user2017
Goto Top

LANCOM 1781VAW (over ISDN) and Shrew VPN Client - Fehler: negotiation timeout occurred?

Hallo Forum,

das ist sicherlich kein neues Thema, aber bisher konnte ich keine passende Lösung dazu finden, daher hier meine Bitte um Hilfe...

Ich möchte eine VPN-Verbindung mit einem Gateway von LANCOM 1781VAW einrichten. Als Client habe ich bereits den LANCOM Advanced VPN Client mit dem Wizard ausprobiert und bin gescheitert.

Jetzt teste ich den Shrew Client für Windows. Habe die Dokumentation von Shrew befolgt und komme nur bis zum Aufbau des Tunnels, danach bricht die Verbindung mit dieser Fehlermeldung ab "negotiation timout occurred".

Hier die einfachen Traces:
"..
attached to key daemon ...
peer configured
iskamp proposal configured
esp proposal configured
client configured
local id configured
pre-shared keys configured
bringing up tunnel...
negotiation timout occurred
tunnel disable
detached from key daemon"

Kann mir bitte jemand weiterhelfen?

Vielen Dank im Voraus....

Content-ID: 324322

Url: https://administrator.de/contentid/324322

Ausgedruckt am: 25.11.2024 um 00:11 Uhr

aqui
aqui 20.12.2016 aktualisiert um 13:35:21 Uhr
Goto Top
Ein paar zusätzliche Fragen:
  • Was sagt das Log auf dem Lancom ?
  • Ist der Lancom direkt am Internet oder ist ein anderer Router davor (NAT Kaskade) ?
  • Hast du im IPsec den "Agressive Mode" beidseitig aktiviert ?
  • Hast du NAT Traversal (UDP 4500) beidseitig aktiviert ?
  • Schlüssel Algorythmus (3DES, SHA / AES, SHE etc.) gleich im Lancom und Shrew ?

Da du ein "negotiation timout occurred" bekommst sieht es so aus als ob die IPsec Pakete gar nicht erst ankommen am Lancom und so der Tunnelaufbau schon von Grund auf scheitert.
Das sieht dann nach:
  • Routerkaskade mit NAT Router und fehlendem Port Forwarding von UDP 500, UDP 4500 und ESP Protokoll aus, oder..
  • Ggf. fehlenden Firewall Einstellungen auf dem Lancom die diese Ports an die WAN IP des Lancoms durchlassen
  • Angabe einer falschen Tunnel IP im Client oder FQDN Hostnamen.
Hast du das alles mal geprüft ?
Ein paar weitere Tips findest du hier:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
und auch hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Nichtsnutz
Nichtsnutz 20.12.2016 um 13:05:55 Uhr
Goto Top
Haut das nun hin?
Ich muss das auch wissen face-smile
honeybee
honeybee 20.12.2016 um 13:24:01 Uhr
Goto Top
Das Problem ist mir als langjähriger ShrewSoft-Benutzer bekannt und ich habe es auch behoben:

Ursachen:
  • Dienst festgefroren (Neustart der ShrewSoft-Dienste hatte oft das Problem behoben)
  • falsche Verschlüsselung (auf dem Router oder im VPN-Client)
USER2017
USER2017 20.12.2016 um 14:33:08 Uhr
Goto Top
Hallo Aqui,

hier meine Antworten auf Deine Fragen:

Was sagt das Log auf dem Lancom ?
-> Wo werden die Logs abgelegt?

Ist der Lancom direkt am Internet oder ist ein anderer Router davor (NAT Kaskade) ?
-> Direkt am Internet (DSL)

Hast du im IPsec den "Agressive Mode" beidseitig aktiviert ?
-> Ja.

Hast du NAT Traversal (UDP 4500) beidseitig aktiviert ?
-> Client: Manuel ausgeschaltet
-> Sever: Ich verwende keine Firewall. Wo kann ich das sonst überprüfen?

Schlüssel Algorythmus (3DES, SHA / AES, SHE etc.) gleich im Lancom und Shrew ?
-> Ja.

Grüße und Danke...
108012
108012 20.12.2016 um 16:12:59 Uhr
Goto Top
Hallo zusammen,

-> Direkt am Internet (DSL)
Wer ist denn der ISP? Unitymedia oder Kabel Deutschland BW?

Die Firewall des Klientrechners (Laptop, PC, usw....) ist auch meistens schuld an solchen Verbindungsaufbauproblemen.
Dort wo der ShrewSoftVPN Klient drauf installiert ist ist dort auch alles für eine VPN Verbindung freigegeben bzw. erlaubt?

Gruß
Dobby
USER2017
USER2017 20.12.2016 um 17:13:11 Uhr
Goto Top
Hallo Dobby,

der ISP ist die Telekom.

Habe die Firewall auf dem Client-Rechner ausgeschaltet, ohne Erfolg.

Ich vermute einen einfachen oder eher stupiden Einrichtungsfehler von mir.

Überall lese ich, dass es ohne Probleme klappt.

Ich habe die Installationsschritte wie von Shrew oder LANCOM vorgegeben umgesetzt, aber irgend etwas muss ich wohl übersehen haben. Bin noch nicht dahinter gekommen woran es liegt.

Mir wurde von der Telekom mitgeteilt, dass sich in den nächsten Tagen ein Support-Techniker von Lancom melden wir.

Mal sehen, ob ich es vorher hinkriege.

Grüße
aqui
aqui 20.12.2016 aktualisiert um 17:25:58 Uhr
Goto Top
Hast du NAT Traversal (UDP 4500) beidseitig aktiviert ?
-> Client: Manuel ausgeschaltet
Das ist vermutlich der Fehler !
NAT Traversel ist ein Feature im IPsec ! Es hat nichts mit der Firewall usw. zu tun. Du musst NAT Traversal sowohl in den IPsec Settings des Clients als auch des Servers aktivieren !

Wo sich das Log auf dem Lancom versteckt muss einer der Lancom Spezls hier sagen. Normal führen bessere Router ein Round Robin Log wo das zu sehen ist.
Mindestens sollte aber der Lancom einen Log Export mit Syslog supporten. Richte das sonst ein und schiebe die Log Messages parallel auf einen Syslog Server.
Da gibts für Winblows freie Tools:
http://www.kiwisyslog.com/free-edition.aspx
https://www.draytek.co.uk/support/downloads -->> Unter "Router Tools"
http://www.mikrotik.com/archive.php -->> "Syslog Daemon"
Unixoide OS haben sowas immer mit an Bord:
Netzwerk Management Server mit Raspberry Pi
Nichtsnutz
Nichtsnutz 20.12.2016 um 17:27:26 Uhr
Goto Top
Hallo User2017,
kannst Du mir mal das Howto schicken, nachdem Du vorgegangen bist?
Ich will morgen auch einen LC1781 mit Shrew verbinden und werde dann genau so vorgehen wie Du.
Je nachdem , ob es geht oder nicht können wir dann ja mal die Parameter vergleichen....
VG Jens
USER2017
USER2017 20.12.2016 um 18:00:53 Uhr
Goto Top
NoHopeNoFear
NoHopeNoFear 21.12.2016 aktualisiert um 13:36:13 Uhr
Goto Top
Du kannst über die Lancom eigene Trace Utility (oder über SSH/Telnet) überwachen was gerade passiert. Ich würde die Trace Utility empfehlen, weil übersichtlicher. Dazu Rechtsklick auf den Router im Lanconfig -> Trace starten. Dort dann VPN-Status auswählen und Verbindung vom Client aus aufbauen.

Im Log siehst du dann den kompletten Vorgang und auch wo das ganze hängen bleibt. "negotiation timout occurred" ist in etwa so aussagekräftig wie "Auto fährt net". Generell gilt bei VPN Problemen dass die Diagnose / Prüfung der Logfiles meist nur am annehmenden Ende der Verbindung aussagekräfte Infos liefert.

Wie Aqui schon geschrieben hat sollte NAT-T nicht deaktiviert werden (muss am Lancom mitunter manuell aktiviert werden). Die von dir gepostete Anleitung ist so meines Wissens nach auch nicht mehr 100%ig korrekt! Im Screenshot in dem die IKE Proposals zu sehen sind (AES, Blowfisch, 3DES etc.) muss bei neueren Firmware Versionen der Haken für HMAC-SHA1-96 (oder was er dir sonst anstatt SHA1-96 vorgibt) gesetzt sein da das MD5 Proposal (soweit ich weiß) nicht mehr in den default Settings enthalten ist.
Nichtsnutz
Nichtsnutz 25.12.2016 um 19:24:14 Uhr
Goto Top
Falls Dein Shrew immer noch nicht läuft, kannst Du mit "VPN Multiconnect" einen schnellen Neuanfang starten.
https://sourceforge.net/projects/fritzvslancom/
Du wählst dann als Profil "Lancom vs Shrew" und in wenigen Sekunden generiert es Dir alle CFG´s, die Du für den Client und den Router benötigst. Ich konnte damit sofort eine FB7390 mit einem LC1781 verbinden.
USER2017
USER2017 26.12.2016 um 19:38:43 Uhr
Goto Top
Hallo liebe Gemeinschaft,

vielen Dank für den Support.

Bei mir hat es endlich funktioniert.

Das Problem war vielseitig. Auf meiner Workstation hat der Shrew-Client erst nach der Deinstallation des Lancom-VPN Clients funktioniert.

Auf dem Notebook, war es ein Protokollproblem mit IKEv2 hat es nicht funktioniert.

Ich werde diesen "VPN Multiconnect" bei Gelegenheit ausprobieren.

Vielen Danke noch mal und frohe Feste!