Hallo Kristian,
-----Ursprüngliche Nachricht----- Von: Kristian Koehntopp [mailto:kris@koehntopp.de] Gesendet: Donnerstag, 3. April 2003 10:01
Also ich habe jetzt gestern zwei unterschiedliche Subnetze eingerichtet (1. bei mir, 2. beim Kollegen). Die Router sind jetzt nach einem Start der VPN-Verbindung noch erreichbar (besser *g*). Wenn ich nun die VPN Verbindung starte, erhalte ich auf der Konsole router01:/etc # ipsec auto --up vpn 104 "vpn" #1: STATE_MAIN_I1: initiate 106 "vpn" #1: STATE_MAIN_I2: sent MI2, expecting MR2 108 "vpn" #1: STATE_MAIN_I3: sent MI3, expecting MR3 004 "vpn" #1: STATE_MAIN_I4: ISAKMP SA established
bis hier scheint meiner Meinung nach alles i.O.
112 "vpn" #2: STATE_QUICK_I1: initiate 003 "vpn" #2: route-client command exited with status 7 032 "vpn" #2: STATE_QUICK_I1: internal error 010 "vpn" #2: STATE_QUICK_I1: retransmission; will wait 20s for response 003 "vpn" #2: route-client command exited with status 7 032 "vpn" #2: STATE_QUICK_I1: internal error qrouter01:/etc # ipsec auto --up vpn 112 "vpn" #3: STATE_QUICK_I1: initiate 003 "vpn" #3: route-client command exited with status 7 032 "vpn" #3: STATE_QUICK_I1: internal error 010 "vpn" #3: STATE_QUICK_I1: retransmission; will wait 20s for response 003 "vpn" #3: route-client command exited with status 7 032 "vpn" #3: STATE_QUICK_I1: internal error 003 "vpn" #3: route-client command exited with status 7 032 "vpn" #3: STATE_QUICK_I1: internal error 010 "vpn" #3: STATE_QUICK_I1: retransmission; will wait 40s for response 031 "vpn" #3: max number of retransmissions (2) reached STATE_QUICK_I1. No acceptable response to our first Quick Mode message: perhaps peer likes no proposal 000 "vpn" #3: starting keying attempt 2 of an unlimited number, but releasing whack Ich habe mal nach den Routen geschaut.... router01:/etc # route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface xxx.xxx.xxx.xxx * 255.255.255.255 UH 0 0 0 ppp0 xxx.xxx.xxx.xxx * 255.255.255.255 UH 0 0 0 ipsec0 192.168.1.0 * 255.255.255.0 U 0 0 0 eth0 192.168.10.0 * 255.255.255.0 U 0 0 0 eth1 default xxx.xxx.xxx.xxx 0.0.0.0 UG 0 0 0 ppp0 Ist das so richtig? Eigentlich müsste ipsec0 doch eine interne IP haben und dann eine Gateway IP, oder? Konfigs sind jetzt so aufgebaut: router01:/etc # cat ipsec.conf # basic configuration config setup interfaces=%defaultroute klipsdebug=all plutodebug=all plutoload=%search plutostart=%search uniqueids=no conn %default keyingtries=0 compress=yes disablearrivalcheck=no authby=secret #authby=rsakey #leftrsasigkey=%cert #rightrsasigkey=%cert #leftid="xxxxmail" #rightid="xxxxport" conn vpn left=ich_ddns leftsubnet=192.168.1.0/24 #leftnexthop=%defaultroute #leftid=@router01.dbendowski.do #leftfirewall=yes right=kollege_ddns rightsubnet=192.168.2.0/24 #rightnexthop=kollegenexthop #rightfirewall=yes #rightid=@fsmw01.local.ips type=tunnel auto=add #authby=rsasig authby=secret #leftcert=mail.xxx.de.pem #rightcert=port.xxx.de.pem #keyexchange=ike Habe auch schon versucht, als left und right mal die internen Ips der Router zu nehmen, dann sagt er, er hätte kein passendes ipsec Device zum Ziel. Firewall an od. aus, nexthops weg hab ich auch schon versucht, bringt alles nix, er hängt jetzt immer an der Stelle STATE_QUICK_I1... Langsam verzweifle ich... Ich weiss nicht wo der Fehler noch sein kann...... Hoffe Du hast noch Ideen. Danke und mit freundlichen Grüßen Dennis