VPN Client - > Cisco 836

[Lamorte 10]

Hallo !

 

Sobald ich mit dem einem VPN Client auf meinen Cisco 836 verbinden will erhalte ich beim debug folgenden Fehler:

 

ISAKMP:(0:0:N/A:0):atts are not acceptable. Next payload is 3

ISAKMP:(0:0:N/A:0):Encryption algorithm offered does not match policy!

 

Hier ein auszug aus der VPN Konfig:

 

crypto isakmp policy 3

hash md5

authentication pre-share

group 2

!

crypto isakmp client configuration group cisco

key *******

dns 172.27.2.10 172.27.1.1

domain lamorte.at

pool green

!

crypto ipsec transform-set dessha esp-3des esp-md5-hmac

!

crypto dynamic-map mode 1

set transform-set dessha

!

crypto map mode client authentication list userlist

crypto map mode isakmp authorization list grouplist

crypto map mode client configuration address respond

crypto map mode 1 ipsec-isakmp dynamic mode

!

interface Dialer1

crypto map mode

 

Vielleicht hat jemand eine Idee

 

lg Klaus

[wciibb 10]

 

ISAKMP:(0:0:N/A:0):atts are not acceptable. Next payload is 3

ISAKMP:(0:0:N/A:0):Encryption algorithm offered does not match policy!

 

<snip>

crypto isakmp policy 3

hash md5

authentication pre-share

group 2

</snip>

 

 

Hallo Klaus,

 

die ISAKMP-Meldung "atts are not acceptable" bedeutet, daß sich die beiden nicht auf die richtigen Attribute für die Phase 1 Verschlüsselung/Authentifizierung einigen konnten.

 

Die nächste Meldung "Encryption algorithm offered does not match policy!" sagt dann das der vom Client angebotene Verschlüsselungsalgorithmus nicht den Policyeinstellungen Deines Routers entspricht.

 

Im Abschnitt "crypto isakmp policy 3" sind auf Deinem Router die entsprechenden Angaben definiert. Dort taucht allerdings kein Verschlüsselungsalgorithmus auf sondern nur der Authentifizierungs Hash MD5 und die Diffie-Hellman-Group 2!

 

Erweitere die Policy 3 mal um eines der beiden Verschlüsselungprotokolle DES oder 3DES, dann sollte, zumindest was die Phase 1 betrifft, die Kommunikation weitergehen.

 

Gruß

$

[Lamorte 10]

hab nun die befehle

encr des und encr 3des eingegeben,

 

danach crashed der router sofort

[wciibb 10]

Der Kommand für die Policy lautet:

 

encr 3des

 

oder

 

encr des

 

!

 

Gruß

$

[wciibb 10]

Welchen von beiden Kommands hast Du eingegeben?

 

Wann genau "crasht" der Router?

 

Kann das IOS des Routers 3DES, oder nur DES?

 

Gruß

$

[Lamorte 10]

hab jetzt nur encr 3des

 

nun kommt folgendes:

 

ADSL#debug crypto isakmp error

Crypto ISAKMP Error debugging is on

ADSL#

000229: Mar 25 12:43:01: ISAKMP:(0:0:N/A:0):Encryption algorithm offered does not match policy!

000230: Mar 25 12:43:01: ISAKMP:(0:0:N/A:0):atts are not acceptable. Next payload is 3

000231: Mar 25 12:43:01: ISAKMP:(0:0:N/A:0):Encryption algorithm offered does not match policy!

000232: Mar 25 12:43:01: ISAKMP:(0:0:N/A:0):atts are not acceptable. Next payload is 3

000233: Mar 25 12:43:01: ISAKMP:(0:0:N/A:0):Encryption algorithm offered does not match policy!

000234: Mar 25 12:43:01: ISAKMP:(0:0:N/A:0):atts are not acceptable. Next payload is 3

000235: Mar 25 12:43:01: ISAKMP:(0:0:N/A:0):Encryption algorithm offered does not match policy!

000236: Mar 25 12:43:01: ISAKMP:(0:0:N/A:0):atts are not acceptable. Next payload is 3

000237: Mar 25 12:43:01: ISAKMP:(0:0:N/A:0):Encryption algorithm offered does not match policy!

000238: Mar 25 12:43:01: ISAKMP:(0:0:N/A:0):atts are not acceptable. Next payload is 3

000239: Mar 25 12:43:01: ISAKMP:(0:0:N/A:0):Encryption algorithm offered does not match policy!

000240: Mar 25 12:43:01: ISAKMP:(0:0:N/A:0):atts are not acceptable. Next payload is 3

000241: Mar 25 12:43:01: ISAKMP:(0:0:N/A:0):Encryption algorithm offered does not match policy!

000242: Mar 25 12:43:01: ISAKMP:(0:0:N/A:0):atts are not acceptable. Next payload is 3

000243: Mar 25 12:43:01: ISAKMP:(0:0:N/A:0):Encryption algorithm offered does not match policy!

000244: Mar 25 12:43:01: ISAKMP:(0:0:N/A:0):atts are not acceptable. Next payload is 3

000245: Mar 25 12:43:01: ISAKMP:(0:0:N/A:0):Hash algorithm offered does not match policy!

000246: Mar 25 12:43:01: ISAKMP:(0:0:N/A:0):atts are not acceptable. Next payload is 3

 

----- > abfrage der benutzerdaten am vpn client:

 

 

danach crasht er wieder,

folgende ios lauft: c836-k9o3y6-mz.123-8.T7.bin

[wciibb 10]

Wie sieht denn jetzt die aktuelle Config aus?

 

Da sich die Kommunikationspartner scheinbar immer noch nicht auf die passenden Attribute einigen können könntest Du vielleicht mal mehrere Policies im Router konfigurieren.

 

Also zB. md5+des, md5+3des, sha+des, sha+3des und das Ganze noch mit unterschiedlichen DH Groups.

 

Wie ist denn der VPN-Client konfiguriert?

[Lamorte 10]

Aktuelle Config:

 

ADSL#sh run

Building configuration...

 

Current configuration : 5632 bytes

!

! No configuration change since last restart

!

version 12.3

no service pad

service timestamps debug datetime localtime

service timestamps log datetime localtime

service password-encryption

service sequence-numbers

!

hostname ADSL

!

boot-start-marker

boot-end-marker

!

memory-size iomem 5

logging buffered 100000 debugging

enable secret *****

!

username klausi password *****

username admin privilege 15 password 7 08744D4C581700

clock timezone MEZ 1

clock summer-time MEST recurring last Sun Mar 2:00 last Sun Oct 3:00

aaa new-model

!

!

aaa authentication login default line

aaa authentication login userlist local

aaa authorization network grouplist local

aaa session-id common

ip subnet-zero

!

!

ip telnet source-interface Ethernet0

ip name-server *****

ip name-server *****

ip cef

ip ips po max-events 100

ip reflexive-list timeout 180

no ftp-server write-enable

!

!

!

!

!

crypto isakmp policy 3

encr 3des

hash md5

authentication pre-share

group 2

!

crypto isakmp client configuration group cisco

key *****

dns 172.27.2.10 172.27.1.1

domain lamorte.at

pool green

!

crypto isakmp client configuration group default

key *****

dns 10.2.2.2 10.3.2.3

pool green

acl 199

!

!

crypto ipsec transform-set dessha esp-3des esp-md5-hmac

!

crypto dynamic-map mode 1

set transform-set dessha

!

!

crypto map mode client authentication list userlist

crypto map mode isakmp authorization list grouplist

crypto map mode client configuration address respond

crypto map mode 1 ipsec-isakmp dynamic mode

!

!

!

interface Ethernet0

ip address *****

ip accounting output-packets

crypto map mode

hold-queue 100 out

!

interface BRI0

no ip address

shutdown

!

interface ATM0

no ip address

load-interval 30

no atm ilmi-keepalive

dsl operating-mode auto

pvc 0/16 ilmi

!

!

interface ATM0.1 point-to-point

pvc 8/48

encapsulation aal5mux ppp dialer

dialer pool-member 1

!

!

interface Dialer1

ip address negotiated

no ip unreachables

ip accounting output-packets

encapsulation ppp

dialer pool 1

dialer-group 1

no cdp enable

ppp authentication chap callin

ppp chap hostname *****

ppp chap password *****

crypto map mode

!

ip local pool green 192.168.2.1 192.168.2.10

ip classless

ip route 0.0.0.0 0.0.0.0 Dialer1

no ip http server

no ip http secure-server

!

!

access-list 199 permit ip 192.168.2.0 0.0.0.255 any

access-list 199 permit ip 10.190.44.0 0.0.0.255 any

snmp-server community csty RO

snmp-server enable traps tty

!

control-plane

!

!

line con 0

password *****

no modem enable

line aux 0

line vty 0 4

password *****

!

scheduler max-task-time 5000

!

sntp server 131.130.1.11

end

 

ADSL#

[Lamorte 10]

Client:

 

Host = IP Adresse vom Dialer1

 

Group Authentication

Name: cisco

Password = Key

 

Ansonsten standard

[wciibb 10]

Kannst Du mal anstatt eines "debug crypto isakmp error" ein "debug crypto isakmp" machen?

 

Dann bekommen wir nicht "nur" die Fehler sondern auch den Rest der ISAKMP-Kommunikation!

[Lamorte 10]

das kann ich leider nicht alles posten ... zuviele zeichen

 

kann ichs dir mailen ?

oder vielleicht icq ?

 

lg

[wciibb 10]

Hi

 

das sieht doch schon besser aus!

 

000151: Mar 25 13:08:02: ISAKMP: encryption 3DES-CBC

000152: Mar 25 13:08:02: ISAKMP: hash MD5

000153: Mar 25 13:08:02: ISAKMP: default group 2

000154: Mar 25 13:08:02: ISAKMP: auth XAUTHInitPreShared

000155: Mar 25 13:08:02: ISAKMP: life type in seconds

000156: Mar 25 13:08:02: ISAKMP: life duration (VPI) of 0x0 0x20 0xC4 0x9B

000157: Mar 25 13:08:02: ISAKMP0:0:N/A:0):atts are acceptable. Next payload is 3

 

-> atts are acceptable heißt das sich die beiden auf jeweils passende Attribute einigen konnten.

 

 

000200: Mar 25 13:08:03: ISAKMP0:1:SW:1):Old State = IKE_P1_COMPLETE New State = IKE_XAUTH_REQ_SENT

 

-> Hier gibt er uns Nachricht, daß IKE-Phase 1 abgeschlossen ist und er nun die Benutzerauthenitfizierung XAUTH beginnt. Die Benutzerabfrage im VPN-Client.

 

 

000201: Mar 25 13:08:08: ISAKMP0:1:SW:1): retransmitting phase 2 CONF_XAUTH -455795250 ...

000202: Mar 25 13:08:08: ISAKMP0:1:SW:1):incrementing error counter on sa: retransmit phase 2

000203: Mar 25 13:08:08: ISAKMP0:1:SW:1):incrementing error counter on sa: retransmit phase 2

000204: Mar 25 13:08:08: ISAKMP0:1:SW:1): retransmitting phase 2 -455795250 CONF_XAUTH

000205: Mar 25 13:08:08: ISAKMP0:1:SW:1): sending packet to 212.152.242.200 my_port 4500 peer_port 4500 ® CONF_XAUTH

 

-> Hier taucht ein Fehler in Pahse 2 "IPSec" auf.

 

mach mal einen undeb crypto isakmp und stattdessen ein

debug crypto ipsec um das debugging der phase 2 zu bekommen.

 

Gruß

$

[Lamorte 10]

ADSL#

000436: Mar 25 14:44:27: IPSEC(key_engine): got a queue event with 1 kei messages

 

Dann kommt nach ca. 1min im client der fehler 412 Remote Peer is not longer responding