Securepoint Security Solutions Support Forum

Moderator: Securepoint

 
SchlaWiener
Themen-Autor
Beiträge: 18
Registriert: Fr 28.09.2007, 14:16

Vista / VPN (Roadwarrior) über Windows Client

Mo 24.08.2009, 16:58

Ich habe versucht ein VPN über den Windows Client in Vista zu der Firewall herzustellen. Dabei bin ich "streng nach Vorschrift" vorgegangen, sprich habe mich exakt an die Anleitung(en) gehalten.

http://www.securepoint.de/dokumente/How ... ior_R3.pdf
http://www.securepoint.de/dokumente/How ... ior_R3.pdf

Zuerst habe ich versucht die Verbindung über L2TP mit PSK herzustellen, dann über PPT2. Beide Methoden schlagen leider fehl.

Hier das Log zu Versuch 1 (L2TP):
Aug 24   16:47:48   1.2.3.4   IPSEC Server   "firewall.foo.local__GT__Roadwarrior_1"[13] 80.187.109.129:39752 #19: only OAKLEY_GROUP_MODP1024 and OAKLEY_GROUP_MODP1536 supported.  Attribute OAKLEY_GROUP_DESCRIPTION   
Aug 24   16:47:48   1.2.3.4   IPSEC Server   "firewall.foo.local__GT__Roadwarrior_1"[13] 80.187.109.129:39752 #19: only OAKLEY_GROUP_MODP1024 and OAKLEY_GROUP_MODP1536 supported.  Attribute OAKLEY_GROUP_DESCRIPTION   
Aug 24   16:47:48   1.2.3.4   IPSEC Server   "firewall.foo.local__GT__Roadwarrior_1"[13] 80.187.109.129:39752 #19: Oakley Transform [OAKLEY_3DES_CBC (192), OAKLEY_SHA, OAKLEY_GROUP_MODP2048] refused due to strict flag   
Aug 24   16:47:48   1.2.3.4   IPSEC Server   "firewall.foo.local__GT__Roadwarrior_1"[13] 80.187.109.129:39752 #19: NAT-Traversal: Result using RFC 3947: peer is NATed   
Aug 24   16:47:48   1.2.3.4   IPSEC Server   "firewall.foo.local__GT__Roadwarrior_1"[13] 80.187.109.129:39752 #19: next payload type of ISAKMP Identification Payload has an unknown value: 146   
Aug 24   16:47:48   1.2.3.4   Firewall ACCEPT   IN=ppp0 OUT= MAC= SRC=80.187.109.129 DST=1.2.3.4 LEN=100 TOS=0x00 PREC=0x00 TTL=111 ID=4056 PROTO=UDP SPT=26011 DPT=4500 LEN=80   
Aug 24   16:47:48   1.2.3.4   IPSEC Server   "firewall.foo.local__GT__Roadwarrior_1"[13] 80.187.109.129:39752 #19: probable authentication failure (mismatch of preshared secrets?): malformed payload in packet   
Aug 24   16:47:48   1.2.3.4   IPSEC Server   "firewall.foo.local__GT__Roadwarrior_1"[13] 80.187.109.129:39752 #19: sending encrypted notification PAYLOAD_MALFORMED to 80.187.109.129:39752   
Aug 24   16:47:49   1.2.3.4   IPSEC Server   "firewall.foo.local__GT__Roadwarrior_1"[13] 80.187.109.129:39752 #19: next payload type of ISAKMP Identification Payload has an unknown value: 146   
Aug 24   16:47:49   1.2.3.4   Firewall ACCEPT   IN=ppp0 OUT= MAC= SRC=80.187.109.129 DST=1.2.3.4 LEN=100 TOS=0x00 PREC=0x00 TTL=111 ID=4061 PROTO=UDP SPT=26011 DPT=4500 LEN=80   
Aug 24   16:47:49   1.2.3.4   IPSEC Server   "firewall.foo.local__GT__Roadwarrior_1"[13] 80.187.109.129:39752 #19: probable authentication failure (mismatch of preshared secrets?): malformed payload in packet   
Aug 24   16:47:49   1.2.3.4   IPSEC Server   "firewall.foo.local__GT__Roadwarrior_1"[13] 80.187.109.129:39752 #19: sending encrypted notification PAYLOAD_MALFORMED to 80.187.109.129:39752   
Aug 24   16:47:51   1.2.3.4   IPSEC Server   "firewall.foo.local__GT__Roadwarrior_1"[13] 80.187.109.129:39752 #19: next payload type of ISAKMP Identification Payload has an unknown value: 146   


Dabei fallen mir 2 Zeilen besonders ins Auge:

... refused due to strict flag
--> Strict ist aber nicht angehackt

... probable authentication failure (mismatch of preshared secrets?): malformed payload in packet
--> Ich habs 3 Mal gegengecheckt, das Secret ist identisch.

Log zu Versuch 2 (PPTP):
Aug 24   16:50:00   1.2.3.4   PPTP Server   CTRL: Client 80.187.109.171 control connection started   
Aug 24   16:50:00   1.2.3.4   Firewall ACCEPT   IN=ppp0 OUT= MAC= SRC=80.187.109.171 DST=1.2.3.4 LEN=52 TOS=0x00 PREC=0x00 TTL=111 ID=4282 DF PROTO=TCP SPT=48857 DPT=1723 WINDOW=8192 RES=0x00 SYN URGP=0   
Aug 24   16:50:00   1.2.3.4   PPTP Server   CTRL: Starting call (launching pppd, opening GRE)   
Aug 24   16:50:00   1.2.3.4   Point-To-Point Server   pppd 2.4.4 started by root, uid 0   
Aug 24   16:50:00   1.2.3.4   Point-To-Point Server   Using interface ppp1   
Aug 24   16:50:00   1.2.3.4   Point-To-Point Server   Connect: ppp1 <--> /dev/pts/4   
Aug 24   16:50:00   1.2.3.4   Security Server   DEBUG: changes on ppp1: -link -interface (tunnel)   
Aug 24   16:50:30   1.2.3.4   Point-To-Point Server   LCP: timeout sending Config-Requests   
Aug 24   16:50:30   1.2.3.4   Point-To-Point Server   Connection terminated.   
Aug 24   16:50:30   1.2.3.4   Point-To-Point Server   Modem hangup   
Aug 24   16:50:30   1.2.3.4   PPTP Server   GRE: read(fd=21,buffer=80588a0,len=8196) from PTY failed: status = -1 error = Input/output error, usually caused by unexpected termination of pppd, check option syntax and pppd logs   
Aug 24   16:50:30   1.2.3.4   PPTP Server   CTRL: PTY read or GRE write failed (pty,gre)=(21,24)   
Aug 24   16:50:30   1.2.3.4   PPTP Server   CTRL: Reaping child PPP[21518]   
Aug 24   16:50:30   1.2.3.4   PPTP Server   CTRL: Client 80.187.109.171 control connection finished   
Aug 24   16:50:30   1.2.3.4   Security Server   DEBUG: changes on ppp1: -link -interface (tunnel)   


K.A. warum das schief geht.
Hat irgendwer eine Idee? Keiner der VPN/Vista Beiträge hier im Forum scheint zu helfen (Ach ja, IPSec/IKE Dienste laufen auch).

P.S. Ich hab leider gerade keinen Windows Client zur Hand mit dem ich das testen könnte.
 
SchlaWiener
Themen-Autor
Beiträge: 18
Registriert: Fr 28.09.2007, 14:16

Vista / VPN (Roadwarrior) über Windows Client

Mo 24.08.2009, 17:12

Update: Nach einem Neustart der Securepoint ist die Verbindung zwar immer noch nicht möglich, die Fehlermeldung aber eine andere:

Aug 24   17:08:15   1.2.3.4   IPSEC Server   packet from 80.187.109.129:5390: ignoring Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000006]   
Aug 24   17:08:15   1.2.3.4   IPSEC Server   packet from 80.187.109.129:5390: received Vendor ID payload [RFC 3947]   
Aug 24   17:08:15   1.2.3.4   IPSEC Server   packet from 80.187.109.129:5390: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]   
Aug 24   17:08:15   1.2.3.4   IPSEC Server   packet from 80.187.109.129:5390: ignoring Vendor ID payload [FRAGMENTATION]   
Aug 24   17:08:15   1.2.3.4   IPSEC Server   packet from 80.187.109.129:5390: ignoring Vendor ID payload [MS-Negotiation Discovery Capable]   
Aug 24   17:08:15   1.2.3.4   IPSEC Server   packet from 80.187.109.129:5390: ignoring Vendor ID payload [Vid-Initial-Contact]   
Aug 24   17:08:15   1.2.3.4   IPSEC Server   packet from 80.187.109.129:5390: ignoring Vendor ID payload [IKE CGA version 1]   
Aug 24   17:08:15   1.2.3.4   IPSEC Server   "firewall.foo.local__GT__test_0"[7] 80.187.109.129:5390 #6: responding to Main Mode from unknown peer 80.187.109.129:5390   
Aug 24   17:08:15   1.2.3.4   IPSEC Server   "firewall.foo.local__GT__test_0"[7] 80.187.109.129:5390 #6: only OAKLEY_GROUP_MODP1024 and OAKLEY_GROUP_MODP1536 supported.  Attribute OAKLEY_GROUP_DESCRIPTION   
Aug 24   17:08:15   1.2.3.4   IPSEC Server   "firewall.foo.local__GT__test_0"[7] 80.187.109.129:5390 #6: only OAKLEY_GROUP_MODP1024 and OAKLEY_GROUP_MODP1536 supported.  Attribute OAKLEY_GROUP_DESCRIPTION   
Aug 24   17:08:15   1.2.3.4   IPSEC Server   "firewall.foo.local__GT__test_0"[7] 80.187.109.129:5390 #6: Oakley Transform [OAKLEY_3DES_CBC (192), OAKLEY_SHA, OAKLEY_GROUP_MODP2048] refused due to strict flag   
Aug 24   17:08:15   1.2.3.4   IPSEC Server   "firewall.foo.local__GT__test_0"[7] 80.187.109.129:5390 #6: NAT-Traversal: Result using RFC 3947: peer is NATed   
Aug 24   17:08:15   1.2.3.4   IPSEC Server   "firewall.foo.local__GT__test_0"[7] 80.187.109.129:5390 #6: Peer ID is ID_IPV4_ADDR: '192.168.2.11'   
Aug 24   17:08:15   1.2.3.4   IPSEC Server   "firewall.foo.local__GT__test_0"[8] 80.187.109.129:5390 #6: deleting connection "firewall.foo.local__GT__test_0" instance with peer 80.187.109.129 {isakmp=#0/ipsec=#0}   
Aug 24   17:08:15   1.2.3.4   IPSEC Server   | NAT-T: new mapping 80.187.109.129:5390/25628)   
Aug 24   17:08:15   1.2.3.4   IPSEC Server   "firewall.foo.local__GT__test_0"[8] 80.187.109.129:25628 #6: sent MR3, ISAKMP SA established   
Aug 24   17:08:16   1.2.3.4   IPSEC Server   "firewall.foo.local__GT__test_0"[8] 80.187.109.129:25628 #6: cannot respond to IPsec SA request because no connection is known for 1.2.3.4:4500:17/1701...80.187.109.129:25628[192.168.2.11]:17/%any===192.168.2.11/32   
Aug 24   17:08:16   1.2.3.4   IPSEC Server   "firewall.foo.local__GT__test_0"[8] 80.187.109.129:25628 #6: sending encrypted notification INVALID_ID_INFORMATION to 80.187.109.129:25628   
Aug 24   17:08:17   1.2.3.4   IPSEC Server   "firewall.foo.local__GT__test_0"[8] 80.187.109.129:25628 #6: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x01000000 (perhaps this is a duplicated packet)   
Aug 24   17:08:17   1.2.3.4   IPSEC Server   "firewall.foo.local__GT__test_0"[8] 80.187.109.129:25628 #6: sending encrypted notification INVALID_MESSAGE_ID to 80.187.109.129:25628   
Aug 24   17:08:20   1.2.3.4   IPSEC Server   "firewall.foo.local__GT__test_0"[8] 80.187.109.129:25628 #6: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x01000000 (perhaps this is a duplicated packet)   
Aug 24   17:08:20   1.2.3.4   IPSEC Server   "firewall.foo.local__GT__test_0"[8] 80.187.109.129:25628 #6: sending encrypted notification INVALID_MESSAGE_ID to 80.187.109.129:25628   
Aug 24   17:08:24   1.2.3.4   IPSEC Server   "firewall.foo.local__GT__test_0"[8] 80.187.109.129:25628 #6: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x01000000 (perhaps this is a duplicated packet)   
Aug 24   17:08:24   1.2.3.4   IPSEC Server   "firewall.foo.local__GT__test_0"[8] 80.187.109.129:25628 #6: sending encrypted notification INVALID_MESSAGE_ID to 80.187.109.129:25628   



Der Windows Client sagt nach einem gewissen Timeout:
Fehler 789:
Der L2TP-Verbindungsversuch ist fehlgeschlagen, da ein
Verarbeitungsfehler wärend der ersten Sicherheitsaushandlung
mit dem Remotecomputer aufgetreten ist.
 
SchlaWiener
Themen-Autor
Beiträge: 18
Registriert: Fr 28.09.2007, 14:16

Vista / VPN (Roadwarrior) über Windows Client

Mo 24.08.2009, 17:18

P.S. Ich hab leider gerade keinen Windows Client zur Hand mit dem ich das testen könnte.


Sorry, ich meinte "keinen Windows XP Client".
 
Benutzeravatar
Erik
Securepoint
Beiträge: 1468
Registriert: Fr 07.11.2008, 11:50

Vista / VPN (Roadwarrior) über Windows Client

Mo 24.08.2009, 17:49

Guten Abend,
tragen Sie unter "Phase 2"-> "L2TP-Subnet" einmal "0.0.0.0/0" ein.
 
Schnick
Beiträge: 22
Registriert: Di 03.08.2010, 19:31

Vista / VPN (Roadwarrior) über Windows Client

Fr 22.10.2010, 13:28

Ich möchte dieses Problem nochmal aufgreifen. Ich habe ebenfalls mit der Meldung:
cannot respond to IPsec SA request because no connection is known for

zu tun. Ich habe die L2TP Verbindung so eingerichtet, wie oben beschrieben. Mit dem Vista und XP Client geht es auch. Bei Win7 leider nicht. Da bekomme ich dieses Problem....

Der Assistent hat 2 Objekte im VPN angelegt. Einmal mit dem Subnet 0.0.0.0 und einmal ohne. Aber Änderungen dara haben leider auch keinen Erfolg.

Vielleiht kann mir hier jemand helfen?

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 9 Gäste