keine VPN Verbindung mit NCP Client

[reinhardi]

Hallo,

habe oben im Thema beschriebenes Problem. Hier die log-Date zum Verbindungsaufbau:

03.12.2010 15:16:42 IPSec: Start building connection
03.12.2010 15:16:42 IpsDial: Generate avaliable provider users - media avaliable is = a203
03.12.2010 15:16:42 IPSec: Connecting and Pin is not entered
03.12.2010 15:16:48 IPSec: Start building connection
03.12.2010 15:16:48 IpsDial: Generate avaliable provider users - media avaliable is = a203
03.12.2010 15:16:48 Ike: Outgoing connect request MAIN mode - gateway=***.***.***.*** : VPN zu GCS
03.12.2010 15:16:48 Ike: XMIT_MSG1_MAIN - VPN zu GCS
03.12.2010 15:16:48 Ike: RECV_MSG2_MAIN - VPN zu GCS
03.12.2010 15:16:48 Ike: IKE phase I: Setting LifeTime to 28800 seconds
03.12.2010 15:16:48 Ike: IkeSa negotiated with the following properties -
03.12.2010 15:16:48 Authentication=RSA_SIGNATURES,Encryption=AES,Hash= SHA,DHGroup=5,KeyLen=128
03.12.2010 15:16:48 Ike: VPN zu GCS ->Support for NAT-T version - 9
03.12.2010 15:16:48 Ike: XMIT_MSG3_MAIN - VPN zu GCS
03.12.2010 15:16:48 IPSec: Final Tunnel EndPoint is:217.092.071.237
03.12.2010 15:16:48 Ike: RECV_MSG4_MAIN - VPN zu GCS
03.12.2010 15:16:48 Ike: XMIT_MSG5_MAIN - VPN zu GCS
03.12.2010 15:16:48 Ike: XMIT_MSG5_MAIN_RESUME - VPN zu GCS
03.12.2010 15:16:48 Ike: NOTIFY : VPN zu GCS : RECEIVED : INVALID_KEY_INFORMATION : 17
03.12.2010 15:16:58 Ike: NOTIFY : VPN zu GCS : RECEIVED : INVALID_KEY_INFORMATION : 17
03.12.2010 15:16:59 Ike: NOTIFY : VPN zu GCS : RECEIVED : INVALID_KEY_INFORMATION : 17
03.12.2010 15:17:03 Ike: NOTIFY : VPN zu GCS : RECEIVED : INVALID_KEY_INFORMATION : 17
03.12.2010 15:17:07 Ike: NOTIFY : VPN zu GCS : RECEIVED : INVALID_KEY_INFORMATION : 17
03.12.2010 15:17:10 ERROR - 4023: IKE(phase1):Lost contact to Gateway (No Response) in state <Wait for Message 6> - VPN zu GCS.
03.12.2010 15:17:10 Ike: phase1:name(VPN zu GCS) - ERROR - retry timeout - max retries
03.12.2010 15:17:10 IPSec: AUTOMEDIA DETECT - Tried all avaliable media types
03.12.2010 15:17:10 IPSec: Disconnected from VPN zu GCS on channel 1.

Habe die Verbindung sowohl am Intranator als auch am Client schon mehrmals neu angelegt. Ebenso habe ich ganz neue Schlüssel erstellt und ausgetauscht.

[Gerd von Egidy]

Hallo,

03.12.2010 15:16:48 Ike: NOTIFY : VPN zu GCS : RECEIVED : INVALID_KEY_INFORMATION : 17

Hier sieht man ganz klar, daß der Intranator dem Client mitteilt, daß etwas mit den Schlüsseln nicht stimmt. Aus Sicherheitsgründen sind die Fehlermeldungen bei IPSec sehr reduziert - zu diesem Zeitpunkt ist der Client ja noch nicht sauber authentifiziert.

Vermutlich finden Sie einen genaueren Hinweis zu dem Fehler im messages-Log des Intranators. Dort sind Einträge des VPN-Dienstes mit "pluto" gekennzeichnet. Eine Beschreibung der das VPN betreffenden Meldungen finden Sie hier:
http://www.intra2net.com/de/support/...mon-errors.php

Gerne können sie auch einen Ausschnitt aus der messages-Datei hier posten. Bitte posten Sie dann alle Meldungen eines Verbindungsaufbaus, ansonsten wird es schwer eine genaue Aussage zu machen.

Herzliche Grüße,

v. Egidy

[reinhardi]

Hallo,

sorry, war ne Woche im Urlaub...

Hier das Log vom Intranator: VPN-Log-UGASS.txt

[bjoerns]

Hallo,

Hier das Log vom Intranator: Anhang 81

no public key known for 'CN=Udo Gass'

der Intranator findet kein Client Zertifikat mit dem "CN=Udo Gass". Vermutlich wurde ein falsches Client Zertifikat auf dem Intranator oder im Client importiert. Am besten Sie erstellen ein neues Client Zertifikat und importieren dies im Intranator und im VPN-Client erneut.

MFG Björn

[reinhardi]

Hallo,

So, hab nochmal alle Certifikate neu erstellt und Verbindung neu konfiguriert. Das war aber noch nicht alles. Ich hatte auch eine falsche Einstellung am Intranator unter Menü Dienste > VPN > Verbindungen, Reiter Tunnel war die IP nicht per Mode-Config zugewiesen.

[bjoerns]

Hallo,

Ich hatte auch eine falsche Einstellung am Intranator unter Menü Dienste > VPN > Verbindungen, Reiter Tunnel war die IP nicht per Mode-Config zugewiesen.

vielen Dank für die Rückmeldung und einen guten Rutsch ins neue Jahr.

MFG Björn

[reinhardi]

Hallo,

nachdem es ein paar Tage funktioniert hat, geht es seit dem Wochenende nicht mehr. Hier die Logs vom Intranator und vom Client:
NCP_Client_Log.txt
Intranator_Log.txt

[Thomas Jarosch]

Hallo,

danke für die Logdateien. Phase1 und Phase2 der Verbindung werden erfolgreich ausgehandelt. Eigentlich sollte die Verbindung stehen, jedoch ist der Client damit nicht einverstanden.

Diese Meldung wundert mich vor allem

Code:

18.01.2011 13:59:27  ERROR - 4023: IKE(phase1):Lost contact to Gateway (No Response) in state <Wait for Message 6> - VPN GCS.

Bitte probieren Sie folgendes auf dem Intranator: Wählen Sie auf der Hauptseite die VPN-Verbindung aus und klicken auf "VPN trennen". Das räumt intern alle Verbindungszustände auf, auch wenn die Verbindung momentan als inaktiv angezeigt wird. Bauen Sie anschliessend eine neue VPN-Verbindung auf.

Herzliche Grüße,
Thomas Jarosch

[reinhardi]

hallo,

VPN trennen und auch ein neustart des Intranators hat nichts gebracht - selber Fehler.

Habe dann mal versucht die Verbindung mit einem mobilen Surfstick als Internet-Verbindung herzustellen und siehe da, es klappte sofort. Habe jetzt die Vermutung, dass irgendwelche Routereinstellungen im LAN des Benutzers den Fehler verursachen.

[Gerd von Egidy]

Hallo,

Habe jetzt die Vermutung, dass irgendwelche Routereinstellungen im LAN des Benutzers den Fehler verursachen.

Das ist gut möglich. Prüfen Sie als erstes, ob im Intranator wirklich das NAT-Traversal aktiv ist (Dienste > VPN > Einstellungen).

Bei manchen Routern (z.B. Telekom Speedport) ist ein Firmware-Update nötig damit das VPN einwandfrei funktioniert.

Herzliche Grüße,

v. Egidy

[reinhardi]

Hallo,

es lag an den Router-/Firwall-Einstellung auf der Client-Seite. Es gab irgendwo einen versteckten Haken, der die IP-Adresse umschreibt.