dardenne
Goto Top

Symantec VPN Client kann keine Verbindung zur SGS 320 herstellen

Hallo,

ich möchte mit Symantec Client VPN 8.0 eine Verbindung zur SGS 320 herstellen, jedoch gelingt mir das nur im LAN auf die interne IP Adresse der SGS 320. Wenn ich von extern zugreifen möchte kommen folgende Fehlermeldungen:

1/24/2007 10:50:50 AM emapi Connecting security gateway .....
1/24/2007 10:50:50 AM emapi Retrieving configuration for gateway .....
1/24/2007 10:51:32 AM Symantec Client VPN 610 CRITICAL: Communications with the ISAKMP daemon failed., Program Name=emapi
1/24/2007 10:51:32 AM emapi Error enabling tunnel. The server rejected the ISAKMP security association. Make sure the phase1 IDs, shared key, and IKE policy are correct. Please see logfile for details.
1/24/2007 10:51:32 AM emapi Error connecting tunnel to ...... The server rejected the ISAKMP security association. Make sure the phase1 IDs, shared key, and IKE policy are correct. Terminating connect operation.

Kann mir jemand helfen?

Content-ID: 49691

Url: https://administrator.de/forum/symantec-vpn-client-kann-keine-verbindung-zur-sgs-320-herstellen-49691.html

Ausgedruckt am: 23.12.2024 um 09:12 Uhr

aqui
aqui 24.01.2007 um 14:59:06 Uhr
Goto Top
Arbeitet der Client hinter einem NAT Router ???
Dann muss dieser ein IP Portforwarding für IKE (UDP 500) und das ESP Protokoll eingetragen haben sonst funktioniert das nicht !
Dardenne
Dardenne 24.01.2007 um 15:03:55 Uhr
Goto Top
Ja tut er und UDP 500 is als Ausnahme eingerichtet. Was muss ich dann noch für ESP eintragen?
aqui
aqui 24.01.2007 um 16:18:15 Uhr
Goto Top
IPsec ESP ist Protokoll Nummer 50 (Achtung nicht TCP 50 !). Das muss fürs Forwarding eingetragen sein, sonst klappt es nicht. Manche NAT Router machen das automatisch wenn sie UDP 500 eingetragen haben und die sog. VPN Passthrough Funktion supporten. Hat der Router das nicht wirds nichts mit dem VPN...
Ob es generell klappt kannst du z.B. mal testen wenn du dich über ein Modem analog oder ISDN bei einem freien Internet by Call Anbieter einwählst und mal die Verbindung testest.
Dadurch bist du sicher außerhalb des netzwerkes und ohne NAT...
Dardenne
Dardenne 24.01.2007 um 17:49:05 Uhr
Goto Top
Also ich kann Zuhause an meiner FRITZ!Box Fon WLAN 7170 nicht viel einstellen.

Habe folgende Portfreigabe aktiv und mehr Möglichkeiten zum einstellen hab ich da auch nicht:

Portfreigabe aktiv für Andere Anwendungen
Bezeichnung VPN
Protokoll UDP
von Port 500
an IP-Adresse 192.168.1.19 (PC mit Symantec VPN Client)
an Port 500

IP Protokoll kann ich da nicht auswählen. Müsste dann eigentlich ok sein, oder? Nen normales Modem hab ich leider nicht mehr.
aqui
aqui 24.01.2007 um 18:00:29 Uhr
Goto Top
Ja die FB macht m.E. automatisch ESP forwarding wenn UDP 500 freigeschaltet ist. Ggf. müsstest du das aber auf der AVM Seite nochmal überprüfen in den Features. Falls nicht hilft ggf. ein Upgrades auf die aktuellste Firmware.
IPsec kann aber auch statt ESP den AH Mode verwenden, das ist überhaupt nicht über NAT Router übertragbar schlägt also über NAT in jedem Falle fehl !
Also wenn es wider Erwarten nicht gehen sollte dann sicher an der Symantec HW und SW prüfen ob der ESP Modus verwendet wird !
Dardenne
Dardenne 24.01.2007 um 18:33:32 Uhr
Goto Top
Auf der AVM Seite find ich nichts dazu. Firmware ist die aktuellste. Auf der SGS 320 ist ESP aktiviert, außerdem wird DynDNS verwendet. Denke die Firewall des Gateways verursacht das Problem.

Hier nochmal das komplette Log des VPN Clients:

24.01.2007 17:13:13 logServiced 117 INFORMATION: Daemon wird gestartet, Programmname=logServiced, Vorgang=Initialisieren, Ressource=logservice, Status=Der Vorgang wurde erfolgreich beendet. , Status=Starten
24.01.2007 17:13:13 emroute 120 INFORMATION: 100 Info: Der Symantec Client VPN Routing Daemon wird gestartet., Programmname=emapi
24.01.2007 17:13:23 kernel 120 INFORMATION: AXTVPN, Version=40
24.01.2007 17:13:23 kernel 120 INFORMATION: Prozessor, Anzahl=2
24.01.2007 17:28:39 vpnd 117 INFORMATION: Daemon wird gestartet, Programmname=vpnd, Vorgang=Validieren, Status=Der Vorgang wurde erfolgreich beendet. , Status=OK
24.01.2007 17:28:39 vpnd 120 INFORMATION: Interne Version 1 des Symantec Client VPN, Programmname=vpnd, Vorgang=Validieren, Status=Der Vorgang wurde erfolgreich beendet. , Status=OK
24.01.2007 17:28:39 isakmpd 117 INFORMATION: Daemon wird gestartet, Programmname=isakmpd, Vorgang=Initialisieren, Ressource=isakmpd, Status=Der Vorgang wurde erfolgreich beendet. , Status=Starten
24.01.2007 17:28:39 isakmpd 120 INFORMATION: Nicht auf Symantec Client VPN warten, Programmname=isakmpd, Vorgang=Initialisieren, Status=Der Vorgang wurde erfolgreich beendet. , Status=Laden
24.01.2007 17:28:40 isakmpd 120 INFORMATION: Erneutes Laden des Tunnels mit 3 Sekunden Wartezeit, Verstoß-ID=Vorgang, Aktion=Akzeptiert, Programmname=isakmpd, Prozesskontext=vpnd, Vorgang=Initialisieren
24.01.2007 17:28:40 isakmpd 120 INFORMATION: Erneutes Laden des Tunnels mit 3 Sekunden Wartezeit, Verstoß-ID=Vorgang, Aktion=Akzeptiert, Programmname=isakmpd, Prozesskontext=Symantec Client VPN, Vorgang=Initialisieren
24.01.2007 17:28:40 isakmpd 120 INFORMATION: Entrust-Konfigurationsdatei wurde nicht gefunden; Standardkonfiguration wird verwendet, Programmname=isakmpd, Vorgang=Verbinden, Ressource=C:\Programme\Symantec\ClientVPN\entrust.cf, Status=Der Vorgang wurde erfolgreich beendet. , Status=Verbinden
24.01.2007 17:28:41 isakmpd 120 INFORMATION: Umschaltung zu Lite-Modus; Zugriff auf CA-Verzeichnis nicht möglich, Programmname=isakmpd, Vorgang=Verbinden, Status=Der Vorgang wurde erfolgreich beendet. , Status=Verbinden
24.01.2007 17:28:41 isakmpd 120 INFORMATION: Es wurde versucht, die Listenüberprüfung der Zertifikatsperre zu deaktivieren, Programmname=isakmpd, Vorgang=Verbinden, Status=Der Vorgang wurde erfolgreich beendet. , Status=Verbinden
24.01.2007 17:28:41 isakmpd 120 INFORMATION: Erfolgreiche Anmeldung bei ISAKMP-Engine mit einem Standardprofil, das keine Zertifikatsunterstützung bietet, Programmname=isakmpd, Vorgang=Verbinden, Status=Der Vorgang wurde erfolgreich beendet. , Status=Verbinden
24.01.2007 17:28:41 isakmpd 120 INFORMATION: ISAKMP-Tunnel werden neu konfiguriert, Programmname=isakmpd, Vorgang=Überwachung, Status=Der Vorgang wurde erfolgreich beendet. , Status=Wird ausgeführt
24.01.2007 17:28:41 Symantec Client VPN 120 INFORMATION: Vorgang fortsetzen., Programmname=emapi
24.01.2007 17:28:41 isakmpd 120 INFORMATION: Erneutes Laden des Tunnels mit 15 Sekunden Wartezeit, Programmname=isakmpd, Vorgang=Initialisieren, Ressource=Symantec Client VPN, Status=Der Vorgang wurde erfolgreich beendet. , Status=Laden
24.01.2007 17:28:41 emapi Sitzungsbenachrichtigung aktiviert.
24.01.2007 17:28:55 emapi Verbindung zu Sicherheits-Gateway (Edit: DynDNS Gateway) wird hergestellt
24.01.2007 17:28:55 isakmpd 301 WARNUNG: Suchen des Sicherheits-Gateways, bei dem IKE aktiviert ist, fehlgeschlagen, Programmname=isakmpd, Vorgang=Verbinden, Ressource=LSg_(Edit: DynDNS Gateway), Status=Fehlschlag, Status=Verbinden
24.01.2007 17:28:55 isakmpd 301 WARNUNG: Suchen des Sicherheits-Gateways, bei dem IKE aktiviert ist, fehlgeschlagen, Programmname=isakmpd, Vorgang=Verbinden, Ressource=RSg_(Edit: DynDNS Gateway), Status=Fehlschlag, Status=Verbinden
24.01.2007 17:28:55 Symantec Client VPN 610 KRITISCH: Die Kommunikation mit dem ISAKMP-Daemon ist fehlgeschlagen., Programmname=emapi
24.01.2007 17:28:55 emapi Abrufen der Konfiguration für Gateway (Edit: DynDNS Gateway)
24.01.2007 17:28:55 isakmpd 120 INFORMATION: ISAKMP-Tunnel werden neu konfiguriert, Programmname=isakmpd, Vorgang=Überwachung, Status=Der Vorgang wurde erfolgreich beendet. , Status=Wird ausgeführt
24.01.2007 17:30:17 isakmpd 343 WARNUNG: Grenze des Wiederholungszählers für das Remote-Sicherheits-Gateway erreicht, Programmname=isakmpd, Vorgang=Verbinden, Ressource=(Edit: DynDNS Gateway), Status=Fehlschlag, Status=Verbinden
24.01.2007 17:30:17 Symantec Client VPN 610 KRITISCH: Die Kommunikation mit dem ISAKMP-Daemon ist fehlgeschlagen., Programmname=emapi
24.01.2007 17:49:13 emapi Sitzungsbenachrichtigung deaktiviert.
24.01.2007 18:11:11 vpnd 120 INFORMATION: Einige Adapter-IP-Adressen wurden geändert; VPN-Dienste werden neu konfiguriert, Programmname=vpnd, Vorgang=Validieren, Status=Der Vorgang wurde erfolgreich beendet. , Status=OK
24.01.2007 18:11:11 isakmpd 120 INFORMATION: Zwei Sekunden auf Adapteränderungen warten, Programmname=isakmpd, Vorgang=Initialisieren, Status=Der Vorgang wurde erfolgreich beendet. , Status=Laden
24.01.2007 18:11:13 isakmpd 120 INFORMATION: Keine Adapteränderungen gefunden, Programmname=isakmpd, Vorgang=Initialisieren, Status=Der Vorgang wurde erfolgreich beendet. , Status=Laden
24.01.2007 18:16:44 isakmpd 120 INFORMATION: Entrust-Konfigurationsdatei wurde nicht gefunden; Standardkonfiguration wird verwendet, Programmname=isakmpd, Vorgang=Verbinden, Ressource=C:\Programme\Symantec\ClientVPN\entrust.cf, Status=Der Vorgang wurde erfolgreich beendet. , Status=Verbinden
24.01.2007 18:16:44 isakmpd 120 INFORMATION: Umschaltung zu Lite-Modus; Zugriff auf CA-Verzeichnis nicht möglich, Programmname=isakmpd, Vorgang=Verbinden, Status=Der Vorgang wurde erfolgreich beendet. , Status=Verbinden
24.01.2007 18:16:44 isakmpd 120 INFORMATION: Es wurde versucht, die Listenüberprüfung der Zertifikatsperre zu deaktivieren, Programmname=isakmpd, Vorgang=Verbinden, Status=Der Vorgang wurde erfolgreich beendet. , Status=Verbinden
24.01.2007 18:16:44 isakmpd 120 INFORMATION: Erfolgreiche Anmeldung bei ISAKMP-Engine mit einem Standardprofil, das keine Zertifikatsunterstützung bietet, Programmname=isakmpd, Vorgang=Verbinden, Status=Der Vorgang wurde erfolgreich beendet. , Status=Verbinden
24.01.2007 18:16:44 isakmpd 120 INFORMATION: ISAKMP-Tunnel werden neu konfiguriert, Programmname=isakmpd, Vorgang=Überwachung, Status=Der Vorgang wurde erfolgreich beendet. , Status=Wird ausgeführt
24.01.2007 18:16:44 Symantec Client VPN 120 INFORMATION: Vorgang fortsetzen., Programmname=emapi
24.01.2007 18:16:44 isakmpd 120 INFORMATION: Erneutes Laden des Tunnels mit 15 Sekunden Wartezeit, Programmname=isakmpd, Vorgang=Initialisieren, Ressource=Symantec Client VPN, Status=Der Vorgang wurde erfolgreich beendet. , Status=Laden
24.01.2007 18:16:45 emapi Sitzungsbenachrichtigung aktiviert.
24.01.2007 18:16:46 emapi Verbindung zu Sicherheits-Gateway (Edit: DynDNS Gateway) wird hergestellt
24.01.2007 18:16:46 isakmpd 301 WARNUNG: Suchen des Sicherheits-Gateways, bei dem IKE aktiviert ist, fehlgeschlagen, Programmname=isakmpd, Vorgang=Verbinden, Ressource=LSg_(Edit: DynDNS Gateway), Status=Fehlschlag, Status=Verbinden
24.01.2007 18:16:46 isakmpd 301 WARNUNG: Suchen des Sicherheits-Gateways, bei dem IKE aktiviert ist, fehlgeschlagen, Programmname=isakmpd, Vorgang=Verbinden, Ressource=RSg_(Edit: DynDNS Gateway), Status=Fehlschlag, Status=Verbinden
24.01.2007 18:16:46 emapi Abrufen der Konfiguration für Gateway (Edit: DynDNS Gateway)
24.01.2007 18:16:46 isakmpd 120 INFORMATION: ISAKMP-Tunnel werden neu konfiguriert, Programmname=isakmpd, Vorgang=Überwachung, Status=Der Vorgang wurde erfolgreich beendet. , Status=Wird ausgeführt
aqui
aqui 24.01.2007 um 20:27:09 Uhr
Goto Top
Das sieht so aus als ob du am SGS 320 auch Port forwarding für UDP 500 machst oder sowas. Das ist natürlich nicht richtig wenn der SGS selber der VPN Endpoint ist. Da solltest du nochmal die Konfig draufhin durchsehen. Er sucht ja scheinbar immer extern nach einem IKE Server und findet keinen wenn man die Fehlermeldung jetzt mal richtig interpretiert....
Dardenne
Dardenne 25.01.2007 um 09:20:17 Uhr
Goto Top
Nein, habe kein Port Forwarding in der Konfiguration, bin echt ratlos.