VPN, IPSEC - keine Verbindung (2007nx)

dominic · Beitrag von **dominic** » Fr 11.04.2008, 14:01

Hallo zusammen,

ich habe da ein kleine Problem eine funktionierende VPN Verbindung mit dem 2007nx aufzubauen.
Leider hat mich die Foren/google Suche nicht ganz so viel weiter gebracht wie erhofft.

Auszug aus dem Logfile

Code: Alles auswählen

Apr 11	13:43:38	192.168.3.1	IPSEC Server	packet from xx.xx.xxx.xxx:500: received Vendor ID payload [Dead Peer Detection]	
Apr 11	13:43:38	192.168.3.1	Firewall ACCEPT	IN=ppp0 OUT= MAC= SRC=xx.xx.xxx.xxx DST=xx.xxx.xxx.xxx LEN=152 TOS=0x00 PREC=0x00 TTL=56 ID=33595 PROTO=UDP SPT=500 DPT=500 LEN=132	
Apr 11	13:43:38	192.168.3.1	IPSEC Server	packet from xx.xx.xxx.xxx:500: ignoring Vendor ID payload [Cisco-Unity]	
Apr 11	13:43:38	192.168.3.1	IPSEC Server	"firewall.foo.local__GT__DomLau_1"[1] xx.xx.xxx.xxx #1: responding to Main Mode from unknown peer xx.xx.xxx.xxx	
Apr 11	13:43:38	192.168.3.1	IPSEC Server	"firewall.foo.local__GT__DomLau_1"[1] xx.xx.xxx.xxx #1: OAKLEY_CAST_CBC is not supported.  Attribute OAKLEY_ENCRYPTION_ALGORITHM	
Apr 11	13:43:38	192.168.3.1	IPSEC Server	"firewall.foo.local__GT__DomLau_1"[1] xx.xx.xxx.xxx #1: no acceptable Oakley Transform	
Apr 11	13:43:38	192.168.3.1	IPSEC Server	"firewall.foo.local__GT__DomLau_1"[1] xx.xx.xxx.xxx #1: sending notification NO_PROPOSAL_CHOSEN to xx.xx.xxx.xxx:500	
Apr 11	13:43:38	192.168.3.1	IPSEC Server	"firewall.foo.local__GT__DomLau_1"[1] xx.xxx.xxx.xxx: deleting connection "firewall.foo.local__GT__DomLau_1" instance with peer xx.xxx.xxx.xxx {isakmp=#0/ipsec=#0}

An anderer Stelle habe ich folgenden Hinweis zu dem Fehler gefunden:

no acceptable Oakley Transform
sending notification NO_PROPOSAL_CHOSEN to 192.168.1.200:500

In diesem Fall muß das Verschlüsselungsprofil auf dem Intranator oder der Gegenseite so angepasst werden, daß mindestens eine Algorithmenkombination auf beiden Seiten zulässig ist.

Soweit so gut.

config der 2007nx:

Auth: Secret
ID-Typ: IP
Key-Life: 8
IKE-Life: 8
PFS: No
Keyingtries: 1
IKE: aes128-md5
ESP: aes128-sha1
DH Gruppe: 1024

ShrewSoft VPN Client ist der Client mit entsprechenden Einstellungen. Soll heißen am Client ist ebenfalls für Phase1 aes128/md5 und Phase2/sha1 eingestellt.

Was muss ich tun um den 2007nx "zu überreden" die Verbindung doch anzunehmen?

Danke & Gruß
Dominic

M Goeres · Beitrag von **M Goeres** » So 13.04.2008, 20:21

Hallo,
also ich kenne den IPSec-Client nicht, aber es gibt ein paar "Kleinigkeiten" zu beachten:

1. ID-TYP = IP ist nicht das Mittel der Stunde.
Bei Dynamischen Clients entweder eine Cert oder PSK - Auth benutzen (Aggressive Mode wird ebenfalls nicht akzeptiert).

2. Port 500. Sollte eine der beiden Seiten unter NAT "leiden" scheint auch hier noch was zu druecken. Die interne Adresse beim "NO PROPOSAL CHOSEN" ist ebenfalls ein "Stolperstein".

Die Infos sind halt ein bisel duerftig.....was genau soll denn nun passieren (ausser einem Tunnel).

gruss

M.Goeres