VPN-Zugriff mit Netgear-Client

[Dierk Poen]

Hallo,
ich versuche jetzt seit mehreren Stunden, eine Verbindung herzustellen und bleibe immer auf der Zielgeraden liegen.

dies ist der Log des Clients :

11-16: 10:30:19.132 Virtual Interface constructed for local interface 192.168.120.4
11-16: 10:30:19.183 Virtual Interface added: 192.168.120.4/255.255.255.0 on ISDN "SafeNet VA miniport".
11-16: 10:30:19.273 My Connections\New Connection - Initiating IKE Phase 2 with Client IDs (message id: C282C03)
11-16: 10:30:19.273 Initiator = IP ADDR=192.168.120.4, prot = 0 port = 0
11-16: 10:30:19.273 Responder = IP SUBNET/MASK=192.168.120.0/255.255.255.0, prot = 0 port = 0
11-16: 10:30:19.273 My Connections\New Connection - SENDING>>>> ISAKMP OAK QM *(HASH, SA, NON, KE, ID 2x)
11-16: 10:30:19.613 My Connections\New Connection - RECEIVED<<< ISAKMP OAK INFO *(HASH, NOTIFY:INVALID_ID_INFO)
11-16: 10:30:19.613 My Connections\New Connection - Discarding SA negotiation
11-16: 10:30:19.613 My Connections\New Connection - Deleting IKE SA (IP ADDR=84.187.220.94)
11-16: 10:30:19.613 MY COOKIE 19 12 af 8 df 5a 15 12
11-16: 10:30:19.613 HIS COOKIE 13 2e ea 8f dc c 31 c9
11-16: 10:30:59.801 Interface lost: 192.168.120.4
11-16: 10:31:04.007 Filter table loaded.

beim Intranator sieht das wie folgt aus :

Nov 16 10:13:35 intranator pluto[2049]: "C5"[3] 212.23.126.27:53929 #22: cannot respond to IPsec SA request because no connection is known for 192.168.120.0/24===84.187.220.94:4500[CN=gerd, E=gerd.remond@mdt-windeln]...212.23.126.27:53929[O=windeln, CN=remond]===192.168.120.4/32
Nov 16 10:13:35 intranator pluto[2049]: "C5"[3] 212.23.126.27:53929 #22: sending encrypted notification INVALID_ID_INFORMATION to 212.23.126.27:53929

Kann irgendjemand was damit anfangen ?

Besten Dank im voraus

Dierk Poen

[Gerd von Egidy]

Hallo,

11-16: 10:30:19.273 My Connections\New Connection - Initiating IKE Phase 2 with Client IDs (message id: C282C03)

Hieran können Sie erkennen, daß es um Phase 2 geht in der die IP-Adressen des Tunnels ausgehandelt werden. Ihre Zertifikate (Phase 1) sind also schon mal ok.

11-16: 10:30:19.613 My Connections\New Connection - RECEIVED<<< ISAKMP OAK INFO *(HASH, NOTIFY:INVALID_ID_INFO)

Der Client bekommt vom Intranator die Fehlermeldung INVALID_ID_INFO gesendet. Mehr Details findet man also im Log des Intranators:

pluto[2049]: "C5"[3] 212.23.126.27:53929 #22: cannot respond to IPsec SA request because no connection is known for 192.168.120.0/24===84.187.220.94:4500[CN=gerd, E=gerd.remond@mdt-windeln]...212.23.126.27:53929[O=windeln, CN=remond]===192.168.120.4/32

Ok, das sind also die Daten des Tunnels, die der Client aufbauen will. Der Intranator kann damit aber nichts anfangen.

Wenn ich mir die Daten so anschaue, so passt die virtuelle IP des Clients (192.168.120.4) nicht, da Sie ja die Verbindung in das 192.168.120.0/24-Netz aufbauen wollen. Die virtuelle IP muß außerhalb dieses Netzes liegen.

Was haben Sie denn im Intranator auf dem Reiter "Tunnel" bei "Netz auf Gegenseite" eingestellt? Dort sollte eine IP und Netzmaske mit 255.255.255.255 stehen. Genau diese IP müssen Sie als "Internal Network IP Address" für den Virtual Adapter im Client einstellen.

Herzliche Grüße,

v. Egidy