VPN Intranator - NCP-Client mit Zertifikaten

[SWAT]

Hallo werte Wissende!
:
Versuche gerade eine verschlüsselte und gesicherte Verbindung von einem Roadwarrior mit installiertem NCP-Client zum Headquarter mit installiertem Intrantor mit Hilfe von Zertifikaten, die mit der Small-CA vom Intranator erstellt wurden. Diese Verbdindung funktioniert jedoch nicht.
Auf dem Client erhalte ich immer die Fehlermeldung "INVALID-ID-INFORMATION" und auf der Intranator-Seite "Issuer Certificate not found". Die Signatur der Zertifikate fand mit der small-CA laut Anleitung des Intranator statt.
:
Der Intranator hat keine feste IP ;( nur einen dyndns-Namen.
:
Für jeden Hinweis auf meine(n) Fehler bin ich äusserst dankbar!

[Frank]

Hallo,
hast Du dir das schon mal angesehen ?
http://forum.intra2net.com/1040-vpn-...ws-update.html

[Thomas Jarosch]

Hallo SWAT,

bitte posten Sie einen Auszug aus der Netgear Client-Logdatei. Es ist wichtig zu wissen, ob er INVALID-ID-INFORMATION sendet oder geschickt bekommt.

Herzliche Grüsse,
Thomas Jarosch

[SWAT]

So, also den Thread hab ich schon gesehen, aber die Funktion zum einstellen der Reihenfolge der Zertifikate in dem meinigen NCP-Client nicht ;(
:
Und in der NCP-Client Protokolldatei steht RECEIVED: INVALID_ID_INFORMATION
:
snipp
03.04.2007 15:56:29 IPSDIALCHAN::start building connection
03.04.2007 15:56:29 IPSDIAL:NSREQ: resolving dnserver over lan: xxxxxx.dyndns.org
03.04.2007 15:56:29 IPSDIAL->DNSREQ: resolved ipadr: 091.023.001.132
03.04.2007 15:56:29 NCPIKE-phase1:name(VPN-x00002-HQ) - outgoing connect request - main mode.
03.04.2007 15:56:29 XMIT_MSG1_MAIN - VPN-x00002-HQ
03.04.2007 15:56:29 RECV_MSG2_MAIN - VPN-x00002-HQ
03.04.2007 15:56:29 IKE phase I: Setting LifeTime to 28800 seconds
03.04.2007 15:56:29 XMIT_MSG3_MAIN - VPN-x00002-HQ
03.04.2007 15:56:29 IPSDIAL->FINAL_TUNNEL_ENDPOINT:091.023.001.132
03.04.2007 15:56:29 RECV_MSG4_MAIN - VPN-x-HQ
03.04.2007 15:56:30 XMIT_MSG5_MAIN - VPN-x-HQ
03.04.2007 15:56:30 XMIT_MSG5_MAIN_RESUME - VPN-x00002-HQ
03.04.2007 15:56:30 NOTIFY : VPN-x00002-HQ : RECEIVED : INVALID_ID_INFORMATION
03.04.2007 15:56:30 RECV_MSG6_MAIN - VPN-x00002-HQ
03.04.2007 15:56:30 NCPIKE-phase1:name(VPN-x00002-HQ) - error - PAYLOAD_MALFORMED
03.04.2007 15:56:30 IPSDIAL - disconnected from VPN-x00002-HQ on channel 1.
snipp
:
Besten Dank bisher^^

[Thomas Jarosch]

03.04.2007 15:56:30 NOTIFY : VPN-x00002-HQ : RECEIVED : INVALID_ID_INFORMATION

Der Intranator lehnt die Verbindung ab. Bitte posten Sie noch den relevanten Teil der "messages" Logdatei vom Intranator.

Herzliche Grüsse,
Thomas Jarosch

[SWAT]

Ok, dann noch das Protokoll der Gegenseite.
Nächstes Mal schreibe ich das gleich mit ab^^
:
snipp
Apr 3 15:28:29 y00001 pluto[1769]: packet from xxx.yyy.zzz.aaa:4500: ignoring Vendor ID payload [da8e937880010000]
Apr 3 15:28:29 y00001 pluto[1769]: packet from xxx.yyy.zzz.aaa:4500: received Vendor ID payload [Dead Peer Detection]
Apr 3 15:28:29 y00001 pluto[1769]: packet from xxx.yyy.zzz.aaa:4500: ignoring Vendor ID payload [eb4c1b788afd4a9c...]
Apr 3 15:28:29 y00001 pluto[1769]: packet from xxx.yyy.zzz.aaa:4500: ignoring Vendor ID payload [Cisco-Unity]
Apr 3 15:28:29 y00001 pluto[1769]: "C3"[2] xxx.yyy.zzz.aaa:4500 #5: responding to Main Mode from unknown peer xxx.yyy.zzz.aaa:4500
Apr 3 15:28:30 y00001 pluto[1769]: "C3"[2] xxx.yyy.zzz.aaa:4500 #5: ignoring informational payload, type IPSEC_INITIAL_CONTACT
Apr 3 15:28:30 y00001 pluto[1769]: "C3"[2] xxx.yyy.zzz.aaa:4500 #5: Main mode peer ID is ID_DER_ASN1_DN: 'C=DE, ST=Xyzabcd, L=Defghij,
O=Opqrst, OU=Sicherheit, CN=x00002-VPN, E=a@b.de'
Apr 3 15:28:30 y00001 pluto[1769]: "C3"[2] xxx.yyy.zzz.aaa:4500 #5: Issuer CA certificate not found
Apr 3 15:28:30 y00001 pluto[1769]: "C3"[2] xxx.yyy.zzz.aaa:4500 #5: X.509 certificate rejected
Apr 3 15:28:30 y00001 pluto[1769]: "C3"[2] xxx.yyy.zzz.aaa:4500 #5: no suitable connection for peer 'C=DE, ST=Xyzabcd, L=Defghij,
O=Opqrst, OU=Sicherheit, CN=x00002-VPN, E=a@b.de'
Apr 3 15:28:30 y00001 pluto[1769]: "C3"[2] xxx.yyy.zzz.aaa:4500 #5: sending notification INVALID_ID_INFORMATION to xxx.yyy.zzz.aaa:4500
Apr 3 15:28:30 y00001 pluto[1769]: "C3"[2] xxx.yyy.zzz.aaa:4500 #5: encrypted Informational Exchange message is invalid because it is for incomplete I
SAKMP SA
Apr 3 15:29:39 y00001 pluto[1769]: "C3"[2] xxx.yyy.zzz.aaa:4500 #5: max number of retransmissions (2) reached STATE_MAIN_R2
Apr 3 15:29:39 y00001 pluto[1769]: "C3"[2] xxx.yyy.zzz.aaa:4500: deleting connection "C3" instance with peer xxx.yyy.zzz.aaa
snipp
:
So, hoffe das hilft *g*
:
Besten Dank!

[Thomas Jarosch]

Hallo SWAT,

Apr 3 15:28:30 y00001 pluto[1769]: "C3"[2] xxx.yyy.zzz.aaa:4500 #5: no suitable connection for peer 'C=DE, ST=Xyzabcd, L=Defghij,
O=Opqrst, OU=Sicherheit, CN=x00002-VPN, E=a@b.de'
Apr 3 15:28:30 y00001 pluto[1769]: "C3"[2] xxx.yyy.zzz.aaa:4500 #5: sending notification INVALID_ID_INFORMATION to xxx.yyy.zzz.aaa:4500

Es scheint wohl etwas mit den Zertifikaten auf dem Intranator noch nicht zu stimmen. Bitte kontrollieren Sie die Schlüssel unter "System > Schlüssel" sowie die eingestellten Schlüssel in der VPN Verbindung.

Herzliche Grüsse,
Thomas Jarosch

[SWAT]

Erstmal Danke für die bisherige Hilfe!
:
Die Verbindung hat aber noch Unstimmigkeiten, leider...
:
Erhalten nun folgende Meldung des NCP-Client-Protokolls
:
schnipp
17.04.2007 16:04:34 IPSDIALCHAN::start building connection
17.04.2007 16:04:34 IPSDIAL:NSREQ: resolving dnserver over lan: xxx.dyndns.org
17.04.2007 16:04:34 IPSDIAL->DNSREQ: resolved ipadr: 091.023.007.110
17.04.2007 16:04:34 NCPIKE-phase1:name(VPN_HQ-RW) - outgoing connect request - main mode.
17.04.2007 16:04:34 XMIT_MSG1_MAIN - VPN_HQ-RW
17.04.2007 16:04:34 RECV_MSG2_MAIN - VPN_HQ-RW
17.04.2007 16:04:34 IPSDIAL->FINAL_TUNNEL_ENDPOINT:091.023.007.110
17.04.2007 16:04:34 IKE phase I: Setting LifeTime to 21600 seconds
17.04.2007 16:04:34 XMIT_MSG3_MAIN - VPN_HQ-RW
17.04.2007 16:04:34 RECV_MSG4_MAIN - VPN_HQ-RW
17.04.2007 16:04:35 XMIT_MSG5_MAIN - VPN_HQ-RW
17.04.2007 16:04:35 XMIT_MSG5_MAIN_RESUME - VPN_HQ-RW
17.04.2007 16:04:35 RECV_MSG6_MAIN - VPN_HQ-RW
17.04.2007 16:04:35 RECV_MSG6_MAIN_RESUME - VPN_HQ-RW
17.04.2007 16:04:35 NCPIKE-phase1:name(VPN_HQ-RW) - connected
17.04.2007 16:04:35 Phase1 is Ready: IkeIndex = 00000057
17.04.2007 16:04:35 Quick Mode is Ready: IkeIndex = 00000057 , VpnSrcPort = 4500
17.04.2007 16:04:35 Assigned IP Address: aaa.bbb.ccc.ddd
17.04.2007 16:04:35 XMIT_MSG1_QUICK - VPN_HQ-RW
17.04.2007 16:04:36 NOTIFY : VPN_HQ-RW : RECEIVED : INVALID_ID_INFORMATION
17.04.2007 16:04:40 NOTIFY : VPN_HQ-RW : RECEIVED : INVALID_MESSAGE_ID
17.04.2007 16:04:43 NOTIFY : VPN_HQ-RW : RECEIVED : INVALID_MESSAGE_ID
17.04.2007 16:04:46 NOTIFY : VPN_HQ-RW : RECEIVED : INVALID_MESSAGE_ID
17.04.2007 16:04:49 NCPIKE-phase2:name(VPN_HQ-RW) - error - retry timeout - max retries
17.04.2007 16:04:49 IPSDIAL - disconnected from VPN_HQ-RW on channel 1.
schnipp
:
Und /var/log/messages auf dem Intranator sagt folgendes...
:
schnipp
Apr 17 16:04:42 x00001 pluto[16629]: packet from ggg.hhh.iii.jjj:4500: ignoring Vendor ID payload [da8e937880010000]
Apr 17 16:04:42 00001 pluto[16629]: packet from ggg.hhh.iii.jjj:4500: received Vendor ID payload [Dead Peer Detection]
Apr 17 16:04:42 x00001 pluto[16629]: packet from ggg.hhh.iii.jjj:4500: ignoring Vendor ID payload [eb4c1b788afd4a9c...]
Apr 17 16:04:42 x00001 pluto[16629]: packet from ggg.hhh.iii.jjj:4500: ignoring Vendor ID payload [Cisco-Unity]
Apr 17 16:04:42 x00001 pluto[16629]: "C4"[1] ggg.hhh.iii.jjj:4500 #4: responding to Main Mode from unknown peer ggg.hhh.iii.jjj:4500
Apr 17 16:04:43 x00001 pluto[16629]: "C4"[1] ggg.hhh.iii.jjj:4500 #4: ignoring informational payload, type IPSEC_INITIAL_CONTACT
Apr 17 16:04:43 x00001 pluto[16629]: "C4"[1] ggg.hhh.iii.jjj:4500 #4: Main mode peer ID is ID_DER_ASN1_DN: 'C=
DE, ST=kreis, L=ort, O=firma, CN=m00002, E=a@b.de'
Apr 17 16:04:43 x00001 pluto[16629]: "C4"[1] ggg.hhh.iii.jjj:4500 #4: Issuer CA certificate not found
Apr 17 16:04:43 x00001 pluto[16629]: "C4"[1] ggg.hhh.iii.jjj:4500 #4: X.509 certificate rejected
Apr 17 16:04:43 x00001 pluto[16629]: "C4"[1] ggg.hhh.iii.jjj:4500 #4: sent MR3, ISAKMP SA established
Apr 17 16:04:44 x00001 pluto[16629]: "C4"[1] ggg.hhh.iii.jjj:4500 #4: cannot respond to IPsec SA request because no connection is known for 192.168.10
0.0/24===xxx.yyy.zzz.111:4500[C=DE, ST=kreis, L=ort, O=firma, CN=x00001, E=a@b.de]...ggg.hhh.iii.jjj:4500[C=
DE, ST=kreis, L=ort, O=firma, CN=m00002, E=a@b.de]===mmm.nnn.ooo.ppp/32
Apr 17 16:04:44 x00001 pluto[16629]: "C4"[1] ggg.hhh.iii.jjj:4500 #4: sending encrypted notification INVALID_ID_INFORMATION to ggg.hhh.iii.jjj:4500
Apr 17 16:04:48 x00001 pluto[16629]: "C4"[1] ggg.hhh.iii.jjj:4500 #4: Quick Mode I1 message is unacceptable because it uses a previously used Message
ID 0x1c529e32 (perhaps this is a duplicated packet)
Apr 17 16:04:48 x00001 pluto[16629]: "C4"[1] ggg.hhh.iii.jjj:4500 #4: sending encrypted notification INVALID_MESSAGE_ID to ggg.hhh.iii.jjj:4500
Apr 17 16:04:51 x00001 pluto[16629]: "C4"[1] ggg.hhh.iii.jjj:4500 #4: Quick Mode I1 message is unacceptable because it uses a previously used Message
ID 0x1c529e32 (perhaps this is a duplicated packet)
Apr 17 16:04:51 x00001 pluto[16629]: "C4"[1] ggg.hhh.iii.jjj:4500 #4: sending encrypted notification INVALID_MESSAGE_ID to ggg.hhh.iii.jjj:4500
Apr 17 16:04:54 x00001 pluto[16629]: "C4"[1] ggg.hhh.iii.jjj:4500 #4: Quick Mode I1 message is unacceptable because it uses a previously used Message
ID 0x1c529e32 (perhaps this is a duplicated packet)
Apr 17 16:04:54 x00001 pluto[16629]: "C4"[1] ggg.hhh.iii.jjj:4500 #4: sending encrypted notification INVALID_MESSAGE_ID to ggg.hhh.iii.jjj:4500
Apr 17 16:04:57 x00001 pluto[16629]: "C4"[1] ggg.hhh.iii.jjj:4500 #4: received Delete SA payload: deleting ISAKMP State #4
Apr 17 16:04:58 x00001 pluto[16629]: "C4"[1] ggg.hhh.iii.jjj:4500: deleting connection "C4" instance with peer ggg.hhh.iii.jjj
Apr 17 16:04:58 x00001 pluto[16629]: packet from ggg.hhh.iii.jjj:4500: received and ignored informational message
schnipp
:
So, halte mich für nicht ganz unwissend, aber egal was ich für Proposals auf dem Clientseite einstelle (AES, 3DES, usw. mit MD5 oder SHA) ändert sich die Art der Fehlermeldung nur geringfügig. Wenn es gar nicht passt, sagt der Intranator "NO_PROPOSAL_CHOSEN". Bei den anderen Einstellungen obiges.
:
Ich weiss nicht mehr weiter, bin deshalb sehr dankbar für Hilfe jedweder Art!
:
In diesem Sinne, Prost Mahlzeit^^

[SWAT]

Aaaalso, nach langem Suchen fanden wir einen Workaround oder eine Lösung...
:
In der Datei "/etc/ipsec/ipsec.conf" (Konfigurationsdatei für ipsec) ergänzten wir beim Roadwarrior die Zeile mit der Information für die IP-Adresse des zu verbindenden Clients, dann funktionierte der VPN-Aufbau, wie folgt:
"rightsubnetwithin=111.222.333.444/32"
:
Dazu dann noch eine Frage, wie wird das mit der Datei gehandhabt, d.h. wann und wird sie überschrieben? Wie ist das mit der Weboberflächenkonfiguration des Intranators?

[Gerd von Egidy]

Hallo,

die Sache mit dem rightsubnetwithin ist nicht die richtige Lösung, da - wie Sie ja schon vermutet haben - die Datei bei jeder Rekonfiguration des VPN oder jedem Update komplett überschrieben wird.

Der rightsubnetwithin-Parameter erlaubt dem Client eine freie Wahl seiner IP-Adresse. Im Intranator benötigen wir immer eine feste Gegenstellen-IP für den Tunnel (u.a. für die Firewall). Das wäre die IP, die bei Ihnen im Intranator-Log als mmm.nnn.ooo.ppp/32 ausgegeben wird. Sie sollten diese IP im Client fest einstellen können, oft heißt diese Option "virtuelle IP" oder "virtueller Adapter" oder einfach "lokale IP". Diese IP darf nicht im Bereich des Intranator-Netzes oder des LANs, in dem sich der Client befindet, liegen.

Im Intranator tragen Sie diese IP dann unter "Netz auf Gegenseite" mit einer Netzmaske von 255.255.255.255 ein. Damit sollte es dauerhaft und zuverlässig funktionieren.

Herzliche Grüße,

v. Egidy

[SWAT]

Dann ist das so. Es hat geklappt.
Dachte nur, dass man auf dem Intrantor den Intranator - Host-Tunnel-Modus aktivieren muss. Aber so wie es scheint, ist der Intranator-Netz-Tunnel-Modus der passendere.
Es klappt nun jedenfalls hervorragend!
Danke!

[SWAT]

Dann ist das so. Es hat geklappt.
Dachte nur, dass man auf dem Intrantor den Intranator - Host-Tunnel-Modus aktivieren muss. Aber so wie es scheint, ist der Intranator-Netz-Tunnel-Modus der passendere.
Es klappt nun jedenfalls hervorragend!
Danke!

[SWAT]

Dann ist das so. Es hat geklappt.
Dachte nur, dass man auf dem Intrantor den Intranator - Host-Tunnel-Modus aktivieren muss. Aber so wie es scheint, ist der Intranator-Netz-Tunnel-Modus der passendere.
Es klappt nun jedenfalls hervorragend!
Danke!