IPsec/ IKEv1 - XAuth Einwahl für iOS und Android

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
franek
Beiträge: 6
Registriert: Fr 28.10.2016, 17:13

IPsec/ IKEv1 - XAuth Einwahl für iOS und Android

Beitrag von franek »

Hallo,

ich habe aktuell bei der Einrichtung einer VPN-Einwahl für Smartphones das Problem, dass deren Einwahl mit folgenden Log-Einträgen fehlschlägt:

Code: Alles auswählen

2016-10-31T11:23:01+01:00 pluto [12761]: "{Roadwarrior Name}"[9] {iPhone IP}:13921 #8: parsing ModeCfg request
2016-10-31T11:23:01+01:00 pluto [12761]: "{Roadwarrior Name}"[9] {iPhone IP}:13921 #8: unknown attribute type (28683)
2016-10-31T11:23:01+01:00 pluto [12761]: "{Roadwarrior Name}"[9] {iPhone IP}:13921 #8: peer requested virtual IP %any
2016-10-31T11:23:01+01:00 pluto [12761]: "{Roadwarrior Name}"[9] {iPhone IP}:13921 #8: assigning virtual IP 172.21.36.2 to peer
2016-10-31T11:23:01+01:00 pluto [12761]: "{Roadwarrior Name}"[9] {iPhone IP}:13921 #8: sending ModeCfg reply
2016-10-31T11:23:01+01:00 pluto [12761]: "{Roadwarrior Name}"[9] {iPhone IP}:13921 #8: sent ModeCfg reply, established
2016-10-31T11:23:01+01:00 pluto [12761]: "{Roadwarrior Name}"[9] {iPhone IP}:13921 #8: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x80bab648 (perhaps this is a duplicated packet)
2016-10-31T11:23:01+01:00 pluto [12761]: "{Roadwarrior Name}"[9] {iPhone IP}:13921 #8: sending encrypted notification INVALID_MESSAGE_ID to {iPhone IP}:13921
2016-10-31T11:23:04+01:00 pluto [12761]: "{Roadwarrior Name}"[9] {iPhone IP}:13921 #8: discarding duplicate packet; already STATE_MODE_CFG_R1
2016-10-31T11:23:04+01:00 pluto [12761]: "{Roadwarrior Name}"[9] {iPhone IP}:13921 #8: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x80bab648 (perhaps this is a duplicated packet)
2016-10-31T11:23:04+01:00 pluto [12761]: "{Roadwarrior Name}"[9] {iPhone IP}:13921 #8: sending encrypted notification INVALID_MESSAGE_ID to {iPhone IP}:13921
2016-10-31T11:23:07+01:00 pluto [12761]: "{Roadwarrior Name}"[9] {iPhone IP}:13921 #8: discarding duplicate packet; already STATE_MODE_CFG_R1
Konfiguriert ist ein IPsec Roadwarrior mit den folgenden Einstellungen:
Phase 1:
  • Verbindungstyp: IKEv1 - XAuth
  • Local Gateway: defaultroute
  • Route Over: eth0.296 (externes Interface)
  • Local Gateway ID: eth0.296
  • Remote Host / Gateway: any
  • Remote Host / Gateway ID: 0.0.0.0
  • Authentifizierung: Pre-Shared Key
  • Pre-Shared Key: <zensiert>
  • Startverhalten: Incoming
  • Dead Peer Detection: false
  • Compression: false
Phase 2:
  • Lokales Netzwerk: 172.16.0.0/12
  • Adress-Pool: 172.21.36.1/24
Allgemeine Konfiguration der Securepoint:
eth0.296: public IP
eth1: 172.21.xx.xx/24 - Subnetz in 172.16.0.0/12
In der Statusübersicht wird mir der Roadwarrior als "down" angezeigt, die Anwendungen IPSEC, SSL-VPN und L2TP VPN jedoch als aktiv.

Hat jemand eine Idee was ich hier falsch gemacht haben könnte?

Vielen Dank und Grüße
Franek

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

die Meldung:

Code: Alles auswählen

2016-10-31T11:23:04+01:00 pluto [12761]: "{Roadwarrior Name}"[9] {iPhone IP}:13921 #8: sending encrypted notification INVALID_MESSAGE_ID to {iPhone IP}:13921
besagt das die Phase2 nicht übereinstimmt. Schauen Sie mal am Client ob die Einstellungen korrekt sind.

Gruß Björn

franek
Beiträge: 6
Registriert: Fr 28.10.2016, 17:13

Beitrag von franek »

Hallo,

am iPhone ist leider nicht sehr viel einstellbar... Als VPN-Typ ist IPSec eingestellt.
Die restlichen Einstellungsmöglichkeiten beschränken sich leider nur auf Shared Secret und User Credentials.
Um ggf. den Mobilfunkbetreiber auszuschließen wurde die Verbindung auch über unterschiedle ISP`s aus diversen WLAN-Netzen getestet, mit dem gleichen Ergebnis.

Hier nochmal die Logs eines aktuellen Versuches:

Code: Alles auswählen

2016-11-02T16:11:35+01:00 pluto [12761]: "VPN-Name_7"[19] xx.xxx.xxx.xxx:6361 #119: cannot respond to IPsec SA request because no connection is known for 0.0.0.0/0==={Securepoint ext IP}:4500[Securepoint ext IP]...{iPhone IP}:6361[iPhone IP]===172.21.36.2/32
2016-11-02T16:11:35+01:00 pluto [12761]: "VPN-Name_7"[19] xx.xxx.xxx.xxx:6361 #119: sending encrypted notification INVALID_ID_INFORMATION to iPhone IP:6361
2016-11-02T16:11:38+01:00 pluto [12761]: "VPN-Name_7"[19] xx.xxx.xxx.xxx:6361 #119: parsing ModeCfg request
2016-11-02T16:11:38+01:00 pluto [12761]: "VPN-Name_7"[19] xx.xxx.xxx.xxx:6361 #119: unknown attribute type (28683)
2016-11-02T16:11:38+01:00 pluto [12761]: "VPN-Name_7"[19] xx.xxx.xxx.xxx:6361 #119: peer requested virtual IP %any
2016-11-02T16:11:38+01:00 pluto [12761]: "VPN-Name_7"[19] xx.xxx.xxx.xxx:6361 #119: assigning virtual IP 172.21.36.2 to peer
2016-11-02T16:11:38+01:00 pluto [12761]: "VPN-Name_7"[19] xx.xxx.xxx.xxx:6361 #119: sending ModeCfg reply
2016-11-02T16:11:38+01:00 pluto [12761]: "VPN-Name_7"[19] xx.xxx.xxx.xxx:6361 #119: sent ModeCfg reply, established
2016-11-02T16:11:39+01:00 pluto [12761]: "VPN-Name_7"[19] xx.xxx.xxx.xxx:6361 #119: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0xf0055efd (perhaps this is a duplicated packet)
2016-11-02T16:11:39+01:00 pluto [12761]: "VPN-Name_7"[19] xx.xxx.xxx.xxx:6361 #119: sending encrypted notification INVALID_MESSAGE_ID to xx.xxx.xxx.xxx:6361

Danke und Grüße
Franek

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo Franek,

die Meldung ist noch die selbe. Phase2 stimmt nicht überein. Hier finden Sie die gängigsten Fehlermeldung zum Thema IPSec. Schickt der Client ggf. eine IP mit? Wenn ja sollten Sie dies rausnehmen oder den IPSec Tunnel in der Phase2 dementsprechend anpassen.

Gruß Björn

csg
Beiträge: 193
Registriert: Di 08.03.2011, 10:55
Kontaktdaten:

Beitrag von csg »

Konnte das Thema gelöst werden?
Ich steh unter 11.6.12 vor selbem Problem und bin nach WIKI-Eintrag http://wiki.securepoint.de/index.php/UT ... oadwarrior vorgegangen, welcher wohl leider nicht korrekt oder unvollständig ist.

csg
Beiträge: 193
Registriert: Di 08.03.2011, 10:55
Kontaktdaten:

Beitrag von csg »

Zur Ergänzung: PFS deaktiviert und es funktioniert.

Antworten