Solved
Site-to-Site VPN zwischen Digitalisierungsbox Premium (be.IP - Bintec Elmeg) und Lancom 1784VA -
6 years ago
Guten Abend,
derzeit versuche ich zwei Standorte per VPN zu verbinden, was jedoch nicht gelingt. Vielleicht kann mir hier jemand auf die Sprünge helfen...
Am Standort A steht ein LANCOM 1784VA an ADSL mit fester IP. Firmware:10.20.0298RU2
Am Standort B steht eine Digitalisierungsbox Premium an VDSL mit fester IP. Firmware: 10.2.01.104
Mittels LANconfig konfigurierte ich Standort A und mittels Webinterface Standort B - laut Anleitung:
Was beim Lancom-Assistenten auffiel, man fragt nicht nach: EIGENER BEZEICHNER. Auch wird keine PPP-Liste angelegt. Dies erledigte ich von Hand mit dem Passwort, welches man vorher mittels Assistenten generiert hat: Ich hoffe, dass war an der Stelle richtig?
Die Digibox versucht eine Verbindung aufzubauen, jedoch blockt der Lancom diese. Als Meldung in der Digibox erhält man
P1: peer 1 (Name des VPN ) sa 45 (I): failed id fqdn(any:0,[0..9]="Lokale IPSec ID von Standort B") -> ip "WAN IP Standort A" (No proposal chosen)
Im Lancom steht: Kein übereinstimmendes Proposal gefunden (Passiver Verbindungsaufbau, IKE) [0x2203]
Demzufolge prüfte ich erst einmal das VPN im Lancom und passte folgendes an:
Management -> VPN -> IKE/IPSec -> IPSec-Proposals -> IPSec-Proposals …
Beide, durch den Assistenten angelegte IPSec-Proposlas sind wie folgt konfiguriert:
WIZ-TN-AESSHA256: Verschlüsselung: AES-CBC, Schlüssel-Länge: 256 bit, Authentifizierung: HMAC-SHA-256, Gültigkeitsdauer: 28.800 Sekunden / 2.000.000 kByte
WIZ-TN-AES256-SHA: Verschlüsselung: AES-CBC, Schlüssel-Länge: 256 bit, Authentifizierung: HMAC-SHA1, Gültigkeitsdauer: 28.800 Sekunden / 2.000.000 kByte
Das wiederum passt doch nicht mit der Konfiguration in der Digibox, oder? Daher passte ich diese an (und bezeichnete die auch neu):
WIZ-TN-AESSHA256 -> WIZ-TN-3DES-MD5: 3DES-CBC, Schlüssel-Länge: 168 bit, Authentifizierung: HMAC-MD5, Gültigkeitsdauer: 28.800 Sekunden / 2.000.000 kByte
WIZ-TN-AES256-SHA -> WIZ-TN-AES-MD5: Verschlüsselung: AES-CBC, Schlüssel-Länge: 128 bit, Authentifizierung: HMAC-MD5, Gültigkeitsdauer: 28.800 Sekunden / 2.000.000 kByte
Auch mit der Änderung kann die Digibox kein Tunnel zum Lancom aufbauen.
Stellt sich nun die Frage, was bei der Konfiguration nicht richtig ist. Was habe ich nicht beachtet oder ggf. überlesen? Eventuell kennt jemand das Problem und kann unterstützen?
Danke & viele Grüße
3097
3
This could help you too
2 years ago
92
0
1
Accepted Solution
accepted by
6 years ago
wz_ike_1 -> Proposals: Verschlüsselung AES-256 / Authentifizierung SHA2 256 (Rest deaktiviert)
wz_ipsec_1 -> Proposals: Verschlüsselung AES-256 / Authentifizierung SHA1 (Rest deaktiviert)
Der Tunnel war binnen Sekunden etabliert. Auch nach Neustart der Gateways wurde der Tunnel aufgebaut.
Schönen Abend...
0
6 years ago
ich bitte um Entschuldigung, dass ich mich erst jetzt bei Ihnen melde.
Um so mehr freut es mich, dass Sie eine Lösung gefunden haben.
Vielen Dank, dass Sie sich die Mühe gemacht haben dies noch zu schreiben.
Freundliche Grüße und ein schönes Weihnachtsfest
Marita W.
1
Answer
from
6 years ago
Danke für die Rückantwort. Das passt schon, die Lösung fand ich unmittelbar nach dem Posting. So schnell wäre keine Antwort möglich
Danke und ebenso eine schöne Weihnachtszeit. VG Michael
Unlogged in user
Answer
from
Unlogged in user
Ask
from