Registered User
Gibt es eine einfache und vor allem leicht verständliche Anleitung wie man mit einem XP bzw. Windows 7 Rechner via DFÜ-VPN über das Internet an den Intranator anbinden kann und welche Einstellungen an beiden Seiten vorzunehmen sind, das Handbuch ist dort doch etwas sehr allgemein gehalten.
Mit freundlichen Grüßen
Jörg Krischik
Administrator
Hallo,
mit "DFÜ-VPN" meinen Sie vermutlich den in Windows integrierten VPN-Client für PPTP. Der Intranator bietet PPTP nicht an, da es einige konzeptionelle Sicherheitsprobleme hat.
Wir empfehlen daher, VPN-Verbindungen über IPSec herzustellen. Dafür haben Sie unter XP, Vista und Windows 7 folgende 2 Clients zur Auswahl:
- NCP Secure Entry Client, Anleitung unter VPN mit dem NCP Secure Entry Client
- Shrew Soft, Anleitung unter VPN mit dem Shrew Soft VPN Client
In diesen Kapiteln finden Sie auch Links zu Bezugsquellen, unterstützten Versionen etc.
Herzliche Grüße,
v. Egidy
Registered User
Habe jetzt shrew soft vpn client installiert und laut Anleitung eingerichtet, leider wird aber kein Tunnel aufgebaut.
Meldung von VPN-Connect:
config loaded for site 'mail.fbw-duisburg.de'
configuring client settings ...
attached to key daemon ...
peer configured
iskamp proposal configured
esp proposal configured
client configured
server cert configured
client cert file requires password
detached from key daemon ...
attached to key daemon ...
peer configured
iskamp proposal configured
esp proposal configured
client configured
und nun noch das passende Trace dazu:
10/11/02 15:51:39 !! : 'C:\makeCert\newcert.p12' load failed, requesting password
10/11/02 15:51:44 <A : file password
10/11/02 15:51:44 <A : local cert 'C:\makeCert\newcert.p12' message
10/11/02 15:51:44 <A : local key 'C:\makeCert\newcert.p12' message
10/11/02 15:51:44 <A : remote resource message
10/11/02 15:51:44 <A : peer tunnel enable message
10/11/02 15:51:44 ii : local supports nat-t ( draft v00 )
10/11/02 15:51:44 ii : local supports nat-t ( draft v01 )
10/11/02 15:51:44 ii : local supports nat-t ( draft v02 )
10/11/02 15:51:44 ii : local supports nat-t ( draft v03 )
10/11/02 15:51:44 ii : local supports nat-t ( rfc )
10/11/02 15:51:44 ii : local supports FRAGMENTATION
10/11/02 15:51:44 ii : local supports DPDv1
10/11/02 15:51:44 ii : local is SHREW SOFT compatible
10/11/02 15:51:44 ii : local is NETSCREEN compatible
10/11/02 15:51:44 ii : local is SIDEWINDER compatible
10/11/02 15:51:44 ii : local is CISCO UNITY compatible
10/11/02 15:51:44 >= : cookies bd29e8d382309bf4:0000000000000000
10/11/02 15:51:44 >= : message 00000000
10/11/02 15:51:44 ii : processing phase1 packet ( 148 bytes )
10/11/02 15:51:44 =< : cookies bd29e8d382309bf4:e824b949d5aae89a
10/11/02 15:51:44 =< : message 00000000
10/11/02 15:51:44 !! : peer violates RFC, transform number mismatch ( 1 != 64 )
10/11/02 15:51:44 ii : matched isakmp proposal #1 transform #1
10/11/02 15:51:44 ii : - transform = ike
10/11/02 15:51:44 ii : - cipher type = 3des
10/11/02 15:51:44 ii : - key length = default
10/11/02 15:51:44 ii : - hash type = md5
10/11/02 15:51:44 ii : - dh group = modp-1024
10/11/02 15:51:44 ii : - auth type = sig-rsa
10/11/02 15:51:44 ii : - life seconds = 86400
10/11/02 15:51:44 ii : - life kbytes = 0
10/11/02 15:51:44 ii : peer supports nat-t ( draft v02 )
10/11/02 15:51:44 >= : cookies bd29e8d382309bf4:e824b949d5aae89a
10/11/02 15:51:44 >= : message 00000000
10/11/02 15:51:44 ii : processing phase1 packet ( 443 bytes )
10/11/02 15:51:44 =< : cookies bd29e8d382309bf4:e824b949d5aae89a
10/11/02 15:51:44 =< : message 00000000
10/11/02 15:51:44 ii : nat discovery - local address is translated
10/11/02 15:51:44 ii : nat discovery - remote address is translated
10/11/02 15:51:44 ii : switching to src nat-t udp port 4500
10/11/02 15:51:44 ii : switching to dst nat-t udp port 4500
10/11/02 15:51:45 >= : cookies bd29e8d382309bf4:e824b949d5aae89a
10/11/02 15:51:45 >= : message 00000000
10/11/02 15:51:46 ww : initiator port values should only float once per session
10/11/02 15:51:46 ii : processing phase1 packet ( 443 bytes )
10/11/02 15:51:46 =< : cookies bd29e8d382309bf4:e824b949d5aae89a
10/11/02 15:51:46 =< : message 00000000
10/11/02 15:51:46 << : ignoring duplicate key excahnge payload
10/11/02 15:51:46 !! : unprocessed payload data
10/11/02 15:51:46 << : ignoring duplicate nonce payload
10/11/02 15:51:46 !! : unprocessed payload data
10/11/02 15:51:46 !! : unhandled phase1 payload 'unknown' ( 176 )
10/11/02 15:51:46 !! : unprocessed payload data
10/11/02 15:51:46 ii : sending peer DELETE message
10/11/02 15:51:46 ii : - 172.16.50.113:4500 -> 62.54.164.190:4500
10/11/02 15:51:46 ii : - isakmp spi = bd29e8d382309bf4:e824b949d5aae89a
10/11/02 15:51:46 ii : - data size 0
10/11/02 15:51:46 >= : cookies bd29e8d382309bf4:e824b949d5aae89a
10/11/02 15:51:46 >= : message 73b9e665
10/11/02 15:51:46 ii : phase1 removal before expire time
10/11/02 15:51:46 DB : removing tunnel config references
10/11/02 15:51:46 DB : removing tunnel phase2 references
10/11/02 15:51:46 DB : removing tunnel phase1 references
10/11/02 15:51:46 DB : removing all peer tunnel refrences
10/11/02 15:51:46 ii : ipc client process thread exit ...
Woran kann der Fehler liegen?
Vielen Dank im Voraus
Gruß Jörg Krischik
Administrator
Der Client stört sich an den Daten der Gegenstelle. Entweder bricht der Intranator die Verbindung ab oder die Daten kommen zerstückelt an.Zitat von j.krischik
Könnten Sie noch einen Logauszug vom Intranator posten?
Vielleicht sieht man dort den Grund.
2te Frage: Welches Verschlüsselungsprofil ist auf dem Intranator
für diese Verbindung eingestellt?
Herzliche Grüße,
Thomas Jarosch
Registered User
Hallo Herr Jarosch, danke für die schnelle Antwort.
Hier der Auszug der Log bei Verbindungsaufbau:
Nov 3 11:22:51 intranator pluto[2837]: packet from 172.16.50.113:4500: Main Mode message is part of an unknown exchange
Nov 3 11:22:52 intranator pluto[2837]: packet from 172.16.50.113:4500: Informational Exchange is for an unknown (expired?) SA
Verschlüsselungsrofil: Standard(mit PFS)
und Tunnel Netz auf Gegenseite Externe IP aktiviert.
Gruß Jörg Krischik
Registered User
Vermutlich gehören diese Meldungen in der LOG auch noch zum Tunnelaufbauversuch:
Nov 3 11:32:59 intranator pluto[2837]: "C2" #1484: max number of retransmissions (2) reached STATE_QUICK_I1. No acceptable response to our first Quick Mode message: perhaps peer likes no proposal
Nov 3 11:32:59 intranator pluto[2837]: "C2" #1484: starting keying attempt 1120 of an unlimited number
Nov 3 11:32:59 intranator pluto[2837]: "C2" #1485: initiating Quick Mode PUBKEY+ENCRYPT+TUNNEL+PFS+UP to replace #1484 {using isakmp#1395}
Gruß Jörg Krischik
Administrator
Hallo,
ich bin mir nicht so sicher, ob diese Meldungen dazugehören. Denn "starting keying attempt 1120 of an unlimited number" kommt nur, wenn der Intranator von sich aus versucht die Verbindung aufzubauen. Und das macht er nur, wenn Sie den Start der Verbindung (Menü Aktivierung) auf "Immer" gestellt haben. Und das geht bei VPN-Clients normal gar nicht, da Sie ja dort die Gegenstelle (Menü Einstellungen) auf "Dynamische IP (Road Warrior)" stellen.
Bitte kontrollieren Sie, ob das im Intranator bei Ihnen richtig eingestellt ist.
Wenn ja dann machen Sie Bitte folgendes:
- Notieren Sie sich die genaue Uhrzeit
- Starten Sie EINEN Verbindungsaufbauversuch mit dem Client
- Laden Sie sich die komplette messages-Logdatei herunter
- Suchen Sie nach der notierten Uhrzeit und posten hier alles von der Uhrzeit her passende mit der Kennung "pluto".
Herzliche Grüße,
v. Egidy
Registered User
Hier die gewünschte Meldung in der /var/log/messages
Nov 3 14:18:32 intranator pluto[2837]: packet from 80.187.98.65:45769: Main Mode message is part of an unknown exchange
Nov 3 14:18:33 intranator pluto[2837]: packet from 80.187.98.65:45769: Informational Exchange is for an unknown (expired?) SA
das kann doch nur an der Verschlüsselung liegen, oder an den Schlüsseln?
Gruß Jörg Krischik
Registered User
Das mit der Aktivierung stimmt, sie ist auf passiv/manuel
Die anderen Meldungen haben dann nicht dazugehört, sondern zu einem VPN-Tunnel der zwischen zwei Intranatoren aufgebaut wird, der Tunnel funktioniert einwandfrei!
Gruß Jörg Krischik
Registered User
Ich habe jetzt auch noch mal den NCP Secure Entry Client ausprobiert und laut der Beschreibung im Handbuch eingerichtet, aber auch hier wird kein Tunnel aufgebaut.
Der NCP-Client gibt folgende Fehlermeldung:
VPN Gateway antwortet nicht (Warten auf Msg 6)
und
Intranator var/log/messages
Nov 4 08:24:07 intranator pluto[2837]: packet from 172.16.50.22:4500: Main Mode message is part of an unknown exchange
Nov 4 08:24:08 intranator pluto[2837]: packet from 172.16.50.22:4500: Main Mode message is part of an unknown exchange
Nov 4 08:24:10 intranator pluto[2837]: packet from 172.16.50.22:4500: Main Mode message is part of an unknown exchange
Nov 4 08:24:14 intranator pluto[2837]: packet from 172.16.50.22:4500: Main Mode message is part of an unknown exchange
Nov 4 08:24:16 intranator pluto[2837]: packet from 172.16.50.22:4500: Main Mode message is part of an unknown exchange
Nov 4 08:24:20 intranator pluto[2837]: packet from 172.16.50.22:4500: Main Mode message is part of an unknown exchange
Nov 4 08:24:22 intranator pluto[2837]: packet from 172.16.50.22:4500: Main Mode message is part of an unknown exchange
Nov 4 08:24:24 intranator pluto[2837]: packet from 172.16.50.22:4500: Main Mode message is part of an unknown exchange
Gruß Jörg Krischik
Administrator
Hallo,
Der Client sendet etwas in einer Form, mit der der Intranator nichts anfangen kann. Wenn das das einzige ist, was Sie in Ihrem Log von dem Verbindungsaufbau sehen, dann muß das gleich das erste Paket betreffen.
Bitte kontrollieren Sie, ob Sie als Austausch-Modus im Client wirklich den Main Mode gewählt haben oder ob da der Aggressive Mode drin ist. Der wird im Intranator nicht unterstützt da er Sicherheitsmängel aufweist.
Herzliche Grüße,
v. Egidy
Registered User
Der Client befindet sich im Main-Mode!
Gruß Jörg Krischik
Administrator
Hallo,
sind das wirklich alle Meldungen? Ich vermute, das noch Informationen dazwischenstecken. In den Meldungen von Gestern waren auch noch zusätzliche zu sehen, die definitiv vom selben Client kommen (IP-Adresse ist gleich).Nov 4 08:24:07 intranator pluto[2837]: packet from 172.16.50.22:4500: Main Mode message is part of an unknown exchange
Nov 4 08:24:08 intranator pluto[2837]: packet from 172.16.50.22:4500: Main Mode message is part of an unknown exchange
Nov 4 08:24:10 intranator pluto[2837]: packet from 172.16.50.22:4500: Main Mode message is part of an unknown exchange
Nov 4 08:24:14 intranator pluto[2837]: packet from 172.16.50.22:4500: Main Mode message is part of an unknown exchange
Nov 4 08:24:16 intranator pluto[2837]: packet from 172.16.50.22:4500: Main Mode message is part of an unknown exchange
Nov 4 08:24:20 intranator pluto[2837]: packet from 172.16.50.22:4500: Main Mode message is part of an unknown exchange
Nov 4 08:24:22 intranator pluto[2837]: packet from 172.16.50.22:4500: Main Mode message is part of an unknown exchange
Nov 4 08:24:24 intranator pluto[2837]: packet from 172.16.50.22:4500: Main Mode message is part of an unknown exchange
Deshalb gehe ich auch eher davon aus, dass es mit den Zertifikaten Probleme gibt.Nov 3 14:18:32 intranator pluto[2837]: packet from 80.187.98.65:45769: Main Mode message is part of an unknown exchange
Nov 3 14:18:33 intranator pluto[2837]: packet from 80.187.98.65:45769: Informational Exchange is for an unknown (expired?) SA
Ich würde die Zertifikate nochmals neu erstellen. Oft wird statt "makecert" "makecacert" und umgekehrt verwendet.
MFG Björn
Registered User
Also ich habe das heute dann nochmal mit web'n'walk Stick ausprobiert um nicht schon im Zielnetz zu hängen: Jetzt lautet die Fehlermeldung im NCP-Client einfach nur Kontakt zur Gegenstelle verloren und im Intranotor folgendes:
Nov 8 12:20:06 intranator pluto[2781]: "C6"[2] 80.187.99.129:47601 #282: received ModeCfg message when in state STATE_MAIN_R3, and we aren't mode config client
Nov 8 12:20:10 intranator pluto[2781]: "C6"[2] 80.187.99.129:47601 #282: received ModeCfg message when in state STATE_MAIN_R3, and we aren't mode config client
Nov 8 12:20:13 intranator pluto[2781]: "C6"[2] 80.187.99.129:47601 #282: received ModeCfg message when in state STATE_MAIN_R3, and we aren't mode config client
Nov 8 12:20:18 intranator pluto[2781]: "C6"[2] 80.187.99.129:47601 #282: received Delete SA payload: deleting ISAKMP State #282
Nov 8 12:20:18 intranator pluto[2781]: "C6"[2] 80.187.99.129:47601: deleting connection "C6" instance with peer 80.187.99.129 {isakmp=#0/ipsec=#0}
Das Zertificat für den NCP-Client habe ich mit makecacert.bat erstellt ich denke das ist so korrekt. Aber nun steht etwas mehr an Info in der Logdatei.
Gruß Jörg Krischik
Administrator
Hallo,
Das sieht ja schon mal wesentlich besser aus als vorher. Der Client ist wie im Handbuch beschrieben auf Mode Config gestellt. Der Intranator aber wohl nicht.
Bitte gehen Sie zu Dienste > VPN > Verbindungen : Tunnel bei der entsprechenden Verbindung. Die Option "Netz auf Gegenseite" muß dort auf "IP zuweisen (mode-config)" gestellt und die virtuelle IP für den Client dort hinterlegt sein.
Herzliche Grüße,
v. Egidy
Berechtigungen
Zitieren