VPN mit shrew

[cp]

Hallo Intra2Net,

beim Verbindungsaufbau mit der Gegenstelle Shrew gibt es ein Problem mit dem Zertifikat. Folgende Zeilen:

Dec 1 16:53:33 gwwaller pluto[2796]: "C9" #1480: Peer ID is ID_DER_ASN1_DN: 'O=StNH, CN=vpnpcXYZ'
Dec 1 16:53:33 gwwaller pluto[2796]: "C9" #1480: issuer cacert not found
Dec 1 16:53:33 gwwaller pluto[2796]: "C9" #1480: X.509 certificate rejected
Dec 1 16:53:33 gwwaller pluto[2796]: "C9" #1480: we have a cert and are sending it upon request
Dec 1 16:53:33 gwwaller pluto[2796]: "C9" #1480: sent MR3, ISAKMP SA established

Es wurde alles lt. Anleitung gemacht. Welches Zerifikat kann der nicht finden?

Viele Grüße
Chr. Pyroth

[Gerd von Egidy]

Hallo,

Dec 1 16:53:33 gwwaller pluto[2796]: "C9" #1480: issuer cacert not found
Dec 1 16:53:33 gwwaller pluto[2796]: "C9" #1480: X.509 certificate rejected

Diese Meldungen kommen immer und bedeuten nicht daß es ein Problem gibt. Dies wird bei uns im Handbuchkapitel zu den VPN-Logs auch so beschrieben:
http://www.intra2net.com/de/support/...ors-phase1.php

Die Meldung "sent MR3, ISAKMP SA established" danach bedeutet, daß von der Seite des Intranators die Phase 1 erfolgreich aufgebaut wurde. Das Problem muß also an einer anderen Stelle sein.

Um es genauer eingrenzen zu können, müssten wir sehen was danach im Intranator noch protokolliert wird und was gleichzeitig im Shrew Client protokolliert wird. Wichtig ist, daß beide Logausschnitte exakt den selben Verbindungsversuch zeigen.

Herzliche Grüße,

v. Egidy

[cp]

Hallo Herr v. Egidy,

die letzen Zeilen des Verbindungsaufbaus auf dem Intranator sind:

Dec 7 17:52:47 gwwaller pluto[2796]: "C9"[9] 91.67.115.187:4500 #2781: sent MR3, ISAKMP SA established
Dec 7 17:52:47 gwwaller pluto[2796]: "C9"[9] 91.67.115.187:4500 #2781: ignoring informational payload, type IPSEC_INITIAL_CONTACT

Danach passiert einfach nichts mehr.
Aus dem Shrew kann ich leider kein Logfile erhalten.

MfG
Chr Pyroth

[Gerd von Egidy]

Hallo,

wenn das die letzten Zeilen auf dem Intranator sind, liegt es am Client daß es nicht weitergeht.

Aus dem Shrew kann ich leider kein Logfile erhalten.

Ohne das Log vom Client kommen wir hier nicht weiter. Bitte gehen Sie vor wie hier beschrieben - wahrscheinlich müssen Sie dem Shrew Trace Utility Admin-Rechte geben damit es an die Logs kommt.

Herzliche Grüße,

v. Egidy

[cp]

Hallo Herr v. Egidy,

anbei das Log von shrew. Was bedeutet
10/12/09 11:54:26 ii : unable to get certificate CRL(3) at depth:0
Ist das mein Problem?

Viele Grüße,
Chr. Pyroth

+0/12/09 11:54:26 ii : processing phase1 packet ( 1212 bytes )
10/12/09 11:54:26 =< : cookies 7a2c514a6b981120:0e38f70ad1110ed0
10/12/09 11:54:26 =< : message 00000000
10/12/09 11:54:26 ii : phase1 id match ( cert check only )
10/12/09 11:54:26 ii : received = asn1-dn O=vpntest,CN=vpnhostname
10/12/09 11:54:26 ii : unable to get certificate CRL(3) at depth:0
10/12/09 11:54:26 ii : subject :/O=xyz/CN=123
10/12/09 11:54:26 ii : phase1 sa established
10/12/09 11:54:26 ii : 217.91.xyz.xy:4500 <-> 192.168.0.xyz:4500
10/12/09 11:54:26 ii : 7a2c514a6b981120:e38f70ad1110ed0
10/12/09 11:54:26 ii : sending peer INITIAL-CONTACT notification
10/12/09 11:54:26 ii : - 192.168.0.xyz:4500 -> 217.91.xyz.xy:4500
10/12/09 11:54:26 ii : - isakmp spi = 7a2c514a6b981120:0e38f70ad1110ed0
10/12/09 11:54:26 ii : - data size 0
10/12/09 11:54:26 >= : cookies 7a2c514a6b981120:0e38f70ad1110ed0
10/12/09 11:54:26 >= : message 038ad772
10/12/09 11:54:41 ii : sending peer DPDV1-R-U-THERE notification
10/12/09 11:54:41 ii : - 192.168.0.xyz:4500 -> 217.91.xyz.xy:4500
10/12/09 11:54:41 ii : - isakmp spi = 7a2c514a6b981120:0e38f70ad1110ed0
10/12/09 11:54:41 ii : - data size 4
10/12/09 11:54:41 >= : cookies 7a2c514a6b981120:0e38f70ad1110ed0
10/12/09 11:54:41 >= : message 985d3655

[bjoerns]

Hallo,

Was bedeutet
10/12/09 11:54:26 ii : unable to get certificate CRL(3) at depth:0
Ist das mein Problem?

nein, mit den Zertifikaten stimmt alles. Sowohl der Client als auch der Intranator haben die Phase 1 (Zertifikate) korrekt aufgebaut. Das ist lediglich ein Hinweis vom Client, dass die "Certificate Revocation List" nicht gefunden werden konnte. Das kann in diesem zusammenhang ignoriert werden. Infos zu CRL: http://de.wikipedia.org/wiki/Zertifikatsperrliste.

Ich vermute, dass es mit einem bekannten Problem, welches seit einem der letzten Windows Updates auftauchte, zu tun hat. Überprüfen Sie bitte, ob bei Ihren Netzwerkadaptern (Systemsteuerung->Netzwerkverbindungen) ein "Microsoft Virtual WiFi Miniport Adapter" vorhanden ist. Dieser sollte deaktiviert werden.

MFG Björn

[cp]

Hallo Herr Bjorn,

der Adapter ist nicht installiert.

Nach der Phase 1 wiederholen sich im shrew immer wieder diese Zeilen:

10/12/29 18:54:34 ii : received peer DPDV1-R-U-THERE-ACK notification
10/12/29 18:54:34 ii : - 217.91.xyz.ab:4500 -> 192.168.xyz.ab:4500
10/12/29 18:54:34 ii : - isakmp spi = 79c87aa166d4c7d6:feef1b8d9d9b3fba
10/12/29 18:54:34 ii : - data size 4
10/12/29 18:54:49 ii : sending peer DPDV1-R-U-THERE notification
10/12/29 18:54:49 ii : - 192.168.xyz.ab:4500 -> 217.91.xyz.ab:4500
10/12/29 18:54:49 ii : - isakmp spi = 79c87aa166d4c7d6:feef1b8d9d9b3fba
10/12/29 18:54:49 ii : - data size 4
10/12/29 18:54:49 >= : cookies 79c87aa166d4c7d6:feef1b8d9d9b3fba
10/12/29 18:54:49 >= : message 630228ca
10/12/29 18:54:49 ii : processing informational packet ( 84 bytes )
10/12/29 18:54:49 =< : cookies 79c87aa166d4c7d6:feef1b8d9d9b3fba
10/12/29 18:54:49 =< : message 25a897cc
10/12/29 18:54:49 ii : received peer DPDV1-R-U-THERE-ACK notification
10/12/29 18:54:49 ii : - 217.91.xyz.ab:4500 -> 192.168.xyz.ab:4500
10/12/29 18:54:49 ii : - isakmp spi = 79c87aa166d4c7d6:feef1b8d9d9b3fba
10/12/29 18:54:49 ii : - data size 4

Könnte da das Problem liegen?

MfG
Chr. Pyroth

[Gerd von Egidy]

Hallo,

Nach der Phase 1 wiederholen sich im shrew immer wieder diese Zeilen:

10/12/29 18:54:34 ii : received peer DPDV1-R-U-THERE-ACK notification

Das ist die Dead-Peer-Detection (DPD). Das ist ein Teil der Phase 1 über den kontinuierlich geprüft wird, ob die Verbindung noch aktiv ist. Im Intranator können Sie das über die Option "Offline-Erkennung" steuern. Das ist aber vollkommen normal und hat nichts mit Ihrem Problem zu tun.

Phase 1 steht ja sowohl für den Intranator als auch für den Shrew ("phase1 sa established" im Log). Es sieht mir so aus, als ob der Shrew von sich aus nicht zu Phase 2 übergeht. Wenn es nicht der fehlende Adapter ist (der letzte Tipp von meinem Kollegen), kann es auch an den Einstellungen im Shrew für das Mode Config oder für die Tunnel-Policy liegen.

Bitte posten Sie Screenshots der Untermenüs "General" und "Policy" aus dem Shrew Client.

Herzliche Grüße,

v. Egidy

[cp]

Hallo Herr v. Egidy,

anbei nach einiger Zeit nun die gewünschten Screenshots. Wenn Sie noch eine Idee haben, würde ich den Shrew noch einmal von einem externen DSL-Anschluß testen.

MfG
Chr. Pyroth

[Gerd von Egidy]

Hallo,

Sie haben im Client zwar das mode config (Auto Configuration - ike config push) aktiviert, aber gleichzeitig die virtuelle IP fest vergeben. Das geht nicht, Sie müssen entweder die IP über mode config zuweisen oder das mode config generell ausschalten.

Was haben Sie denn im Intranator bei Tunnel als Netz der Gegenseite eingestellt? Haben Sie dort freies Netz (kein mode config, IP im Client fest eingestellt) oder IP zuweisen (mode config) gewählt?

Die Konfiguration muß auf beiden Seiten zusammenpassend gewählt werden. Gehen Sie am besten wie bei uns im Handbuch beschrieben vor und aktivieren Sie auf beiden Seiten das mode config.

Herzliche Grüße,

v. Egidy

[cp]

Hallo Herr v. Egidy,

hat funktioniert, danke.

MfG
Chr. Pyroth