Established Phase 1 SA. 1 Crypto Active IKE SA, 1 User Authenticated IKE SA in the system

82 12:31:25.312 06/18/11 Sev=Info/5 IKE/0x6300005E
Client sending a firewall request to concentrator

83 12:31:25.312 06/18/11 Sev=Info/5 IKE/0x6300005D
Firewall Policy: Product=Cisco Systems Integrated Client Firewall, Capability= (Centralized Protection Policy).

84 12:31:25.312 06/18/11 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK TRANS *(HASH, ATTR) to 12.168.67.62

85 12:31:25.468 06/18/11 Sev=Info/5 IKE/0x6300002F
Received ISAKMP packet: peer = 12.168.67.62

86 12:31:25.468 06/18/11 Sev=Info/4 IKE/0x63000014
RECEIVING <<< ISAKMP OAK TRANS *(HASH, ATTR) from 12.168.67.62

87 12:31:25.468 06/18/11 Sev=Info/5 IKE/0x63000010
MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_ADDRESS: , value = 10.81.241.208

88 12:31:25.468 06/18/11 Sev=Info/5 IKE/0x63000010
MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_NETMASK: , value = 255.255.255.0

89 12:31:25.468 06/18/11 Sev=Info/5 IKE/0x63000010
MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_DNS(1): , value = 10.80.110.32

90 12:31:25.468 06/18/11 Sev=Info/5 IKE/0x63000010
MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_DNS(2): , value = 10.80.110.37

91 12:31:25.468 06/18/11 Sev=Info/5 IKE/0x6300000D
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_SAVEPWD: , value = 0x00000000

92 12:31:25.468 06/18/11 Sev=Info/5 IKE/0x6300000D
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_SPLIT_INCLUDE (# of split_nets), value = 0x00000004

93 12:31:25.468 06/18/11 Sev=Info/5 IKE/0x6300000F
SPLIT_NET #1
subnet = 10.0.0.0
mask = 255.0.0.0
protocol = 0
src port = 0
dest port=0

94 12:31:25.468 06/18/11 Sev=Info/5 IKE/0x6300000F
SPLIT_NET #2
subnet = 150.75.201.0
mask = 255.255.255.0
protocol = 0
src port = 0
dest port=0

95 12:31:25.468 06/18/11 Sev=Info/5 IKE/0x6300000F
SPLIT_NET #3
subnet = 172.16.0.0
mask = 255.240.0.0
protocol = 0
src port = 0
dest port=0

96 12:31:25.468 06/18/11 Sev=Info/5 IKE/0x6300000F
SPLIT_NET #4
subnet = 192.168.0.0
mask = 255.255.0.0
protocol = 0
src port = 0
dest port=0

97 12:31:25.468 06/18/11 Sev=Info/5 IKE/0x6300000D
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_PFS: , value = 0x00000000

98 12:31:25.468 06/18/11 Sev=Info/5 IKE/0x6300000E
MODE_CFG_REPLY: Attribute = APPLICATION_VERSION, value = Cisco Systems, Inc ASA5520 Version 8.2(1) built by builders on Tue 05-May-09 22:45

99 12:31:25.468 06/18/11 Sev=Info/4 IKE/0x63000088
Received a Valid Browser Proxy Configuration from the Peer.

100 12:31:25.468 06/18/11 Sev=Info/5 IKE/0x63000001
Browser Type: Microsoft Internet Explorer
Connection Type: Local Area Network
Proxy Settings: No Proxy
Connection Type: Dial-up Network
Proxy Settings: No Proxy
Connection Type: Virtual Private Network
Proxy Settings: No Proxy

101 12:31:25.468 06/18/11 Sev=Info/5 IKE/0x6300000D
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_SMARTCARD_REMOVAL_DISCONNECT: , value = 0x00000001

102 12:31:25.468 06/18/11 Sev=Info/5 IKE/0x6300000D
MODE_CFG_REPLY: Attribute = Received and using NAT-T port number , value = 0x00001194

103 12:31:25.468 06/18/11 Sev=Info/4 CM/0x63100019
Mode Config data received

104 12:31:25.484 06/18/11 Sev=Info/4 IKE/0x63000056
Received a key request from Driver: Local IP = 10.81.241.208, GW IP = 12.168.67.62, Remote IP = 0.0.0.0

105 12:31:25.484 06/18/11 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK QM *(HASH, SA, NON, ID, ID) to 12.168.67.62

106 12:31:25.656 06/18/11 Sev=Info/5 IKE/0x6300002F
Received ISAKMP packet: peer = 12.168.67.62

107 12:31:25.656 06/18/11 Sev=Info/4 IKE/0x63000014
RECEIVING <<< ISAKMP OAK INFO *(HASH, NOTIFY:STATUS_RESP_LIFETIME) from 12.168.67.62

108 12:31:25.656 06/18/11 Sev=Info/5 IKE/0x63000045
RESPONDER-LIFETIME notify has value of 86400 seconds

109 12:31:25.656 06/18/11 Sev=Info/5 IKE/0x63000047
This SA has already been alive for 6 seconds, setting expiry to 86394 seconds from now

110 12:31:25.656 06/18/11 Sev=Info/5 IKE/0x6300002F
Received ISAKMP packet: peer = 12.168.67.62

111 12:31:25.656 06/18/11 Sev=Info/4 IKE/0x63000014
RECEIVING <<< ISAKMP OAK QM *(HASH, SA, NON, ID, ID, NOTIFY:STATUS_RESP_LIFETIME) from 12.168.67.62

112 12:31:25.656 06/18/11 Sev=Info/5 IKE/0x63000045
RESPONDER-LIFETIME notify has value of 28800 seconds

113 12:31:25.656 06/18/11 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK QM *(HASH) to 12.168.67.62

114 12:31:25.656 06/18/11 Sev=Info/5 IKE/0x63000059
Loading IPsec SA (MsgID=6FA57E36 OUTBOUND SPI = 0x653938DB INBOUND SPI = 0x67EA444C)

115 12:31:25.656 06/18/11 Sev=Info/5 IKE/0x63000025
Loaded OUTBOUND ESP SPI: 0x653938DB

116 12:31:25.656 06/18/11 Sev=Info/5 IKE/0x63000026
Loaded INBOUND ESP SPI: 0x67EA444C

117 12:31:25.765 06/18/11 Sev=Info/5 CVPND/0x63400013
Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.178.1 192.168.178.24 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.178.0 255.255.255.0 192.168.178.24 192.168.178.24 20
192.168.178.24 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.178.255 255.255.255.255 192.168.178.24 192.168.178.24 20
224.0.0.0 240.0.0.0 192.168.178.24 192.168.178.24 20
255.255.255.255 255.255.255.255 192.168.178.24 192.168.178.24 1
255.255.255.255 255.255.255.255 192.168.178.24 0.0.0.0 1
255.255.255.255 255.255.255.255 192.168.178.24 0.0.0.0 1

118 12:31:25.953 06/18/11 Sev=Info/4 CM/0x63100034
The Virtual Adapter was enabled:
IP=10.81.241.208/255.255.255.0
DNS=10.80.110.32,10.80.110.37
WINS=0.0.0.0,0.0.0.0
Domain=
Split DNS Names=

119 12:31:25.953 06/18/11 Sev=Info/5 CVPND/0x63400013
Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.178.1 192.168.178.24 20
10.81.241.0 255.255.255.0 10.81.241.208 10.81.241.208 20
10.81.241.208 255.255.255.255 127.0.0.1 127.0.0.1 20
10.255.255.255 255.255.255.255 10.81.241.208 10.81.241.208 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.178.0 255.255.255.0 192.168.178.24 192.168.178.24 20
192.168.178.24 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.178.255 255.255.255.255 192.168.178.24 192.168.178.24 20
224.0.0.0 240.0.0.0 10.81.241.208 10.81.241.208 20
224.0.0.0 240.0.0.0 192.168.178.24 192.168.178.24 20
255.255.255.255 255.255.255.255 10.81.241.208 10.81.241.208 1
255.255.255.255 255.255.255.255 192.168.178.24 0.0.0.0 1
255.255.255.255 255.255.255.255 192.168.178.24 192.168.178.24 1
255.255.255.255 255.255.255.255 192.168.178.24 0.0.0.0 1

120 12:31:25.953 06/18/11 Sev=Warning/2 CVPND/0xE3400013
AddRoute failed to add a route: code 87
Destination 192.168.178.255
Netmask 255.255.255.255
Gateway 10.81.241.208
Interface 10.81.241.208

121 12:31:25.953 06/18/11 Sev=Warning/2 CM/0xA3100024
Unable to add route. Network: c0a8b2ff, Netmask: ffffffff, Interface: a51f1d0, Gateway: a51f1d0.

122 12:31:25.968 06/18/11 Sev=Info/4 CM/0x63100038
Successfully saved route changes to file.

123 12:31:25.968 06/18/11 Sev=Info/5 CVPND/0x63400013
Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.178.1 192.168.178.24 20
10.0.0.0 255.0.0.0 10.81.241.208 10.81.241.208 1
10.81.241.0 255.255.255.0 10.81.241.208 10.81.241.208 20
10.81.241.208 255.255.255.255 127.0.0.1 127.0.0.1 20
10.255.255.255 255.255.255.255 10.81.241.208 10.81.241.208 20
12.168.67.62 255.255.255.255 192.168.178.1 192.168.178.24 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
150.75.201.0 255.255.255.0 10.81.241.208 10.81.241.208 1
172.16.0.0 255.240.0.0 10.81.241.208 10.81.241.208 1
192.168.0.0 255.255.0.0 10.81.241.208 10.81.241.208 1
192.168.178.0 255.255.255.0 192.168.178.24 192.168.178.24 20
192.168.178.0 255.255.255.0 10.81.241.208 10.81.241.208 20
192.168.178.1 255.255.255.255 192.168.178.24 192.168.178.24 1
192.168.178.24 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.178.255 255.255.255.255 192.168.178.24 192.168.178.24 20
224.0.0.0 240.0.0.0 10.81.241.208 10.81.241.208 20
224.0.0.0 240.0.0.0 192.168.178.24 192.168.178.24 20
255.255.255.255 255.255.255.255 10.81.241.208 10.81.241.208 1
255.255.255.255 255.255.255.255 192.168.178.24 0.0.0.0 1
255.255.255.255 255.255.255.255 192.168.178.24 192.168.178.24 1
255.255.255.255 255.255.255.255 192.168.178.24 0.0.0.0 1

124 12:31:25.968 06/18/11 Sev=Info/6 CM/0x63100036
The routing table was updated for the Virtual Adapter

125 12:31:25.984 06/18/11 Sev=Info/4 CM/0x6310001A
One secure connection established

126 12:31:26.031 06/18/11 Sev=Info/4 CM/0x6310003B
Address watch added for 192.168.178.24. Current hostname: LJNS9RM1, Current address(es): 192.168.178.24, 10.81.241.208.

127 12:31:26.046 06/18/11 Sev=Info/4 CM/0x6310003B
Address watch added for 10.81.241.208. Current hostname: LJNS9RM1, Current address(es): 192.168.178.24, 10.81.241.208.

128 12:31:26.046 06/18/11 Sev=Info/4 IPSEC/0x63700014
Deleted all keys

129 12:31:26.046 06/18/11 Sev=Info/4 IPSEC/0x63700010
Created a new key structure

130 12:31:26.046 06/18/11 Sev=Info/4 IPSEC/0x6370000F
Added key with SPI=0xdb383965 into key list

131 12:31:26.046 06/18/11 Sev=Info/4 IPSEC/0x63700010
Created a new key structure

132 12:31:26.046 06/18/11 Sev=Info/4 IPSEC/0x6370000F
Added key with SPI=0x4c44ea67 into key list

133 12:31:26.046 06/18/11 Sev=Info/4 IPSEC/0x6370002F
Assigned VA private interface addr 10.81.241.208

134 12:31:26.046 06/18/11 Sev=Info/4 IPSEC/0x63700037
Configure public interface: 192.168.178.24. SG: 12.168.67.62

135 12:31:26.046 06/18/11 Sev=Info/6 CM/0x63100046
Set tunnel established flag in registry to 1.

136 12:31:27.250 06/18/11 Sev=Info/4 IPSEC/0x63700019
Activate outbound key with SPI=0xdb383965 for inbound key with SPI=0x4c44ea67

137 12:31:40.750 06/18/11 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK INFO *(HASH, NOTIFY:DPD_REQUEST) to 12.168.67.62

138 12:31:40.750 06/18/11 Sev=Info/6 IKE/0x6300003D
Sending DPD request to 12.168.67.62, our seq# = 735170653

139 12:31:40.906 06/18/11 Sev=Info/5 IKE/0x6300002F
Received ISAKMP packet: peer = 12.168.67.62

140 12:31:40.906 06/18/11 Sev=Info/4 IKE/0x63000014
RECEIVING <<< ISAKMP OAK INFO *(HASH, NOTIFY:DPD_ACK) from 12.168.67.62

141 12:31:40.906 06/18/11 Sev=Info/5 IKE/0x63000040
Received DPD ACK from 12.168.67.62, seq# received = 735170653, seq# expected = 735170653

142 12:31:51.250 06/18/11 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK INFO *(HASH, NOTIFY:DPD_REQUEST) to 12.168.67.62

143 12:31:51.250 06/18/11 Sev=Info/6 IKE/0x6300003D
Sending DPD request to 12.168.67.62, our seq# = 735170654

144 12:31:51.390 06/18/11 Sev=Info/5 IKE/0x6300002F
Received ISAKMP packet: peer = 12.168.67.62

145 12:31:51.390 06/18/11 Sev=Info/4 IKE/0x63000014
RECEIVING <<< ISAKMP OAK INFO *(HASH, NOTIFY:DPD_ACK) from 12.168.67.62

146 12:31:51.390 06/18/11 Sev=Info/5 IKE/0x63000040
Received DPD ACK from 12.168.67.62, seq# received = 735170654, seq# expected = 735170654

147 12:32:01.750 06/18/11 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK INFO *(HASH, NOTIFY:DPD_REQUEST) to 12.168.67.62

148 12:32:01.750 06/18/11 Sev=Info/6 IKE/0x6300003D
Sending DPD request to 12.168.67.62, our seq# = 735170655

149 12:32:01.906 06/18/11 Sev=Info/5 IKE/0x6300002F
Received ISAKMP packet: peer = 12.168.67.62

150 12:32:01.906 06/18/11 Sev=Info/4 IKE/0x63000014
RECEIVING <<< ISAKMP OAK INFO *(HASH, NOTIFY:DPD_ACK) from 12.168.67.62

151 12:32:01.906 06/18/11 Sev=Info/5 IKE/0x63000040
Received DPD ACK from 12.168.67.62, seq# received = 735170655, seq# expected = 735170655

152 12:32:09.750 06/18/11 Sev=Info/6 IKE/0x63000055
Sent a keepalive on the IPSec SA

153 12:32:47.250 06/18/11 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK INFO *(HASH, NOTIFY:DPD_REQUEST) to 12.168.67.62

154 12:32:47.250 06/18/11 Sev=Info/6 IKE/0x6300003D
Sending DPD request to 12.168.67.62, our seq# = 735170656

155 12:32:47.406 06/18/11 Sev=Info/5 IKE/0x6300002F
Received ISAKMP packet: peer = 12.168.67.62

156 12:32:47.406 06/18/11 Sev=Info/4 IKE/0x63000014
RECEIVING <<< ISAKMP OAK INFO *(HASH, NOTIFY:DPD_ACK) from 12.168.67.62

157 12:32:47.406 06/18/11 Sev=Info/5 IKE/0x63000040
Received DPD ACK from 12.168.67.62, seq# received = 735170656, seq# expected = 735170656

158 12:34:09.781 06/18/11 Sev=Info/6 IKE/0x63000055
Sent a keepalive on the IPSec SA

159 12:34:29.781 06/18/11 Sev=Info/6 IKE/0x63000055
Sent a keepalive on the IPSec SA

160 12:35:19.312 06/18/11 Sev=Info/6 GUI/0x63B0000D
Disconnecting VPN connection.

161 12:35:19.312 06/18/11 Sev=Info/4 CM/0x6310000A
Secure connections terminated

162 12:35:19.312 06/18/11 Sev=Info/4 IKE/0x63000001
IKE received signal to terminate VPN connection

163 12:35:19.312 06/18/11 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK INFO *(HASH, DEL) to 12.168.67.62

164 12:35:19.312 06/18/11 Sev=Info/5 IKE/0x63000018
Deleting IPsec SA: (OUTBOUND SPI = 653938DB INBOUND SPI = 67EA444C)

165 12:35:19.312 06/18/11 Sev=Info/4 IKE/0x63000049
Discarding IPsec SA negotiation, MsgID=6FA57E36

166 12:35:19.312 06/18/11 Sev=Info/4 IKE/0x63000017
Marking IKE SA for deletion (I_Cookie=815B26B6BF55AC7F R_Cookie=99AD03DF0B6D9E16) reason = DEL_REASON_RESET_SADB

167 12:35:19.312 06/18/11 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK INFO *(HASH, DEL) to 12.168.67.62

168 12:35:19.312 06/18/11 Sev=Info/5 CVPND/0x63400013
Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.178.1 192.168.178.24 20
10.0.0.0 255.0.0.0 10.81.241.208 10.81.241.208 1
10.81.241.0 255.255.255.0 10.81.241.208 10.81.241.208 20
10.81.241.208 255.255.255.255 127.0.0.1 127.0.0.1 20
10.255.255.255 255.255.255.255 10.81.241.208 10.81.241.208 20
12.168.67.62 255.255.255.255 192.168.178.1 192.168.178.24 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
150.75.201.0 255.255.255.0 10.81.241.208 10.81.241.208 1
172.16.0.0 255.240.0.0 10.81.241.208 10.81.241.208 1
192.168.0.0 255.255.0.0 10.81.241.208 10.81.241.208 1
192.168.178.0 255.255.255.0 192.168.178.24 192.168.178.24 20
192.168.178.0 255.255.255.0 10.81.241.208 10.81.241.208 20
192.168.178.1 255.255.255.255 192.168.178.24 192.168.178.24 1
192.168.178.24 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.178.255 255.255.255.255 192.168.178.24 192.168.178.24 20
224.0.0.0 240.0.0.0 10.81.241.208 10.81.241.208 20
224.0.0.0 240.0.0.0 192.168.178.24 192.168.178.24 20
255.255.255.255 255.255.255.255 10.81.241.208 10.81.241.208 1
255.255.255.255 255.255.255.255 192.168.178.24 0.0.0.0 1
255.255.255.255 255.255.255.255 192.168.178.24 192.168.178.24 1
255.255.255.255 255.255.255.255 192.168.178.24 0.0.0.0 1

169 12:35:19.328 06/18/11 Sev=Info/6 CM/0x63100037
The routing table was returned to original state prior to Virtual Adapter

170 12:35:19.843 06/18/11 Sev=Info/5 CVPND/0x63400013
Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.178.1 192.168.178.24 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.178.0 255.255.255.0 192.168.178.24 192.168.178.24 20
192.168.178.24 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.178.255 255.255.255.255 192.168.178.24 192.168.178.24 20
224.0.0.0 240.0.0.0 192.168.178.24 192.168.178.24 20
255.255.255.255 255.255.255.255 192.168.178.24 192.168.178.24 1
255.255.255.255 255.255.255.255 192.168.178.24 0.0.0.0 1
255.255.255.255 255.255.255.255 192.168.178.24 0.0.0.0 1

171 12:35:19.843 06/18/11 Sev=Info/4 CM/0x63100035
The Virtual Adapter was disabled

172 12:35:19.843 06/18/11 Sev=Info/4 IKE/0x6300004B
Discarding IKE SA negotiation (I_Cookie=815B26B6BF55AC7F R_Cookie=99AD03DF0B6D9E16) reason = DEL_REASON_RESET_SADB

173 12:35:19.843 06/18/11 Sev=Info/4 CM/0x63100013
Phase 1 SA deleted cause by DEL_REASON_RESET_SADB. 0 Crypto Active IKE SA, 0 User Authenticated IKE SA in the system

174 12:35:19.843 06/18/11 Sev=Info/5 CM/0x63100025
Initializing CVPNDrv

175 12:35:19.843 06/18/11 Sev=Info/6 CM/0x63100031
Tunnel to headend device usconn1.aschulman.com disconnected: duration: 0 days 0:3:54

176 12:35:19.859 06/18/11 Sev=Info/6 CM/0x63100046
Set tunnel established flag in registry to 0.

177 12:35:19.937 06/18/11 Sev=Info/5 CM/0x63100025
Initializing CVPNDrv

178 12:35:19.937 06/18/11 Sev=Info/6 CM/0x63100046
Set tunnel established flag in registry to 0.

179 12:35:19.937 06/18/11 Sev=Info/4 IPSEC/0x63700013
Delete internal key with SPI=0x4c44ea67

180 12:35:19.937 06/18/11 Sev=Info/4 IPSEC/0x6370000C
Key deleted by SPI 0x4c44ea67

181 12:35:19.937 06/18/11 Sev=Info/4 IPSEC/0x63700013
Delete internal key with SPI=0xdb383965

182 12:35:19.937 06/18/11 Sev=Info/4 IPSEC/0x6370000C
Key deleted by SPI 0xdb383965

183 12:35:19.937 06/18/11 Sev=Info/4 IPSEC/0x63700014
Deleted all keys

184 12:35:19.937 06/18/11 Sev=Info/4 IPSEC/0x63700014
Deleted all keys

185 12:35:19.937 06/18/11 Sev=Info/4 IPSEC/0x6370000A
IPSec driver successfully stopped

186 12:35:19.937 06/18/11 Sev=Info/4 IPSEC/0x63700014
Deleted all keys

Denn ist doch alles gut wenn du über den VPN Client alle Geräte im remoten Netz erreichen kannst ! Der Berg der o.a. Daten ist dann doch völlig überflüssig zumal er auch gar einen Fehler anzeigt und eher bestätigt das VPN technisch alles sauber ist, was deinen erfolgreichen Pings ja auch eindrucksvoll bestätigen !!
Netzwerktechnisch rennt denn alles wie es soll. Der Rest ist dann nur Applikationsbezogen sofern es noch Probleme gibt.
Wo ist denn nun dein Problem ??

Vielen Dank fuer die Geduld - Leider ist das Problem dass die VPN Verbingung zwar scheinbar steht jedoch ich keine Ressourcen im Firmennetz ansprechen kann. Ping auf Server geht nicht, Hauptproblem ist die Replikation mit Lotus Notes.

Ich bin aktuell bei einem Bekannten mit einen 1&1 Anschluss und der VPN-Zugang einschl. Replikation funktioniert ohne Probleme (auch ohne manuelle Freigabe von PORTS). D.h. es muss irgendwie an dem Telekom-Anschluss liegen. Bin mir nicht sicher wo ich noch einen Trace machen kann ...

Zitat von @Martinsd70:

Ich bin aktuell bei einem Bekannten mit einen 1&1 Anschluss und der VPN-Zugang einschl. Replikation funktioniert ohne Probleme
(auch ohne manuelle Freigabe von PORTS). D.h. es muss irgendwie an dem Telekom-Anschluss liegen. Bin mir nicht sicher wo ich noch
einen Trace machen kann ...

Mal die Router überprüft, bzw. den baugleichen Router für beide Anschlüsse probiert, z.B. den Speedport, bzw FB7270 mal beim Bekannten mit 1&1-Anschluß ausprobiert?

Kannst du nur den Server nicht anpingen oder auch alle anderen Geräte im remoten Netz ? Speziell den Router LAN Port.
M.E. hattest du ja gesagt das das wenigstens klappt. Wenn du allerdings nichtmal den VPN Router LAN Port anpingen kannst, dann ist keine aktive VPN Verbindung zustande gekommen !
Wenn du nur den Server nicht anpingen kannst, dann liegt es zu 95% an der Server eigenen lokalen Firewall oder das der Server ein falsches Gateway eingetragen hat.
Pathping und/oder Traceroute vom Client sind dann deine Freunde um das herauszubekommen !

German Question Routers, Routing Networks

Hotly discussed

Check of ZFW Firewallgleixnerd - 3 Comments

How to set up and configure a Linux GRE tunnelAlexWisha - 3 Comments

WIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 3 Comments

End of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment