warrior88
Goto Top

Bintec R1202 IPSEC mit ShrewSoft VPN Client funktioniert nicht

Hallo,

folgendes Problem habe ich. Ich setze ein Bintec R1202 Router ein und möchte gerne eine IPSEC Verbindung vom Firmennetzwerk zu einer Privatperson herstellen.

Folgendes Szenario:

User A mit VPN CLient möchte auf den Terminalserver in der Firma zugreifen.

IPSEC Konfiguration am Bintec habe ich schon vorgenommen, kriege es aber nicht hin mit dem VPN Client eine Verbindung aufzubauen. Habe schon alles möglich ausporbiert. Eingesetzt wird ein ShrewSoft VPN Client in der neusten Version. Da ich mich leider mit dem Bintec und der VPN Client nicht auskennen, hoffe ich auf eure Hilfe. Eingerichtet habe ich den IPSEC Tunnel mit Hilfe des Wizards in der Weboberfläche. Ich habe mir dann auch zu Testzwecken andere Phase 1 und Phase 2 Profile angelegt. ALs Kex wird ein Presharedkey verwendet.

Screenshots werde ich von der Config des ShrewSoft VPN Clients und der Konfig vom Bintec anheften. Diese basieren auf der Config die ich verwende.

Der Bintec Router wurde von einem anderen IT Unternehmen übernommen, wo bereits IPSEC Tunnel konfiguriert waren. Diese funktionierten auch. Jedoch weiß ich nicht welcher VPN Client auf den Windows XP x86 CLients installiert ist und wie die Config aussah.

Als Fehlermeldung erhalten ich immer: "negotiation timout occurred"


Sollten noch irgendwelche Daten benötigt werden, bitte bescheid geben.

Ich hoffe ihr könnt mir helfen. Danke im vorraus.

a4ad9b3cb2e1e5ea5659ac0e630ae743

461a0adb7b40f8f5aa1816e26a3debe3

2a97cac41c03243226208a5e82924dc5

694fc27c8b9a10544ac7bc8b49d7cb36

3f9e840b8078db01e67fceadd3b68c08

048f176f8bfa3c77690503e2e34e7867

0aef62832f52a85d6b74d798f94af5cc

95b0cd0ca9c0fcbec10f80c90c6cb35f

199cfb03a95f271e0f5d688ea384ba52

67dc441f1cc628cef16a0ef76cb9acc2

76e68cbcd3eeda96b070fc518155c32a

f7fab4c282fc92994f4dc09294f282c2

8f5c614f0424f1974f67d11fcb595d2f

1e616cc95757f27d10a2f836e418c267

4720efe361cd81bfe481c510cbe51a3a

8b83e8e1fb334028a9fd891efb088448

Content-ID: 188948

Url: https://administrator.de/forum/bintec-r1202-ipsec-mit-shrewsoft-vpn-client-funktioniert-nicht-188948.html

Ausgedruckt am: 27.12.2024 um 04:12 Uhr

aqui
aqui 01.08.2012 um 16:27:04 Uhr
Goto Top
Warrior88
Warrior88 01.08.2012 um 16:35:43 Uhr
Goto Top
Hallo, danke für den Link, habe dies schon ausprobiert. Der Link von der Bintec Seite funktioniert auch nicht mehr.
Das andere hab ich schon durchprobiert, aber hat nicht geklappt.

Gruß
AndiEoh
AndiEoh 02.08.2012 um 12:10:49 Uhr
Goto Top
Hallo

"negotiation timout occurred" richt stark danach das schon der Key-Exchange fehlschlägt. Wird bei euch NAT verwendet bzw. wie hängt die BinTEC an Netz?

Gruß

Andi
aqui
aqui 02.08.2012 um 15:24:32 Uhr
Goto Top
Interessant wäre zudem noch das Log vom Bintec bei eingehender IPsec Verbindung. Dort dürfte auch der Grund ersichtlich sein. Riecht aber in der Tat ggf. nach einer NAT Firewall ?!
Warrior88
Warrior88 02.08.2012 um 16:01:09 Uhr
Goto Top
Hallo ihr beiden,
ich habe jetzt mal die Screenshots angeängt, auch das Logfile beim verbinden. Hoffe das es das richtige ist. Der Bintec ist direkt mit dem Modem verbunden und stellt per PPoE eine Internetverbindung her. Die Wan Schnittstelle benutzt hierbei also das NAT. Keine andere Verbindung.

Gruß
Warrior88
Warrior88 03.08.2012 um 13:11:00 Uhr
Goto Top
Hallo,
habe noch mal ein bisschen rumprobiert. Habe mal das Logfile vom Shrew VPN Client. Vielleicht könnt ihr damit was anfangen, er sagt immer das er Phase 2 nicht findet.

2/08/03 13:09:07 <A : peer config add message
12/08/03 13:09:07 DB : peer added ( obj count = 1 )
12/08/03 13:09:07 ii : local address 192.168.200.103 selected for peer
12/08/03 13:09:07 DB : tunnel added ( obj count = 1 )
12/08/03 13:09:07 <A : proposal config message
12/08/03 13:09:07 <A : proposal config message
12/08/03 13:09:07 <A : client config message
12/08/03 13:09:07 <A : local id 'Schroeder' message
12/08/03 13:09:07 <A : remote id '90.153.4.64' message
12/08/03 13:09:07 <A : preshared key message
12/08/03 13:09:07 <A : remote resource message
12/08/03 13:09:07 <A : peer tunnel enable message
12/08/03 13:09:07 DB : new phase1 ( ISAKMP initiator )
12/08/03 13:09:07 DB : exchange type is aggressive
12/08/03 13:09:07 DB : 192.168.200.103:500 <-> 90.153.4.64:500
12/08/03 13:09:07 DB : e6b8742722ae1fe0:0000000000000000
12/08/03 13:09:07 DB : phase1 added ( obj count = 1 )
12/08/03 13:09:07 >> : security association payload
12/08/03 13:09:07 >> : - proposal #1 payload
12/08/03 13:09:07 >> : -- transform #1 payload
12/08/03 13:09:07 >> : key exchange payload
12/08/03 13:09:07 >> : nonce payload
12/08/03 13:09:07 >> : identification payload
12/08/03 13:09:07 >> : vendor id payload
12/08/03 13:09:07 ii : local supports nat-t ( draft v00 )
12/08/03 13:09:07 >> : vendor id payload
12/08/03 13:09:07 ii : local supports nat-t ( draft v01 )
12/08/03 13:09:07 >> : vendor id payload
12/08/03 13:09:07 ii : local supports nat-t ( draft v02 )
12/08/03 13:09:07 >> : vendor id payload
12/08/03 13:09:07 ii : local supports nat-t ( draft v03 )
12/08/03 13:09:07 >> : vendor id payload
12/08/03 13:09:07 ii : local supports nat-t ( rfc )
12/08/03 13:09:07 >> : vendor id payload
12/08/03 13:09:07 ii : local supports FRAGMENTATION
12/08/03 13:09:07 >> : vendor id payload
12/08/03 13:09:07 ii : local supports DPDv1
12/08/03 13:09:07 >> : vendor id payload
12/08/03 13:09:07 ii : local is SHREW SOFT compatible
12/08/03 13:09:07 >> : vendor id payload
12/08/03 13:09:07 ii : local is NETSCREEN compatible
12/08/03 13:09:07 >> : vendor id payload
12/08/03 13:09:07 ii : local is SIDEWINDER compatible
12/08/03 13:09:07 >> : vendor id payload
12/08/03 13:09:07 ii : local is CISCO UNITY compatible
12/08/03 13:09:07 >= : cookies e6b8742722ae1fe0:0000000000000000
12/08/03 13:09:07 >= : message 00000000
12/08/03 13:09:07 -> : send IKE packet 192.168.200.103:500 -> 90.153.4.64:500 ( 513 bytes )
12/08/03 13:09:07 DB : phase1 resend event scheduled ( ref count = 2 )
12/08/03 13:09:07 <- : recv IKE packet 90.153.4.64:500 -> 192.168.200.103:500 ( 488 bytes )
12/08/03 13:09:07 DB : phase1 found
12/08/03 13:09:07 ii : processing phase1 packet ( 488 bytes )
12/08/03 13:09:07 =< : cookies e6b8742722ae1fe0:30dda586e4028468
12/08/03 13:09:07 =< : message 00000000
12/08/03 13:09:07 << : security association payload
12/08/03 13:09:07 << : - propsal #1 payload
12/08/03 13:09:07 << : -- transform #1 payload
12/08/03 13:09:07 ii : matched isakmp proposal #1 transform #1
12/08/03 13:09:07 ii : - transform = ike
12/08/03 13:09:07 ii : - cipher type = 3des
12/08/03 13:09:07 ii : - key length = default
12/08/03 13:09:07 ii : - hash type = md5
12/08/03 13:09:07 ii : - dh group = modp-1024
12/08/03 13:09:07 ii : - auth type = psk
12/08/03 13:09:07 ii : - life seconds = 900
12/08/03 13:09:07 ii : - life kbytes = 0
12/08/03 13:09:07 << : key exchange payload
12/08/03 13:09:07 << : nonce payload
12/08/03 13:09:07 << : identification payload
12/08/03 13:09:07 ii : phase1 id match ( natt prevents ip match )
12/08/03 13:09:07 ii : received = ipv4-host 90.153.4.64
12/08/03 13:09:07 << : hash payload
12/08/03 13:09:07 << : vendor id payload
12/08/03 13:09:07 ii : unknown vendor id ( 16 bytes )
12/08/03 13:09:07 0x : 0048e227 0bea8395 ed778d34 3cc2a076
12/08/03 13:09:07 << : vendor id payload
12/08/03 13:09:07 ii : unknown vendor id ( 16 bytes )
12/08/03 13:09:07 0x : 5cbeb399 eb835a7d 7a2eb495 905db061
12/08/03 13:09:07 << : vendor id payload
12/08/03 13:09:07 ii : unknown vendor id ( 16 bytes )
12/08/03 13:09:07 0x : 810fa565 f8ab1436 9105d706 fbd57279
12/08/03 13:09:07 << : vendor id payload
12/08/03 13:09:07 ii : peer supports nat-t ( draft v03 )
12/08/03 13:09:07 << : vendor id payload
12/08/03 13:09:07 ii : peer supports nat-t ( draft v02 )
12/08/03 13:09:07 << : vendor id payload
12/08/03 13:09:07 ii : unknown vendor id ( 16 bytes )
12/08/03 13:09:07 0x : cd604643 35df21f8 7cfdb2fc 68b6a448
12/08/03 13:09:07 << : vendor id payload
12/08/03 13:09:07 ii : peer supports nat-t ( draft v00 )
12/08/03 13:09:07 << : vendor id payload
12/08/03 13:09:07 ii : peer supports XAUTH
12/08/03 13:09:07 << : vendor id payload
12/08/03 13:09:07 ii : peer supports DPDv1
12/08/03 13:09:07 << : nat discovery payload
12/08/03 13:09:07 << : nat discovery payload
12/08/03 13:09:07 ii : nat discovery - local address is translated
12/08/03 13:09:07 ii : switching to src nat-t udp port 4500
12/08/03 13:09:07 ii : switching to dst nat-t udp port 4500
12/08/03 13:09:07 == : DH shared secret ( 128 bytes )
12/08/03 13:09:07 == : SETKEYID ( 16 bytes )
12/08/03 13:09:07 == : SETKEYID_d ( 16 bytes )
12/08/03 13:09:07 == : SETKEYID_a ( 16 bytes )
12/08/03 13:09:07 == : SETKEYID_e ( 16 bytes )
12/08/03 13:09:07 == : cipher key ( 32 bytes )
12/08/03 13:09:07 == : cipher iv ( 8 bytes )
12/08/03 13:09:07 == : phase1 hash_i ( computed ) ( 16 bytes )
12/08/03 13:09:07 >> : hash payload
12/08/03 13:09:07 >> : nat discovery payload
12/08/03 13:09:07 >> : nat discovery payload
12/08/03 13:09:07 >= : cookies e6b8742722ae1fe0:30dda586e4028468
12/08/03 13:09:07 >= : message 00000000
12/08/03 13:09:07 >= : encrypt iv ( 8 bytes )
12/08/03 13:09:07 == : encrypt packet ( 88 bytes )
12/08/03 13:09:07 == : stored iv ( 8 bytes )
12/08/03 13:09:07 DB : phase1 resend event canceled ( ref count = 1 )
12/08/03 13:09:07 -> : send NAT-T:IKE packet 192.168.200.103:4500 -> 90.153.4.64:4500 ( 124 bytes )
12/08/03 13:09:07 == : phase1 hash_r ( computed ) ( 16 bytes )
12/08/03 13:09:07 == : phase1 hash_r ( received ) ( 16 bytes )
12/08/03 13:09:07 ii : phase1 sa established
12/08/03 13:09:07 ii : 90.153.4.64:4500 <-> 192.168.200.103:4500
12/08/03 13:09:07 ii : e6b8742722ae1fe0:30dda586e4028468
12/08/03 13:09:07 ii : sending peer INITIAL-CONTACT notification
12/08/03 13:09:07 ii : - 192.168.200.103:4500 -> 90.153.4.64:4500
12/08/03 13:09:07 ii : - isakmp spi = e6b8742722ae1fe0:30dda586e4028468
12/08/03 13:09:07 ii : - data size 0
12/08/03 13:09:07 >> : hash payload
12/08/03 13:09:07 >> : notification payload
12/08/03 13:09:07 == : new informational hash ( 16 bytes )
12/08/03 13:09:07 == : new informational iv ( 8 bytes )
12/08/03 13:09:07 >= : cookies e6b8742722ae1fe0:30dda586e4028468
12/08/03 13:09:07 >= : message 19cc1b45
12/08/03 13:09:07 >= : encrypt iv ( 8 bytes )
12/08/03 13:09:07 == : encrypt packet ( 76 bytes )
12/08/03 13:09:07 == : stored iv ( 8 bytes )
12/08/03 13:09:07 -> : send NAT-T:IKE packet 192.168.200.103:4500 -> 90.153.4.64:4500 ( 108 bytes )
12/08/03 13:09:07 DB : phase2 not found
12/08/03 13:09:22 DB : phase1 found
12/08/03 13:09:22 ii : sending peer DPDV1-R-U-THERE notification
12/08/03 13:09:22 ii : - 192.168.200.103:4500 -> 90.153.4.64:4500
12/08/03 13:09:22 ii : - isakmp spi = e6b8742722ae1fe0:30dda586e4028468
12/08/03 13:09:22 ii : - data size 4
12/08/03 13:09:22 >> : hash payload
12/08/03 13:09:22 >> : notification payload
12/08/03 13:09:22 == : new informational hash ( 16 bytes )
12/08/03 13:09:22 == : new informational iv ( 8 bytes )
12/08/03 13:09:22 >= : cookies e6b8742722ae1fe0:30dda586e4028468
12/08/03 13:09:22 >= : message 91752034
12/08/03 13:09:22 >= : encrypt iv ( 8 bytes )
12/08/03 13:09:22 == : encrypt packet ( 80 bytes )
12/08/03 13:09:22 == : stored iv ( 8 bytes )
12/08/03 13:09:22 -> : send NAT-T:IKE packet 192.168.200.103:4500 -> 90.153.4.64:4500 ( 116 bytes )
12/08/03 13:09:22 ii : DPD ARE-YOU-THERE sequence 30b484cf requested
12/08/03 13:09:22 DB : phase1 found
12/08/03 13:09:22 -> : send NAT-T:KEEP-ALIVE packet 192.168.200.103:4500 -> 90.153.4.64:4500
12/08/03 13:09:22 <- : recv NAT-T:IKE packet 90.153.4.64:4500 -> 192.168.200.103:4500 ( 84 bytes )
12/08/03 13:09:22 DB : phase1 found
12/08/03 13:09:22 ii : processing informational packet ( 84 bytes )
12/08/03 13:09:22 == : new informational iv ( 8 bytes )
12/08/03 13:09:22 =< : cookies e6b8742722ae1fe0:30dda586e4028468
12/08/03 13:09:22 =< : message cc360244
12/08/03 13:09:22 =< : decrypt iv ( 8 bytes )
12/08/03 13:09:22 == : decrypt packet ( 84 bytes )
12/08/03 13:09:22 <= : trimmed packet padding ( 4 bytes )
12/08/03 13:09:22 <= : stored iv ( 8 bytes )
12/08/03 13:09:22 << : hash payload
12/08/03 13:09:22 << : notification payload
12/08/03 13:09:22 == : informational hash_i ( computed ) ( 16 bytes )
12/08/03 13:09:22 == : informational hash_c ( received ) ( 16 bytes )
12/08/03 13:09:22 ii : informational hash verified
12/08/03 13:09:22 ii : received peer DPDV1-R-U-THERE-ACK notification
12/08/03 13:09:22 ii : - 90.153.4.64:4500 -> 192.168.200.103:4500
12/08/03 13:09:22 ii : - isakmp spi = e6b8742722ae1fe0:30dda586e4028468
12/08/03 13:09:22 ii : - data size 4
12/08/03 13:09:22 ii : DPD ARE-YOU-THERE-ACK sequence 30b484cf accepted
12/08/03 13:09:22 ii : next tunnel DPD request in 15 secs for peer 90.153.4.64:4500
104286
104286 03.08.2012 um 18:19:46 Uhr
Goto Top
Was hast du jetzt im Router bei IPSec-Peers in "Routeneinträge" stehen?

Du hast übrigens nicht nur ein "bisschen" rumprobiert. Du hast es ja fast geschafft.
Warrior88
Warrior88 06.08.2012, aktualisiert am 28.08.2012 um 16:19:35 Uhr
Goto Top
Hallo,
so habe jetzt vom Router mal die Screenshots gemacht.

8118e3c4bdcdbc8d98abd758d703db8d

Gruß
Warrior88
Warrior88 21.08.2012 aktualisiert um 11:08:57 Uhr
Goto Top
Hallo zusammen,
hat noch jemand eine Idee woran es momentan scheitert. Verbindung wird als verbunden angezeigt, zumindest in der Übersicht am Bintec Router jedoch gibt es noch ein Problem mit Phase 2.

Danke im voraus.

Gruß
AndiEoh
AndiEoh 21.08.2012 um 11:20:35 Uhr
Goto Top
Hallo

folgende Tips:
- Im ShrewSoft Client unter Authentication->Local Identity den Identification Type auf "User Fully Qualified Domain Name" setzen wenn eine Mailadresse verwendet wird. Diese auch unter Peer-ID auf der BinTEC eintragen
- In Phase1 und Phase2 des ShrewSoft Client nur den DH und PFS Typ setzen, die Algorithm auf "Auto" (Gateway Vorschlag wird akzeptiert)
- Unter Policy das getunnelte Netz prüfen, muss mit der BinTEC Vorstellung überein stimmen

Viel Erfolg

Andi
Warrior88
Warrior88 21.08.2012 um 11:46:12 Uhr
Goto Top
danke, dies werde ich nochmal versuchen und würde mich dann melden.
Oezay
Oezay 17.09.2012 um 08:18:02 Uhr
Goto Top
morgen,


Bild 1: IP-Adressvergabe muss auf > Server im IKE-Konfigurationsmodus stehen
Bild 1: IP-Zuordnungspool muss Pool ausgewählt werden (dieser Punkt taucht erst auf nachdem auf IKE-Server gestellt.
Pool muss zuvor erstellt werden (Bild 1 oben rechts IP-Pools)
Bild 1: Lokale IP-Adresse ist = Interne IP des ROUTERS

in Screwsoft (Bild 11) muss an der Stelle wo jetzt deine E-Mailadresse steht die IP des Clients eingetragen werden
diese muss dem Eintrag in Bild 1 Peer-ID entsprechen. Falls der Client eine Dynamische IP hat dort einfach auf FQDN stellen und in Screwsoft auch und an beiden stellen den Identischen Wert eintragen (frei wählbar).

Sonnst alles o.k.

Gruß