VPN NetgearClient-Intranator

[Frank]

Hallo,
bisher hat es gut funktioniert, nur wäre da die zwei Jahresfrist nicht.
Ein Laptop (XP prof) von mehreren macht Probleme:

Log Intranator:
Mar 15 13:51:06 intranator pluto[14102]: packet from 212.144.81.98:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
Mar 15 13:51:06 intranator pluto[14102]: packet from 212.144.81.98:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
Mar 15 13:51:06 intranator pluto[14102]: "C3"[6] 212.144.81.98 #9: responding to Main Mode from unknown peer 212.144.81.98
Mar 15 13:51:08 intranator pluto[14102]: "C3"[6] 212.144.81.98 #9: ignoring Vendor ID payload [47bbe7c993f1fc13...]
Mar 15 13:51:08 intranator pluto[14102]: "C3"[6] 212.144.81.98 #9: ignoring Vendor ID payload [da8e937880010000]
Mar 15 13:51:08 intranator pluto[14102]: "C3"[6] 212.144.81.98 #9: ignoring Vendor ID payload [XAUTH]
Mar 15 13:51:10 intranator pluto[14102]: "C3"[6] 212.144.81.98 #9: ignoring informational payload, type IPSEC_INITIAL_CONTACT
Mar 15 13:51:10 intranator pluto[14102]: "C3"[6] 212.144.81.98 #9: Main mode peer ID is ID_DER_ASN1_DN: 'C=DE, CN=gerl001'
Mar 15 13:51:10 intranator pluto[14102]: "C3"[6] 212.144.81.98 #9: Issuer CA certificate not found
Mar 15 13:51:10 intranator pluto[14102]: "C3"[6] 212.144.81.98 #9: X.509 certificate rejected
Mar 15 13:51:10 intranator pluto[14102]: "C3"[6] 212.144.81.98 #9: no suitable connection for peer 'C=DE, CN=gerl001'
Mar 15 13:51:10 intranator pluto[14102]: "C3"[6] 212.144.81.98 #9: sending notification INVALID_ID_INFORMATION to 212.144.81.98:500
Mar 15 13:51:19 intranator pluto[14102]: "C3"[6] 212.144.81.98 #9: encrypted Informational Exchange message is invalid because it is for incomplete ISAKMP SA

Log Netgear Client:
3-15: 13:50:54.566 Interface added: 212.144.81.98/255.255.255.0 on MODEM "PCTEL 2304WT V.92 MDC Modem".
3-15: 13:51:05.362 My Connections\Axxx Router - Attempting to resolve Hostname (Axxx.dyndns.org)
3-15: 13:51:05.662 My Connections\Axxx Router - Initiating IKE Phase 1 (Hostname=Axxx.dyndns.org) (IP ADDR=213.23.163.x22)
3-15: 13:51:06.013 My Connections\Axxx Router - SENDING>>>> ISAKMP OAK MM (SA, VID 2x)
3-15: 13:51:06.283 My Connections\Axxx Router - RECEIVED<<< ISAKMP OAK MM (SA)
3-15: 13:51:07.305 My Connections\Axxx Router - SENDING>>>> ISAKMP OAK MM (KE, NON, VID 3x)
3-15: 13:51:07.725 My Connections\Axxx Router - RECEIVED<<< ISAKMP OAK MM (KE, NON, CERT_REQ 8x)
3-15: 13:51:08.777 My Connections\Axxx Router - Using configured machine certificate "gerl001's CN=gerl001, C=DE ID".
3-15: 13:51:08.997 My Connections\Axxx Router - SENDING>>>> ISAKMP OAK MM *(ID, CERT, CERT_REQ 11x, SIG, NOTIFY:STATUS_INITIAL_CONTACT)
3-15: 13:51:10.269 My Connections\Axxx Router - RECEIVED<<< ISAKMP OAK INFO (NOTIFY:INVALID_ID_INFO)
3-15: 13:51:18.340 My Connections\Axxx Router - RECEIVED<<< ISAKMP OAK MM (KE, NON, CERT_REQ 8x)
3-15: 13:51:18.340 No matching Phase 1 ID received for Policy Entry My Connections\Axxx Router.
3-15: 13:51:18.340 My Connections\Axxx Router - SENDING>>>> ISAKMP OAK INFO *(HASH, NOTIFY:INVALID_ID_INFO)
3-15: 13:51:18.340 My Connections\Axxx Router - Discarding IKE SA negotiation
3-15: 13:51:18.340 MY COOKIE 5d 2f bd 46 68 45 41 1b
3-15: 13:51:18.340 HIS COOKIE d8 f8 d2 8d 6a e9 dc 1b
3-15: 13:51:37.608 NO MATCHING SECURE CONNECTION - RECEIVED<<< ISAKMP OAK MM (KE, NON, CERT_REQ 8x)
3-15: 13:51:37.608 NO MATCHING SECURE CONNECTION - Received message from unrecognized peer: 213.23.163.x22.
3-15: 13:51:37.608 NO MATCHING SECURE CONNECTION - SENDING>>>> ISAKMP OAK INFO (NOTIFY:NO_PROPOSAL_CHOSEN)

Problem: Issuer CA certificate not found
Schlüsselsatz und Verbindung (auf dem Intranator) sind in Ordnung, habe ich auf einem anderen Laptop ausprobiert. Auch ein anderes funktionierendes Schlüsselpaar geht auf dem Problemlaptop nicht
Netgear Client auch schon deinstalliert und neu installiert -> gleiches Problem.

Gibt es außer Neuinstallation noch Ideen

[Gerd von Egidy]

Hallo,

kann es vielleicht sein, daß auf dem Rechner das Zertifizierungsstellen-Update von Microsoft installiert ist? Lesen Sie zu diesem Problem am besten diesen Forumsbeitrag:
http://forum.intra2net.com/1040-vpn-...ws-update.html

Herzliche Grüße,

v. Egidy

[Frank]

Hallo,
der Tip war gut. Jetzt geht es mit dem eingebauten analogem Modem wieder.
Leider klemmt es mit der GPRS-Datenkarte:

Netgear Client:
3-16: 09:04:59.414 Filter table loaded.
3-16: 09:34:38.202 Interface added: 172.23.202.178/255.255.0.0 on MODEM "Fusion UMTS GPRS WLAN - 3G Modem".
3-16: 09:34:50.489
3-16: 09:34:50.530 My Connections\xxx Router - Attempting to resolve Hostname (ax.dyndns.org)
3-16: 09:34:50.560 My Connections\xxx Router - Initiating IKE Phase 1 (Hostname=ax.dyndns.org) (IP ADDR=213.23.163.xxx)
3-16: 09:34:51.060 My Connections\xxx Router - SENDING>>>> ISAKMP OAK MM (SA, VID 2x)
3-16: 09:35:06.322 My Connections\xxx Router - message not received! Retransmitting!
3-16: 09:35:06.322 My Connections\xxx Router - SENDING>>>> ISAKMP OAK MM (Retransmission)
3-16: 09:35:21.474 My Connections\xxx Router - message not received! Retransmitting!
3-16: 09:35:21.474 My Connections\xxx Router - SENDING>>>> ISAKMP OAK MM (Retransmission)
3-16: 09:35:36.506 My Connections\xxx Router - message not received! Retransmitting!
3-16: 09:35:36.506 My Connections\xxx Router - SENDING>>>> ISAKMP OAK MM (Retransmission)
3-16: 09:35:44.747 My Connections\xxx Router - Disconnecting IPSec SA
3-16: 09:35:44.768 My Connections\xxx Router - Disconnecting IKE SA negotiation


Intranator:
Mar 16 09:37:12 intranator pluto[14102]: packet from 80.187.110.x:64: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
Mar 16 09:37:12 intranator pluto[14102]: packet from 80.187.110.x:64: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
Mar 16 09:37:12 intranator pluto[14102]: packet from 80.187.110.x:64: initial Main Mode message received on 213.23.163.xxx:500 but no connection has been authorized

Es scheint das Problem "Router - message not received! " zu sein.
(Zeiten bitte ignorieren, stammen von unterschiedlichen Versuchen.)

[bjoerns]

Hallo,

ich vermute schwer das es Probleme mit der Namensauflösung gibt, da ich bei dem Versuch den Domain Namen ax.dyndns.org zu pingen keine Antworten bekomme.
Vielleicht einfach mal auf der dyndns.org Seite die IP's überprüfen, da diese gerade Probleme mit einer DOS Attacke haben und die automatische aktualisierung nur sporadisch funktioniert.
Abhilfe schafft da eine manuelle aktualisierung der IP's auf der dyndns.org Seite.
Infos zu der DOS Attacke unter:
http://www.dyndns.com/news/status
http://forum.intra2net.com/1067-stoe...-attacken.html

MFG Bjoern

[Frank]

Nein. das ist es nicht. Wir haben mittlererweile eine feste IP, Dyndns ist noch aus alten Zeiten, außerdem kann man ja die "Reaktion" auf dem Intranator sehen

PS: Ich poste hier keine Internas, daher auch die vielen "x".

[Gerd von Egidy]

Hallo,

naja, man kann sich mit der Reaktion nicht 100% sicher sein wegen den 2 Minuten Zeitversatz zwischen den Logs vom Intranator und dem Client.

Ein Problem könnte ich mir noch vorstellen: Das Paket kommt von der IP 80.187.110.x und dem Port 64. Normal haben die Pakete ja als Quellport auch 500. Haben Sie auf dem Intranator das NAT-Traversal aktiviert?

Herzliche Grüße,

v. Egidy

[Frank]

naja, man kann sich mit der Reaktion nicht 100% sicher sein wegen den 2 Minuten Zeitversatz zwischen den Logs vom Intranator und dem Client.
Ein Problem könnte ich mir noch vorstellen: Das Paket kommt von der IP 80.187.110.x und dem Port 64. Normal haben die Pakete ja als Quellport auch 500. Haben Sie auf dem Intranator das NAT-Traversal aktiviert?

Die Zeiten sind mein Versehen, stammen von unterschiedlichen Versuchen. Ansonsten sind die Aktionen/Reaktionen schon gleich!

NAT-Traversal ist bei mir deaktiviert.

[Gerd von Egidy]

Hallo,

ohne NAT-Traversal akzeptiert der Intranator keine Pakete von Portnummern ungleich 500. Sie müssen also das NAT-T anmachen, damit es über GPRS/UMTS funktioniert.

Herzliche Grüße,

v. Egidy

[Frank]

Das war's, jetzt geht alles wieder wie gewohnt

Wünsche ein schönes Wochenende !