Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 6038 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site2Site Astaro-> Lancom 1711

aberger
Hallo und guten Abend,
hoffe diese Anfrage liest noch jemand - bei der Hitze...

Auf unserer Seite ist eine ASG in Betrieb, auf der Gegenseite ist ein Lancom Router 1711.

Die Einstellungen auf der Gegenseite wurden mit dem Setupprogramm des Lancom erstellt. Die Konfigurationsdatei des Lancom Routers liegt vor, aus der man scheinbar die notwendigen Paramter entnehmen kann.

IKE: 
Gruppe 5: MODP 1536
WIZ-IKE.PRESH-KEY => WIZ-PSK-3DES-MD5 => 3 DES Encryption
MD5 Authentication

IPSEC:
Gruppe 5: MODP 1536
IPS-Verbindungsname => WIZ-TN-3DES-MD5-96 0> 3 DES Encryption
MD5 Authentication



Die Verbidnung wird jedoch von der Gegenseite immer rejected...

Hat jemand bereits eine Site2Site Verbindung aufbauen können und kann mit ein paar Tips weiterhelfen?

Gruß
  Andreas



This thread was automatically locked due to age.
  • 0
    Hallo gkemter,

    soweit so gut...
    Die Konfigurationsdatei vom Lancom Router sieht wie folgt aus:

    VPN Verbindungen - Verbindungsliste:
    ------------------------------------
    Name: VPNName - 9999 Sekunden - Extranet: 0.0.0.0 - Gateway: 0.0.0.0 - Parameter VPNName - Regel: automatisch
     
    Name: VpnName - dynamisch: nein - IKE-exchange: main mode, ike-config: aus - routing tag: 0

    Verbindungsparameter:
    ----------------------
    Bezeichnung: VpnName - PFS-gruppe: 5 (modp-1536) - ike-gruppe: 5 (modp-1536) - ike-proposals: wiz-ike-presh-key - ike-schlüssel: vpnname : ipsec-proposals: ips-vpnName

    ike-proposal-listen:
    ------------------
    wiz-ike-presh-key: proposal: wiz-psk-aes-md5, wiz-psk-aes-sha, wiz-psk-blow-md5, wiz-psk-blow-sha, wiz-psk-3des-md5

    vpn-ike-auth:
    -------------
    Bezeichnung: vpnname - preshared-key: ***xx - lokaler-id-typ: keine identität - entfernter typ: keine identität

    ipsec-proposal-listen:
    ---------------------
    Bezeichnung: ips-vpnname - Proposal: wiz-tn-aes-md5-96, wiz-tn-blw-sha-96, wiz-tn-blwsha-sha, wiz-tn-3ds-md5-96


    Wie komme ich aus dieser Übersicht zu der ASG Policy?

    Gruß
      Andreas
  • 0
    Hi,
    als Nachtag das Log der ASG.

    2010:07:02-08:01:58 remote pluto[7441]: Changing to directory '/etc/ipsec.d/aacerts' 
    2010:07:02-08:01:58 remote pluto[7441]: Changing to directory '/etc/ipsec.d/ocspcerts' 
    2010:07:02-08:01:58 remote pluto[7441]: Changing to directory '/etc/ipsec.d/crls' 
    2010:07:02-08:01:59 remote pluto[7441]: listening for IKE messages 
    2010:07:02-08:01:59 remote pluto[7441]: adding interface ipsec0/ppp0 yyy.yyy.yyy.yyy 
    2010:07:02-08:01:59 remote pluto[7441]: adding interface ipsec0/ppp0 yyy.yyy.yyy.yyy:4500 

    2010:07:02-08:01:59 remote pluto[7441]: loading secrets from "/etc/ipsec.secrets" 

    2010:07:02-08:01:59 remote pluto[7441]: loaded shared key for ***.***.***.***
    yyy.yyy.yyy.yyy 

    2010:07:02-08:01:59 remote pluto[7441]: added connection description "S_site2site_test"
     
    2010:07:02-08:01:59 remote pluto[7441]: "S_site2site_test" #1: initiating Main Mode 
    2010:07:02-08:01:59 remote pluto[7441]: "S_site2site_test" #1: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n] 
    2010:07:02-08:01:59 remote pluto[7441]: "S_site2site_test" #1: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03] 
    2010:07:02-08:01:59 remote pluto[7441]: "S_site2site_test" #1: received Vendor ID payload [RFC 3947] 
    2010:07:02-08:01:59 remote pluto[7441]: "S_site2site_test" #1: ignoring Vendor ID payload [eeefa37809e32ad4de4f6b010c26a640] 
    2010:07:02-08:01:59 remote pluto[7441]: "S_site2site_test" #1: received Vendor ID payload [Dead Peer Detection] 
    2010:07:02-08:01:59 remote pluto[7441]: "S_site2site_test" #1: enabling possible NAT-traversal with method 3 
    2010:07:02-08:01:59 remote pluto[7441]: "S_site2site_test" #1: NAT-Traversal: Result using RFC 3947: no NAT detected 
    2010:07:02-08:01:59 remote pluto[7441]: ERROR: asynchronous network error report on ppp0 for message to ***.***.***.*** port 500, complainant ***.***.***.***: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)] 
    2010:07:02-08:02:09 remote pluto[7441]: ERROR: asynchronous network error report on ppp0 for message to ***.***.***.*** port 500, complainant ***.***.***.***: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)] 
    2010:07:02-08:02:29 remote pluto[7441]: ERROR: asynchronous network error report on ppp0 for message to ***.***.***.*** port 500, complainant ***.***.***.***: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)] 
    2010:07:02-08:02:29 remote pluto[7441]: packet from ***.***.***.***:500: ignoring informational payload, type INVALID_COOKIE
  • 0 in reply to aberger
    Hallo Andreas,

    habe selbst keinen Lancom zur Hand wo ich das nachschauen könnte,
    aber die Einrichtung war nicht so schwer.

    Habe vor längeren Zeit paar Tunnel für einen Kunden eingerichtet, wo die Gegenseite (Lancom) von jemand anders betreut wurde.

    Dabei hat mein Gegenüber mir vorgelesen was sein Lancom grad an Einstellungen wissen wollte und ich habe ihm den passenden Wert aus meinen Screenshoot gesagt [:)]


    Gregor
  • 0
    Hallo,

    LANCOM benutzt bei seinem vom Wizard erstellten Verbindungen 

    wiz-ike-presh-key: proposal: wiz-....

    soweit ich weiss generell eine Lifetime von 108000 sec. Die beherrscht die Astaro nicht.
    Ich habe mir daher auf dem Lancom eigene Propsals angelegt. Das funktioniert dann mit beliebigen Liftime-Werten, max. jedoch 86400 sec.

    Ich setze auch voraus das du in der security die eingehende VPN-Verbindung von der LC-Gegenstelle freigeschaltet hast.

    Gruß
Unfiltered HTML