Bintec R1202 IPSEC mit ShrewSoft VPN Client funktioniert nicht

Hallo,

folgendes Problem habe ich. Ich setze ein Bintec R1202 Router ein und möchte gerne eine IPSEC Verbindung vom Firmennetzwerk zu einer Privatperson herstellen.

Folgendes Szenario:

User A mit VPN CLient möchte auf den Terminalserver in der Firma zugreifen.

IPSEC Konfiguration am Bintec habe ich schon vorgenommen, kriege es aber nicht hin mit dem VPN Client eine Verbindung aufzubauen. Habe schon alles möglich ausporbiert. Eingesetzt wird ein ShrewSoft VPN Client in der neusten Version. Da ich mich leider mit dem Bintec und der VPN Client nicht auskennen, hoffe ich auf eure Hilfe. Eingerichtet habe ich den IPSEC Tunnel mit Hilfe des Wizards in der Weboberfläche. Ich habe mir dann auch zu Testzwecken andere Phase 1 und Phase 2 Profile angelegt. ALs Kex wird ein Presharedkey verwendet.

Screenshots werde ich von der Config des ShrewSoft VPN Clients und der Konfig vom Bintec anheften. Diese basieren auf der Config die ich verwende.

Der Bintec Router wurde von einem anderen IT Unternehmen übernommen, wo bereits IPSEC Tunnel konfiguriert waren. Diese funktionierten auch. Jedoch weiß ich nicht welcher VPN Client auf den Windows XP x86 CLients installiert ist und wie die Config aussah.

Als Fehlermeldung erhalten ich immer: "negotiation timout occurred"

Sollten noch irgendwelche Daten benötigt werden, bitte bescheid geben.

Ich hoffe ihr könnt mir helfen. Danke im vorraus.

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 188948

Url: https://administrator.de/contentid/188948

Ausgedruckt am: 23.11.2024 um 14:11 Uhr

12 Kommentare

Neuester Kommentar

Guckst du hier:
http://www.router-forum.de/board-bintec-funkwerk-enterprise-communicati ...

Hallo, danke für den Link, habe dies schon ausprobiert. Der Link von der Bintec Seite funktioniert auch nicht mehr.
Das andere hab ich schon durchprobiert, aber hat nicht geklappt.

Gruß

Hallo

"negotiation timout occurred" richt stark danach das schon der Key-Exchange fehlschlägt. Wird bei euch NAT verwendet bzw. wie hängt die BinTEC an Netz?

Gruß

Andi

Interessant wäre zudem noch das Log vom Bintec bei eingehender IPsec Verbindung. Dort dürfte auch der Grund ersichtlich sein. Riecht aber in der Tat ggf. nach einer NAT Firewall ?!

Hallo ihr beiden,
ich habe jetzt mal die Screenshots angeängt, auch das Logfile beim verbinden. Hoffe das es das richtige ist. Der Bintec ist direkt mit dem Modem verbunden und stellt per PPoE eine Internetverbindung her. Die Wan Schnittstelle benutzt hierbei also das NAT. Keine andere Verbindung.

Gruß

Hallo,
habe noch mal ein bisschen rumprobiert. Habe mal das Logfile vom Shrew VPN Client. Vielleicht könnt ihr damit was anfangen, er sagt immer das er Phase 2 nicht findet.

2/08/03 13:09:07 <A : peer config add message
12/08/03 13:09:07 DB : peer added ( obj count = 1 )
12/08/03 13:09:07 ii : local address 192.168.200.103 selected for peer
12/08/03 13:09:07 DB : tunnel added ( obj count = 1 )
12/08/03 13:09:07 <A : proposal config message
12/08/03 13:09:07 <A : proposal config message
12/08/03 13:09:07 <A : client config message
12/08/03 13:09:07 <A : local id 'Schroeder' message
12/08/03 13:09:07 <A : remote id '90.153.4.64' message
12/08/03 13:09:07 <A : preshared key message
12/08/03 13:09:07 <A : remote resource message
12/08/03 13:09:07 <A : peer tunnel enable message
12/08/03 13:09:07 DB : new phase1 ( ISAKMP initiator )
12/08/03 13:09:07 DB : exchange type is aggressive
12/08/03 13:09:07 DB : 192.168.200.103:500 <-> 90.153.4.64:500
12/08/03 13:09:07 DB : e6b8742722ae1fe0:0000000000000000
12/08/03 13:09:07 DB : phase1 added ( obj count = 1 )
12/08/03 13:09:07 >> : security association payload
12/08/03 13:09:07 >> : - proposal #1 payload
12/08/03 13:09:07 >> : -- transform #1 payload
12/08/03 13:09:07 >> : key exchange payload
12/08/03 13:09:07 >> : nonce payload
12/08/03 13:09:07 >> : identification payload
12/08/03 13:09:07 >> : vendor id payload
12/08/03 13:09:07 ii : local supports nat-t ( draft v00 )
12/08/03 13:09:07 >> : vendor id payload
12/08/03 13:09:07 ii : local supports nat-t ( draft v01 )
12/08/03 13:09:07 >> : vendor id payload
12/08/03 13:09:07 ii : local supports nat-t ( draft v02 )
12/08/03 13:09:07 >> : vendor id payload
12/08/03 13:09:07 ii : local supports nat-t ( draft v03 )
12/08/03 13:09:07 >> : vendor id payload
12/08/03 13:09:07 ii : local supports nat-t ( rfc )
12/08/03 13:09:07 >> : vendor id payload
12/08/03 13:09:07 ii : local supports FRAGMENTATION
12/08/03 13:09:07 >> : vendor id payload
12/08/03 13:09:07 ii : local supports DPDv1
12/08/03 13:09:07 >> : vendor id payload
12/08/03 13:09:07 ii : local is SHREW SOFT compatible
12/08/03 13:09:07 >> : vendor id payload
12/08/03 13:09:07 ii : local is NETSCREEN compatible
12/08/03 13:09:07 >> : vendor id payload
12/08/03 13:09:07 ii : local is SIDEWINDER compatible
12/08/03 13:09:07 >> : vendor id payload
12/08/03 13:09:07 ii : local is CISCO UNITY compatible
12/08/03 13:09:07 >= : cookies e6b8742722ae1fe0:0000000000000000
12/08/03 13:09:07 >= : message 00000000
12/08/03 13:09:07 -> : send IKE packet 192.168.200.103:500 -> 90.153.4.64:500 ( 513 bytes )
12/08/03 13:09:07 DB : phase1 resend event scheduled ( ref count = 2 )
12/08/03 13:09:07 <- : recv IKE packet 90.153.4.64:500 -> 192.168.200.103:500 ( 488 bytes )
12/08/03 13:09:07 DB : phase1 found
12/08/03 13:09:07 ii : processing phase1 packet ( 488 bytes )
12/08/03 13:09:07 =< : cookies e6b8742722ae1fe0:30dda586e4028468
12/08/03 13:09:07 =< : message 00000000
12/08/03 13:09:07 << : security association payload
12/08/03 13:09:07 << : - propsal #1 payload
12/08/03 13:09:07 << : -- transform #1 payload
12/08/03 13:09:07 ii : matched isakmp proposal #1 transform #1
12/08/03 13:09:07 ii : - transform = ike
12/08/03 13:09:07 ii : - cipher type = 3des
12/08/03 13:09:07 ii : - key length = default
12/08/03 13:09:07 ii : - hash type = md5
12/08/03 13:09:07 ii : - dh group = modp-1024
12/08/03 13:09:07 ii : - auth type = psk
12/08/03 13:09:07 ii : - life seconds = 900
12/08/03 13:09:07 ii : - life kbytes = 0
12/08/03 13:09:07 << : key exchange payload
12/08/03 13:09:07 << : nonce payload
12/08/03 13:09:07 << : identification payload
12/08/03 13:09:07 ii : phase1 id match ( natt prevents ip match )
12/08/03 13:09:07 ii : received = ipv4-host 90.153.4.64
12/08/03 13:09:07 << : hash payload
12/08/03 13:09:07 << : vendor id payload
12/08/03 13:09:07 ii : unknown vendor id ( 16 bytes )
12/08/03 13:09:07 0x : 0048e227 0bea8395 ed778d34 3cc2a076
12/08/03 13:09:07 << : vendor id payload
12/08/03 13:09:07 ii : unknown vendor id ( 16 bytes )
12/08/03 13:09:07 0x : 5cbeb399 eb835a7d 7a2eb495 905db061
12/08/03 13:09:07 << : vendor id payload
12/08/03 13:09:07 ii : unknown vendor id ( 16 bytes )
12/08/03 13:09:07 0x : 810fa565 f8ab1436 9105d706 fbd57279
12/08/03 13:09:07 << : vendor id payload
12/08/03 13:09:07 ii : peer supports nat-t ( draft v03 )
12/08/03 13:09:07 << : vendor id payload
12/08/03 13:09:07 ii : peer supports nat-t ( draft v02 )
12/08/03 13:09:07 << : vendor id payload
12/08/03 13:09:07 ii : unknown vendor id ( 16 bytes )
12/08/03 13:09:07 0x : cd604643 35df21f8 7cfdb2fc 68b6a448
12/08/03 13:09:07 << : vendor id payload
12/08/03 13:09:07 ii : peer supports nat-t ( draft v00 )
12/08/03 13:09:07 << : vendor id payload
12/08/03 13:09:07 ii : peer supports XAUTH
12/08/03 13:09:07 << : vendor id payload
12/08/03 13:09:07 ii : peer supports DPDv1
12/08/03 13:09:07 << : nat discovery payload
12/08/03 13:09:07 << : nat discovery payload
12/08/03 13:09:07 ii : nat discovery - local address is translated
12/08/03 13:09:07 ii : switching to src nat-t udp port 4500
12/08/03 13:09:07 ii : switching to dst nat-t udp port 4500
12/08/03 13:09:07 == : DH shared secret ( 128 bytes )
12/08/03 13:09:07 == : SETKEYID ( 16 bytes )
12/08/03 13:09:07 == : SETKEYID_d ( 16 bytes )
12/08/03 13:09:07 == : SETKEYID_a ( 16 bytes )
12/08/03 13:09:07 == : SETKEYID_e ( 16 bytes )
12/08/03 13:09:07 == : cipher key ( 32 bytes )
12/08/03 13:09:07 == : cipher iv ( 8 bytes )
12/08/03 13:09:07 == : phase1 hash_i ( computed ) ( 16 bytes )
12/08/03 13:09:07 >> : hash payload
12/08/03 13:09:07 >> : nat discovery payload
12/08/03 13:09:07 >> : nat discovery payload
12/08/03 13:09:07 >= : cookies e6b8742722ae1fe0:30dda586e4028468
12/08/03 13:09:07 >= : message 00000000
12/08/03 13:09:07 >= : encrypt iv ( 8 bytes )
12/08/03 13:09:07 == : encrypt packet ( 88 bytes )
12/08/03 13:09:07 == : stored iv ( 8 bytes )
12/08/03 13:09:07 DB : phase1 resend event canceled ( ref count = 1 )
12/08/03 13:09:07 -> : send NAT-T:IKE packet 192.168.200.103:4500 -> 90.153.4.64:4500 ( 124 bytes )
12/08/03 13:09:07 == : phase1 hash_r ( computed ) ( 16 bytes )
12/08/03 13:09:07 == : phase1 hash_r ( received ) ( 16 bytes )
12/08/03 13:09:07 ii : phase1 sa established
12/08/03 13:09:07 ii : 90.153.4.64:4500 <-> 192.168.200.103:4500
12/08/03 13:09:07 ii : e6b8742722ae1fe0:30dda586e4028468
12/08/03 13:09:07 ii : sending peer INITIAL-CONTACT notification
12/08/03 13:09:07 ii : - 192.168.200.103:4500 -> 90.153.4.64:4500
12/08/03 13:09:07 ii : - isakmp spi = e6b8742722ae1fe0:30dda586e4028468
12/08/03 13:09:07 ii : - data size 0
12/08/03 13:09:07 >> : hash payload
12/08/03 13:09:07 >> : notification payload
12/08/03 13:09:07 == : new informational hash ( 16 bytes )
12/08/03 13:09:07 == : new informational iv ( 8 bytes )
12/08/03 13:09:07 >= : cookies e6b8742722ae1fe0:30dda586e4028468
12/08/03 13:09:07 >= : message 19cc1b45
12/08/03 13:09:07 >= : encrypt iv ( 8 bytes )
12/08/03 13:09:07 == : encrypt packet ( 76 bytes )
12/08/03 13:09:07 == : stored iv ( 8 bytes )
12/08/03 13:09:07 -> : send NAT-T:IKE packet 192.168.200.103:4500 -> 90.153.4.64:4500 ( 108 bytes )
12/08/03 13:09:07 DB : phase2 not found
12/08/03 13:09:22 DB : phase1 found
12/08/03 13:09:22 ii : sending peer DPDV1-R-U-THERE notification
12/08/03 13:09:22 ii : - 192.168.200.103:4500 -> 90.153.4.64:4500
12/08/03 13:09:22 ii : - isakmp spi = e6b8742722ae1fe0:30dda586e4028468
12/08/03 13:09:22 ii : - data size 4
12/08/03 13:09:22 >> : hash payload
12/08/03 13:09:22 >> : notification payload
12/08/03 13:09:22 == : new informational hash ( 16 bytes )
12/08/03 13:09:22 == : new informational iv ( 8 bytes )
12/08/03 13:09:22 >= : cookies e6b8742722ae1fe0:30dda586e4028468
12/08/03 13:09:22 >= : message 91752034
12/08/03 13:09:22 >= : encrypt iv ( 8 bytes )
12/08/03 13:09:22 == : encrypt packet ( 80 bytes )
12/08/03 13:09:22 == : stored iv ( 8 bytes )
12/08/03 13:09:22 -> : send NAT-T:IKE packet 192.168.200.103:4500 -> 90.153.4.64:4500 ( 116 bytes )
12/08/03 13:09:22 ii : DPD ARE-YOU-THERE sequence 30b484cf requested
12/08/03 13:09:22 DB : phase1 found
12/08/03 13:09:22 -> : send NAT-T:KEEP-ALIVE packet 192.168.200.103:4500 -> 90.153.4.64:4500
12/08/03 13:09:22 <- : recv NAT-T:IKE packet 90.153.4.64:4500 -> 192.168.200.103:4500 ( 84 bytes )
12/08/03 13:09:22 DB : phase1 found
12/08/03 13:09:22 ii : processing informational packet ( 84 bytes )
12/08/03 13:09:22 == : new informational iv ( 8 bytes )
12/08/03 13:09:22 =< : cookies e6b8742722ae1fe0:30dda586e4028468
12/08/03 13:09:22 =< : message cc360244
12/08/03 13:09:22 =< : decrypt iv ( 8 bytes )
12/08/03 13:09:22 == : decrypt packet ( 84 bytes )
12/08/03 13:09:22 <= : trimmed packet padding ( 4 bytes )
12/08/03 13:09:22 <= : stored iv ( 8 bytes )
12/08/03 13:09:22 << : hash payload
12/08/03 13:09:22 << : notification payload
12/08/03 13:09:22 == : informational hash_i ( computed ) ( 16 bytes )
12/08/03 13:09:22 == : informational hash_c ( received ) ( 16 bytes )
12/08/03 13:09:22 ii : informational hash verified
12/08/03 13:09:22 ii : received peer DPDV1-R-U-THERE-ACK notification
12/08/03 13:09:22 ii : - 90.153.4.64:4500 -> 192.168.200.103:4500
12/08/03 13:09:22 ii : - isakmp spi = e6b8742722ae1fe0:30dda586e4028468
12/08/03 13:09:22 ii : - data size 4
12/08/03 13:09:22 ii : DPD ARE-YOU-THERE-ACK sequence 30b484cf accepted
12/08/03 13:09:22 ii : next tunnel DPD request in 15 secs for peer 90.153.4.64:4500

Was hast du jetzt im Router bei IPSec-Peers in "Routeneinträge" stehen?

Du hast übrigens nicht nur ein "bisschen" rumprobiert. Du hast es ja fast geschafft.

Hallo,
so habe jetzt vom Router mal die Screenshots gemacht.

Gruß

Hallo zusammen,
hat noch jemand eine Idee woran es momentan scheitert. Verbindung wird als verbunden angezeigt, zumindest in der Übersicht am Bintec Router jedoch gibt es noch ein Problem mit Phase 2.

Danke im voraus.

Gruß

Hallo

folgende Tips:
- Im ShrewSoft Client unter Authentication->Local Identity den Identification Type auf "User Fully Qualified Domain Name" setzen wenn eine Mailadresse verwendet wird. Diese auch unter Peer-ID auf der BinTEC eintragen
- In Phase1 und Phase2 des ShrewSoft Client nur den DH und PFS Typ setzen, die Algorithm auf "Auto" (Gateway Vorschlag wird akzeptiert)
- Unter Policy das getunnelte Netz prüfen, muss mit der BinTEC Vorstellung überein stimmen

Viel Erfolg

Andi

danke, dies werde ich nochmal versuchen und würde mich dann melden.

morgen,

Bild 1: IP-Adressvergabe muss auf > Server im IKE-Konfigurationsmodus stehen
Bild 1: IP-Zuordnungspool muss Pool ausgewählt werden (dieser Punkt taucht erst auf nachdem auf IKE-Server gestellt.
Pool muss zuvor erstellt werden (Bild 1 oben rechts IP-Pools)
Bild 1: Lokale IP-Adresse ist = Interne IP des ROUTERS

in Screwsoft (Bild 11) muss an der Stelle wo jetzt deine E-Mailadresse steht die IP des Clients eingetragen werden
diese muss dem Eintrag in Bild 1 Peer-ID entsprechen. Falls der Client eine Dynamische IP hat dort einfach auf FQDN stellen und in Screwsoft auch und an beiden stellen den Identischen Wert eintragen (frei wählbar).

Sonnst alles o.k.

Gruß

Frage Netzwerke Router, Routing

Mehr von Warrior88

Outlook 2007 verliert von Zeit zu Zeit seine RegelnWarrior88 - 2 Kommentare

Heiß diskutiert