akcent
Goto Top

Digibox und Shrew Client

Hi,

irgendwie bekomme ich zwischen der Digibox Smart und einen Notebook mit dem Shrew Client keinen VPN Tunnel hin.
Die Digibox hat schon 2 aktive Tunnel und hat über xxx.ddns.net einen DynDNS Adresse.

Ich haben heute ganz oft die Einstellungen P1 und P2 überprüft. Auch die ID's und Adressen.
Der Client gibt mir jedesmal diese Meldung

05-11-_2018_20-19-53

Die Meldung würde ich so deuten, daß der Client keine Verbindung zum Router aufbauen kann. Aber das geht auch nicht, wenn ich die temp. IP Adresse nehme.
Und da zwei Standorte einen VPN Tunnel haben, muß die Box ja erreichbar sein.

Hätte ggf. noch jemand eine Idee in den Ring zu werfen?

Gruß, Herry

Content-Key: 391740

Url: https://administrator.de/contentid/391740

Printed on: May 28, 2024 at 07:05 o'clock

Member: falscher-sperrstatus
falscher-sperrstatus Nov 05, 2018 at 19:37:29 (UTC)
Goto Top
Hallo,

die Antwort von Aqui vom letzten mal gilt immer noch.

VG
Member: Pjordorf
Pjordorf Nov 05, 2018 at 19:46:04 (UTC)
Goto Top
Hallo,

Zitat von @Akcent:
Hätte ggf. noch jemand eine Idee in den Ring zu werfen?
Mal geschaut? https://www.youtube.com/watch?v=83LcANmglnc
Digitalisierungsbox Premium VPN End-to-Site ShrewSoft Probleme

Gruß,
Peter
Member: aqui
Solution aqui Nov 05, 2018 at 19:47:24 (UTC)
Goto Top
mit dem Shrew Client keinen VPN Tunnel hin.
Hilfreich wäre hier zusätzlich das Log der DigiBox !

Die Fehlermeldung besagt das die SA Credentials nicht negotiated werden können. Vermutlich matchen die Crypto- und hash Verfahren nicht ??
Was ist den in der DigiBox eingestellt ? Normal ist sowas wie AES256 und SHA1. Billige Plaste Consumer Systeme wie die Digibox machen auch oftmals nur den alten Standard 3DES und SHA1.
Du tust also gut daran dem Shrew da ein paar mehr Kombinationen mit auf den Weg zu geben damit der das aushandeln kann. Außerdem müssen die Lifetimes übereinstimmen !
Du brauchst in jedem Fall auch das Log der Gegenstation um zu sehen was da schief läuft.
Das es fehlerfrei klappt siehst du hier:
https://www.youtube.com/watch?v=83LcANmglnc
https://www.andysblog.de/telekom-digitalisierungsbox-premium-und-vpn-fue ...
usw.
Member: Akcent
Akcent Nov 05, 2018 updated at 20:10:40 (UTC)
Goto Top
Danke für Deinen sachlichen und hilfreichen Input.

mit dem Shrew Client keinen VPN Tunnel hin.
Hilfreich wäre hier zusätzlich das Log der DigiBox !

So sieht das in der DigiBox aus

05-11-_2018_21-00-28

Die Fehlermeldung besagt das die SA Credentials nicht negotiated werden können. Vermutlich matchen die Crypto- und hash Verfahren nicht ??
Was ist den in der DigiBox eingestellt ? Normal ist sowas wie AES256 und SHA1. Billige Plaste Consumer Systeme wie die Digibox machen auch oftmals nur den alten Standard 3DES und SHA1.
Du tust also gut daran dem Shrew da ein paar mehr Kombinationen mit auf den Weg zu geben damit der das aushandeln kann. Außerdem müssen die Lifetimes übereinstimmen !

Die aktuelle Konfig (mit AES-128) sieht so aus

Phase 1
05-11-_2018_20-49-23

Phase 2
05-11-_2018_20-51-26

Sonstige Konfig:
05-11-_2018_20-53-41

Du brauchst in jedem Fall auch das Log der Gegenstation um zu sehen was da schief läuft.
Das es fehlerfrei klappt siehst du hier:
https://www.youtube.com/watch?v=83LcANmglnc
Gebnau danach bin ich vorgegangen

Prüfe ich gleich genauer

Test mit AES-256 und 3DES hat leider auch nicht funktioniert
Member: Akcent
Akcent Nov 06, 2018 at 07:42:04 (UTC)
Goto Top
Habe das nun mal mit diesen Parametern getestet und leider das gleiche Fehlerbild

- "General - Remote Host: <IP/DDNS>"
- "Name Resolution" - DNS und WINS deaktivieren
- "Authentication - Authentication Method: Mutual PSK"
- "Authentication - Local Identity: IPSec_Connection_1."
- "Authentication - Credentials - Pre Shared Key: <PSK>"
- "Phase 1 - Cipher Algorithm: aes, Cipher Key Lenght: 128 Bits, Hash Alogrithm: md5"
- "Phase 2 - Transform Algorithm: esp-aes, Transform Key Length: 128 Bits, HMAC Algorithm: md5, PFS Exchange: group 2


negotiation timout occurred
Member: aqui
aqui Nov 06, 2018 at 13:29:07 (UTC)
Goto Top
hase 1 - Cipher Algorithm: aes, Cipher Key Lenght: 128 Bits, Hash Alogrithm: md5"
Das ist falsch !!
Siehe YouTube Film auf 5:24 wo der Hash auf SHA1 eingestellt wird was auch eher üblich ist.
Solltes damit auch nicht klappen, dann musst du härteres Geschütz auffahren und mit dem Wireshark mal ins Eingemachte sehen...
Member: Akcent
Akcent Nov 06, 2018 at 15:31:46 (UTC)
Goto Top
bin den Assistenten in der Digibox nochmal neu durchgegenen.
Unter P1 stan da nur AES

Im Shrew Client habe ich AES-128 ausgewählt und damit ging es dann.
P2 hatte ich Key Life Time auf 3600 gesetzt

und damit konnte dann der Tunnel aufgebaut werden.
Member: aqui
aqui Nov 06, 2018 updated at 16:06:07 (UTC)
Goto Top
Tadaa ! Glückwunsch ! face-wink
Aber komisch: AES 128 hattest du doch eingestellt ??! Nur dein Hash Algorythmus war falsch, das ist SHA1 hattest du das korrigiert ? Wenn ja lags daran.
Aber wenns nun rennt alles gut.
Case closed.