[VPN] Cisco Concentrator LAN-to-LAN lukt niet - Netwerken

maandag 29 januari 2007 11:35

Acties:

Verwijderd

Topicstarter

Omdat ik er zelf niet meer uitkom toch maar besloten om te kijken of jullie toevallig een goed idee hebben.

Ik heb hier staan een Cisco VPN Concentrator 3000 Series welke nu gebruikt wordt door gebruikers om met de Cisco VPN Client heen te connecten. Dit gaat prima en niets op aan te merken. Nu heb ik echter voor een tijdelijk kantoor een LAN-to-LAN VPN tunnel nodig en vanwege de tijdelijke aard (binnen 3 maanden heb ik een robuuste oplossing) willen we eigenlijk geen geld instoppen.

Nu ben ik aan het proberen om een Linux distro (IPCop) of een eSoft Instagate een VPN verbinding te laten maken met de VPN Concentrator. De IPCop is een oude P4 en de software is gratis en de Instagates zijn vroeger hier gebruikt en heb ik er dus nog 3 van nutteloos in de kast staan.

Ik kom zover dat er een VPN verbinding opgebouwd wordt, maar de verbinding verbreekt na ongeveer 30 seconden (wisselt tussen 22 en 46 seconden) en uit de logs word ik niet veel wijzer. Concreet gezegd, ik snap het gewoon niet

Hierbij de log van de VPN Concentrator:

5736 01/29/2007 11:20:25.660 SEV=4 IKE/41 RPT=93 <REMOTE IP>
IKE Initiator: New Phase 1, Intf 2, IKE Peer <REMOTE IP>
local Proxy Address 10.50.0.0, remote Proxy Address 192.168.0.0,
SA (L2L: Test)

5738 01/29/2007 11:20:26.140 SEV=4 IKE/119 RPT=7322 <REMOTE IP>
Group [<REMOTE IP>]
PHASE 1 COMPLETED

5739 01/29/2007 11:20:26.140 SEV=4 AUTH/22 RPT=7240
User [<REMOTE IP>] Group [<REMOTE IP>] connected, Session Type: IPSec/LAN-to
-LAN

5741 01/29/2007 11:20:26.140 SEV=4 AUTH/84 RPT=228
LAN-to-LAN tunnel to headend device <REMOTE IP> connected

5742 01/29/2007 11:20:26.280 SEV=5 IKE/68 RPT=418 <REMOTE IP>
Group [<REMOTE IP>]
Received non-routine Notify message: Invalid ID info (18)

5744 01/29/2007 11:20:34.210 SEV=5 IKE/68 RPT=419 <REMOTE IP>
Group [<REMOTE IP>]
Received non-routine Notify message: Invalid message id (9)

5746 01/29/2007 11:20:42.200 SEV=5 IKE/68 RPT=420 <REMOTE IP>
Group [<REMOTE IP>]
Received non-routine Notify message: Invalid message id (9)

5748 01/29/2007 11:20:44.380 SEV=5 IKE/35 RPT=270 <REMOTE IP>
Group [<REMOTE IP>]
Received remote IP Proxy Subnet data in ID Payload:
Address 192.168.0.0, Mask 255.255.255.0, Protocol 0, Port 0

5751 01/29/2007 11:20:44.380 SEV=5 IKE/34 RPT=8016 <REMOTE IP>
Group [<REMOTE IP>]
Received local IP Proxy Subnet data in ID Payload:
Address 10.50.0.0, Mask 255.255.0.0, Protocol 0, Port 0

5754 01/29/2007 11:20:44.380 SEV=5 IKE/66 RPT=8003 <REMOTE IP>
Group [<REMOTE IP>]
IKE Remote Peer configured for SA: L2L: Test

5755 01/29/2007 11:20:44.520 SEV=5 IKE/68 RPT=421 <REMOTE IP>
Group [<REMOTE IP>]
Received non-routine Notify message: Invalid ID info (18)

5756 01/29/2007 11:20:50.210 SEV=5 IKE/68 RPT=422 <REMOTE IP>
Group [<REMOTE IP>]
Received non-routine Notify message: Invalid message id (9)

5758 01/29/2007 11:20:52.520 SEV=5 IKE/68 RPT=423 <REMOTE IP>
Group [<REMOTE IP>]
Received non-routine Notify message: Invalid ID info (18)

5759 01/29/2007 11:20:54.660 SEV=5 IKE/68 RPT=424 <REMOTE IP>
Group [<REMOTE IP>]
Received non-routine Notify message: Invalid ID info (18)

5760 01/29/2007 11:20:58.140 SEV=4 IKEDBG/97 RPT=318 <REMOTE IP>
Group [<REMOTE IP>]
QM FSM error (P2 struct &0xaaefc18, mess id 0xf508de2d)!

5761 01/29/2007 11:21:02.660 SEV=5 IKE/68 RPT=425 <REMOTE IP>
Group [<REMOTE IP>]
Received non-routine Notify message: Invalid ID info (18)

5762 01/29/2007 11:21:10.520 SEV=4 IKEDBG/97 RPT=319 <REMOTE IP>
Group [<REMOTE IP>]
QM FSM error (P2 struct &0xadb027c, mess id 0x530bcfc5)!

5763 01/29/2007 11:21:10.530 SEV=4 AUTH/23 RPT=230 <REMOTE IP>
User [<REMOTE IP>] Group [<REMOTE IP>] disconnected: duration: 0:00:44

5764 01/29/2007 11:21:10.530 SEV=4 AUTH/85 RPT=228
LAN-to-LAN tunnel to headend device <REMOTE IP> disconnected: duration: 0:00:44

Ik heb de instellingen als volgt staan:
VPN Concentrator
Authentication ESP/MD5/HMAC-128
Encryption 3DES-168
IKE Proposal IKE-3DES-MD5

IPCop
IKE Encryption: 3DES
IKE Integrity: MD5
IKE Grouptype: MODP-1024

ESP Encryption: 3DES
ESP Integrity: MD5
ESP Grouptype: MODP-1024

Mijn inziens klopt dit allemaal, maar aangezien er geen data door de tunnel gaat en de verbinding verbroken wordt doe ik toch iets fout helaas. Is er toevallig iemand met ervaring die me een duwtje kan geven in de goede richting?

P.S. Ik heb IP adressen even weggehaald natuurlijk

maandag 29 januari 2007 15:23

Acties:

Verwijderd

Heb je aan beide kanten van de tunnel aangegeven wat je interesting traffic is, zodat de IPCop en de VPN Concentrator weten welk verkeer ze moeten encrypten en door de tunnel moeten sturen...

maandag 29 januari 2007 15:57

Acties:

Verwijderd

Topicstarter

Nope, en volgens mij kan ik dat ook nergens aangeven. Mocht het wel zo zijn dan moet zowiezo alles door de tunnel heen

[Ff kijkt]
Nopes, kan niets vinden daarover in de IPCop. Wel zie ik dat de tunnel opgebouwd wordt (athans, geprobeerd) op het moment dat ik naar het andere subnet een ping of trace doe.

dinsdag 30 januari 2007 21:12

Acties:

Verwijderd

Topicstarter

Niemand verder met een idee?

woensdag 31 januari 2007 14:38

Acties:

Mikey!

Hier vind je zo goed als alle officiele informatie van Cisco wat betreft het installeren en configureren van de VPN 3000 series

woensdag 31 januari 2007 15:44

Acties:

Verwijderd

Topicstarter

Mikey! schreef op woensdag 31 januari 2007 @ 14:38:
Hier vind je zo goed als alle officiele informatie van Cisco wat betreft het installeren en configureren van de VPN 3000 series

Klopt, alleen hebben ze het daar maar over Cisco apparatuur. En die luxe heb ik even niet nu