Probleme mit IPsec zwischen strongSwan und Lancom 7111

Gestern kam es zu anfänglich merkwürdigen Problemen bei einer IPSec net-net Verbindung zwischen strongSwan 4.2.4 und dem Lancom VPN Gateway 7111. Während der Tunnelaufbau vom Lancom Gateway aus problemlos funktionierte, ließ sich die Verbindung von der Gegenseite aus nicht initiieren. Bei jedem Versuch wurden auf dem strongSwan Gateway folgende Fehler protokolliert:

May 19 15:36:38 gw pluto[1865]: ERROR: asynchronous network error report on eth0 for message to 112.125.211.97 port 500, complainant 112.125.211.97: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)]
May 19 15:36:38 gw pluto[1865]: packet from 112.125.211.97:500: ignoring informational payload, type PAYLOAD_MALFORMED
May 19 15:36:38 gw pluto[1865]: ERROR: asynchronous network error report on eth0 for message to 112.125.211.97 port 500, complainant 112.125.211.97: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)]
May 19 15:36:38 gw pluto[1865]: packet from 112.125.211.97:500: ignoring informational payload, type INVALID_COOKIE
May 19 15:37:38 gw pluto[1865]: "net-net" #50: max number of retransmissions (2) reached STATE_MAIN_I3.  Possible authentication failure: no acceptable response to our first encrypted message
May 19 15:37:38 gw pluto[1865]: "net-net" #50: starting keying attempt 3 of at most 3
May 19 15:37:38 gw pluto[1865]: "net-net" #51: initiating Main Mode to replace #50
May 19 15:37:38 gw pluto[1865]: "net-net" #51: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
May 19 15:37:38 gw pluto[1865]: "net-net" #51: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
May 19 15:37:38 gw pluto[1865]: "net-net" #51: received Vendor ID payload [RFC 3947]
May 19 15:37:38 gw pluto[1865]: "net-net" #51: ignoring Vendor ID payload [eeefa37809e32ad4de4f6b010c26a640]
May 19 15:37:38 gw pluto[1865]: "net-net" #51: received Vendor ID payload [Dead Peer Detection]
May 19 15:37:38 gw pluto[1865]: "net-net" #51: enabling possible NAT-traversal with method 3
May 19 15:37:38 gw pluto[1865]: "net-net" #51: NAT-Traversal: Result using RFC 3947: no NAT detected
May 19 15:37:39 gw pluto[1865]: ERROR: asynchronous network error report on eth0 for message to net-net port 500, complainant 112.125.211.97: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)]
May 19 15:37:39 gw pluto[1865]: packet from 112.125.211.97:500: ignoring informational payload, type INVALID_PAYLOAD_TYPE

Auf dem Lancom Gateway kam es dabei zu folgender Fehlermeldung:

VPN: Error: IKE-R-IKE-key-mismatch (0x220a) for NET (123.14.60.87)

Als erstes haben wir natürlich die Einstellungen für Phase 1 und Phase 2 verglichen – auf den ersten Blick alles identisch. Auf den zweiten Blick stelle sich dann allerdings ein kleiner Unterschied heraus: Während die für die Tunneldefinition gewählte AES-Verschlüsselung auf dem Lancom 7111 fest mit 128 Bit konfiguriert war, waren die entsprechenden Parameter von strongSwan mit ike=aes-sha-modp1536 bzw. esp=aes-sha1 ohne explizite Angabe der Verschlüsselungsstärke definiert.

Offenbar akzeptiert strongSwan in diesem Fall sowohl Proposals mit 128- als auch 256 Bit, weshalb die vom Lancom Gateway initiierte Verbindung problemlos funktionierte. Dagegen scheint es für das Gerät ein Problem zu sein, wenn die Verbindung von strongSwan initiiert wird und dort die Verschlüsselungsstärke nicht explizit definiert ist. Erst nach Änderung der strongSwan Konfiguration auf ike=aes128-sha-modp1536 bzw. esp=aes128-sha1 ließ sich die Verbindung auch von dort aus fehlerfrei initiieren.

0 Responses to “Probleme mit IPsec zwischen strongSwan und Lancom 7111”



  1. Schreibe einen Kommentar

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s





%d Bloggern gefällt das: