Vista / VPN (Roadwarrior) über Windows Client

Moderator: Securepoint

Gesperrt
SchlaWiener
Beiträge: 18
Registriert: Fr 28.09.2007, 14:16

Vista / VPN (Roadwarrior) über Windows Client

Beitrag von SchlaWiener »

Ich habe versucht ein VPN über den Windows Client in Vista zu der Firewall herzustellen. Dabei bin ich "streng nach Vorschrift" vorgegangen, sprich habe mich exakt an die Anleitung(en) gehalten.

http://www.securepoint.de/dokumente/How ... ior_R3.pdf
http://www.securepoint.de/dokumente/How ... ior_R3.pdf

Zuerst habe ich versucht die Verbindung über L2TP mit PSK herzustellen, dann über PPT2. Beide Methoden schlagen leider fehl.

Hier das Log zu Versuch 1 (L2TP):

Code: Alles auswählen

Aug 24	16:47:48	1.2.3.4	IPSEC Server	"firewall.foo.local__GT__Roadwarrior_1"[13] 80.187.109.129:39752 #19: only OAKLEY_GROUP_MODP1024 and OAKLEY_GROUP_MODP1536 supported.  Attribute OAKLEY_GROUP_DESCRIPTION	
Aug 24	16:47:48	1.2.3.4	IPSEC Server	"firewall.foo.local__GT__Roadwarrior_1"[13] 80.187.109.129:39752 #19: only OAKLEY_GROUP_MODP1024 and OAKLEY_GROUP_MODP1536 supported.  Attribute OAKLEY_GROUP_DESCRIPTION	
Aug 24	16:47:48	1.2.3.4	IPSEC Server	"firewall.foo.local__GT__Roadwarrior_1"[13] 80.187.109.129:39752 #19: Oakley Transform [OAKLEY_3DES_CBC (192), OAKLEY_SHA, OAKLEY_GROUP_MODP2048] refused due to strict flag	
Aug 24	16:47:48	1.2.3.4	IPSEC Server	"firewall.foo.local__GT__Roadwarrior_1"[13] 80.187.109.129:39752 #19: NAT-Traversal: Result using RFC 3947: peer is NATed	
Aug 24	16:47:48	1.2.3.4	IPSEC Server	"firewall.foo.local__GT__Roadwarrior_1"[13] 80.187.109.129:39752 #19: next payload type of ISAKMP Identification Payload has an unknown value: 146	
Aug 24	16:47:48	1.2.3.4	Firewall ACCEPT	IN=ppp0 OUT= MAC= SRC=80.187.109.129 DST=1.2.3.4 LEN=100 TOS=0x00 PREC=0x00 TTL=111 ID=4056 PROTO=UDP SPT=26011 DPT=4500 LEN=80	
Aug 24	16:47:48	1.2.3.4	IPSEC Server	"firewall.foo.local__GT__Roadwarrior_1"[13] 80.187.109.129:39752 #19: probable authentication failure (mismatch of preshared secrets?): malformed payload in packet	
Aug 24	16:47:48	1.2.3.4	IPSEC Server	"firewall.foo.local__GT__Roadwarrior_1"[13] 80.187.109.129:39752 #19: sending encrypted notification PAYLOAD_MALFORMED to 80.187.109.129:39752	
Aug 24	16:47:49	1.2.3.4	IPSEC Server	"firewall.foo.local__GT__Roadwarrior_1"[13] 80.187.109.129:39752 #19: next payload type of ISAKMP Identification Payload has an unknown value: 146	
Aug 24	16:47:49	1.2.3.4	Firewall ACCEPT	IN=ppp0 OUT= MAC= SRC=80.187.109.129 DST=1.2.3.4 LEN=100 TOS=0x00 PREC=0x00 TTL=111 ID=4061 PROTO=UDP SPT=26011 DPT=4500 LEN=80	
Aug 24	16:47:49	1.2.3.4	IPSEC Server	"firewall.foo.local__GT__Roadwarrior_1"[13] 80.187.109.129:39752 #19: probable authentication failure (mismatch of preshared secrets?): malformed payload in packet	
Aug 24	16:47:49	1.2.3.4	IPSEC Server	"firewall.foo.local__GT__Roadwarrior_1"[13] 80.187.109.129:39752 #19: sending encrypted notification PAYLOAD_MALFORMED to 80.187.109.129:39752	
Aug 24	16:47:51	1.2.3.4	IPSEC Server	"firewall.foo.local__GT__Roadwarrior_1"[13] 80.187.109.129:39752 #19: next payload type of ISAKMP Identification Payload has an unknown value: 146	
Dabei fallen mir 2 Zeilen besonders ins Auge:

... refused due to strict flag
--> Strict ist aber nicht angehackt

... probable authentication failure (mismatch of preshared secrets?): malformed payload in packet
--> Ich habs 3 Mal gegengecheckt, das Secret ist identisch.

Log zu Versuch 2 (PPTP):

Code: Alles auswählen

Aug 24	16:50:00	1.2.3.4	PPTP Server	CTRL: Client 80.187.109.171 control connection started	
Aug 24	16:50:00	1.2.3.4	Firewall ACCEPT	IN=ppp0 OUT= MAC= SRC=80.187.109.171 DST=1.2.3.4 LEN=52 TOS=0x00 PREC=0x00 TTL=111 ID=4282 DF PROTO=TCP SPT=48857 DPT=1723 WINDOW=8192 RES=0x00 SYN URGP=0	
Aug 24	16:50:00	1.2.3.4	PPTP Server	CTRL: Starting call (launching pppd, opening GRE)	
Aug 24	16:50:00	1.2.3.4	Point-To-Point Server	pppd 2.4.4 started by root, uid 0	
Aug 24	16:50:00	1.2.3.4	Point-To-Point Server	Using interface ppp1	
Aug 24	16:50:00	1.2.3.4	Point-To-Point Server	Connect: ppp1 <--> /dev/pts/4	
Aug 24	16:50:00	1.2.3.4	Security Server	DEBUG: changes on ppp1: -link -interface (tunnel)	
Aug 24	16:50:30	1.2.3.4	Point-To-Point Server	LCP: timeout sending Config-Requests	
Aug 24	16:50:30	1.2.3.4	Point-To-Point Server	Connection terminated.	
Aug 24	16:50:30	1.2.3.4	Point-To-Point Server	Modem hangup	
Aug 24	16:50:30	1.2.3.4	PPTP Server	GRE: read(fd=21,buffer=80588a0,len=8196) from PTY failed: status = -1 error = Input/output error, usually caused by unexpected termination of pppd, check option syntax and pppd logs	
Aug 24	16:50:30	1.2.3.4	PPTP Server	CTRL: PTY read or GRE write failed (pty,gre)=(21,24)	
Aug 24	16:50:30	1.2.3.4	PPTP Server	CTRL: Reaping child PPP[21518]	
Aug 24	16:50:30	1.2.3.4	PPTP Server	CTRL: Client 80.187.109.171 control connection finished	
Aug 24	16:50:30	1.2.3.4	Security Server	DEBUG: changes on ppp1: -link -interface (tunnel)	
K.A. warum das schief geht.
Hat irgendwer eine Idee? Keiner der VPN/Vista Beiträge hier im Forum scheint zu helfen (Ach ja, IPSec/IKE Dienste laufen auch).

P.S. Ich hab leider gerade keinen Windows Client zur Hand mit dem ich das testen könnte.

SchlaWiener
Beiträge: 18
Registriert: Fr 28.09.2007, 14:16

Beitrag von SchlaWiener »

Update: Nach einem Neustart der Securepoint ist die Verbindung zwar immer noch nicht möglich, die Fehlermeldung aber eine andere:

Code: Alles auswählen

Aug 24	17:08:15	1.2.3.4	IPSEC Server	packet from 80.187.109.129:5390: ignoring Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000006]	
Aug 24	17:08:15	1.2.3.4	IPSEC Server	packet from 80.187.109.129:5390: received Vendor ID payload [RFC 3947]	
Aug 24	17:08:15	1.2.3.4	IPSEC Server	packet from 80.187.109.129:5390: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]	
Aug 24	17:08:15	1.2.3.4	IPSEC Server	packet from 80.187.109.129:5390: ignoring Vendor ID payload [FRAGMENTATION]	
Aug 24	17:08:15	1.2.3.4	IPSEC Server	packet from 80.187.109.129:5390: ignoring Vendor ID payload [MS-Negotiation Discovery Capable]	
Aug 24	17:08:15	1.2.3.4	IPSEC Server	packet from 80.187.109.129:5390: ignoring Vendor ID payload [Vid-Initial-Contact]	
Aug 24	17:08:15	1.2.3.4	IPSEC Server	packet from 80.187.109.129:5390: ignoring Vendor ID payload [IKE CGA version 1]	
Aug 24	17:08:15	1.2.3.4	IPSEC Server	"firewall.foo.local__GT__test_0"[7] 80.187.109.129:5390 #6: responding to Main Mode from unknown peer 80.187.109.129:5390	
Aug 24	17:08:15	1.2.3.4	IPSEC Server	"firewall.foo.local__GT__test_0"[7] 80.187.109.129:5390 #6: only OAKLEY_GROUP_MODP1024 and OAKLEY_GROUP_MODP1536 supported.  Attribute OAKLEY_GROUP_DESCRIPTION	
Aug 24	17:08:15	1.2.3.4	IPSEC Server	"firewall.foo.local__GT__test_0"[7] 80.187.109.129:5390 #6: only OAKLEY_GROUP_MODP1024 and OAKLEY_GROUP_MODP1536 supported.  Attribute OAKLEY_GROUP_DESCRIPTION	
Aug 24	17:08:15	1.2.3.4	IPSEC Server	"firewall.foo.local__GT__test_0"[7] 80.187.109.129:5390 #6: Oakley Transform [OAKLEY_3DES_CBC (192), OAKLEY_SHA, OAKLEY_GROUP_MODP2048] refused due to strict flag	
Aug 24	17:08:15	1.2.3.4	IPSEC Server	"firewall.foo.local__GT__test_0"[7] 80.187.109.129:5390 #6: NAT-Traversal: Result using RFC 3947: peer is NATed	
Aug 24	17:08:15	1.2.3.4	IPSEC Server	"firewall.foo.local__GT__test_0"[7] 80.187.109.129:5390 #6: Peer ID is ID_IPV4_ADDR: '192.168.2.11'	
Aug 24	17:08:15	1.2.3.4	IPSEC Server	"firewall.foo.local__GT__test_0"[8] 80.187.109.129:5390 #6: deleting connection "firewall.foo.local__GT__test_0" instance with peer 80.187.109.129 {isakmp=#0/ipsec=#0}	
Aug 24	17:08:15	1.2.3.4	IPSEC Server	| NAT-T: new mapping 80.187.109.129:5390/25628)	
Aug 24	17:08:15	1.2.3.4	IPSEC Server	"firewall.foo.local__GT__test_0"[8] 80.187.109.129:25628 #6: sent MR3, ISAKMP SA established	
Aug 24	17:08:16	1.2.3.4	IPSEC Server	"firewall.foo.local__GT__test_0"[8] 80.187.109.129:25628 #6: cannot respond to IPsec SA request because no connection is known for 1.2.3.4:4500:17/1701...80.187.109.129:25628[192.168.2.11]:17/%any===192.168.2.11/32	
Aug 24	17:08:16	1.2.3.4	IPSEC Server	"firewall.foo.local__GT__test_0"[8] 80.187.109.129:25628 #6: sending encrypted notification INVALID_ID_INFORMATION to 80.187.109.129:25628	
Aug 24	17:08:17	1.2.3.4	IPSEC Server	"firewall.foo.local__GT__test_0"[8] 80.187.109.129:25628 #6: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x01000000 (perhaps this is a duplicated packet)	
Aug 24	17:08:17	1.2.3.4	IPSEC Server	"firewall.foo.local__GT__test_0"[8] 80.187.109.129:25628 #6: sending encrypted notification INVALID_MESSAGE_ID to 80.187.109.129:25628	
Aug 24	17:08:20	1.2.3.4	IPSEC Server	"firewall.foo.local__GT__test_0"[8] 80.187.109.129:25628 #6: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x01000000 (perhaps this is a duplicated packet)	
Aug 24	17:08:20	1.2.3.4	IPSEC Server	"firewall.foo.local__GT__test_0"[8] 80.187.109.129:25628 #6: sending encrypted notification INVALID_MESSAGE_ID to 80.187.109.129:25628	
Aug 24	17:08:24	1.2.3.4	IPSEC Server	"firewall.foo.local__GT__test_0"[8] 80.187.109.129:25628 #6: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x01000000 (perhaps this is a duplicated packet)	
Aug 24	17:08:24	1.2.3.4	IPSEC Server	"firewall.foo.local__GT__test_0"[8] 80.187.109.129:25628 #6: sending encrypted notification INVALID_MESSAGE_ID to 80.187.109.129:25628	

Der Windows Client sagt nach einem gewissen Timeout:

Code: Alles auswählen

Fehler 789:
Der L2TP-Verbindungsversuch ist fehlgeschlagen, da ein
Verarbeitungsfehler wärend der ersten Sicherheitsaushandlung
mit dem Remotecomputer aufgetreten ist.

SchlaWiener
Beiträge: 18
Registriert: Fr 28.09.2007, 14:16

Beitrag von SchlaWiener »

P.S. Ich hab leider gerade keinen Windows Client zur Hand mit dem ich das testen könnte.
Sorry, ich meinte "keinen Windows XP Client".

Benutzeravatar
Erik
Securepoint
Beiträge: 1479
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Guten Abend,
tragen Sie unter "Phase 2"-> "L2TP-Subnet" einmal "0.0.0.0/0" ein.

Schnick
Beiträge: 22
Registriert: Di 03.08.2010, 19:31

Beitrag von Schnick »

Ich möchte dieses Problem nochmal aufgreifen. Ich habe ebenfalls mit der Meldung:
cannot respond to IPsec SA request because no connection is known for

zu tun. Ich habe die L2TP Verbindung so eingerichtet, wie oben beschrieben. Mit dem Vista und XP Client geht es auch. Bei Win7 leider nicht. Da bekomme ich dieses Problem....

Der Assistent hat 2 Objekte im VPN angelegt. Einmal mit dem Subnet 0.0.0.0 und einmal ohne. Aber Änderungen dara haben leider auch keinen Erfolg.

Vielleiht kann mir hier jemand helfen?

Gesperrt