ToPetry 10 Geschrieben 8. November 2006 Melden Teilen Geschrieben 8. November 2006 Hallo, ich bin völlig Ratlos. Derzeit versuche ich einen LAN-to-LAN Tunnel zwischen einen unserer Firma und einem externen Dienstleister einzurichten und komme nicht weiter. Wir verwenden einen Cisco Concentrator 3005 mit Releasestand 4.1.7 und die Gegenstelle einen 1720er Router. Auf dem Router ist ein virtuelles Tunnel Interface (VTI) konfiguriert. Leider habe ich keinen Zugriff auf diesen Router und kenne auch nicht die vollständige Konfiguration. IKE Phase 1 wird erfolgreich abgeschlossen und ein Tunnel aufgebaut. Anschließend wird der Quick Mode gestartet aber Phase 2 nicht beendet. Es kommt kein IPsec Tunnel zustande und der in Phase 1 aufgebaute Tunnel wird immer exakt nach 32 Sekunden terminiert. Wir wissen wirklich nicht mehr weiter. Mein letzter Vorschlag wäre, den Encryption- und Hashalgorithmus, sowie die Diffie-Hellman Gruppe zu ändern Derzeit verwenden wir 3DES, MD5 und DH1. Kann mir von euch vielleicht jemand weiterhelfen? Anbei die Debugs: Debug Concentrator: 5 11/08/2006 11:24:14.500 SEV=4 IKE/41 RPT=2124 62.225.181.221 IKE Initiator: New Phase 1, Intf 2, IKE Peer 62.225.181.221 local Proxy Address 172.23.2.0, remote Proxy Address 194.127.163.0, SA (L2L: EDS) . . . 63 11/08/2006 11:24:15.110 SEV=9 IKEDBG/0 RPT=38684 62.225.181.221 Group [62.225.181.221] Oakley begin quick mode 65 11/08/2006 11:24:15.110 SEV=4 IKE/119 RPT=9106 62.225.181.221 Group [62.225.181.221] PHASE 1 COMPLETED 66 11/08/2006 11:24:15.110 SEV=6 IKE/121 RPT=354 62.225.181.221 Keep-alive type for this connection: IOS 67 11/08/2006 11:24:15.110 SEV=7 IKEDBG/82 RPT=354 62.225.181.221 Group [62.225.181.221] Starting phase 1 rekey timer: 21600000 (ms) 77 11/08/2006 11:24:15.120 SEV=8 IKEDBG/6 RPT=271 62.225.181.221 Group [62.225.181.221] IKE got SPI from key engine: SPI = 0x5e4df534 78 11/08/2006 11:24:15.120 SEV=9 IKEDBG/0 RPT=38686 62.225.181.221 Group [62.225.181.221] oakley constucting quick mode 79 11/08/2006 11:24:15.120 SEV=9 IKEDBG/0 RPT=38687 62.225.181.221 Group [62.225.181.221] constructing blank hash 80 11/08/2006 11:24:15.120 SEV=9 IKEDBG/0 RPT=38688 62.225.181.221 Group [62.225.181.221] constructing ISA_SA for ipsec . . . 148 11/08/2006 11:24:45.020 SEV=8 IKEDBG/81 RPT=51091 62.225.181.221 SENDING Message (msgid=57dd4e32) with payloads : HDR + HASH (8) + NOTIFY (11) total length : 76 160 11/08/2006 11:24:47.120 SEV=4 IKEDBG/97 RPT=7967 62.225.181.221 Group [62.225.181.221] QM FSM error (P2 struct &0x6715c4c, mess id 0x45444408)! 161 11/08/2006 11:24:47.120 SEV=7 IKEDBG/65 RPT=564 62.225.181.221 Group [62.225.181.221] IKE QM Initiator FSM error history (struct &0x6715c4c) <state>, <event>: QM_DONE, EV_ERROR QM_WAIT_MSG2, EV_TIMEOUT QM_WAIT_MSG2, NullEvent QM_SND_MSG1, EV_SND_MSG 167 11/08/2006 11:24:47.120 SEV=9 IKEDBG/0 RPT=38713 62.225.181.221 Group [62.225.181.221] constructing blank hash 169 11/08/2006 11:24:47.120 SEV=9 IKEDBG/0 RPT=38715 62.225.181.221 Group [62.225.181.221] constructing qm hash 170 11/08/2006 11:24:47.120 SEV=8 IKEDBG/81 RPT=51094 62.225.181.221 SENDING Message (msgid=cbb27569) with payloads : HDR + HASH (8) + DELETE (12) total length : 64 172 11/08/2006 11:24:47.120 SEV=7 IKEDBG/9 RPT=271 62.225.181.221 Group [62.225.181.221] IKE Deleting SA: Remote Proxy 194.127.163.0, Local Proxy 172.23.2.0 . .Verbindungsabbau . 191 11/08/2006 11:24:47.130 SEV=4 AUTH/23 RPT=8059 62.225.181.221 User [62.225.181.221] Group [62.225.181.221] disconnected: duration: 0:00:32 Zitieren Link zu diesem Kommentar
ToPetry 10 Geschrieben 8. November 2006 Autor Melden Teilen Geschrieben 8. November 2006 Debug Router . . IKE Phase 1 . 1d06h: ISAKMP (0:4): Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE Old State = UNKNOWN New State = IKE_P1_COMPLETE 1d06h: ISAKMP (0:4): beginning Quick Mode exchange, M-ID of 586036467 1d06h: ISAKMP (0:4): sending packet to 62.153.168.98 (I) QM_IDLE 1d06h: ISAKMP (0:4): Node 586036467, Input = IKE_MESG_INTERNAL, IKE_INIT_QM Old State = IKE_QM_READY New State = IKE_QM_I_QM1 1d06h: ISAKMP (0:4): Input = IKE_MESG_INTERNAL, IKE_PHASE1_COMPLETE Old State = IKE_P1_COMPLETE New State = IKE_P1_COMPLETE 1d06h: ISAKMP (0:4): received packet from 62.153.168.98 (I) QM_IDLE 1d06h: ISAKMP (0:4): processing HASH payload. message ID = 528605834 1d06h: ISAKMP:received payload type 15 1d06h: ISAKMP (0:4): processing DELETE_WITH_REASON payload, message ID = 528605834, reason: DELETE_BY_EXPIRED_LIFETIME 1d06h: ISAKMP (0:4): peer does not do paranoid keepalives. . . Verbindungsabbau . Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 8. November 2006 Melden Teilen Geschrieben 8. November 2006 Wie ist denn die lifetime von beiden? 86400? Ist auf der 1700er DPD konfiguriert? Zitieren Link zu diesem Kommentar
ToPetry 10 Geschrieben 8. November 2006 Autor Melden Teilen Geschrieben 8. November 2006 Die Data Lifetime ist: 28800 Die Time Lifetime ist: 86400 Angeblich hat die Gegenstelle auch diese Default-Werte eingestellt. Zitieren Link zu diesem Kommentar
ToPetry 10 Geschrieben 9. November 2006 Autor Melden Teilen Geschrieben 9. November 2006 @ Wordo Falls du mit DPD "Dead Peer Detection" meinst, ist dies laut Aussage des Adminis der Gegenstelle nicht konfiguriert. Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 9. November 2006 Melden Teilen Geschrieben 9. November 2006 Also ich habjetzt noch mal bisschen rumgeschaut, so wie ich das sehe muss es irgendwas mit den Timeouts sein. Eventuell hat sein/dein Release andere Defaultwerte? Setz doch mal bei auf 28800 (beide Werte auf beiden Kisten). Check nochmal die Transformsets, und die freigegebenen Netze. Hat der bei den ACL's nichts falsch gemacht? Subnetmask statt Wildcardmask? Ich wuerd immer wieder einen Wert tauschen und schauen ob sich an der Fehlermeldung was aendert um weiter eingerenzen zu koennen. Am Ende bleibt dann nur noch der Vorschlag auf die neuesten Versionen upzudaten :rolleyes: Zitieren Link zu diesem Kommentar
ToPetry 10 Geschrieben 9. November 2006 Autor Melden Teilen Geschrieben 9. November 2006 Die Transformsets stimmen. Wir haben eben auch noch mal eine neue IKE Policy angelegt (SHA/3DES/DH2), ohne Erfolg.Die Lifetimen haben wir schon zuvor abgeglichen. Desweiteren hat er mir versichert, dass die ACLs stimmen und er sie getestet hat. Nachdem was ich bisher gesehen habe, hab isch da allerdings erhebliche Zweifel :rolleyes:. Werde an dieser Stelle nochmal nachhaken. Wahrscheinlich werden wir das Problem nicht lösen können, da mein Gegenüber leider über wenig Zeit und Sachverstand verfügt und die bestehende Konfiguration eigentlich nicht anrühren will. Er hat Angst davor, bestehende Tunnel zu anderen Firmen negativ zu beeinflussen, was ihm nach eigener Aussage schon mehrfach gelungen ist. Es ist echt ein Elend, wenn man auf andere Leute angewiesen ist. Zu einem Router könne er eine L2L-Verbindung herstellen, hat er mir versichert. Nun, Router hab ich hier genug, aber leider keine öffentliche IP-Adresse mehr :(. Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 9. November 2006 Melden Teilen Geschrieben 9. November 2006 Dann lass doch den externen Dienstleister sich per PPTP auf dem Concentrator einwaehlen. Besser einer wie keiner :rolleyes: Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.