Fritzbox VPN und NetBIOS

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
A

andiling

IPPF-Promi
Mitglied seit
19 Jun 2013
Beiträge
5,975
Punkte für Reaktionen
2
Punkte
0
Hallo Allerseits,

es scheint so zu sein, als ob NetBIOS nicht durchkommt bzw. gefiltert wird. Gibt es eine Möglichkeit, dass das funktioniert? (In der Config ist dont_filter_netbios = yes; gesetzt)

Auch ist es wohl so, dass der DNS Server & Suffix wohl nicht an den Client gepusht werden und die Namensauflösung nicht funktioniert. Ein workaround ist, die Daten manuell beim Client einzutragen, das ist aber irgendwie suboptimal.

Vielen Dank für ein paar richtungsweisende Ideen! ;)

Gruss,

Andreas
 
Zuletzt bearbeitet:
Config?

Transport- oder Tunnel-Mode?

Bei Transport-Mode: Ist die FRITZ!Box Server oder Client? Ich würde ja auf Transport-Mode tippen, wenn Du von "Client" schreibst - wobei man ja auch den Initiator in einer LAN-LAN-Kopplung als Client ansehen könnte.

Wenn die FRITZ!Box der Client ist, wie sieht "use_cfgmode" bei ihr selbst aus? Das entscheidet (nach meinem Verständnis), ob die IP-Konfiguration für den Tunnel vom Server kommt (eigentlich, ob der Client DHCP verwendet - RFC 3456, merkt sich gut ;)), wobei dann auch der DNS gesetzt werden kann/könnte.

Ob die FRITZ!Box selbst über den Tunnel (wenn sie Server ist) überhaupt DHCP-Abfragen beantwortet (wenn der Client also seinerseits DHCP verwenden will, s.o.), weiß ich nicht, aber diese Frage sollte man mit einem Mitschnitt auf der "Routing-Schnittstelle" schnell beantworten können.

IKE-Log (beide Seiten) wäre nicht schlecht, klärt auch (zumindest teilweise) die o.a. Fragen und sogar die Angabe, was das für ein Client ist (vielleicht hat der ja einen eigenen NetBIOS-Filter?) wäre zumindest interessant, event. hilfreich.
 
Eine 7490 mit 06.24 ist Server, Client ist ShrewSoft auf Windows 7. Die Einrichtung erfolgte über das VPN Menü der Fritzbox, insoweit absoluter FB Standard.

Beides geht wohl out-of-the-box nicht?

Fritzbox Config:

Code: 
/*
 * VPN
 */

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "User";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.188.30;
                keepalive_ip = 0.0.0.0;
                remoteid {
                        key_id = "key";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "abc";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = yes;
                xauth {
                        valid = yes;
                        username = "xyz";
                        passwd = "1234";
                }
                use_cfgmode = yes;
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.188.30;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
                accesslist = 
                             "permit ip 192.168.188.0 255.255.255.0 192.168.188.30 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

// EOF

FB avmike log:

Code: 
VPN avmike
-------
-rw-r--r--    1 root     root          8364 Jun 26 16:34 /var/tmp/ike.log
-rw-r--r--    1 root     root         20612 Jun 26 16:05 /var/tmp/ike.old
2015-06-26 16:33:41 avmike:User
 fehlerhafte Paketlaenge: Hdr-length > read-Data
2015-06-26 16:33:41 avmike:FreeIPsecSA: spi=b1a5bced		protocol=3 iotype=2
2015-06-26 16:33:41 avmike:< cb_sa_deleted(name=User,id=6,what=2)
2015-06-26 16:33:41 avmike:User
 fehlerhafte Paketlaenge: Hdr-length > read-Data
2015-06-26 16:33:41 avmike:mainmode User: del SA 7
2015-06-26 16:33:41 avmike:wolke_del_neighbour_sa_by_remote: no SAs available, set canceld = TRUE
2015-06-26 16:33:41 avmike:< cb_sa_deleted(name=User,id=6,what=3)
2015-06-26 16:33:41 avmike:FreeIPsecSA: spi=65070965		protocol=3 iotype=1
2015-06-26 16:34:13 avmike:mainmode User: selected lifetime: 3600 sec(notify)
2015-06-26 16:34:13 avmike:User remote peer supported XAUTH
2015-06-26 16:34:13 avmike:User remote peer supported NAT-T RFC 3947
2015-06-26 16:34:13 avmike:User remote peer supported DPD
2015-06-26 16:34:13 avmike:mainmode User: add SA 8
2015-06-26 16:34:13 avmike:Phase1 Responder-Lifetime-Payload wird erstellt
2015-06-26 16:34:13 avmike:User: Phase 1 ready
2015-06-26 16:34:13 avmike:User: current=1.2.3.4 new=1.2.3.4
2015-06-26 16:34:13 avmike:User: sending initial contact message
2015-06-26 16:34:13 avmike:User: inital contact message received
2015-06-26 16:34:13 avmike:User: inital contact message ignored
2015-06-26 16:34:13 avmike:User
 fehlerhafte Paketlaenge: Hdr-length > read-Data
2015-06-26 16:34:13 avmike:User
 fehlerhafte Paketlaenge: Hdr-length > read-Data
2015-06-26 16:34:13 avmike:User: start waiting connections
2015-06-26 16:34:13 avmike:User: NO waiting connections
2015-06-26 16:34:32 avmike:User
 fehlerhafte Paketlaenge: Hdr-length > read-Data
2015-06-26 16:34:32 avmike:mainmode User: del SA 8
2015-06-26 16:34:32 avmike:wolke_del_neighbour_sa_by_remote: no SAs available, set canceld = TRUE
2015-06-26 16:34:32 avmike:mainmode User: selected lifetime: 3600 sec(notify)
2015-06-26 16:34:32 avmike:User remote peer supported XAUTH
2015-06-26 16:34:32 avmike:User remote peer supported NAT-T RFC 3947
2015-06-26 16:34:32 avmike:User remote peer supported DPD
2015-06-26 16:34:32 avmike:mainmode User: add SA 9
2015-06-26 16:34:32 avmike:Phase1 Responder-Lifetime-Payload wird erstellt
2015-06-26 16:34:32 avmike:User: Phase 1 ready
2015-06-26 16:34:32 avmike:User: current=1.2.3.4 new=1.2.3.4
2015-06-26 16:34:32 avmike:User: sending initial contact message
2015-06-26 16:34:32 avmike:User: inital contact message received
2015-06-26 16:34:32 avmike:User: inital contact message ignored
2015-06-26 16:34:32 avmike:User
 fehlerhafte Paketlaenge: Hdr-length > read-Data
2015-06-26 16:34:32 avmike:User
 fehlerhafte Paketlaenge: Hdr-length > read-Data
2015-06-26 16:34:32 avmike:User: start waiting connections
2015-06-26 16:34:32 avmike:User: NO waiting connections
2015-06-26 16:34:37 avmike:User: Phase 2 ready
2015-06-26 16:34:37 avmike:< cb_sa_created(name=User,id=7,...,flags=0x00002003)
2015-06-26 16:34:37 avmike:User: start waiting connections
2015-06-26 16:34:37 avmike:User: NO waiting connections

Client ike Log:

Code: 
15/06/26 16:33:53 ## : IKE Daemon, ver 2.2.2
15/06/26 16:33:53 ## : Copyright 2013 Shrew Soft Inc.
15/06/26 16:33:53 ## : This product linked OpenSSL 1.0.1c 10 May 2012
15/06/26 16:33:53 ii : opened 'C:\Program Files\ShrewSoft\VPN Client\debug\iked.log'
15/06/26 16:33:53 ii : rebuilding vnet device list ...
15/06/26 16:33:53 ii : device ROOT\VNET\0000 disabled
15/06/26 16:33:53 ii : network process thread begin ...
15/06/26 16:33:53 ii : ipc server process thread begin ...
15/06/26 16:33:53 ii : pfkey process thread begin ...
15/06/26 16:33:53 !! : unable to connect to pfkey interface
15/06/26 16:33:54 !! : unable to connect to pfkey interface
15/06/26 16:33:55 !! : unable to connect to pfkey interface
15/06/26 16:33:56 !! : unable to connect to pfkey interface
15/06/26 16:33:57 !! : unable to connect to pfkey interface
15/06/26 16:33:58 !! : unable to connect to pfkey interface
15/06/26 16:33:59 !! : unable to connect to pfkey interface
15/06/26 16:34:00 !! : unable to connect to pfkey interface
15/06/26 16:34:01 !! : unable to connect to pfkey interface
15/06/26 16:34:02 !! : unable to connect to pfkey interface
15/06/26 16:34:03 !! : unable to connect to pfkey interface
15/06/26 16:34:13 ii : ipc client process thread begin ...
15/06/26 16:34:13 <A : peer config add message
15/06/26 16:34:13 <A : proposal config message
15/06/26 16:34:13 <A : proposal config message
15/06/26 16:34:13 <A : client config message
15/06/26 16:34:13 <A : xauth username message
15/06/26 16:34:13 <A : xauth password message
15/06/26 16:34:13 <A : local id 'user.PSK' message
15/06/26 16:34:13 <A : preshared key message
15/06/26 16:34:13 <A : remote resource message
15/06/26 16:34:13 <A : peer tunnel enable message
15/06/26 16:34:13 DB : peer added ( obj count = 1 )
15/06/26 16:34:13 ii : local address 1.2.3.4 selected for peer
15/06/26 16:34:13 DB : tunnel added ( obj count = 1 )
15/06/26 16:34:13 DB : new phase1 ( ISAKMP initiator )
15/06/26 16:34:13 DB : exchange type is aggressive
15/06/26 16:34:13 DB : 1.2.3.4:500 <-> 5.6.7.8:500
15/06/26 16:34:13 DB : 0a02a18e9a9f0ba9:0000000000000000
15/06/26 16:34:13 DB : phase1 added ( obj count = 1 )
15/06/26 16:34:13 >> : security association payload
15/06/26 16:34:13 >> : - proposal #1 payload 
15/06/26 16:34:13 >> : -- transform #1 payload 
15/06/26 16:34:13 >> : -- transform #2 payload 
15/06/26 16:34:13 >> : -- transform #3 payload 
15/06/26 16:34:13 >> : -- transform #4 payload 
15/06/26 16:34:13 >> : -- transform #5 payload 
15/06/26 16:34:13 >> : -- transform #6 payload 
15/06/26 16:34:13 >> : -- transform #7 payload 
15/06/26 16:34:13 >> : -- transform #8 payload 
15/06/26 16:34:13 >> : -- transform #9 payload 
15/06/26 16:34:13 >> : -- transform #10 payload 
15/06/26 16:34:13 >> : -- transform #11 payload 
15/06/26 16:34:13 >> : -- transform #12 payload 
15/06/26 16:34:13 >> : -- transform #13 payload 
15/06/26 16:34:13 >> : -- transform #14 payload 
15/06/26 16:34:13 >> : -- transform #15 payload 
15/06/26 16:34:13 >> : -- transform #16 payload 
15/06/26 16:34:13 >> : -- transform #17 payload 
15/06/26 16:34:13 >> : -- transform #18 payload 
15/06/26 16:34:13 >> : key exchange payload
15/06/26 16:34:13 >> : nonce payload
15/06/26 16:34:13 >> : identification payload
15/06/26 16:34:13 >> : vendor id payload
15/06/26 16:34:13 ii : local supports XAUTH
15/06/26 16:34:13 >> : vendor id payload
15/06/26 16:34:13 ii : local supports nat-t ( draft v00 )
15/06/26 16:34:13 >> : vendor id payload
15/06/26 16:34:13 ii : local supports nat-t ( draft v01 )
15/06/26 16:34:13 >> : vendor id payload
15/06/26 16:34:13 ii : local supports nat-t ( draft v02 )
15/06/26 16:34:13 >> : vendor id payload
15/06/26 16:34:13 ii : local supports nat-t ( draft v03 )
15/06/26 16:34:13 >> : vendor id payload
15/06/26 16:34:13 ii : local supports nat-t ( rfc )
15/06/26 16:34:13 >> : vendor id payload
15/06/26 16:34:13 ii : local supports FRAGMENTATION
15/06/26 16:34:13 >> : vendor id payload
15/06/26 16:34:13 >> : vendor id payload
15/06/26 16:34:13 ii : local supports DPDv1
15/06/26 16:34:13 >> : vendor id payload
15/06/26 16:34:13 ii : local is SHREW SOFT compatible
15/06/26 16:34:13 >> : vendor id payload
15/06/26 16:34:13 ii : local is NETSCREEN compatible
15/06/26 16:34:13 >> : vendor id payload
15/06/26 16:34:13 ii : local is SIDEWINDER compatible
15/06/26 16:34:13 >> : vendor id payload
15/06/26 16:34:13 ii : local is CISCO UNITY compatible
15/06/26 16:34:13 >= : cookies 0a02a18e9a9f0ba9:0000000000000000
15/06/26 16:34:13 >= : message 00000000
15/06/26 16:34:13 -> : send IKE packet 1.2.3.4:500 -> 5.6.7.8:500 ( 1209 bytes )
15/06/26 16:34:13 DB : phase1 resend event scheduled ( ref count = 2 )
15/06/26 16:34:13 <- : recv IKE packet 5.6.7.8:500 -> 1.2.3.4:500 ( 452 bytes )
15/06/26 16:34:13 DB : phase1 found
15/06/26 16:34:13 ii : processing phase1 packet ( 452 bytes )
15/06/26 16:34:13 =< : cookies 0a02a18e9a9f0ba9:0775ca9f400de6ca
15/06/26 16:34:13 =< : message 00000000
15/06/26 16:34:13 << : security association payload
15/06/26 16:34:13 << : - propsal #1 payload 
15/06/26 16:34:13 << : -- transform #1 payload 
15/06/26 16:34:13 ii : unmatched isakmp proposal/transform
15/06/26 16:34:13 ii : hash type ( hmac-sha1 != hmac-md5 )
15/06/26 16:34:13 !! : peer violates RFC, transform number mismatch ( 1 != 2 )
15/06/26 16:34:13 ii : matched isakmp proposal #1 transform #1
15/06/26 16:34:13 ii : - transform    = ike
15/06/26 16:34:13 ii : - cipher type  = aes
15/06/26 16:34:13 ii : - key length   = 256 bits
15/06/26 16:34:13 ii : - hash type    = sha1
15/06/26 16:34:13 ii : - dh group     = group2 ( modp-1024 )
15/06/26 16:34:13 ii : - auth type    = xauth-initiator-psk
15/06/26 16:34:13 ii : - life seconds = 86400
15/06/26 16:34:13 ii : - life kbytes  = 0
15/06/26 16:34:13 << : key exchange payload
15/06/26 16:34:13 << : nonce payload
15/06/26 16:34:13 << : identification payload
15/06/26 16:34:13 ii : phase1 id match ( natt prevents ip match )
15/06/26 16:34:13 ii : received = ipv4-host 5.6.7.8
15/06/26 16:34:13 << : hash payload
15/06/26 16:34:13 << : notification payload
15/06/26 16:34:13 << : vendor id payload
15/06/26 16:34:13 ii : peer supports XAUTH
15/06/26 16:34:13 << : vendor id payload
15/06/26 16:34:13 ii : peer supports DPDv1
15/06/26 16:34:13 << : vendor id payload
15/06/26 16:34:13 ii : peer supports nat-t ( rfc )
15/06/26 16:34:13 << : vendor id payload
15/06/26 16:34:13 ii : peer supports nat-t ( draft v03 )
15/06/26 16:34:13 << : vendor id payload
15/06/26 16:34:13 ii : unknown vendor id ( 16 bytes )
15/06/26 16:34:13 0x : a2226fc3 64500f56 34ff77db 3b74f41b
15/06/26 16:34:13 << : nat discovery payload
15/06/26 16:34:13 << : nat discovery payload
15/06/26 16:34:13 ii : disabled nat-t ( no nat detected )
15/06/26 16:34:13 == : DH shared secret ( 128 bytes )
15/06/26 16:34:13 == : SETKEYID ( 20 bytes )
15/06/26 16:34:13 == : SETKEYID_d ( 20 bytes )
15/06/26 16:34:13 == : SETKEYID_a ( 20 bytes )
15/06/26 16:34:13 == : SETKEYID_e ( 20 bytes )
15/06/26 16:34:13 == : cipher key ( 32 bytes )
15/06/26 16:34:13 == : cipher iv ( 16 bytes )
15/06/26 16:34:13 == : phase1 hash_i ( computed ) ( 20 bytes )
15/06/26 16:34:13 >> : hash payload
15/06/26 16:34:13 >> : nat discovery payload
15/06/26 16:34:13 >> : nat discovery payload
15/06/26 16:34:13 >= : cookies 0a02a18e9a9f0ba9:0775ca9f400de6ca
15/06/26 16:34:13 >= : message 00000000
15/06/26 16:34:13 >= : encrypt iv ( 16 bytes )
15/06/26 16:34:13 == : encrypt packet ( 100 bytes )
15/06/26 16:34:13 == : stored iv ( 16 bytes )
15/06/26 16:34:13 DB : phase1 resend event canceled ( ref count = 1 )
15/06/26 16:34:13 -> : send IKE packet 1.2.3.4:500 -> 5.6.7.8:500 ( 136 bytes )
15/06/26 16:34:13 == : phase1 hash_r ( computed ) ( 20 bytes )
15/06/26 16:34:13 == : phase1 hash_r ( received ) ( 20 bytes )
15/06/26 16:34:13 ii : phase1 sa established
15/06/26 16:34:13 ii : 5.6.7.8:500 <-> 1.2.3.4:500
15/06/26 16:34:13 ii : a02a18e9a9f0ba9:775ca9f400de6ca
15/06/26 16:34:13 ii : sending peer INITIAL-CONTACT notification
15/06/26 16:34:13 ii : - 1.2.3.4:500 -> 5.6.7.8:500
15/06/26 16:34:13 ii : - isakmp spi = 0a02a18e9a9f0ba9:0775ca9f400de6ca
15/06/26 16:34:13 ii : - data size 0
15/06/26 16:34:13 >> : hash payload
15/06/26 16:34:13 >> : notification payload
15/06/26 16:34:13 == : new informational hash ( 20 bytes )
15/06/26 16:34:13 == : new informational iv ( 16 bytes )
15/06/26 16:34:13 >= : cookies 0a02a18e9a9f0ba9:0775ca9f400de6ca
15/06/26 16:34:13 >= : message 09b6d2b1
15/06/26 16:34:13 >= : encrypt iv ( 16 bytes )
15/06/26 16:34:13 == : encrypt packet ( 80 bytes )
15/06/26 16:34:13 == : stored iv ( 16 bytes )
15/06/26 16:34:13 -> : send IKE packet 1.2.3.4:500 -> 5.6.7.8:500 ( 120 bytes )
15/06/26 16:34:13 DB : phase2 not found
15/06/26 16:34:13 <- : recv IKE packet 5.6.7.8:500 -> 1.2.3.4:500 ( 92 bytes )
15/06/26 16:34:13 DB : phase1 found
15/06/26 16:34:13 ii : processing informational packet ( 92 bytes )
15/06/26 16:34:13 == : new informational iv ( 16 bytes )
15/06/26 16:34:13 =< : cookies 0a02a18e9a9f0ba9:0775ca9f400de6ca
15/06/26 16:34:13 =< : message 06b1dc97
15/06/26 16:34:13 =< : decrypt iv ( 16 bytes )
15/06/26 16:34:13 == : decrypt packet ( 92 bytes )
15/06/26 16:34:13 <= : trimmed packet padding ( 12 bytes )
15/06/26 16:34:13 <= : stored iv ( 16 bytes )
15/06/26 16:34:13 << : hash payload
15/06/26 16:34:13 << : notification payload
15/06/26 16:34:13 == : informational hash_i ( computed ) ( 20 bytes )
15/06/26 16:34:13 == : informational hash_c ( received ) ( 20 bytes )
15/06/26 16:34:13 ii : informational hash verified
15/06/26 16:34:13 ii : received peer INITIAL-CONTACT notification
15/06/26 16:34:13 ii : - 5.6.7.8:500 -> 1.2.3.4:500
15/06/26 16:34:13 ii : - isakmp spi = 0a02a18e9a9f0ba9:0775ca9f400de6ca
15/06/26 16:34:13 ii : - data size 0
15/06/26 16:34:13 <- : recv IKE packet 5.6.7.8:500 -> 1.2.3.4:500 ( 92 bytes )
15/06/26 16:34:13 DB : phase1 found
15/06/26 16:34:13 ii : processing config packet ( 92 bytes )
15/06/26 16:34:13 DB : config not found
15/06/26 16:34:13 DB : config added ( obj count = 1 )
15/06/26 16:34:13 == : new config iv ( 16 bytes )
15/06/26 16:34:13 =< : cookies 0a02a18e9a9f0ba9:0775ca9f400de6ca
15/06/26 16:34:13 =< : message b5216e4a
15/06/26 16:34:13 =< : decrypt iv ( 16 bytes )
15/06/26 16:34:13 == : decrypt packet ( 92 bytes )
15/06/26 16:34:13 <= : trimmed packet padding ( 12 bytes )
15/06/26 16:34:13 <= : stored iv ( 16 bytes )
15/06/26 16:34:13 << : hash payload
15/06/26 16:34:13 << : attribute payload
15/06/26 16:34:13 == : configure hash_i ( computed ) ( 20 bytes )
15/06/26 16:34:13 == : configure hash_c ( computed ) ( 20 bytes )
15/06/26 16:34:13 ii : configure hash verified
15/06/26 16:34:13 ii : - xauth authentication type
15/06/26 16:34:13 ii : - xauth username
15/06/26 16:34:13 ii : - xauth password
15/06/26 16:34:13 ii : received basic xauth request - 
15/06/26 16:34:13 ii : - standard xauth username
15/06/26 16:34:13 ii : - standard xauth password
15/06/26 16:34:13 ii : sending xauth response for user.VPN
15/06/26 16:34:13 >> : hash payload
15/06/26 16:34:13 >> : attribute payload
15/06/26 16:34:13 == : new configure hash ( 20 bytes )
15/06/26 16:34:13 >= : cookies 0a02a18e9a9f0ba9:0775ca9f400de6ca
15/06/26 16:34:13 >= : message b5216e4a
15/06/26 16:34:13 >= : encrypt iv ( 16 bytes )
15/06/26 16:34:13 == : encrypt packet ( 149 bytes )
15/06/26 16:34:13 == : stored iv ( 16 bytes )
15/06/26 16:34:13 -> : send IKE packet 1.2.3.4:500 -> 5.6.7.8:500 ( 184 bytes )
15/06/26 16:34:13 DB : config resend event scheduled ( ref count = 2 )
15/06/26 16:34:13 <- : recv IKE packet 5.6.7.8:500 -> 1.2.3.4:500 ( 76 bytes )
15/06/26 16:34:13 DB : phase1 found
15/06/26 16:34:13 ii : processing config packet ( 76 bytes )
15/06/26 16:34:13 DB : config found
15/06/26 16:34:13 =< : cookies 0a02a18e9a9f0ba9:0775ca9f400de6ca
15/06/26 16:34:13 =< : message b5216e4a
15/06/26 16:34:13 =< : decrypt iv ( 16 bytes )
15/06/26 16:34:13 == : decrypt packet ( 76 bytes )
15/06/26 16:34:13 <= : trimmed packet padding ( 12 bytes )
15/06/26 16:34:13 <= : stored iv ( 16 bytes )
15/06/26 16:34:13 << : hash payload
15/06/26 16:34:13 << : attribute payload
15/06/26 16:34:13 == : configure hash_i ( computed ) ( 20 bytes )
15/06/26 16:34:13 == : configure hash_c ( computed ) ( 20 bytes )
15/06/26 16:34:13 ii : configure hash verified
15/06/26 16:34:13 ii : received xauth result - 
15/06/26 16:34:13 ii : user user.VPN authentication succeeded
15/06/26 16:34:13 ii : sending xauth acknowledge
15/06/26 16:34:13 >> : hash payload
15/06/26 16:34:13 >> : attribute payload
15/06/26 16:34:13 == : new configure hash ( 20 bytes )
15/06/26 16:34:13 >= : cookies 0a02a18e9a9f0ba9:0775ca9f400de6ca
15/06/26 16:34:13 >= : message b5216e4a
15/06/26 16:34:13 >= : encrypt iv ( 16 bytes )
15/06/26 16:34:13 == : encrypt packet ( 60 bytes )
15/06/26 16:34:13 == : stored iv ( 16 bytes )
15/06/26 16:34:13 DB : config resend event canceled ( ref count = 1 )
15/06/26 16:34:13 -> : send IKE packet 1.2.3.4:500 -> 5.6.7.8:500 ( 88 bytes )
15/06/26 16:34:13 DB : config resend event scheduled ( ref count = 2 )
15/06/26 16:34:13 ii : building config attribute list
15/06/26 16:34:13 ii : - IP4 Address
15/06/26 16:34:13 ii : - Address Expiry
15/06/26 16:34:13 ii : - IP4 Netmask
15/06/26 16:34:13 ii : - IP4 WINS Server
15/06/26 16:34:13 == : new config iv ( 16 bytes )
15/06/26 16:34:13 ii : sending config pull request
15/06/26 16:34:13 >> : hash payload
15/06/26 16:34:13 >> : attribute payload
15/06/26 16:34:13 == : new configure hash ( 20 bytes )
15/06/26 16:34:13 >= : cookies 0a02a18e9a9f0ba9:0775ca9f400de6ca
15/06/26 16:34:13 >= : message 418d8ad1
15/06/26 16:34:13 >= : encrypt iv ( 16 bytes )
15/06/26 16:34:13 == : encrypt packet ( 76 bytes )
15/06/26 16:34:13 == : stored iv ( 16 bytes )
15/06/26 16:34:13 DB : config resend event canceled ( ref count = 1 )
15/06/26 16:34:13 -> : send IKE packet 1.2.3.4:500 -> 5.6.7.8:500 ( 104 bytes )
15/06/26 16:34:13 DB : config resend event scheduled ( ref count = 2 )
15/06/26 16:34:13 <- : recv IKE packet 5.6.7.8:500 -> 1.2.3.4:500 ( 76 bytes )
15/06/26 16:34:13 DB : phase1 found
15/06/26 16:34:13 ii : processing config packet ( 76 bytes )
15/06/26 16:34:13 DB : config found
15/06/26 16:34:13 =< : cookies 0a02a18e9a9f0ba9:0775ca9f400de6ca
15/06/26 16:34:13 =< : message 418d8ad1
15/06/26 16:34:13 =< : decrypt iv ( 16 bytes )
15/06/26 16:34:13 == : decrypt packet ( 76 bytes )
15/06/26 16:34:13 <= : stored iv ( 16 bytes )
15/06/26 16:34:13 << : hash payload
15/06/26 16:34:13 << : attribute payload
15/06/26 16:34:13 == : configure hash_i ( computed ) ( 20 bytes )
15/06/26 16:34:13 == : configure hash_c ( computed ) ( 20 bytes )
15/06/26 16:34:13 ii : configure hash verified
15/06/26 16:34:13 ii : received config pull response
15/06/26 16:34:13 ii : - IP4 Address = 192.168.188.10
15/06/26 16:34:13 ii : - IP4 DNS Server
15/06/26 16:34:13 DB : config resend event canceled ( ref count = 1 )
15/06/26 16:34:13 !! : invalid private netmask, defaulting to 255.255.255.0
15/06/26 16:34:13 ii : enabled adapter ROOT\VNET\0000 
15/06/26 16:34:13 ii : adapter ROOT\VNET\0000 unavailable, retrying ...
15/06/26 16:34:14 ii : apapter ROOT\VNET\0000 MTU is 1380
15/06/26 16:34:14 ii : generating IPSEC security policies at REQUIRE level
15/06/26 16:34:14 ii : creating NONE INBOUND policy ANY:5.6.7.8:* -> ANY:1.2.3.4:*
15/06/26 16:34:14 DB : policy added ( obj count = 1 )
15/06/26 16:34:14 K> : send pfkey X_SPDADD UNSPEC message
15/06/26 16:34:14 ii : creating NONE OUTBOUND policy ANY:1.2.3.4:* -> ANY:5.6.7.8:*
15/06/26 16:34:14 K< : recv pfkey X_SPDADD UNSPEC message
15/06/26 16:34:14 DB : policy found
15/06/26 16:34:14 ii : created NONE policy route for 5.6.7.8/32
15/06/26 16:34:14 DB : policy added ( obj count = 2 )
15/06/26 16:34:14 K> : send pfkey X_SPDADD UNSPEC message
15/06/26 16:34:14 K< : recv pfkey X_SPDADD UNSPEC message
15/06/26 16:34:14 DB : policy found
15/06/26 16:34:14 ii : creating NONE INBOUND policy ANY:5.189.132.1:* -> ANY:192.168.188.10:*
15/06/26 16:34:14 DB : policy added ( obj count = 3 )
15/06/26 16:34:14 K> : send pfkey X_SPDADD UNSPEC message
15/06/26 16:34:14 ii : creating NONE OUTBOUND policy ANY:192.168.188.10:* -> ANY:5.189.132.1:*
15/06/26 16:34:14 K< : recv pfkey X_SPDADD UNSPEC message
15/06/26 16:34:14 DB : policy found
15/06/26 16:34:14 DB : policy added ( obj count = 4 )
15/06/26 16:34:14 K> : send pfkey X_SPDADD UNSPEC message
15/06/26 16:34:14 ii : creating IPSEC INBOUND policy ANY:192.168.188.0/24:* -> ANY:192.168.188.10:*
15/06/26 16:34:14 DB : policy added ( obj count = 5 )
15/06/26 16:34:14 K> : send pfkey X_SPDADD UNSPEC message
15/06/26 16:34:14 ii : creating IPSEC OUTBOUND policy ANY:192.168.188.10:* -> ANY:192.168.188.0/24:*
15/06/26 16:34:14 K< : recv pfkey X_SPDADD UNSPEC message
15/06/26 16:34:14 DB : policy found
15/06/26 16:34:14 K< : recv pfkey X_SPDADD UNSPEC message
15/06/26 16:34:14 DB : policy found
15/06/26 16:34:14 ii : created IPSEC policy route for 192.168.188.0/24
15/06/26 16:34:14 DB : policy added ( obj count = 6 )
15/06/26 16:34:14 K> : send pfkey X_SPDADD UNSPEC message
15/06/26 16:34:14 K< : recv pfkey X_SPDADD UNSPEC message
15/06/26 16:34:14 DB : policy found
15/06/26 16:34:14 ii : split DNS is disabled
15/06/26 16:34:23 <- : recv IKE packet 5.6.7.8:500 -> 1.2.3.4:500 ( 76 bytes )
15/06/26 16:34:23 DB : phase1 found
15/06/26 16:34:23 ii : processing config packet ( 76 bytes )
15/06/26 16:34:23 DB : config found
15/06/26 16:34:23 !! : config packet ignored ( config already mature )
15/06/26 16:34:28 DB : phase1 found
15/06/26 16:34:28 ii : sending peer DPDV1-R-U-THERE notification
15/06/26 16:34:28 ii : - 1.2.3.4:500 -> 5.6.7.8:500
15/06/26 16:34:28 ii : - isakmp spi = 0a02a18e9a9f0ba9:0775ca9f400de6ca
15/06/26 16:34:28 ii : - data size 4
15/06/26 16:34:28 >> : hash payload
15/06/26 16:34:28 >> : notification payload
15/06/26 16:34:28 == : new informational hash ( 20 bytes )
15/06/26 16:34:28 == : new informational iv ( 16 bytes )
15/06/26 16:34:28 >= : cookies 0a02a18e9a9f0ba9:0775ca9f400de6ca
15/06/26 16:34:28 >= : message fe0ed00f
15/06/26 16:34:28 >= : encrypt iv ( 16 bytes )
15/06/26 16:34:28 == : encrypt packet ( 84 bytes )
15/06/26 16:34:28 == : stored iv ( 16 bytes )
15/06/26 16:34:28 -> : send IKE packet 1.2.3.4:500 -> 5.6.7.8:500 ( 120 bytes )
15/06/26 16:34:28 ii : DPD ARE-YOU-THERE sequence 114a48cf requested
15/06/26 16:34:28 <- : recv IKE packet 5.6.7.8:500 -> 1.2.3.4:500 ( 92 bytes )
15/06/26 16:34:28 DB : phase1 found
15/06/26 16:34:28 ii : processing informational packet ( 92 bytes )
15/06/26 16:34:28 == : new informational iv ( 16 bytes )
15/06/26 16:34:28 =< : cookies 0a02a18e9a9f0ba9:0775ca9f400de6ca
15/06/26 16:34:28 =< : message fe0ed00f
15/06/26 16:34:28 =< : decrypt iv ( 16 bytes )
15/06/26 16:34:28 == : decrypt packet ( 92 bytes )
15/06/26 16:34:28 <= : trimmed packet padding ( 8 bytes )
15/06/26 16:34:28 <= : stored iv ( 16 bytes )
15/06/26 16:34:28 << : hash payload
15/06/26 16:34:28 << : notification payload
15/06/26 16:34:28 == : informational hash_i ( computed ) ( 20 bytes )
15/06/26 16:34:28 == : informational hash_c ( received ) ( 20 bytes )
15/06/26 16:34:28 ii : informational hash verified
15/06/26 16:34:28 ii : received peer DPDV1-R-U-THERE-ACK notification
15/06/26 16:34:28 ii : - 5.6.7.8:500 -> 1.2.3.4:500
15/06/26 16:34:28 ii : - isakmp spi = 0a02a18e9a9f0ba9:0775ca9f400de6ca
15/06/26 16:34:28 ii : - data size 4
15/06/26 16:34:28 ii : DPD ARE-YOU-THERE-ACK sequence 114a48cf accepted
15/06/26 16:34:28 ii : next tunnel DPD request in 15 secs for peer 5.6.7.8:500
15/06/26 16:34:32 DB : policy found
15/06/26 16:34:32 ii : removing IPSEC INBOUND policy ANY:192.168.188.0/24:* -> ANY:192.168.188.10:*
15/06/26 16:34:32 K> : send pfkey X_SPDDELETE2 UNSPEC message
15/06/26 16:34:32 DB : policy found
15/06/26 16:34:32 ii : removing IPSEC OUTBOUND policy ANY:192.168.188.10:* -> ANY:192.168.188.0/24:*
15/06/26 16:34:32 K> : send pfkey X_SPDDELETE2 UNSPEC message
15/06/26 16:34:32 K< : recv pfkey X_SPDDELETE2 UNSPEC message
15/06/26 16:34:32 !! : failed to remove IPSEC policy route for ANY:192.168.188.0/24:*
15/06/26 16:34:32 DB : policy found
15/06/26 16:34:32 ii : removing NONE INBOUND policy ANY:5.189.132.1:* -> ANY:192.168.188.10:*
15/06/26 16:34:32 K> : send pfkey X_SPDDELETE2 UNSPEC message
15/06/26 16:34:32 DB : policy found
15/06/26 16:34:32 ii : removing NONE OUTBOUND policy ANY:192.168.188.10:* -> ANY:5.189.132.1:*
15/06/26 16:34:32 K> : send pfkey X_SPDDELETE2 UNSPEC message
15/06/26 16:34:32 DB : policy found
15/06/26 16:34:32 ii : removing NONE INBOUND policy ANY:5.6.7.8:* -> ANY:1.2.3.4:*
15/06/26 16:34:32 K> : send pfkey X_SPDDELETE2 UNSPEC message
15/06/26 16:34:32 DB : policy found
15/06/26 16:34:32 ii : removing NONE OUTBOUND policy ANY:1.2.3.4:* -> ANY:5.6.7.8:*
15/06/26 16:34:32 K> : send pfkey X_SPDDELETE2 UNSPEC message
15/06/26 16:34:32 ii : removed NONE policy route for ANY:5.6.7.8:*
15/06/26 16:34:32 DB : policy found
15/06/26 16:34:32 DB : policy deleted ( obj count = 5 )
15/06/26 16:34:32 K< : recv pfkey X_SPDDELETE2 UNSPEC message
15/06/26 16:34:32 DB : policy found
15/06/26 16:34:32 DB : policy deleted ( obj count = 4 )
15/06/26 16:34:32 K< : recv pfkey X_SPDDELETE2 UNSPEC message
15/06/26 16:34:32 DB : policy found
15/06/26 16:34:32 DB : policy deleted ( obj count = 3 )
15/06/26 16:34:32 K< : recv pfkey X_SPDDELETE2 UNSPEC message
15/06/26 16:34:32 DB : policy found
15/06/26 16:34:32 DB : policy deleted ( obj count = 2 )
15/06/26 16:34:32 K< : recv pfkey X_SPDDELETE2 UNSPEC message
15/06/26 16:34:32 DB : policy found
15/06/26 16:34:32 DB : policy deleted ( obj count = 1 )
15/06/26 16:34:32 K< : recv pfkey X_SPDDELETE2 UNSPEC message
15/06/26 16:34:32 DB : policy found
15/06/26 16:34:32 DB : policy deleted ( obj count = 0 )
15/06/26 16:34:32 ii : disable adapter ROOT\VNET\0000
15/06/26 16:34:32 DB : tunnel dpd event canceled ( ref count = 4 )
15/06/26 16:34:32 DB : tunnel stats event canceled ( ref count = 3 )
15/06/26 16:34:32 DB : removing tunnel config references
15/06/26 16:34:32 DB : config deleted ( obj count = 0 )
15/06/26 16:34:32 DB : removing tunnel phase2 references
15/06/26 16:34:32 DB : removing tunnel phase1 references
15/06/26 16:34:32 DB : phase1 soft event canceled ( ref count = 3 )
15/06/26 16:34:32 DB : phase1 hard event canceled ( ref count = 2 )
15/06/26 16:34:32 DB : phase1 dead event canceled ( ref count = 1 )
15/06/26 16:34:32 ii : sending peer DELETE message
15/06/26 16:34:32 ii : - 1.2.3.4:500 -> 5.6.7.8:500
15/06/26 16:34:32 ii : - isakmp spi = 0a02a18e9a9f0ba9:0775ca9f400de6ca
15/06/26 16:34:32 ii : - data size 0
15/06/26 16:34:32 >> : hash payload
15/06/26 16:34:32 >> : delete payload
15/06/26 16:34:32 == : new informational hash ( 20 bytes )
15/06/26 16:34:32 == : new informational iv ( 16 bytes )
15/06/26 16:34:32 >= : cookies 0a02a18e9a9f0ba9:0775ca9f400de6ca
15/06/26 16:34:32 >= : message e51762b8
15/06/26 16:34:32 >= : encrypt iv ( 16 bytes )
15/06/26 16:34:32 == : encrypt packet ( 80 bytes )
15/06/26 16:34:32 == : stored iv ( 16 bytes )
15/06/26 16:34:32 -> : send IKE packet 1.2.3.4:500 -> 5.6.7.8:500 ( 120 bytes )
15/06/26 16:34:32 ii : phase1 removal before expire time
15/06/26 16:34:32 DB : phase1 deleted ( obj count = 0 )
15/06/26 16:34:32 DB : tunnel deleted ( obj count = 0 )
15/06/26 16:34:32 DB : removing all peer tunnel references
15/06/26 16:34:32 DB : peer deleted ( obj count = 0 )
15/06/26 16:34:32 ii : ipc client process thread exit ...
15/06/26 16:34:32 ii : ipc client process thread begin ...
15/06/26 16:34:32 <A : peer config add message
15/06/26 16:34:32 <A : proposal config message
15/06/26 16:34:32 <A : proposal config message
15/06/26 16:34:32 <A : client config message
15/06/26 16:34:32 <A : xauth username message
15/06/26 16:34:32 <A : xauth password message
15/06/26 16:34:32 <A : local id 'user.PSK' message
15/06/26 16:34:32 <A : preshared key message
15/06/26 16:34:32 <A : remote resource message
15/06/26 16:34:32 <A : peer tunnel enable message
15/06/26 16:34:32 DB : peer added ( obj count = 1 )
15/06/26 16:34:32 ii : local address 1.2.3.4 selected for peer
15/06/26 16:34:32 DB : tunnel added ( obj count = 1 )
15/06/26 16:34:32 DB : new phase1 ( ISAKMP initiator )
15/06/26 16:34:32 DB : exchange type is aggressive
15/06/26 16:34:32 DB : 1.2.3.4:500 <-> 5.6.7.8:500
15/06/26 16:34:32 DB : f81ae14e8965cdac:0000000000000000
15/06/26 16:34:32 DB : phase1 added ( obj count = 1 )
15/06/26 16:34:32 >> : security association payload
15/06/26 16:34:32 >> : - proposal #1 payload 
15/06/26 16:34:32 >> : -- transform #1 payload 
15/06/26 16:34:32 >> : -- transform #2 payload 
15/06/26 16:34:32 >> : -- transform #3 payload 
15/06/26 16:34:32 >> : -- transform #4 payload 
15/06/26 16:34:32 >> : -- transform #5 payload 
15/06/26 16:34:32 >> : -- transform #6 payload 
15/06/26 16:34:32 >> : -- transform #7 payload 
15/06/26 16:34:32 >> : -- transform #8 payload 
15/06/26 16:34:32 >> : -- transform #9 payload 
15/06/26 16:34:32 >> : -- transform #10 payload 
15/06/26 16:34:32 >> : -- transform #11 payload 
15/06/26 16:34:32 >> : -- transform #12 payload 
15/06/26 16:34:32 >> : -- transform #13 payload 
15/06/26 16:34:32 >> : -- transform #14 payload 
15/06/26 16:34:32 >> : -- transform #15 payload 
15/06/26 16:34:32 >> : -- transform #16 payload 
15/06/26 16:34:32 >> : -- transform #17 payload 
15/06/26 16:34:32 >> : -- transform #18 payload 
15/06/26 16:34:32 >> : key exchange payload
15/06/26 16:34:32 >> : nonce payload
15/06/26 16:34:32 >> : identification payload
15/06/26 16:34:32 >> : vendor id payload
15/06/26 16:34:32 ii : local supports XAUTH
15/06/26 16:34:32 >> : vendor id payload
15/06/26 16:34:32 ii : local supports nat-t ( draft v00 )
15/06/26 16:34:32 >> : vendor id payload
15/06/26 16:34:32 ii : local supports nat-t ( draft v01 )
15/06/26 16:34:32 >> : vendor id payload
15/06/26 16:34:32 ii : local supports nat-t ( draft v02 )
15/06/26 16:34:32 >> : vendor id payload
15/06/26 16:34:32 ii : local supports nat-t ( draft v03 )
15/06/26 16:34:32 >> : vendor id payload
15/06/26 16:34:32 ii : local supports nat-t ( rfc )
15/06/26 16:34:32 >> : vendor id payload
15/06/26 16:34:32 ii : local supports FRAGMENTATION
15/06/26 16:34:32 >> : vendor id payload
15/06/26 16:34:32 >> : vendor id payload
15/06/26 16:34:32 ii : local supports DPDv1
15/06/26 16:34:32 >> : vendor id payload
15/06/26 16:34:32 ii : local is SHREW SOFT compatible
15/06/26 16:34:32 >> : vendor id payload
15/06/26 16:34:32 ii : local is NETSCREEN compatible
15/06/26 16:34:32 >> : vendor id payload
15/06/26 16:34:32 ii : local is SIDEWINDER compatible
15/06/26 16:34:32 >> : vendor id payload
15/06/26 16:34:32 ii : local is CISCO UNITY compatible
15/06/26 16:34:32 >= : cookies f81ae14e8965cdac:0000000000000000
15/06/26 16:34:32 >= : message 00000000
15/06/26 16:34:32 -> : send IKE packet 1.2.3.4:500 -> 5.6.7.8:500 ( 1209 bytes )
15/06/26 16:34:32 DB : phase1 resend event scheduled ( ref count = 2 )
15/06/26 16:34:32 <- : recv IKE packet 5.6.7.8:500 -> 1.2.3.4:500 ( 452 bytes )
15/06/26 16:34:32 DB : phase1 found
15/06/26 16:34:32 ii : processing phase1 packet ( 452 bytes )
15/06/26 16:34:32 =< : cookies f81ae14e8965cdac:86fbf924b089bdca
15/06/26 16:34:32 =< : message 00000000
15/06/26 16:34:32 << : security association payload
15/06/26 16:34:32 << : - propsal #1 payload 
15/06/26 16:34:32 << : -- transform #1 payload 
15/06/26 16:34:32 ii : unmatched isakmp proposal/transform
15/06/26 16:34:32 ii : hash type ( hmac-sha1 != hmac-md5 )
15/06/26 16:34:32 !! : peer violates RFC, transform number mismatch ( 1 != 2 )
15/06/26 16:34:32 ii : matched isakmp proposal #1 transform #1
15/06/26 16:34:32 ii : - transform    = ike
15/06/26 16:34:32 ii : - cipher type  = aes
15/06/26 16:34:32 ii : - key length   = 256 bits
15/06/26 16:34:32 ii : - hash type    = sha1
15/06/26 16:34:32 ii : - dh group     = group2 ( modp-1024 )
15/06/26 16:34:32 ii : - auth type    = xauth-initiator-psk
15/06/26 16:34:32 ii : - life seconds = 86400
15/06/26 16:34:32 ii : - life kbytes  = 0
15/06/26 16:34:32 << : key exchange payload
15/06/26 16:34:32 << : nonce payload
15/06/26 16:34:32 << : identification payload
15/06/26 16:34:32 ii : phase1 id match ( natt prevents ip match )
15/06/26 16:34:32 ii : received = ipv4-host 5.6.7.8
15/06/26 16:34:32 << : hash payload
15/06/26 16:34:32 << : notification payload
15/06/26 16:34:32 << : vendor id payload
15/06/26 16:34:32 ii : peer supports XAUTH
15/06/26 16:34:32 << : vendor id payload
15/06/26 16:34:32 ii : peer supports DPDv1
15/06/26 16:34:32 << : vendor id payload
15/06/26 16:34:32 ii : peer supports nat-t ( rfc )
15/06/26 16:34:32 << : vendor id payload
15/06/26 16:34:32 ii : peer supports nat-t ( draft v03 )
15/06/26 16:34:32 << : vendor id payload
15/06/26 16:34:32 ii : unknown vendor id ( 16 bytes )
15/06/26 16:34:32 0x : a2226fc3 64500f56 34ff77db 3b74f41b
15/06/26 16:34:32 << : nat discovery payload
15/06/26 16:34:32 << : nat discovery payload
15/06/26 16:34:32 ii : disabled nat-t ( no nat detected )
15/06/26 16:34:32 ww : short DH shared secret computed
15/06/26 16:34:32 == : DH shared secret ( 128 bytes )
15/06/26 16:34:32 == : SETKEYID ( 20 bytes )
15/06/26 16:34:32 == : SETKEYID_d ( 20 bytes )
15/06/26 16:34:32 == : SETKEYID_a ( 20 bytes )
15/06/26 16:34:32 == : SETKEYID_e ( 20 bytes )
15/06/26 16:34:32 == : cipher key ( 32 bytes )
15/06/26 16:34:32 == : cipher iv ( 16 bytes )
15/06/26 16:34:32 == : phase1 hash_i ( computed ) ( 20 bytes )
15/06/26 16:34:32 >> : hash payload
15/06/26 16:34:32 >> : nat discovery payload
15/06/26 16:34:32 >> : nat discovery payload
15/06/26 16:34:32 >= : cookies f81ae14e8965cdac:86fbf924b089bdca
15/06/26 16:34:32 >= : message 00000000
15/06/26 16:34:32 >= : encrypt iv ( 16 bytes )
15/06/26 16:34:32 == : encrypt packet ( 100 bytes )
15/06/26 16:34:32 == : stored iv ( 16 bytes )
15/06/26 16:34:32 DB : phase1 resend event canceled ( ref count = 1 )
15/06/26 16:34:32 -> : send IKE packet 1.2.3.4:500 -> 5.6.7.8:500 ( 136 bytes )
15/06/26 16:34:32 == : phase1 hash_r ( computed ) ( 20 bytes )
15/06/26 16:34:32 == : phase1 hash_r ( received ) ( 20 bytes )
15/06/26 16:34:32 ii : phase1 sa established
15/06/26 16:34:32 ii : 5.6.7.8:500 <-> 1.2.3.4:500
15/06/26 16:34:32 ii : f81ae14e8965cdac:86fbf924b089bdca
15/06/26 16:34:32 ii : sending peer INITIAL-CONTACT notification
15/06/26 16:34:32 ii : - 1.2.3.4:500 -> 5.6.7.8:500
15/06/26 16:34:32 ii : - isakmp spi = f81ae14e8965cdac:86fbf924b089bdca
15/06/26 16:34:32 ii : - data size 0
15/06/26 16:34:32 >> : hash payload
15/06/26 16:34:32 >> : notification payload
15/06/26 16:34:32 == : new informational hash ( 20 bytes )
15/06/26 16:34:32 == : new informational iv ( 16 bytes )
15/06/26 16:34:32 >= : cookies f81ae14e8965cdac:86fbf924b089bdca
15/06/26 16:34:32 >= : message ee8bb1f2
15/06/26 16:34:32 >= : encrypt iv ( 16 bytes )
15/06/26 16:34:32 == : encrypt packet ( 80 bytes )
15/06/26 16:34:32 == : stored iv ( 16 bytes )
15/06/26 16:34:32 -> : send IKE packet 1.2.3.4:500 -> 5.6.7.8:500 ( 120 bytes )
15/06/26 16:34:32 DB : phase2 not found
15/06/26 16:34:32 <- : recv IKE packet 5.6.7.8:500 -> 1.2.3.4:500 ( 92 bytes )
15/06/26 16:34:32 DB : phase1 found
15/06/26 16:34:32 ii : processing informational packet ( 92 bytes )
15/06/26 16:34:32 == : new informational iv ( 16 bytes )
15/06/26 16:34:32 =< : cookies f81ae14e8965cdac:86fbf924b089bdca
15/06/26 16:34:32 =< : message 3decfda0
15/06/26 16:34:32 =< : decrypt iv ( 16 bytes )
15/06/26 16:34:32 == : decrypt packet ( 92 bytes )
15/06/26 16:34:32 <= : trimmed packet padding ( 12 bytes )
15/06/26 16:34:32 <= : stored iv ( 16 bytes )
15/06/26 16:34:32 << : hash payload
15/06/26 16:34:32 << : notification payload
15/06/26 16:34:32 == : informational hash_i ( computed ) ( 20 bytes )
15/06/26 16:34:32 == : informational hash_c ( received ) ( 20 bytes )
15/06/26 16:34:32 ii : informational hash verified
15/06/26 16:34:32 ii : received peer INITIAL-CONTACT notification
15/06/26 16:34:32 ii : - 5.6.7.8:500 -> 1.2.3.4:500
15/06/26 16:34:32 ii : - isakmp spi = f81ae14e8965cdac:86fbf924b089bdca
15/06/26 16:34:32 ii : - data size 0
15/06/26 16:34:32 <- : recv IKE packet 5.6.7.8:500 -> 1.2.3.4:500 ( 92 bytes )
15/06/26 16:34:32 DB : phase1 found
15/06/26 16:34:32 ii : processing config packet ( 92 bytes )
15/06/26 16:34:32 DB : config not found
15/06/26 16:34:32 DB : config added ( obj count = 1 )
15/06/26 16:34:32 == : new config iv ( 16 bytes )
15/06/26 16:34:32 =< : cookies f81ae14e8965cdac:86fbf924b089bdca
15/06/26 16:34:32 =< : message ea2716af
15/06/26 16:34:32 =< : decrypt iv ( 16 bytes )
15/06/26 16:34:32 == : decrypt packet ( 92 bytes )
15/06/26 16:34:32 <= : trimmed packet padding ( 12 bytes )
15/06/26 16:34:32 <= : stored iv ( 16 bytes )
15/06/26 16:34:32 << : hash payload
15/06/26 16:34:32 << : attribute payload
15/06/26 16:34:32 == : configure hash_i ( computed ) ( 20 bytes )
15/06/26 16:34:32 == : configure hash_c ( computed ) ( 20 bytes )
15/06/26 16:34:32 ii : configure hash verified
15/06/26 16:34:32 ii : - xauth authentication type
15/06/26 16:34:32 ii : - xauth username
15/06/26 16:34:32 ii : - xauth password
15/06/26 16:34:32 ii : received basic xauth request - 
15/06/26 16:34:32 ii : - standard xauth username
15/06/26 16:34:32 ii : - standard xauth password
15/06/26 16:34:32 ii : sending xauth response for user.VPN
15/06/26 16:34:32 >> : hash payload
15/06/26 16:34:32 >> : attribute payload
15/06/26 16:34:32 == : new configure hash ( 20 bytes )
15/06/26 16:34:32 >= : cookies f81ae14e8965cdac:86fbf924b089bdca
15/06/26 16:34:32 >= : message ea2716af
15/06/26 16:34:32 >= : encrypt iv ( 16 bytes )
15/06/26 16:34:32 == : encrypt packet ( 149 bytes )
15/06/26 16:34:32 == : stored iv ( 16 bytes )
15/06/26 16:34:32 -> : send IKE packet 1.2.3.4:500 -> 5.6.7.8:500 ( 184 bytes )
15/06/26 16:34:32 DB : config resend event scheduled ( ref count = 2 )
15/06/26 16:34:32 <- : recv IKE packet 5.6.7.8:500 -> 1.2.3.4:500 ( 76 bytes )
15/06/26 16:34:32 DB : phase1 found
15/06/26 16:34:32 ii : processing config packet ( 76 bytes )
15/06/26 16:34:32 DB : config found
15/06/26 16:34:32 =< : cookies f81ae14e8965cdac:86fbf924b089bdca
15/06/26 16:34:32 =< : message ea2716af
15/06/26 16:34:32 =< : decrypt iv ( 16 bytes )
15/06/26 16:34:32 == : decrypt packet ( 76 bytes )
15/06/26 16:34:32 <= : trimmed packet padding ( 12 bytes )
15/06/26 16:34:32 <= : stored iv ( 16 bytes )
15/06/26 16:34:32 << : hash payload
15/06/26 16:34:32 << : attribute payload
15/06/26 16:34:32 == : configure hash_i ( computed ) ( 20 bytes )
15/06/26 16:34:32 == : configure hash_c ( computed ) ( 20 bytes )
15/06/26 16:34:32 ii : configure hash verified
15/06/26 16:34:32 ii : received xauth result - 
15/06/26 16:34:32 ii : user user.VPN authentication succeeded
15/06/26 16:34:32 ii : sending xauth acknowledge
15/06/26 16:34:32 >> : hash payload
15/06/26 16:34:32 >> : attribute payload
15/06/26 16:34:32 == : new configure hash ( 20 bytes )
15/06/26 16:34:32 >= : cookies f81ae14e8965cdac:86fbf924b089bdca
15/06/26 16:34:32 >= : message ea2716af
15/06/26 16:34:32 >= : encrypt iv ( 16 bytes )
15/06/26 16:34:32 == : encrypt packet ( 60 bytes )
15/06/26 16:34:32 == : stored iv ( 16 bytes )
15/06/26 16:34:32 DB : config resend event canceled ( ref count = 1 )
15/06/26 16:34:32 -> : send IKE packet 1.2.3.4:500 -> 5.6.7.8:500 ( 88 bytes )
15/06/26 16:34:32 DB : config resend event scheduled ( ref count = 2 )
15/06/26 16:34:32 ii : building config attribute list
15/06/26 16:34:32 ii : - IP4 Address
15/06/26 16:34:32 ii : - Address Expiry
15/06/26 16:34:32 ii : - IP4 Netmask
15/06/26 16:34:32 ii : - IP4 WINS Server
15/06/26 16:34:32 == : new config iv ( 16 bytes )
15/06/26 16:34:32 ii : sending config pull request
15/06/26 16:34:32 >> : hash payload
15/06/26 16:34:32 >> : attribute payload
15/06/26 16:34:32 == : new configure hash ( 20 bytes )
15/06/26 16:34:32 >= : cookies f81ae14e8965cdac:86fbf924b089bdca
15/06/26 16:34:32 >= : message da845348
15/06/26 16:34:32 >= : encrypt iv ( 16 bytes )
15/06/26 16:34:32 == : encrypt packet ( 76 bytes )
15/06/26 16:34:32 == : stored iv ( 16 bytes )
15/06/26 16:34:32 DB : config resend event canceled ( ref count = 1 )
15/06/26 16:34:32 -> : send IKE packet 1.2.3.4:500 -> 5.6.7.8:500 ( 104 bytes )
15/06/26 16:34:32 DB : config resend event scheduled ( ref count = 2 )
15/06/26 16:34:32 <- : recv IKE packet 5.6.7.8:500 -> 1.2.3.4:500 ( 76 bytes )
15/06/26 16:34:32 DB : phase1 found
15/06/26 16:34:32 ii : processing config packet ( 76 bytes )
15/06/26 16:34:32 DB : config found
15/06/26 16:34:32 =< : cookies f81ae14e8965cdac:86fbf924b089bdca
15/06/26 16:34:32 =< : message da845348
15/06/26 16:34:32 =< : decrypt iv ( 16 bytes )
15/06/26 16:34:32 == : decrypt packet ( 76 bytes )
15/06/26 16:34:32 <= : stored iv ( 16 bytes )
15/06/26 16:34:32 << : hash payload
15/06/26 16:34:32 << : attribute payload
15/06/26 16:34:32 == : configure hash_i ( computed ) ( 20 bytes )
15/06/26 16:34:32 == : configure hash_c ( computed ) ( 20 bytes )
15/06/26 16:34:32 ii : configure hash verified
15/06/26 16:34:32 ii : received config pull response
15/06/26 16:34:32 ii : - IP4 Address = 192.168.188.10
15/06/26 16:34:32 ii : - IP4 DNS Server
15/06/26 16:34:32 DB : config resend event canceled ( ref count = 1 )
15/06/26 16:34:32 !! : invalid private netmask, defaulting to 255.255.255.0
15/06/26 16:34:32 ii : enabled adapter ROOT\VNET\0000 
15/06/26 16:34:32 ii : adapter ROOT\VNET\0000 unavailable, retrying ...
15/06/26 16:34:33 ii : apapter ROOT\VNET\0000 MTU is 1380
15/06/26 16:34:33 ii : generating IPSEC security policies at REQUIRE level
15/06/26 16:34:33 ii : creating NONE INBOUND policy ANY:5.6.7.8:* -> ANY:1.2.3.4:*
15/06/26 16:34:33 DB : policy added ( obj count = 1 )
15/06/26 16:34:33 K> : send pfkey X_SPDADD UNSPEC message
15/06/26 16:34:33 ii : creating NONE OUTBOUND policy ANY:1.2.3.4:* -> ANY:5.6.7.8:*
15/06/26 16:34:33 K< : recv pfkey X_SPDADD UNSPEC message
15/06/26 16:34:33 DB : policy found
15/06/26 16:34:33 ii : created NONE policy route for 5.6.7.8/32
15/06/26 16:34:33 DB : policy added ( obj count = 2 )
15/06/26 16:34:33 K> : send pfkey X_SPDADD UNSPEC message
15/06/26 16:34:33 K< : recv pfkey X_SPDADD UNSPEC message
15/06/26 16:34:33 DB : policy found
15/06/26 16:34:33 ii : creating NONE INBOUND policy ANY:5.189.132.1:* -> ANY:192.168.188.10:*
15/06/26 16:34:33 DB : policy added ( obj count = 3 )
15/06/26 16:34:33 K> : send pfkey X_SPDADD UNSPEC message
15/06/26 16:34:33 ii : creating NONE OUTBOUND policy ANY:192.168.188.10:* -> ANY:5.189.132.1:*
15/06/26 16:34:33 DB : policy added ( obj count = 4 )
15/06/26 16:34:33 K> : send pfkey X_SPDADD UNSPEC message
15/06/26 16:34:33 ii : creating IPSEC INBOUND policy ANY:192.168.188.0/24:* -> ANY:192.168.188.10:*
15/06/26 16:34:33 DB : policy added ( obj count = 5 )
15/06/26 16:34:33 K> : send pfkey X_SPDADD UNSPEC message
15/06/26 16:34:33 K< : recv pfkey X_SPDADD UNSPEC message
15/06/26 16:34:33 DB : policy found
15/06/26 16:34:33 ii : creating IPSEC OUTBOUND policy ANY:192.168.188.10:* -> ANY:192.168.188.0/24:*
15/06/26 16:34:33 K< : recv pfkey X_SPDADD UNSPEC message
15/06/26 16:34:33 DB : policy found
15/06/26 16:34:33 K< : recv pfkey X_SPDADD UNSPEC message
15/06/26 16:34:33 DB : policy found
15/06/26 16:34:33 ii : created IPSEC policy route for 192.168.188.0/24
15/06/26 16:34:33 DB : policy added ( obj count = 6 )
15/06/26 16:34:33 K> : send pfkey X_SPDADD UNSPEC message
15/06/26 16:34:33 K< : recv pfkey X_SPDADD UNSPEC message
15/06/26 16:34:33 DB : policy found
15/06/26 16:34:33 ii : split DNS is disabled
15/06/26 16:34:37 K< : recv pfkey ACQUIRE UNSPEC message
15/06/26 16:34:37 DB : policy found
15/06/26 16:34:37 DB : policy found
15/06/26 16:34:37 DB : tunnel found
15/06/26 16:34:37 DB : new phase2 ( IPSEC initiator )
15/06/26 16:34:37 DB : phase2 added ( obj count = 1 )
15/06/26 16:34:37 K> : send pfkey GETSPI ESP message
15/06/26 16:34:37 K< : recv pfkey GETSPI ESP message
15/06/26 16:34:37 DB : phase2 found
15/06/26 16:34:37 ii : updated spi for 1 ipsec-esp proposal
15/06/26 16:34:37 DB : phase1 found
15/06/26 16:34:37 >> : hash payload
15/06/26 16:34:37 >> : security association payload
15/06/26 16:34:37 >> : - proposal #1 payload 
15/06/26 16:34:37 >> : -- transform #1 payload 
15/06/26 16:34:37 >> : -- transform #2 payload 
15/06/26 16:34:37 >> : -- transform #3 payload 
15/06/26 16:34:37 >> : -- transform #4 payload 
15/06/26 16:34:37 >> : -- transform #5 payload 
15/06/26 16:34:37 >> : -- transform #6 payload 
15/06/26 16:34:37 >> : -- transform #7 payload 
15/06/26 16:34:37 >> : -- transform #8 payload 
15/06/26 16:34:37 >> : -- transform #9 payload 
15/06/26 16:34:37 >> : -- transform #10 payload 
15/06/26 16:34:37 >> : -- transform #11 payload 
15/06/26 16:34:37 >> : -- transform #12 payload 
15/06/26 16:34:37 >> : -- transform #13 payload 
15/06/26 16:34:37 >> : -- transform #14 payload 
15/06/26 16:34:37 >> : -- transform #15 payload 
15/06/26 16:34:37 >> : -- transform #16 payload 
15/06/26 16:34:37 >> : -- transform #17 payload 
15/06/26 16:34:37 >> : -- transform #18 payload 
15/06/26 16:34:37 >> : -- transform #19 payload 
15/06/26 16:34:37 >> : -- transform #20 payload 
15/06/26 16:34:37 >> : -- transform #21 payload 
15/06/26 16:34:37 >> : -- transform #22 payload 
15/06/26 16:34:37 >> : -- transform #23 payload 
15/06/26 16:34:37 >> : -- transform #24 payload 
15/06/26 16:34:37 >> : -- transform #25 payload 
15/06/26 16:34:37 >> : -- transform #26 payload 
15/06/26 16:34:37 >> : -- transform #27 payload 
15/06/26 16:34:37 >> : -- transform #28 payload 
15/06/26 16:34:37 >> : -- transform #29 payload 
15/06/26 16:34:37 >> : -- transform #30 payload 
15/06/26 16:34:37 >> : -- transform #31 payload 
15/06/26 16:34:37 >> : -- transform #32 payload 
15/06/26 16:34:37 >> : -- transform #33 payload 
15/06/26 16:34:37 >> : -- transform #34 payload 
15/06/26 16:34:37 >> : -- transform #35 payload 
15/06/26 16:34:37 >> : -- transform #36 payload 
15/06/26 16:34:37 >> : -- transform #37 payload 
15/06/26 16:34:37 >> : -- transform #38 payload 
15/06/26 16:34:37 >> : -- transform #39 payload 
15/06/26 16:34:37 >> : -- transform #40 payload 
15/06/26 16:34:37 >> : -- transform #41 payload 
15/06/26 16:34:37 >> : -- transform #42 payload 
15/06/26 16:34:37 >> : -- transform #43 payload 
15/06/26 16:34:37 >> : -- transform #44 payload 
15/06/26 16:34:37 >> : -- transform #45 payload 
15/06/26 16:34:37 >> : nonce payload
15/06/26 16:34:37 >> : identification payload
15/06/26 16:34:37 >> : identification payload
15/06/26 16:34:37 == : phase2 hash_i ( input ) ( 1460 bytes )
15/06/26 16:34:37 == : phase2 hash_i ( computed ) ( 20 bytes )
15/06/26 16:34:37 == : new phase2 iv ( 16 bytes )
15/06/26 16:34:37 >= : cookies f81ae14e8965cdac:86fbf924b089bdca
15/06/26 16:34:37 >= : message f2b994b1
15/06/26 16:34:37 >= : encrypt iv ( 16 bytes )
15/06/26 16:34:37 == : encrypt packet ( 1508 bytes )
15/06/26 16:34:37 == : stored iv ( 16 bytes )
15/06/26 16:34:37 -> : send IKE packet 1.2.3.4:500 -> 5.6.7.8:500 ( 1544 bytes )
15/06/26 16:34:37 ii : fragmented packet to 1514 bytes ( MTU 1500 bytes )
15/06/26 16:34:37 ii : fragmented packet to 78 bytes ( MTU 1500 bytes )
15/06/26 16:34:37 DB : phase2 resend event scheduled ( ref count = 2 )
15/06/26 16:34:37 <- : recv IKE packet 5.6.7.8:500 -> 1.2.3.4:500 ( 156 bytes )
15/06/26 16:34:37 DB : phase1 found
15/06/26 16:34:37 ii : processing phase2 packet ( 156 bytes )
15/06/26 16:34:37 DB : phase2 found
15/06/26 16:34:37 =< : cookies f81ae14e8965cdac:86fbf924b089bdca
15/06/26 16:34:37 =< : message f2b994b1
15/06/26 16:34:37 =< : decrypt iv ( 16 bytes )
15/06/26 16:34:37 == : decrypt packet ( 156 bytes )
15/06/26 16:34:37 <= : stored iv ( 16 bytes )
15/06/26 16:34:37 << : hash payload
15/06/26 16:34:37 << : security association payload
15/06/26 16:34:37 << : - propsal #1 payload 
15/06/26 16:34:37 << : -- transform #2 payload 
15/06/26 16:34:37 << : nonce payload
15/06/26 16:34:37 << : identification payload
15/06/26 16:34:37 << : identification payload
15/06/26 16:34:37 == : phase2 hash_r ( input ) ( 128 bytes )
15/06/26 16:34:37 == : phase2 hash_r ( computed ) ( 20 bytes )
15/06/26 16:34:37 == : phase2 hash_r ( received ) ( 20 bytes )
15/06/26 16:34:37 ii : unmatched ipsec-esp proposal/transform
15/06/26 16:34:37 ii : msg auth ( hmac-sha1 != hmac-md5 )
15/06/26 16:34:37 ii : matched ipsec-esp proposal #1 transform #2
15/06/26 16:34:37 ii : - transform    = esp-aes
15/06/26 16:34:37 ii : - key length   = 256 bits
15/06/26 16:34:37 ii : - encap mode   = tunnel
15/06/26 16:34:37 ii : - msg auth     = hmac-sha1
15/06/26 16:34:37 ii : - pfs dh group = none
15/06/26 16:34:37 ii : - life seconds = 3600
15/06/26 16:34:37 ii : - life kbytes  = 0
15/06/26 16:34:37 DB : policy found
15/06/26 16:34:37 K> : send pfkey GETSPI ESP message
15/06/26 16:34:37 ii : phase2 ids accepted
15/06/26 16:34:37 ii : - loc ANY:192.168.188.10:* -> ANY:0.0.0.0/0:*
15/06/26 16:34:37 ii : - rmt ANY:0.0.0.0/0:* -> ANY:192.168.188.10:*
15/06/26 16:34:37 ii : phase2 sa established
15/06/26 16:34:37 ii : 1.2.3.4:500 <-> 5.6.7.8:500
15/06/26 16:34:37 == : phase2 hash_p ( input ) ( 41 bytes )
15/06/26 16:34:37 == : phase2 hash_p ( computed ) ( 20 bytes )
15/06/26 16:34:37 >> : hash payload
15/06/26 16:34:37 >= : cookies f81ae14e8965cdac:86fbf924b089bdca
15/06/26 16:34:37 >= : message f2b994b1
15/06/26 16:34:37 >= : encrypt iv ( 16 bytes )
15/06/26 16:34:37 == : encrypt packet ( 52 bytes )
15/06/26 16:34:37 == : stored iv ( 16 bytes )
15/06/26 16:34:37 DB : phase2 resend event canceled ( ref count = 1 )
15/06/26 16:34:37 -> : send IKE packet 1.2.3.4:500 -> 5.6.7.8:500 ( 88 bytes )
15/06/26 16:34:37 == : spi cipher key data ( 32 bytes )
15/06/26 16:34:37 == : spi hmac key data ( 20 bytes )
15/06/26 16:34:37 K> : send pfkey UPDATE ESP message
15/06/26 16:34:37 == : spi cipher key data ( 32 bytes )
15/06/26 16:34:37 == : spi hmac key data ( 20 bytes )
15/06/26 16:34:37 K> : send pfkey UPDATE ESP message
15/06/26 16:34:37 K< : recv pfkey GETSPI ESP message
15/06/26 16:34:37 DB : phase2 found
15/06/26 16:34:37 K< : recv pfkey UPDATE ESP message
15/06/26 16:34:37 K< : recv pfkey UPDATE ESP message
15/06/26 16:34:42 <- : recv IKE packet 5.6.7.8:500 -> 1.2.3.4:500 ( 76 bytes )
15/06/26 16:34:42 DB : phase1 found
15/06/26 16:34:42 ii : processing config packet ( 76 bytes )
15/06/26 16:34:42 DB : config found
15/06/26 16:34:42 !! : config packet ignored ( config already mature )
15/06/26 16:34:47 DB : phase1 found
15/06/26 16:34:47 ii : sending peer DPDV1-R-U-THERE notification
15/06/26 16:34:47 ii : - 1.2.3.4:500 -> 5.6.7.8:500
15/06/26 16:34:47 ii : - isakmp spi = f81ae14e8965cdac:86fbf924b089bdca
15/06/26 16:34:47 ii : - data size 4
15/06/26 16:34:47 >> : hash payload
15/06/26 16:34:47 >> : notification payload
15/06/26 16:34:47 == : new informational hash ( 20 bytes )
15/06/26 16:34:47 == : new informational iv ( 16 bytes )
15/06/26 16:34:47 >= : cookies f81ae14e8965cdac:86fbf924b089bdca
15/06/26 16:34:47 >= : message 543b6238
15/06/26 16:34:47 >= : encrypt iv ( 16 bytes )
15/06/26 16:34:47 == : encrypt packet ( 84 bytes )
15/06/26 16:34:47 == : stored iv ( 16 bytes )
15/06/26 16:34:47 -> : send IKE packet 1.2.3.4:500 -> 5.6.7.8:500 ( 120 bytes )
15/06/26 16:34:47 ii : DPD ARE-YOU-THERE sequence 32e82268 requested
15/06/26 16:34:47 <- : recv IKE packet 5.6.7.8:500 -> 1.2.3.4:500 ( 92 bytes )
15/06/26 16:34:47 DB : phase1 found
15/06/26 16:34:47 ii : processing informational packet ( 92 bytes )
15/06/26 16:34:47 == : new informational iv ( 16 bytes )
15/06/26 16:34:47 =< : cookies f81ae14e8965cdac:86fbf924b089bdca
15/06/26 16:34:47 =< : message 543b6238
15/06/26 16:34:47 =< : decrypt iv ( 16 bytes )
15/06/26 16:34:47 == : decrypt packet ( 92 bytes )
15/06/26 16:34:47 <= : trimmed packet padding ( 8 bytes )
15/06/26 16:34:47 <= : stored iv ( 16 bytes )
15/06/26 16:34:47 << : hash payload
15/06/26 16:34:47 << : notification payload
15/06/26 16:34:47 == : informational hash_i ( computed ) ( 20 bytes )
15/06/26 16:34:47 == : informational hash_c ( received ) ( 20 bytes )
15/06/26 16:34:47 ii : informational hash verified
15/06/26 16:34:47 ii : received peer DPDV1-R-U-THERE-ACK notification
15/06/26 16:34:47 ii : - 5.6.7.8:500 -> 1.2.3.4:500
15/06/26 16:34:47 ii : - isakmp spi = f81ae14e8965cdac:86fbf924b089bdca
15/06/26 16:34:47 ii : - data size 4
15/06/26 16:34:47 ii : DPD ARE-YOU-THERE-ACK sequence 32e82268 accepted
15/06/26 16:34:47 ii : next tunnel DPD request in 15 secs for peer 5.6.7.8:500
 
Zuletzt bearbeitet:
andiling schrieb:
Beides geht wohl out-of-the-box nicht?
Zum Vergrößern anklicken....
Ich habe das gerade mal getestet, mit etwas abweichenden Bedingungen, aber die sollten (hoffe ich) keine wirkliche Rolle spielen.

Client: Windows 8.1 (x64) mit Shrewsoft-Client 2.2.2, virtueller Adapter
Server: FRITZ!Box 7390 mit 06.20 (meine eigene 7490 funktioniert aus dem eigenen Netz mit dem o.a. Client nicht, kann aber auch an internen Firewalls liegen, keinen Bock zum Suchen)

Der DNS-Server wird bei mir von der FRITZ!Box auf der Gegenseite ordentlich gesetzt (bei "ike config pull", "push" habe ich noch nicht getestet und "DHCP" funktioniert - wie vermutet - nicht (timeout)), die Suchdomain hingegen nicht (oder vom Windows nicht übernommen) ... wobei ich da ohnehin nicht verstehe, was Du (das wäre ja nach meinem Verständnis der "Suffix" bzw. auch nach Ansicht des Shrewsoft-Clients ) anderes erwartest als "fritz.box". WINS-Server wird nicht gesetzt, das macht die FRITZ!Box aber lokal eigentlich auch nicht.

Der NetBIOS-Zugriff funktioniert bei mir problemlos. Wenn ich mich mit "net use" über das VPN an der FRITZ!Box 7390 anmelde, kann ich mit "net view" (alles natürlich mit Zugriff über die IP-Adresse) die Freigaben sehen.

Wäre es denkbar, daß Deine Windows7-Firewall die VPN-Verbindung als "public" einstuft und ihrerseits das Windows-Netzwerk dort blockiert?

Merkwürdigerweise wird auch bei mir aber für den Shrewsoft-Adapter "NetBIOS over Tcpip ... disabled" ausgewiesen ... ich gehe mal davon aus, daß der VPN-Client tiefer im Stack angreift und es damit keine Rolle spielt, ob da der LAN-Manager-Client an das Interface gebunden ist oder nicht, der greift wohl einfach allen Verkehr an die entfernte Adresse ab, egal auf welchem Interface. Das virtuelle Interface taucht ohnehin bei mir nicht in der Liste der Netzwerkadapter auf, damit ist dort (im GUI) keine Konfiguration machbar. Ob das mit "netsh" funktionieren würde, habe ich nicht probiert.

Die Fehlersuche per Paketmitschnitt auf dem Windows-Laptop klappt leider nicht (zumindest nicht beim Aufbau der Verbindung), da mit dem Schließen der VPN-Verbindung auch der virtuelle Adapter verschwindet und vor dem erfolgreichen Verbindungsaufbau dort auch kein Mitschnitt gestartet werden kann (zumindest nicht mit Wireshark und winpcap 4.1.3).
 
Hallo PeterPawn,

vielen Dank für Deine Mühe. (-:

PeterPawn schrieb:
Der DNS-Server wird bei mir von der FRITZ!Box auf der Gegenseite ordentlich gesetzt (bei "ike config pull", "push" habe ich noch nicht getestet und "DHCP" funktioniert - wie vermutet - nicht (timeout)), die Suchdomain hingegen nicht (oder vom Windows nicht übernommen) ... wobei ich da ohnehin nicht verstehe, was Du (das wäre ja nach meinem Verständnis der "Suffix" bzw. auch nach Ansicht des Shrewsoft-Clients ) anderes erwartest als "fritz.box".
Zum Vergrößern anklicken....

Ja, es liegt wohl nur am DNS-Suffix. Das Problem ist, dass ohne gesetztes DNS Suffix der Name computer nicht aufgelöst wird sondern nur computer.fritz.box. Aber gut, wird das halt manuell gesetzt.

PeterPawn schrieb:
Der NetBIOS-Zugriff funktioniert bei mir problemlos. Wenn ich mich mit "net use" über das VPN an der FRITZ!Box 7390 anmelde, kann ich mit "net view" (alles natürlich mit Zugriff über die IP-Adresse) die Freigaben sehen.
Zum Vergrößern anklicken....

Das klappt auch, es geht ums Broadcast (der Effekt ist hier der gleiche wie beim fehlenden nmbd von der 7390), die Dinger tauchen nicht in der Netzwerkübersicht auf (über eine PPTP Verbindung klappt es übrigens, so dass die Geräte sicher den Namen aussenden).

PeterPawn schrieb:
WINS-Server wird nicht gesetzt, das macht die FRITZ!Box aber lokal eigentlich auch nicht.
Zum Vergrößern anklicken....
PeterPawn schrieb:
Merkwürdigerweise wird auch bei mir aber für den Shrewsoft-Adapter "NetBIOS over Tcpip ... disabled" ausgewiesen ...
Zum Vergrößern anklicken....

Richtig, jetzt kommt das interessante. Wenn ich die WINS Auflösung im Client deaktiviere oder auf automatisch beziehen stelle findet bei mir nbtstat -a <ip> nichts. Aktiviere ich es und gebe als Server die IP der Fritzbox an führt wenigstens der Befehl zu einem Ergebnis und auch NetBIOS over TCPIP ist "enabled".

PeterPawn schrieb:
Wäre es denkbar, daß Deine Windows7-Firewall die VPN-Verbindung als "public" einstuft und ihrerseits das Windows-Netzwerk dort blockiert?
Zum Vergrößern anklicken....
PeterPawn schrieb:
Ob das mit "netsh" funktionieren würde, habe ich nicht probiert.
Zum Vergrößern anklicken....

Dem ist leider so und ich habe bisher keinen Weg gefunden, die Verbindung als privat einzustufen, da der Adapter in der Profiles-List in der Registry nicht auftaucht. Ich habe mir da fürs erste mal beholfen, in der Firewall alles von 192.168.188.0/24 zu erlauben. In netsh habe ich den Adapter auch nicht gefunden (bin das aber nur grob durchgegangen).

Ein Nebeneffekt der mir auch noch aufgefallen ist:

Grundidee bei dem Projekt war/ist eigentlich, dass ein Laptop, der zumeist innerhalb des Netzes ist, auch von außen eingebunden werden kann. Ich hatte dann zuerst in der VPN Konfig die gleiche private IP eingetragen wie das Gerät im lokalen Netz hat. Das funktioniert bei PPTP oder L2TP VPNs á la Microsoft wunderbar, bei der Fritzbox funktionierte das IPv4 Routing (öffentliche IPv4 wie auch die private IPv4 der Fritzbox) dieses einen Laptops nicht mehr. Anscheinend ist wohl das VPN Routing unabhängig von einer tatsächlichen Einwahl aktiv und die Pakete zurück wurden ins Nirwana geschickt.

Eine Zielsetzung ist eben, dass der Laptop von anderen Teilnehmern auch erreichbar ist wenn er nicht im lokalen Netz aber per VPN angemeldet ist. Das klappt wohl weder per Broadcast, DNS Name noch mit einer IP.
 
andiling schrieb:
Das klappt auch, es geht ums Broadcast (der Effekt ist hier der gleiche wie beim fehlenden nmbd von der 7390), die Dinger tauchen nicht in der Netzwerkübersicht auf (über eine PPTP Verbindung klappt es übrigens, so dass die Geräte sicher den Namen aussenden).
Zum Vergrößern anklicken....
Das geht beim Windows-Netzwerk mit AVM-IPSec nur dann, wenn Du die FRITZ!Box am anderen Ende als WINS-Server im VPN-Client konfigurierst. Diese Namensauflösung arbeitet mit einer Mischung aus Broadcasts und Abfragen eines Master-Browsers (eben des WINS-Servers), die Reihenfolge der Abfragen wird über den NetBIOS-Node-Type festgelegt. Broadcasts werden über ein IPSec-VPN unter Linux normalerweise überhaupt nicht übertragen, da das Verpacken des Traffics in ESP-Pakete auf der Basis von "Selektoren" erfolgt ... matcht ein Paket so einen Selektor, wird es verpackt und an die im "Selektor" (eigentlich eine Transformationsregel) angegebene öffentliche Adresse gesendet, anstatt den "normalen Weg" zu nehmen.

Beim AVM-VPN kommt dann noch hinzu, daß alle Pakete für die Transformation unbedingt an "dev dsl" gehen müssen, das ist auch der Grund, warum es nicht funktioniert, eine VPN-Verbindung mit derselben Adresse zu betreiben (bzw. eigentlich ist das nur dann ein Problem, wenn diese VPN-Verbindung aktiviert ist - nicht "aufgebaut", das ist etwas anderes), weil für solche Host-LAN-Verbindungen eine Route der Form "192.168.188.xxx/32 dev dsl" eingerichtet wird, damit der Traffic für dieses Ziel auch am "dev dsl" vorbeikommt und nicht über "dev lan" im lokalen Netz landet (was der Maske nach ja der Fall wäre). Parallel richtet die FRITZ!Box dann für solche Adressen noch einen ARP-Proxy ein, damit jeder andere Client, der im Netz nach dieser Adresse sucht, die dorthin zu sendenden Pakete an die FRITZ!Box schickt, die sich dann um die Weiterleitung kümmert.

Für Broadcasts müßte man also eine weitere Route der Form "192.168.188.255/32 dev dsl" einrichten, die sich aber erkennbar nicht mit dem Rest des LANs verträgt, denn jetzt würden ja sämtliche Broadcasts nur noch in den Tunnel (bzw. erst einmal zum "dev dsl") wandern. An dieser Stelle helfen auch keine Zaubereien mit der "accesslist" einer VPN-Verbindung, denn die greift erst dann (das sind auf der FRITZ!Box die "Selektoren"), wenn die Pakete schon an "dev dsl" angekommen sind und das machen die Broadcasts ja nie. Eine denkbare Alternative wäre das Duplizieren solcher Broadcasts mit iptables (da das kein conntrack braucht, könnte das funktionieren) und der Versand der Duplikate über "dev dsl" in Kombination mit einem passenden Selektor, aber dann kann man auch gleich aus den Broadcast-Paketen Unicast-Traffic machen und sich den zusätzlichen Selektor sparen.

Richtig, jetzt kommt das interessante. Wenn ich die WINS Auflösung im Client deaktiviere oder auf automatisch beziehen stelle findet bei mir nbtstat -a <ip> nichts. Aktiviere ich es und gebe als Server die IP der Fritzbox an führt wenigstens der Befehl zu einem Ergebnis und auch NetBIOS over TCPIP ist "enabled".
Zum Vergrößern anklicken....
Aus dem Bauch heraus würde ich dann sagen, daß der Shrewsoft-Client anhand des Vorhandenseins eines WINS-Servers (für den vnet-Adapter, so heißt der lt. Wireshark) entscheidet, ob der Windows-Netzwerkclient an dieses Interface gebunden wird oder nicht. Solange die FRITZ!Box das aber nicht setzt, bleibt Dir wieder nur die manuelle Auswahl, wobei das ja eigentlich pro Verbindung erfolgt und so sehe ich den Punkt "suboptimal" ohnehin nicht so kritisch und halte das Einstellen der richtigen Parameter für eine bestimmte Verbindung für ausreichend und zumutbar. Wer das komfortabler haben will, braucht einen DHCP-Server abseits der FRITZ!Box und einige Kopfstände, um einen DHCP-Request durch den IPSec-Tunnel zu befördern ... wobei das in Richtung FRITZ!Box ja der Shrewsoft-Client selbst macht und die Antwort des DHCP-Servers ja eigentlich Unicast (halt auf MAC-Ebene, denn es gibt ja noch keine IP-Adresse des Clients) ist. Das dann wieder durch den Tunnel zurück zum Client zu befördern, ist beim AVM-VPN nicht so einfach (wenn es überhaupt geht).

Ein Nebeneffekt der mir auch noch aufgefallen ist:
Zum Vergrößern anklicken....
Wie oben erläutert, sollte das unproblematisch sein, solange Du die Verbindung für den Nutzer in der Liste der VPN-Verbindungen über die Checkbox in der ersten Spalte deaktivierst. Dann wird die Route nicht gesetzt und diese Adresse verhält sich wie eine ganz normale lokale auch.

Eine Zielsetzung ist eben, dass der Laptop von anderen Teilnehmern auch erreichbar ist wenn er nicht im lokalen Netz aber per VPN angemeldet ist. Das klappt wohl weder per Broadcast, DNS Name noch mit einer IP.
Zum Vergrößern anklicken....
Das verstehe ich jetzt nicht ... der Laptop sollte bei aktiveraufgebauter VPN-Verbindung von den Geräten aus dem LAN auch über diese VPN-Verbindung mit seiner IP-Adresse problemlos zu erreichen sein - auch über seinen DNS-Namen, wenn der (bei identischer lokaler und entfernter IP) richtig gesetzt ist.

Wenn er selbst die Geräte im LAN per Windows-Network erreichen soll, muß eben die FRITZ!Box als WINS-Server eingetragen werden. Allerdings gilt auch das natürlich nur dann, wenn die FRITZ!Box auch der oben erwähnte Master-Browser ist ... wenn jemand irgendeinen Windows-Server in seinem Netz hat oder die Einstellungen eines Windows-Clients geändert hat, kann es auch sein, daß ein anderes Gerät die Wahl zum Master-Browser gewinnt (das ist wirklich eine "election") und dann ist natürlich dieses Gerät der WINS-Server. Die FRITZ!Box ist kein WINS-Proxy, sie gibt meines Wissens ihre eigene "Weltsicht" auf das LAN nur dann in vollem Umfang weiter, wenn sie auch der Master-Browser ist. Ansonsten antwortet der nmbd auch auf Unicast-Abfragen nur mit den eigenen lokalen Angaben ... der nmbd ist ja genau der Teil des Samba-Paketes, der einerseits als Master-Browser fungieren kann (wenn die FRITZ!Box die Wahl gewinnt) und auf der anderen Seite auf Broadcast-Abfragen anderer Windows-Clients nach verfügbaren Windows-Dateiservern (auch nach Druckservern, nur der Vollständigkeit halber) dann mit den Angaben zum Samba-Server der FRITZ!Box antwortet. Fehlt der und bleibt damit die Antwort auf Broadcasts aus, ist die FRITZ!Box "unsichtbar" im Windows-Netzwerk.
EDIT: Was man vielleicht auch noch erwähnen sollte ... ein Windows-Client meldet sich selbst auch bei einem WINS-Server an. Somit sollte eigentlich (das teste ich jetzt aber nicht) die Angabe der FRITZ!Box als WINS-Servers sogar dafür sorgen, daß der entfernte Windows-Rechner sich beim WINS-Server registriert und lokale Windows-Clients, die die FRITZ!Box als WINS-Server abfragen (das muß UC sein und kein BC, also wirklich ein gesetzter WINS-Server in diesen Clients), den dann auch auflisten können. Ende EDIT

Ich weiß, daß Du den letzten Absatz selbst kennst, es ist mehr für spätere Leser, die ihrerseits zwei getrennte Broadcast-Domains mit einem Windows-Netzwerk verbinden wollen.
 
Zuletzt bearbeitet:
Also,

Du hast mir schon einmal sehr weitergeholfen, vor allem auch vom Verständnis her.

Bei der Aufgabe handelt es sich um eine Box, die nicht modifiziert werden soll, telnet oder gar iptables scheidet somit aus. Ansonsten wäre da wahrscheinlich schon freetz mit pptpd drauf und alles würde so funktionieren wie es soll und der Nutzer kann sich mit Windows Bordmitteln verbinden. (Ich will davon aber auch aufgrund von Sicherheitsbedenken wegkommen)

Der Eintrag des DNS-Suffix ist natürlich kein großer Aufwand so lange die Anzahl der Clients übersichtlich ist (ich bin halt ein Freund von Automatismus). Bei Windows und Android Geräten kommt man wohl um die manuelle Angabe des Suffix nicht herum, wenn man die Namen aufgelöst haben will, die Äpfel haben dafür keine Konfigurationsmöglichkeit und brauchen sie wohl auch nicht, da geht es ohne.

Und dass das mit dem NetBIOS Broadcast nicht ohne Weiteres geht ist jetzt für mich nachvollziehbar und beantwortet meine Frage. (Mit Linux basierten VPNs habe ich eigentlich bisher gar nichts am Hut gehabt weil ich bei den von mir betreuten Projekten ein Windows Server aufgrund dessen, dass zumeist auch ein darauf basiertes Warenwirtschaftssystem zum Einsatz kommt, erste Wahl ist)

Den VPN Nutzer zu aktivieren und zu deaktivieren nur um die gleiche IP zuweisen zu können ist reichlich umständlich und somit nicht gewünscht. Damit bleibt aber das Problem, dass der Rechner im lokalen Netz und per VPN eine andere IP hat. Von dem DNS Server der Fritzbox bekomme ich ja die lokale IP egal ob der Rechner angemeldet ist oder nicht, die entfernt angebundenen Rechner sind wohl gar nicht im DNS Cache der Box. Ich habe jetzt mal in der Box unter Geräte und Benutzer noch einen zweiten Eintrag mit gleichen Namen aber VPN-IP eingetragen. Nach einem ersten Test scheint es zu klappen, zumindest spätestens beim zweiten Versuch hat sich der Client dann auf die funktionierende IP eingeschossen und das Netzlaufwerk verbunden. In meiner perfekten Welt ist das wieder einmal suboptimal aber was solls.

Früher waren ja die Windows Home Server recht populär mit denen auch für den Hausgebrauch ein anständiges VPN realisiert werden konnte. Die Geräte sind ja aber inzwischen von AIO-Boxen, Himbeeren, etc. zu Recht verdrängt worden.

Nochmals Danke für die Mühe. (-;
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 764 (Mitglieder: 25, Gäste: 739)

Neueste Beiträge

Statistik des Forums

Themen
246,154
Beiträge
2,247,006
Mitglieder
373,672
Neuestes Mitglied
knofa008
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück