VPN Cisco 3000: Syntaxfehler?

[Schommel]

Hey

ich versuche gerade meiner Fritz!Box 7270 (54.04.57-11063, wg. Fritz! Mini) eine VPN-Verbindung zum Uni-DSL der RWTH Aachen beizubringen, doch leider hakt das bereits am Import der fritzbox.cfg
Dieser wird direkt mit "VPN-Konfiguration Import-Error - Der Import der VPN-Konfiguration ist fehlgeschlagen." quittiert und wenn ich die VPN-Hilfe auf avm.de/vpn richtig verstanden habe sollte der Grund beim verwendeten Syntax liegen. Das kann durchaus sein, denn ich musste schließlich die Beispiel-PDF (zu finden unter http://www.avm.de/de/Service/Servic...nteroperabilitaet/box_zu_cisco.php?portal=VPN) abtippen, da sie auf read-only/no-copy gesetzt war. Leider habe ich aber auch nach mehrmaligem Durchlesen keinen Tippfehler finden können, darum wäre es nett wenn mal ein paar andere Augen drübersehen könnten, denn bekanntlich fallen anderen die Fehler viel schneller auf. Den Benutzernamen und das Passwort habe ich natürlich bereits ersetzt durch TIMuser und TIMpw. TIM steht für das verwendete Tivoli Identity Management, welches Nutzernamen und Passwörter an der RWTH verwaltet.

vpncfg {
    connections {
        enabled = yes;
        conn_type = conntype_lan;
        name = "CISCO Concentrator 3000 Series";
        always_renew = no;
        reject_not_encrypted = yes;
        dont_filter_netbios = no;
        localip = 0.0.0.0;
        virtualip = 0.0.0.0;
        remoteip = vpn-unidsl.rwth-aachen.de;
        localid {
             user_fqdn = "Uni-DSL";
        }
        mode = phase1_mode_aggressive;
        phase1ss = "alt/aes/sha";
        keytype = connkeytype_pre_shared;
        
        key = "uni-dsl-2005";
        cert_do_server_auth = no;
        use_nat_t = no;
        use_xauth = yes;
               xauth {
                       valid = yes;
                       username = "TIMuser";
                       passwd = "TIMpw";
               }
        use_cfgmode = yes;
        phase2ss = "esp-all-all/ah-all/comp-all/no-pfs";
        accesslist = "permit ip any 192.168.200.0 255.255.255.0";
    }
    ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", "udp 0.0.0.0:4500 0.0.0.0:4500";
}

// EOF

Wenn ihr noch weitere Informationen zu den Einstellungen braucht ist euch das Rechenzentrum gern bereit zu helfen: http://www.rz.rwth-aachen.de/ca/c/ppi/lang/de/
Ich gehe jedoch davon aus dass ich alles richtig eingetragen habe und es sich wirklich nur um einen Tippfehler handelt.
Bzgl. der letzten Variablendefinition ike_forward_rules kann ich sagen, dass ich verschiedene Schreibweisen ausprobiert habe, sowohl mit Zeilenumbruch zwischen den beiden Informationen (in Anführungszeichen) wie es in der PDF der Fall ist, als auch ohne Trennung und Leerzeichen und so wie ich es hier im CODE-Tag getan habe... keinerlei Unterschied in der Fehlermeldung.

Ich hoffe ihr könnt mir helfen und vielen Dank für eure Mühen.

LG
Alex

 

[billg]

Wenn ich mich richtig erinnere, ist die Zeile "virtualip = 0.0.0.0;" fehlerhaft (obwohl von AVM so angegeben). Zulässig sind nur "local_virtualip = ?.?.?.?;" und "remote_virtualip = ?.?.?.?;". Die Fragezeichen dann jeweils mit den gewünschten Werten ersetzen.

Gruß

billg275

P.S.: Würde mich interessieren, ob die Verbindung ins Uninetz klappt.

 

[Schommel]

Hallo billg,

ehrlich gesagt hatte ich nach der Zeit gar nicht mehr mit einer Antwort gerechnet, doch du hast meine Erwartungen widerlegt, dafür möchte ich mich bedanken. Im Endeffekt bin ich dadurch auch durch einige Spielerei auf die richtige Lösung (remotehostname, remoteip, local_virtualip, ... siehe unten) für das Syntaxproblem aufmerksam geworden und konnte zumindest das lösen. Ja leider nur das, denn verbinden mit dem RWTH-VPN-Tunnel klappt leider nicht. Evtl. hat jemand dafür schon eine Lösung? Google und die Newsgroups von Uni-DSL (http://www.unidsl.de) sind leider nicht mein Freund

Hier meine aktuelle Version (hab schon einige Dinge rumprobiert...):

vpncfg {
    connections {
        enabled = yes;
        conn_type = conntype_lan;
        name = "CISCO Concentrator 3000 Series";
        always_renew = no;
        reject_not_encrypted = yes;
        dont_filter_netbios = no;
        localip = 0.0.0.0;
	local_virtualip = 0.0.0.0;
	remoteip = 134.130.5.240; // bezogen aus Hostnamen via Host2IP
//	remote_virtualip = 0.0.0.0;
//	remotehostname = "vpn-unidsl.rwth-aachen.de";
        localid {
             user_fqdn = "Uni-DSL";
        }
        mode = phase1_mode_aggressive;
        phase1ss = "alt/aes/sha";
        keytype = connkeytype_pre_shared;
        
        key = "uni-dsl-2005";
        cert_do_server_auth = no;
        use_nat_t = no;
        use_xauth = yes;
               xauth {
                       valid = yes;
                       username = "TIMuser";
                       passwd = "TIMpw";
               }
        use_cfgmode = yes;
        phase2ss = "esp-all-all/ah-all/comp-all/no-pfs";
        accesslist = "permit ip any 192.168.200.0 255.255.255.0";
    }
    ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", "udp 0.0.0.0:4500 0.0.0.0:4500";
}

// EOF

 

[proflan]

Ich habe das selbe Problem mit dem Uni Zugang.

Bin mittlerweile etwas weitergekommen. Wenn ich mich per telnet einlogge und avmike -v benutze, sehe ich, dass sich die box scheinbar mit dem vpn Server verbindet und eine IP/DNS Server erhält.

# avmike -s
Jul 19 23:12:14 avmike[1908]: stopped.
# Jul 19 23:12:14 dsld[1899]: ikeapi_checkserver: ike server not running

# avmike -v
Jul 19 23:12:18 avmike[1909]: avmike listening on ports 500, 4500 (NAT_T enabled)
# Jul 19 23:12:18 avmike[1911]: load ipsec.cfg from /etc/default/1und1/ipsec.cfg
Jul 19 23:12:18 dsld[1899]: ikeapi_checkserver: ike server now running
Jul 19 23:12:18 avmike[1911]: IKE-Server 1.2 (Apr 22 2008 11:05:35) gestartet...
Jul 19 23:12:21 avmike[1911]: CISCO Concentrator 3000 Series: virtual ip: 141.48.5.2
Jul 19 23:12:21 avmike[1911]: CISCO Concentrator 3000 Series: dns servers: 141.48.3.51 141.48.3.17
Jul 19 23:12:21 avmike[1911]: wolke_del_neighbour_sa_by_remote: no SAs available, set canceld = TRUE

Allerdings zeigt ein ifconfig kein tunnel-device oder ähnliches. Eine Verbidnung ins Netz habe ich scheinbar nicht.

Möglicherweise liegt das an

wolke_del_neighbour_sa_by_remote: no SAs available, set canceld = TRUE

Hat jemand eine Ahnung, was das sein könnte? Ich vermute es hat etwas mit den Regeln des Cisco Concentraters zu tun?

Im Webinterface gibt es unter "Ereignisse" folgende Meldung:

19.07.08 23:12:22 VPN: CISCO Concentrator 3000 Series, Error IKE-Error 0x203d (IKE-Error 0x203d)

Die Konfig-Datei sieht so aus:

vpncfg {
	connections {
		enabled = yes;
		conn_type = conntype_lan;
		name = "CISCO Concentrator 3000 Series";
		always_renew = yes;
		reject_not_encrypted = no;
		dont_filter_netbios = no;
		localip = 0.0.0.0;
		local_virtualip = 0.0.0.0;
		remoteip = 141.48.25.41;
		remote_virtualip = 141.48.25.41;
		remotehostname = "vpn.uni-halle.de";
		localid {
			user_fqdn = "*****";
		}
		mode = phase1_mode_aggressive;
		phase1ss = "alt/all/all";
		keytype = connkeytype_pre_shared;
		key = "*****";
		cert_do_server_auth = no;
		use_nat_t = no;
		use_xauth = yes;
		xauth {
			valid = yes;
			username = "*****";
			passwd = "*****";
			}
		use_cfgmode = yes;
		phase2ss = "esp-des|3des-all/ah-all/comp-all/pfs";
		accesslist = "permit ip any 192.168.0.0 255.255.255.0", "permit ip any 141.48.0.0 255.255.255.0";
	}
	ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", "udp 0.0.0.0:4500 0.0.0.0:4500", "udp 0.0.0.0:10000 0.0.0.0:10000", "tcp 

0.0.0.0:500 0.0.0.0:500", "tcp 0.0.0.0:4500 0.0.0.0:4500", "tcp 0.0.0.0:10000 0.0.0.0:10000";
}
//EOF

kann mir jemand weiterhelfen?

Viele Grüße
proflan

 

[frank_m24]

Hallo,

also deine Konfig-Datei hat nicht viel Ähnlichkeit mit meiner, die funktioniert. Wo hast du deine her? Aus der AVM Anleitung offensichtlich nicht. Wo kommen die forward_rules her? Wo die phase2ss und die accesslist? Wie kommst du dazu, in die accesslist öffentliche IPs aufzunehmen?

/*
 * C:\fritzbox.cfg
 * Fri Feb 29 20:44:09 2008
 */

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "Zugang";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                remoteip = [COLOR="Red"]"Öffentliche IP des VPN Servers"[/COLOR];
                localid {
                        user_fqdn = "[COLOR="Red"]Gruppenname[/COLOR]";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "[COLOR="Red"]Gruppenpasswort[/COLOR]";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = yes;
			xauth {
				valid = yes;
				username = "[COLOR="Red"]Benutzername[/COLOR]";
				passwd = "[COLOR="Red"]Benutzerpasswort[/COLOR]";
			}
                use_cfgmode = yes;
                phase2ss = "esp-all-all/ah-all/comp-all/no-pfs";
                accesslist = "permit ip any 192.168.0.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

 

[proflan]

Mit der Konfig Datei hat es wohl nicht viel zu tun. Die funktioniert soweit.

Ich habe nun mal Freetz installiert mit vpnc. Aber auch hier gibt es eine Fehlermeldung: (ISAKMP_N_INVALID_PAYLOAD_TYPE)(1)

---!!!!!!!!! entering phase2_fatal !!!!!!!!!---


quick mode response rejected:  (ISAKMP_N_INVALID_PAYLOAD_TYPE)(1)
this means the concentrator did not like what we had to offer.

Vermutlich ist das die selbe und hängt mutmaßlich mit einem Update des Cisco Servers zusammen. Phase 1 funktioniert. Phase 2 macht Probleme.

Das Problem wurde mal in einem falschen Ident-String gesehen. Daran liegt es aber wohl doch nicht. (siehe auch http://www.gossamer-threads.com/lists/vpnc/devel/2493?search_string=ISAKMP_N_INVALID_PAYLOAD_TYPE)

@frank_m24
Auf welche Server Version greifst Du zu?

ich greife auf

Cisco Systems, Inc./VPN 3000 Concentrator Version 4.7.2.O built by vmurphy on Mar 05 2008 16:24:28

zu

Möglicherweise haben die Unis (zB über das DFN) zentral andere Versionen oder Richtlinien des Concentrators?

Grüße
proflan

PS: Die avm "Dokumentation" ist ja wohl ein Witz ^^

 

[frank_m24]

Hallo,

Mit der Konfig Datei hat es wohl nicht viel zu tun. Die funktioniert soweit.

Natürlich. Deshalb bittest du in einem Forum um Hilfe. :?

Ich habe nun mal Freetz installiert mit vpnc. Aber auch hier gibt es eine Fehlermeldung: (ISAKMP_N_INVALID_PAYLOAD_TYPE)(1)
---!!!!!!!!! entering phase2_fatal !!!!!!!!!---
quick mode response rejected: (ISAKMP_N_INVALID_PAYLOAD_TYPE)(1)
this means the concentrator did not like what we had to offer.

Lustigerweise passt das ins Konzept, denn die Phase2 Parameter hatte ich ja auch schon angemeckert. :-Ö

Phase 1 funktioniert. Phase 2 macht Probleme.

Entweder ein Problem der offerierten SAs oder der Phase2 Authentifizierung. Aber wir wiederholen uns.

Auf welche Server Version greifst Du zu?

Auf die neuste verfügbare Software-Version. Die kriegen wir über den Wartungsvertrag automatisiert.

Die avm "Dokumentation" ist ja wohl ein Witz

Aber sie funktioniert. Da kann sie so witzig sein, wie sie will, das ist mir egal.

 

[proflan]

so sinnlos-posts kannst Du Dir auch sparen - offensichtlich funktioniert die avm Beispiels-Konfiguration nicht mit dem Uni-Concentrator, denn diese habe ich (und einige andere) bereits in allen möglichen Varianten ausprobiert. Deine gepostete war auch dabei.

 

[frank_m24]

Hallo,

offensichtlich möchtest du dir nicht helfen lassen. Ok, es ist ja nicht mein VPN Zugang, denn der funktioniert ja.

Woran willst du denn drehen, wenn dein VPN Zugang nicht geht, wenn nicht an der Konfiguration? Und deine Konfiguration enthält nun mal einige wahrhaft hanebüchene Einträge, die selbst ein Laie als Cisco-inkompatibel identifiziert. Öffentliche IPs in einer Accesslist. pfs in der phase2ss. Dazu dann noch forward-rules (die ja für eingehende Verbindungen sind!!!) mit Port 10000, den Cisco anstatt NAT-T fürs Tunneling benutzt. Tut mir leid, dass so deutlich sagen zu müssen, aber: Deine Konfig ist ein Witz, nicht die AVM Anleitung.

Benutzt ihr überhaupt einen Cisco VPN Concentrator mit passender Konfiguration? Am Ende stellt sich heraus, dass ihr mit Zertifikaten arbeitet.

 

[Schommel]

hallo frank,

um ehrlich zu sein sehe ich die sache genauso wie proflan... die konfiguration wird aktzeptiert von seinem router auch wenn sie falsch sein mag. er war desweiteren auch dazu bereit deine, bei dir funktionstüchtige, konfiguration auszuprobieren und diese hat ihm auch nicht weitergeholfen - warum schließt du deshalb darauf dass er sich nicht helfen lassen will? meines erachtens hat er sich ziemlich tief mit der materie befasst und bot seinen entwicklungsstand allen anderen an, damit auch diese evtl. eine lösung für das problem finden können. du hingegen wehrst seinen versuch der lösung mit einer standard-konfiguration ab, welche definitiv bei uns - an verschiedenen universitäten - nicht funktioniert. wir können uns also nicht auf deine konfig berufen. desweiteren finde ich auch die avm doku wirklich schlecht erklärt, wenn man das überhaupt so bezeichnen darf.

ich persönlich habe das gefühl, dass jedoch nicht versucht wird dieses problem zu klären. schade eigentlich.

 

[frank_m24]

Hallo,

ich persönlich habe das gefühl, dass jedoch nicht versucht wird dieses problem zu klären. schade eigentlich.

Genau das ist das Problem. Ich hab in #5 eine ganze Reihe Fragen gestellt, wie er dazu kommt, gewisse Einträge zu machen. Die einzige Antwort, die ich bekommen, habe, war, dass die Konfig soweit funktioniert.

:gruebel:

Eine Konfig funktioniert für mich dann, wenn der VPN Tunnel problemfrei arbeitet. Das scheint aber offensichtlich nicht der Fall zu sein, da schon die Phase 2 Authentifizierung fehl schlägt. Kann ja sein, dass meine Konfig für euch auch nicht funktioniert. Dann hätte er aber wenigstens sagen können, was ihn zu den Abweichungen veranlasst hat. Dann hätte man vielleicht eine funktionierende Version ableiten können.

Und ich bleibe dabei: Wenn ihr irgendwo dran drehen müsst, dann an der Konfig für die Fritzbox. An die andere Seite werden die Admins euch nicht dran lassen.

 

[macmesch]

Hallo Frank,

mit leichten Anpassungen konnte ich den Tunnel auf einer fbf7170 zum Laufen bringen. In Accesslist stehen die Zielnetz auf der anderen Seite des Tunnels drin. Mit einem permit ip any any war es möglich, den Kompletten Verkehr zu tunneln, wenn man das möchte.

Eine Konfig funktioniert für mich dann, wenn der VPN Tunnel problemfrei arbeitet. Das scheint aber offensichtlich nicht der Fall zu sein, da schon die Phase 2 Authentifizierung fehl schlägt.

Das einzige was in Deiner Phase 2 config fest eingestellt war, war PFS. Das ist bei einigen Servern deaktiviert, mit no-pfs hat es bei mir geklappt.

An die andere Seite werden die Admins euch nicht dran lassen.

;-)

 

[Ened]

hallo,

der Thread ist zwar uralt, aber vllt krieg ich ja trotzdem noch ne Antwort...

Die Grundvoraussetzungen sind die gleichen, von Fritzbox 7270 auf nen Cisco-Concentrator verbinden.

Am Rechner funktioniert das wunderbar, auch mit vpnc. So sieht meine vpnc.conf aus:

IPSec ID blabla
IPSec gateway blabla
IPSec secret blabla

Enable Single DES
IKE Authmode psk

xauth username blabla
xauth password blabla

blabla sind natürlich die entsprechenden Zugangsdaten.

Ich habe jetzt mal franks cfg anzupassen versucht, das klappt aber noch nicht.
Habe sogar extra noch n freetz gebaut, weil ich dachte, dass es mit dem vpnc ja dann kein Problem sei. Das kriege ich aber auch nicht gestartet...

Ich weiß ehrlich gesagt nicht, wie ich jetzt weiterkomme, da ich von der Box auch keinerlei Rückmeldung bekomme (zumindest sehe ich keine...)

Ich hoffe, ihr könnt mir weiterhelfen
mfg ened

 

[frank_m24]

Hallo,

da sich der Syntax der VPN Konfigs mittlerweile komplett geändert hat, mache ich hier mal zu. Idealer Anlaufpunkt für die Verbindung zu Cisco VPN Konzentratoren ist die Anleitung im AVM VPN Portal.