LANCOM 1781VAW (over ISDN) and Shrew VPN Client - Fehler: negotiation timeout occurred?
Hallo Forum,
das ist sicherlich kein neues Thema, aber bisher konnte ich keine passende Lösung dazu finden, daher hier meine Bitte um Hilfe...
Ich möchte eine VPN-Verbindung mit einem Gateway von LANCOM 1781VAW einrichten. Als Client habe ich bereits den LANCOM Advanced VPN Client mit dem Wizard ausprobiert und bin gescheitert.
Jetzt teste ich den Shrew Client für Windows. Habe die Dokumentation von Shrew befolgt und komme nur bis zum Aufbau des Tunnels, danach bricht die Verbindung mit dieser Fehlermeldung ab "negotiation timout occurred".
Hier die einfachen Traces:
"..
attached to key daemon ...
peer configured
iskamp proposal configured
esp proposal configured
client configured
local id configured
pre-shared keys configured
bringing up tunnel...
negotiation timout occurred
tunnel disable
detached from key daemon"
Kann mir bitte jemand weiterhelfen?
Vielen Dank im Voraus....
das ist sicherlich kein neues Thema, aber bisher konnte ich keine passende Lösung dazu finden, daher hier meine Bitte um Hilfe...
Ich möchte eine VPN-Verbindung mit einem Gateway von LANCOM 1781VAW einrichten. Als Client habe ich bereits den LANCOM Advanced VPN Client mit dem Wizard ausprobiert und bin gescheitert.
Jetzt teste ich den Shrew Client für Windows. Habe die Dokumentation von Shrew befolgt und komme nur bis zum Aufbau des Tunnels, danach bricht die Verbindung mit dieser Fehlermeldung ab "negotiation timout occurred".
Hier die einfachen Traces:
"..
attached to key daemon ...
peer configured
iskamp proposal configured
esp proposal configured
client configured
local id configured
pre-shared keys configured
bringing up tunnel...
negotiation timout occurred
tunnel disable
detached from key daemon"
Kann mir bitte jemand weiterhelfen?
Vielen Dank im Voraus....
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 324322
Url: https://administrator.de/contentid/324322
Ausgedruckt am: 25.11.2024 um 00:11 Uhr
12 Kommentare
Neuester Kommentar
Ein paar zusätzliche Fragen:
Da du ein "negotiation timout occurred" bekommst sieht es so aus als ob die IPsec Pakete gar nicht erst ankommen am Lancom und so der Tunnelaufbau schon von Grund auf scheitert.
Das sieht dann nach:
Ein paar weitere Tips findest du hier:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
und auch hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
- Was sagt das Log auf dem Lancom ?
- Ist der Lancom direkt am Internet oder ist ein anderer Router davor (NAT Kaskade) ?
- Hast du im IPsec den "Agressive Mode" beidseitig aktiviert ?
- Hast du NAT Traversal (UDP 4500) beidseitig aktiviert ?
- Schlüssel Algorythmus (3DES, SHA / AES, SHE etc.) gleich im Lancom und Shrew ?
Da du ein "negotiation timout occurred" bekommst sieht es so aus als ob die IPsec Pakete gar nicht erst ankommen am Lancom und so der Tunnelaufbau schon von Grund auf scheitert.
Das sieht dann nach:
- Routerkaskade mit NAT Router und fehlendem Port Forwarding von UDP 500, UDP 4500 und ESP Protokoll aus, oder..
- Ggf. fehlenden Firewall Einstellungen auf dem Lancom die diese Ports an die WAN IP des Lancoms durchlassen
- Angabe einer falschen Tunnel IP im Client oder FQDN Hostnamen.
Ein paar weitere Tips findest du hier:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
und auch hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Hallo zusammen,
Die Firewall des Klientrechners (Laptop, PC, usw....) ist auch meistens schuld an solchen Verbindungsaufbauproblemen.
Dort wo der ShrewSoftVPN Klient drauf installiert ist ist dort auch alles für eine VPN Verbindung freigegeben bzw. erlaubt?
Gruß
Dobby
-> Direkt am Internet (DSL)
Wer ist denn der ISP? Unitymedia oder Kabel Deutschland BW?Die Firewall des Klientrechners (Laptop, PC, usw....) ist auch meistens schuld an solchen Verbindungsaufbauproblemen.
Dort wo der ShrewSoftVPN Klient drauf installiert ist ist dort auch alles für eine VPN Verbindung freigegeben bzw. erlaubt?
Gruß
Dobby
Hast du NAT Traversal (UDP 4500) beidseitig aktiviert ?
-> Client: Manuel ausgeschaltet
Das ist vermutlich der Fehler !-> Client: Manuel ausgeschaltet
NAT Traversel ist ein Feature im IPsec ! Es hat nichts mit der Firewall usw. zu tun. Du musst NAT Traversal sowohl in den IPsec Settings des Clients als auch des Servers aktivieren !
Wo sich das Log auf dem Lancom versteckt muss einer der Lancom Spezls hier sagen. Normal führen bessere Router ein Round Robin Log wo das zu sehen ist.
Mindestens sollte aber der Lancom einen Log Export mit Syslog supporten. Richte das sonst ein und schiebe die Log Messages parallel auf einen Syslog Server.
Da gibts für Winblows freie Tools:
http://www.kiwisyslog.com/free-edition.aspx
https://www.draytek.co.uk/support/downloads -->> Unter "Router Tools"
http://www.mikrotik.com/archive.php -->> "Syslog Daemon"
Unixoide OS haben sowas immer mit an Bord:
Netzwerk Management Server mit Raspberry Pi
Du kannst über die Lancom eigene Trace Utility (oder über SSH/Telnet) überwachen was gerade passiert. Ich würde die Trace Utility empfehlen, weil übersichtlicher. Dazu Rechtsklick auf den Router im Lanconfig -> Trace starten. Dort dann VPN-Status auswählen und Verbindung vom Client aus aufbauen.
Im Log siehst du dann den kompletten Vorgang und auch wo das ganze hängen bleibt. "negotiation timout occurred" ist in etwa so aussagekräftig wie "Auto fährt net". Generell gilt bei VPN Problemen dass die Diagnose / Prüfung der Logfiles meist nur am annehmenden Ende der Verbindung aussagekräfte Infos liefert.
Wie Aqui schon geschrieben hat sollte NAT-T nicht deaktiviert werden (muss am Lancom mitunter manuell aktiviert werden). Die von dir gepostete Anleitung ist so meines Wissens nach auch nicht mehr 100%ig korrekt! Im Screenshot in dem die IKE Proposals zu sehen sind (AES, Blowfisch, 3DES etc.) muss bei neueren Firmware Versionen der Haken für HMAC-SHA1-96 (oder was er dir sonst anstatt SHA1-96 vorgibt) gesetzt sein da das MD5 Proposal (soweit ich weiß) nicht mehr in den default Settings enthalten ist.
Im Log siehst du dann den kompletten Vorgang und auch wo das ganze hängen bleibt. "negotiation timout occurred" ist in etwa so aussagekräftig wie "Auto fährt net". Generell gilt bei VPN Problemen dass die Diagnose / Prüfung der Logfiles meist nur am annehmenden Ende der Verbindung aussagekräfte Infos liefert.
Wie Aqui schon geschrieben hat sollte NAT-T nicht deaktiviert werden (muss am Lancom mitunter manuell aktiviert werden). Die von dir gepostete Anleitung ist so meines Wissens nach auch nicht mehr 100%ig korrekt! Im Screenshot in dem die IKE Proposals zu sehen sind (AES, Blowfisch, 3DES etc.) muss bei neueren Firmware Versionen der Haken für HMAC-SHA1-96 (oder was er dir sonst anstatt SHA1-96 vorgibt) gesetzt sein da das MD5 Proposal (soweit ich weiß) nicht mehr in den default Settings enthalten ist.
Falls Dein Shrew immer noch nicht läuft, kannst Du mit "VPN Multiconnect" einen schnellen Neuanfang starten.
https://sourceforge.net/projects/fritzvslancom/
Du wählst dann als Profil "Lancom vs Shrew" und in wenigen Sekunden generiert es Dir alle CFG´s, die Du für den Client und den Router benötigst. Ich konnte damit sofort eine FB7390 mit einem LC1781 verbinden.
https://sourceforge.net/projects/fritzvslancom/
Du wählst dann als Profil "Lancom vs Shrew" und in wenigen Sekunden generiert es Dir alle CFG´s, die Du für den Client und den Router benötigst. Ich konnte damit sofort eine FB7390 mit einem LC1781 verbinden.