Lamorte 10 Geschrieben 28. September 2005 Melden Teilen Geschrieben 28. September 2005 Hallo ! Ich habe auf meinem Cisco 836 IPSec eingerichtet. Wenn ich mit dem Client verbinde wird Benutzername und Kennwort abgefragt, anschließend ist die Verbindung getrennt. Im Routerlog steht folgede Meldung: 005594: Sep 28 12:30:31: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Quick mode failed with peer at ***IP-Adresse des Rechner*** Vielleicht kann mir wer helfen. LG Lamorte Zitieren Link zu diesem Kommentar
Wurstbläser 10 Geschrieben 28. September 2005 Melden Teilen Geschrieben 28. September 2005 Ist das Easy-VPN? Ist der 836 der Client? so ins Blaue - könnte auch gut das falsche Passwort sein .. Gruss Robert PS: noch ne Idee: "show crypto isakmp policy" -> pre-shared keys gehen nur mit Diffie-Hellman Group 2 .. Zitieren Link zu diesem Kommentar
Lamorte 10 Geschrieben 28. September 2005 Autor Melden Teilen Geschrieben 28. September 2005 Anbei die aktuelle Konfig http://www.lamorte.at/config.txt Kennwörter stimmen alle der vpn client verbindet auf dei adresse die am dialer zugewiesen wird. LG Lamorte Zitieren Link zu diesem Kommentar
Lamorte 10 Geschrieben 28. September 2005 Autor Melden Teilen Geschrieben 28. September 2005 ADSL#sh crypto isakmp policy Global IKE policy Protection suite of priority 3 encryption algorithm: Three key triple DES hash algorithm: Message Digest 5 authentication method: Pre-Shared Key Diffie-Hellman group: #2 (1024 bit) lifetime: 86400 seconds, no volume limit Protection suite of priority 4 encryption algorithm: DES - Data Encryption Standard (56 bit keys). hash algorithm: Message Digest 5 authentication method: Rivest-Shamir-Adleman Signature Diffie-Hellman group: #1 (768 bit) lifetime: 86400 seconds, no volume limit Default protection suite encryption algorithm: DES - Data Encryption Standard (56 bit keys). hash algorithm: Secure Hash Standard authentication method: Rivest-Shamir-Adleman Signature Diffie-Hellman group: #1 (768 bit) lifetime: 86400 seconds, no volume limit Zitieren Link zu diesem Kommentar
Wurstbläser 10 Geschrieben 28. September 2005 Melden Teilen Geschrieben 28. September 2005 die ISAKMP policy Nr. 3 findet ein exaktes Gegenstück? Gibts mehr zu sehen mit "debug crypto isakmp"? Hat das schonmal funktioniert, ist das eine neue Konfiguration, können sich andere Geräte einwählen? Für was wird denn das Kennwort abgefragt? fürs VPN? Zitieren Link zu diesem Kommentar
Lamorte 10 Geschrieben 28. September 2005 Autor Melden Teilen Geschrieben 28. September 2005 wie kann ich sehen ob die policy ein gegenstück findent ? der debug ist unter http://www.lamorte.at/debug.txt geht leider nicht anders zum posten die konfig ist neu, hat noch nie funktioniert Zitieren Link zu diesem Kommentar
Wurstbläser 10 Geschrieben 28. September 2005 Melden Teilen Geschrieben 28. September 2005 Also aus Dein debug output scheint nicht ganz von Anfang an aufgezeichnet .. Es soll aber eine Standard Config IPsec Lan2Lan werden? ICh kann ja nur raten ohne Plan oder Konfig Folgendes ist bei Cisco dazu zu finden: Proxy Identities Not Supported This message appears in debugs if the access list for IPSec traffic does not match. 1d00h: IPSec(validate_transform_proposal): proxy identities not supported 1d00h: ISAKMP: IPSec policy invalidated proposal 1d00h: ISAKMP (0:2): SA not acceptable!The access lists on each peer needs to mirror each other (all entries need to be reversible). This example illustrates this point. Peer A access-list 150 permit ip 172.21.113.0 0.0.0.255 172.21.114.0 0.0.0.255 access-list 150 permit ip host 15.15.15.1 host 172.21.114.123 Peer B access-list 150 permit ip 172.21.114.0 0.0.0.255 172.21.113.0 0.0.0.255 access-list 150 permit ip host 172.21.114.123 host 15.15.15.1 ################################################### a) IKE policies müssen übereinstimmern show crypto isakmp policy (auf beiden Routern vergleichen) b) IPSec Transform-Set müssen übereinstimmen show crypto ipsec transform-set (auf beiden Routern) c) wie oben bei Cisco angedeutet: die Crypto ACLs "spiegeln" sich? in Deinem debug-output würde ich auf der Cisco website mit dieser Zeile weitersuchen " IPSec policy invalidated proposal" (Zeile 11) Gruss Robert Zitieren Link zu diesem Kommentar
Lamorte 10 Geschrieben 28. September 2005 Autor Melden Teilen Geschrieben 28. September 2005 ich mach ja die verbindung nicht zwischen 2 routern sonder zwischen router und notebook mit ciscovpn client Zitieren Link zu diesem Kommentar
Lamorte 10 Geschrieben 29. September 2005 Autor Melden Teilen Geschrieben 29. September 2005 Ich habs nun geschafft das der Tunnel aufgebaut wird, es können jedoch keine Daten übertragen werden. Wenn ich z.b. meinen Router auf den internen Adresse 192.168.1.254 anpingen will kommen die Pakete zwar dort an, werden aber nicht an den VPN Client 192.168.2.xxx zurückgeschickt. Auszüge aus meiner aktuelle Konfig: aaa authentication login VPN-Client local aaa authorization network VPN-Client local ! crypto isakmp policy 10 encr 3des authentication pre-share group 2 ! crypto isakmp client configuration group ***** key ***** dns 172.27.2.10 172.27.1.1 pool vpn ! ! crypto ipsec transform-set Strong esp-3des esp-sha-hmac ! crypto dynamic-map VPN-Client 10 set transform-set Strong ! ! ! crypto map VPN client authentication list VPN-Client crypto map VPN isakmp authorization list VPN-Client crypto map VPN client configuration address respond crypto map VPN 500 ipsec-isakmp dynamic VPN-Client ! interface Ethernet0 ip address 192.168.1.254 255.255.255.0 ip accounting output-packets ip nat inside ip virtual-reassembly hold-queue 100 out ! interface Dialer1 ip address negotiated ip access-group untrust in ip access-group trust out ip accounting output-packets ip nat outside ip virtual-reassembly encapsulation ppp dialer pool 1 dialer-group 1 no cdp enable ppp authentication chap callin ppp chap hostname ***** ppp chap password ***** crypto map VPN ! ip local pool vpn 192.168.2.1 192.168.2.254 ip classless ip route 0.0.0.0 0.0.0.0 Dialer1 no ip http server no ip http secure-server ip nat inside source list 111 interface Dialer1 overload ! ! ip access-list extended trust permit tcp any any reflect TCP-Traffic permit udp any any reflect UDP-Traffic permit icmp any any echo permit icmp any any echo-reply permit icmp any any unreachable permit icmp any any time-exceeded deny tcp any any log deny udp any any log deny ip any any ip access-list extended untrust evaluate TCP-Traffic evaluate UDP-Traffic permit icmp any any echo permit icmp any any echo-reply permit icmp any any unreachable permit icmp any any time-exceeded permit udp any any eq ntp permit tcp any eq ftp-data any permit tcp any any eq telnet permit udp any host >dialeradresse< eq isakmp permit esp any host >dialeradresse< permit udp any host >dialeradresse< eq non500-isakmp access-list 101 remark *** Used for Split Tunnel *** access-list 101 permit ip 192.168.1.0 0.0.0.255 any access-list 111 remark *** NAT *** access-list 111 deny ip 192.168.2.0 0.0.0.255 any access-list 111 permit ip 192.168.1.0 0.0.0.255 any ! Hat da jemand eine Idee ??? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.