VPN --- Problem nach Softwareupdate :(

[Wolkenmann]

Hallo Leute.
Bis heute morgen hat meine VPN Verbindung in den Betrieb noch funktioniert.
Dann dachte ich mir: "mach mal ein Update der Einwahlsoftware" ( automatisiert )
Und danach geht nichts mehr.
Das Profil ist das Gleiche... ist ja nur ein Update der Software.

Der erste Handshake geht prima.
Aber ab IKE2 geht nichts mehr.
Mit folgenden Meldungen kann ich nichts mehr anfangen:

Hier mal aus dem Log des Routers.

[2010-04-03 11:35:13][==== IKE PHASE 1 ESTABLISHED====]
[2010-04-03 11:35:14][==== IKE PHASE 2(from 93.199.177.183) START (responder) ====]
[2010-04-03 11:35:14]**** RECEIVED FIRST MESSAGE OF QUICK MODE ****
[2010-04-03 11:35:14]<POLICY: extern> PAYLOADS: HASH,SA,PROP,TRANS,PROP,TRANS,PROP,TRANS,PROP,TRANS,PROP

Und das gleiche Log des VPN Einwahlsystems auf meinem Notebook.
.
.
.

03.04.2010 21:46:43SUCCESS: IKE phase 1 ready
03.04.2010 21:46:43IPSec: Phase1 is Ready - IkeIndex=19,AltRekey=0
03.04.2010 21:46:43IPSec: Quick Mode is Ready: IkeIndex = 00000013 , VpnSrcPort = 500
03.04.2010 21:46:43IPSec: Assigned IP Address: 10.0.0.10
03.04.2010 21:46:43IkeQuick: XMIT_MSG1_QUICK - CKV
03.04.2010 21:47:02IkeQuick: phase2:name(CKV) - error - retry timeout - max retries
03.04.2010 21:47:02ERROR - 4037: IKE(phase2):Waiting for message2, retry timeout - max retries - CKV.
03.04.2010 21:47:02IPSec: Disconnected from CKV on channel 1.

Wäre toll, wenn jemand helfen könnte.
Weiss gerade nicht weiter.
Herzliche Grüße

Wolkenmann

 

[Durfast von Mordrak]

Hm, das kann leider so ziemlich alles mögliche sein, aber irgendwie wollen beide Seiten nicht richtig miteinander reden.
Hilfreich wäre natürlich auch ein Log-File der Gegenseite.
Andere Möglichkeit: werden auf beiden Seiten zueinander passende Zertifikate verwendet?

MfG
DvM

 

[Wolkenmann]

Hi und guten Morgen.
Schön, wenn jemand versucht zu helfen.
Hier mal das komplette Logfile des NCP Programms.:

03.04.2010 21:46:34MONITOR: Installed - NCP Secure Entry Client 920 Build 33 (920)
03.04.2010 21:46:34MONITOR: Licensed - NCP Secure Entry Client 910
03.04.2010 21:46:39IPSec: Start building connection
03.04.2010 21:46:39Ike: Outgoing connect request AGGRESSIVE mode - gateway=80.153.62.58 : CKV
03.04.2010 21:46:39Ike: XMIT_MSG1_AGGRESSIVE - CKV
03.04.2010 21:46:42Ike: RECV_MSG2_AGGRESSIVE - CKV
03.04.2010 21:46:42IPSec: Final Tunnel EndPoint is:080.153.---.---- ( Einträge gelöscht: Wolkenmann )
03.04.2010 21:46:42Ike: IKE phase I: Setting LifeTime to 28800 seconds
03.04.2010 21:46:42Ike: IkeSa negotiated with the following properties -
03.04.2010 21:46:42 Authentication=PRE_SHARED_KEY,Encryption=DES3,Hash=SHA,DHGroup=2,KeyLen=0
03.04.2010 21:46:42Ike: CKV ->Support for NAT-T version - 1
03.04.2010 21:46:42Ike: Turning on NATD mode - CKV - 1
03.04.2010 21:46:43Ike: XMIT_MSG3_AGGRESSIVE - CKV
03.04.2010 21:46:43Ike: IkeSa negotiated with the following properties -
03.04.2010 21:46:43 Authentication=PRE_SHARED_KEY,Encryption=DES3,Hash=SHA,DHGroup=2,KeyLen=0
03.04.2010 21:46:43Ike: phase1:name(CKV) - connected
03.04.2010 21:46:43SUCCESS: IKE phase 1 ready
03.04.2010 21:46:43IPSec: Phase1 is Ready - IkeIndex=19,AltRekey=0
03.04.2010 21:46:43IPSec: Quick Mode is Ready: IkeIndex = 00000013 , VpnSrcPort = 500
03.04.2010 21:46:43IPSec: Assigned IP Address: 10.0.0.10
03.04.2010 21:46:43IkeQuick: XMIT_MSG1_QUICK - CKV
03.04.2010 21:47:02IkeQuick: phase2:name(CKV) - error - retry timeout - max retries
03.04.2010 21:47:02ERROR - 4037: IKE(phase2):Waiting for message2, retry timeout - max retries - CKV.
03.04.2010 21:47:02IPSec: Disconnected from CKV on channel 1.

und hier das passende Gegenlog vom Router:

[2010-04-03 13:02:14][==== IKE PHASE 1(from 93.199.177.183) START (responder) ====]
[2010-04-03 13:02:14]**** RECEIVED FIRST MESSAGE OF AGGR MODE ****
[2010-04-03 13:02:14]<POLICY: > PAYLOADS: SA,PROP,TRANS,KE,NONCE,ID,VID,VID,VID,VID,VID,VID,VID,VID,VID,VID
[2010-04-03 13:02:17]<POLICY: extern> PAYLOADS: SA,PROP,TRANS,KE,NONCE,ID,HASH,VID,NATD,NATD,NATD
[2010-04-03 13:02:17]**** SENT OUT SECOND MESSAGE OF AGGR MODE ****
[2010-04-03 13:02:17]**** RECEIVED THIRD MESSAGE OF AGGR MODE ****
[2010-04-03 13:02:17]<POLICY: extern> PAYLOADS: HASH,NATD,NATD,NOTIFY
[2010-04-03 13:02:17]**** AGGR MODE COMPLETED ****
[2010-04-03 13:02:17][==== IKE PHASE 1 ESTABLISHED====]
[2010-04-03 13:02:18][==== IKE PHASE 2(from 93.199.177.183) START (responder) ====]
[2010-04-03 13:02:18]**** RECEIVED FIRST MESSAGE OF QUICK MODE ****
[2010-04-03 13:02:18]<POLICY: extern> PAYLOADS: HASH,SA,PROP,TRANS,PROP,TRANS,PROP,TRANS,PROP,TRANS,PROP
[2010-04-03 13:02:22][==== IKE PHASE 2(from 93.199.177.183) START (responder) ====]
[2010-04-03 13:02:22]**** RECEIVED FIRST MESSAGE OF QUICK MODE ****
[2010-04-03 13:02:22]<POLICY: extern> PAYLOADS: HASH,SA,PROP,TRANS,PROP,TRANS,PROP,TRANS,PROP,TRANS,PROP
[2010-04-03 13:02:27][==== IKE PHASE 2(from 93.199.177.183) START (responder) ====]
[2010-04-03 13:02:27]**** RECEIVED FIRST MESSAGE OF QUICK MODE ****
[2010-04-03 13:02:27]<POLICY: extern> PAYLOADS: HASH,SA,PROP,TRANS,PROP,TRANS,PROP,TRANS,PROP,TRANS,PROP
[2010-04-03 13:02:32][==== IKE PHASE 2(from 93.199.177.183) START (responder) ====]
[2010-04-03 13:02:32]**** RECEIVED FIRST MESSAGE OF QUICK MODE ****
[2010-04-03 13:02:32]<POLICY: extern> PAYLOADS: HASH,SA,PROP,TRANS,PROP,TRANS,PROP,TRANS,PROP,TRANS,PROP
[2010-04-03 13:02:37]**** RECEIVED INFORMATIONAL EXCHANGE MESSAGE ****

Irgendwelche Ideen ??
Der shared-key ist identisch.
Die Angaben zu Verschlüsselung und co auch.
Was die Software plötzlich mit der payload will ist mir allerdings ein Rätsel.

Ich arbeite übrigens beidseitig ohne Zertifikate.
( schon alleine, weil ich keine Ahnung habe, wie man welche erstellt ! 🙁 )
Gruß
Wolkenmann

 

[Durfast von Mordrak]

Also was ich aus den Logs sehen kann ist dass er in Phase 2 vom IKE festhängt. Die erste Message sendet er (müsste der Client sein?) und erhält dann von der Gegenstelle aber keine Antwort. Soweit ich das sehen kann sendet die Gegenstelle aber, nur kommt nix an.

Meine Vermutung wäre jetzt dass es keine richtige Weiterleitung vom Router zum lokalen Client gibt, sprich man müsste die entsprechenden Protokolle im Port Forwarding eintragen, das müssten folgende sein:
UDP 500 (IKE)
UDP 4500 (NAT-T)
ESP (IP Protokoll Nummer 50)
Allerdings ist das auch nur zusammengesuchtes und nicht 100% sicheres Wissen weil ich grad keine Zeit hab mich durch die Spezifikationen von IKE zu suchen 🙄

Aber einfach mal ausprobieren, wenns nicht klappt können wir ja weitersuchen.

MfG
DvM

 

[Wolkenmann]

ein Freigeben von Port 500 verhindert anscheinend das Aufbauen einen Tunnels.
Sobald ich den an "Any" im WAN freigebe, komme ich nicht mal mehr zum Abgleich von IKE1

 

[Durfast von Mordrak]

Mmh, Port Forwarding ist ja nicht die Freigabe eines Ports, es sollen ja bestimmte Ports zu einer bestimmten Adresse umgeleitet werden.

Hast du eine feste lokale IP oder eine dynamische IP?

Andere Frage: was für einen Router hast du? Und was für eine Software / Firmware läuft darauf? Das macht die Konfiguration etwas einfacher wenn es daran liegen sollte.

Als Fehlerausschlussmöglichkeit: ist eine Direktverbindung zwischen Laptop <-> Internet möglich oder fungiert der Router auch gleichzeitig als DSL-Modem? Sonst könnte man mal schauen ob der Laptop sich direkt mit der Gegenstelle verbinden will oder nicht, wenn ers nicht will könnte man den Router als Fehlerquelle schonmal streichen.

MfG
DvM

 

[Wolkenmann]

Hallo DvM

Routerseitig verwende ich einen Netgear FVS318v3.
Notebook-seitig verwende ich die Software von NCP Secure Entry Client V 9.20 Build 33

Der Router im Betrieb besitzt eine feste IP.
Außerdem haben wir noch eine Dyndns für die Verbindung Router-Router mit der Zweigniederlassung in Kempten - aber die funktioniert bestens ( FVS318v3 zu FVS318v3 ) und soll daher nicht weiter interessieren.

Direktverbindung Notebook Internet steht - über dasselbe Notebook schreibe ich gerade den Text hier.
Der Router ist 6 km entfernt von hier.
Die Protokolle habe ich dir via Teamviewer geliefert ( der geht problemlos, ist aber eben kein vollwertiger Remote Zuriff 😉 )
Außerdem hat der Router eine separates DSL Modem.
Also das Internet selber läuft.

Ich schätze mal es hat etwas mit der Authentifizierung zu tun.
Aber ich habe Routerseitig bisher immer ohne Zertifikat gearbeitet und im Profil des NCP auch explizit angehakt, daß ich keines benutze. Routerseitig habe ich eh keines.
( Weiss nicht mal woher ich eines bekäme )

Gruß
Wolkenmann

 

[Wolkenmann]

PS...
Die Software kann kann man auch testseitig laden..
Kann dir gerne mal das Profil schicken 🙂
Teamviewer Zugang für meinen Rechner im Betrieb auch... ( ich weiss, das ist Gottvertrauen )

 

[Durfast von Mordrak]

Hm, ok, soweit ich das jetzt sehe schaut das ganze so aus:

Notebook <--Internet--> Router und dahinter Firmennetz mit VPN-Server

Ist der Router auch gleichzeitig der VPN-Server oder ist das eine separate Maschine?

Ich hab mal etwas im Netz geforscht und einen Eintrag im Netz gefunden wie ein erfolgreicher Aufbau in Phase 2 aussehen sollte in etwa:

30.01.2009 23:08:53 SUCCESS: IKE phase 1 ready
30.01.2009 23:08:53 IPSec: Phase1 is Ready - IkeIndex=7
30.01.2009 23:08:53 IPSec: Quick Mode is Ready: IkeIndex = 00000007 , VpnSrcPort = 500
30.01.2009 23:08:53 IPSec: Assigned IP Address: 10.0.0.3
30.01.2009 23:08:54 IkeQuick: XMIT_MSG1_QUICK - CKV
30.01.2009 23:08:56 IkeQuick: RECV_MSG2_QUICK - CKV
30.01.2009 23:08:56 IkeQuick: Turning on PFS mode(CKV) with group 2
30.01.2009 23:08:56 IkeQuick: XMIT_MSG3_QUICK - CKV
30.01.2009 23:08:56 IkeQuick: phase2:name(CKV) - connected
30.01.2009 23:08:56 SUCCESS: Ike phase 2 (quick mode) ready

Wie ich oben ja bereits gesagt hatte, sendet dein Client seine Nachricht raus, der Router bekommt sie auch aber es kommt keine Antwort zurück, das Problem liegt also anscheinend auf Firmenseite, sonst würde der Client ja eine RECV_MSG2_QUICK bekommen aber die kommt nicht.


MfG
DvM

 

[Wolkenmann]

Der Router ist die VPN Maschine.
Kein dediziertes System a la ICop.
Ganz simpel.

Ein SBS 2003 Server, ein Rechner mit WinconnectXP ( als Einwahlserver und Terminalserver-Ersatz ) im Netz und als Torwächter der kleine Metallkasten unser Router FVS318v3 mit VPN Einstellungen.

Zum Zurücksenden...
Genau das denke ich auch.
Ich habe nur nicht die geringste Ahnung, was die NCP Software seit Neuestem erwartet.
Beim Router kann man nicht sehr viel mehr einstellen als ein IKE Policy, eine VPN Policy und eventuelle Zertifikate.
Aber eben die habe ich beidseitig nicht.
Keine Ahnung, was die NCP Software sendet und zurückbestätigt haben will.

 

[Durfast von Mordrak]

Was für eine IKE-Policy und was für eine VPN-Policy hat der Router?

Und das Profil wär wahrscheinlich wirklich mal gut zu haben, ich hab mir den Client mal testweise runtergeladen und rumorakeln ohne direkte Draufsicht auf die Verbindung ist irgendwie grad nicht zielführend.

Grobe Vermutung ist immernoch ein Kommunikationsproblem, vielleicht hat das Update doch irgendwas im Profil auch verändert oder resettet und Server/Client können sich nicht auf etwas gemeinsames einigen und die Verbindung scheitert, wobei eigentlich selbst dann irgendwas vom Server zurückkommen sollte.
Andere Vermutung ist das evtl. was auf dem Server nicht ganz richtig läuft und der Fehler da liegt, ist halt die Frage ob das Problem nur bei deiner bestimmten externen Verbindung auftritt oder bei anderen Personen auch.

MfG
DvM

 

[Wolkenmann]

das Profil des IKE und der VPN-Policy würde ich am ehesten als Screenshot schicken.
Dazu bräuchte ich allerdings deine Mailadresse.
Das Profil des NCP kann ich dann mitsenden.

Gruß
Wolkenmann

 

[Wolkenmann]

Ich habe es gefunden.
Es handelt sich wohl um eine Verschlüsselungs-Unverträglichkeit.
Bei beiden Seiten ist eine Verschlüsselung "PFS Group" mit 1024 Bit eingetragen gewesen.
Offensichtlich scheint diese auf einer Seite fehlerhaft berechnet zu werden.
Die Verbindung kam sofort zustande nachdem ich die Verschlüsselung im Handshake ausgeschaltet hatte ( nicht die Verschlüsselung der Daten an sich )
Danach habe ich sie beidseitig auf 768 Bit gesetzt - hat auch geklappt.
Bei 1024 Bit jedoch... keine Chance.

Herzlichen Dank für das Einbringen des Hirnschmalzes.
Bin jetzt froh, dass es wieder läuft.
Ich hasse unlogische Dinge....🙂

Herzlichst
Wolkenmann

 

[Durfast von Mordrak]

Hm, bissl komisch, aber gut dass es wieder läuft.
Aber der Router scheint laut Handbuch wohl auch nicht unbedingt zu jedem VPN voll kompatibel zu sein. Ist halt irgendwie ärgerlich dass man dann auf solche Kleinigkeiten achten muss. 🙄

MfG
DvM

 

[Wolkenmann]

Wohl wahr... Umso mehr, als es ja vorher ebenfalls prima funktioniert hatte. Das sind so die Sachen, bei denen man manchmal vom Glauben abfallen kann. Das wichtigste jedoch ist, dass es wieder läuft und für den Tunnel zu unserer Filiale in Kempten tun es die kleinen Router prima. Letztlich geht es bei und um 6-10 Rechner 😉 Bin auf jeden Fall sehr froh und dankbar, dass sich hier ein anderer User wirklich eingelesen hat und mitgedacht hat. Da fühlt man sich mit seinen Problemen nicht ganz so alleine 😉

 

[Durfast von Mordrak]

Naja, einlesen ist nicht ganz richtig. Ich habs eher nochmal rekapituliert, sowas gehört ja mit in mein Informatikstudium. Außerdem finde ich es immer reizvoll etwas kniffligere Probleme anzugehen und zu lösen 😀

Aber es ist schon so dass man manchmal wirklich nicht versteht warum solche Probleme auftreten und dass dann die zweite Sicht eines Anderen helfen kann.

MfG
DvM