25.02.2004, 19:44
|
|||
|
|||
|
VPN - auf feste IP (LEUCOM)
Hallo,
es ergibt sich ein Problem bei der initialisierung einer VPN-Verbindung auf eine Feste IP-Adresse auf einen Anschluß (der LeuCom in Leuna). Die Adresse is per ping erreichbar. der Intranator hat eine feste IP-Adresse. Es gibt funktionierende DynDns-basierte VPN die funktionieren. Die Verbindung auf die feste IP jedoch ist problematisch: - es gibt keine Route dorthin außer über die VPN-Verbindung - ein TRACERT zeigt, dass eine Verbindung über den Intranator (IP) in das Internet geroutet wird. Dort bleibt der trace nach 4 oder 5 Hops stecken. (logisch, denn er soll ja eigentlich durch den Tunnel!) - Auch ein wechsel auf ISDN Dialup und DynDNS brachte hier keine Änderung. Es folgen ausschnitte aus dem LOGFILE: Das Log mit DSL berichtet folgendes: "C4_ANY"[50] 212.2.48.81 #53: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x6f543f0f (perhaps this is a duplicated packet) "C4_ANY"[50] 212.2.48.81 #53: sending encrypted notification INVALID_MESSAGE_ID to 212.2.48.81:500 Ein Wechsel der Gegenseite auf ISDN Dial-Up ergab ein identisches Verhalten (am Tunnel vorbei) und folgendes Log: "C10": deleting connection intranator pluto[13965]: bad left --id: does not look numeric and name lookup failed (ignored) intranator pluto[13965]: bad right --id: does not look numeric and name lookup failed (ignored) intranator pluto[13965]: added connection description "C10" intranator vpnscripts[11408]: can't open the connection: dns lookup failure intranator pluto[13965]: "C10": deleting connection So und nun bich ich doch etwas ratlos. 
|
|
26.02.2004, 09:45
|
|||
|
|||
|
Hallo Herr Masanneck,
leider kann ich aus den Logfiles nur schwer ablesen, wo genau das Problem liegt. Ich würde mich gern auf dem System aufschalten und die Logfiles direkt ansehen. Rufen Sie mich einfach auf der Support-Nummer an, sobald Sie Zeit haben. Herzliche Grüsse, Thomas Jarosch
|
|
26.02.2004, 17:41
|
|||
|
|||
|
Hier einmal kurz das Resultat der Bemühungen, die letztlich zum Erfolg führten:
Das Szenario: Intranator 2500 gegen D-Link DI-804 HV Die Theorie (Herr Jarosch) 1) VPN Verbindungen OHNE feste IP-Adresse, also solche die über z.B. DynDns initialisiert werden, benötigen zur Authentifizierung keine besondern Namen unter +Dienste+VPN +Verbindungen in den Feldern Eigene IPSec ID und IPSec ID Gegenstelle. Gemäß Standard versucht hier der Intranator diese ID's als DynDNS-Namen aufzulösen. (Ist aber nicht zwingend erforderlich, führt auf den Intranator jedoch zur Fehlermeldung: "....DNS-Name nicht bekannt..") Darum auch der Hinweis ein @ im Namen zu verwenden, weil so ein DNS-NAME ausgeschlossen ist. 2) VPN-Verbindungen müssen , dem Standard zufolge, ein @-Zeichen in diesen Feldern tragen, da sie ja eben gerade keine (Dyn)DNS-Namen haben sondern eine feste IP-Adr. Die Praxis: Im vorliegenden Fall sendete der Gegenstellenrouter jedoch nicht die bei ihm eingtragene Eigene IP-Sec ID (eine mit@ im Namen), sondern seine IP-Adresse. Nachdem die IP-Adresse als IPSec ID Gegenstelle auf dem Intranator eingetragen war wurde die Verbindung initialisiert. (verkützte Darstellung... ;-)) Gruß B.Masanneck Geändert von Masanneck (27.02.2004 um 10:58 Uhr).
|
|
26.02.2004, 20:40
|
|||
|
|||
|
Danke für den ausführlichen Bericht. Eine Sache ist mir noch eingefallen, falls noch jemand diesen Router einsetzen will:
Unter dem Menüpunkt "IPSec propsal" einer VPN Verbindung muss der "Auth mode" unbedingt von "none" auf "SHA1" oder "MD5" gestellt werden. Sonst hängt der Verbindungsaufbau ohne ersichtliche Fehlermeldungen. Herzliche Grüsse, Thomas Jarosch
|
 |
| Themen-Optionen | |
| Ansicht | Thema bewerten |
|
|
Linear-Darstellung
