[Frage] FB meldet bei VPN (shrew Soft) : wird aufgebaut - die Anzeige bleibt grau

[scheichip]

Hallo

Ich habe in der 7270 VPN aktiviert. Ich nutze Shrew-Soft.

ShrewSoft meldet im Protokoll als letztes : "tunnel enabled"

Aber unter Network von Shrew-Soft wird unter gesicherte Verbindungen angezeigt:

Established = 0

und zugleich: connected

Die 7270 meldet:

VPN (shrew Soft) : wird aufgebaut - die Anzeige bleibt aber grau

Was muss ich tun um eine VPN Verbindung zu bekommen?

Besten Dank für die Hilfe im Voraus

 

[andilao]

"Established = 0" und "wird aufgebaut" bleiben so bis zur ersten erfolgreichen Benutzung des Tunnels. Erfolglos ist es z.B. bei fehlerhaften IP-Adressen unter Policy - bei mir war es mal so gewesen.
Sieht das sinngemäß so aus?:

 

[scheichip]

Hallo und erstmal ganz herzlichen Dank.
Ursprünglich war bei meiner Konfiguration 192.168.100.0 als erster Wert eingetragen.
Ich habe nun stattdessen den Wert 192.168.178.0 eingetragen, so wie im Beispiel - leider ohne Änderung.
Nun hängt bei mir die 7270 am Modem von Kabeldeutschland - macht das etwas aus?

Des weiteren hat meine GUI kein Feld für "Policy Gerneration Level" daher kann ich diesen Wert auch nicht auf "auto" stellen

Kann das zur Lösung beitragen?

Herzlichen Dank

 

[andilao]

Mit sinngemäß meinte ich, dass da korrekt Dein Subnetz stehen sollte ...
Ist Deine Shrew-Version aktuell, also Shrew Soft VPN Client 2.1.7 Release?

Ich habe mal zum Vergleich meine funktionierenden Einstellungen in eine vpn-Datei exportiert
(Mit Deinem Subnetz, ohne Email, DynDNS und Kennwort):

n:network-ike-port:500
n:network-mtu-size:1380
n:client-addr-auto:1
n:network-natt-port:4500
n:network-natt-rate:15
n:network-frag-size:540
n:network-dpd-enable:1
n:client-banner-enable:1
n:network-notify-enable:1
n:client-wins-used:0
n:client-wins-auto:1
n:client-dns-used:0
n:client-dns-auto:0
n:client-splitdns-used:0
n:client-splitdns-auto:0
n:version:2
n:phase1-dhgroup:2
n:phase1-keylen:256
n:phase1-life-secs:3600
n:phase1-life-kbytes:0
n:vendor-chkpt-enable:0
n:phase2-keylen:256
n:phase2-life-secs:3600
n:phase2-life-kbytes:0
n:policy-nailed:0
n:policy-list-auto:0
s:network-host:### Dein DynDNS ###
s:client-auto-mode:pull
s:client-iface:virtual
s:network-natt-mode:enable
s:network-frag-mode:enable
s:auth-method:mutual-psk
s:ident-client-type:ufqdn
s:ident-server-type:address
s:ident-client-data:### Deine Email ###
s:phase1-exchange:aggressive
s:phase1-cipher:aes
s:phase1-hash:sha1
s:phase2-transform:esp-aes
s:phase2-hmac:sha1
s:ipcomp-transform:deflate
n:phase2-pfsgroup:2
s:policy-level:auto
s:policy-list-include:192.168.100.0 / 255.255.255.0
s:client-saved-username:

Und hier noch meine allg. Tipps zu diesem Client:
Bei "failed to attach to key daemon", muss man nicht gleich Windows neu starten, einfach per Trace Utility (...\ShrewSoft\VPN Client\ipsect.exe) den IKE-Service wieder starten.
Bisweilen geht das VPN ohne jegliche Fehlermeldung gar nicht mehr, die Ziel-FB zeigt dauerhaft "wird aufgebaut". Das passiert meist nach mehrmaligem Ruhezustand. Dann ist ein Neustart erforderlich.

 

[scheichip]

So - ich habe mich nochmals drübergesetzt - ohne Erfolg.

Ich habe nun versucht den Tunnel zu einer anderen FB aufzubauen (ebenfalls unter Linux, die andere FB hängt ebenfalls hinter einem Modem von Kabeldeutschland)

immer noch die gleiche Fehlersituation:

meine config:

n:version:2
n:network-ike-port:500
n:network-mtu-size:1380
n:client-addr-auto:1
n:network-natt-port:4500
n:network-natt-rate:15
n:network-frag-size:540
n:network-dpd-enable:1
n:network-notify-enable:1
n:client-banner-enable:1
n:client-dns-used:0
n:client-dns-auto:1
b:auth-mutual-psk:xxxxxxxxxxx
n:phase1-dhgroup:2
n:phase1-keylen:256
n:phase1-life-secs:3600
n:phase1-life-kbytes:0
n:vendor-chkpt-enable:0
n:phase2-keylen:256
n:phase2-pfsgroup:2
n:phase2-life-secs:3600
n:phase2-life-kbytes:0
n:policy-nailed:0
n:policy-list-auto:0
s:network-host:xxxx.org
s:client-auto-mode:pull
s:client-iface:virtual
s:network-natt-mode:enable
s:network-frag-mode:enable
s:auth-method:mutual-psk
s:ident-client-type:ufqdn
s:ident-client-data:- meine adresse -
s:ident-server-type:address
s:phase1-exchange:aggressive
s:phase1-cipher:aes
s:phase1-hash:sha1
s:phase2-transform:aes
s:phase2-hmac:sha1
s:ipcomp-transform:deflate
s:policy-list-include:192 . 168 . 100 . 0 / 255 . 255 . 255 . 0

Ich kann keinen substantiellen Unterschied erkennen;
trotzdem:
in der FB steht nur "wird aufgebaut"

Bin für jeden Vorschlag dankbar.
​

 

[andilao]

Die erkennbaren Unterschiede:

n:client-dns-auto:0      xxx hast du "1"
n:client-splitdns-auto:0 +++ hast du nicht
n:client-splitdns-used:0 +++ hast du nicht
n:client-wins-auto:1     +++ hast du nicht
n:client-wins-used:0     +++ hast du nicht
n:network-ike-port:500   --- habe ich nicht
s:policy-level:auto      +++ hast du nicht

Wie substantiell die sind, kann ich nicht beurteilen, nur meine geht so wie sie ist.
Wieso nimmst Du nicht einfach meine, änderst und importierst sie? Ist das unsportlich? ;-)

 

[scheichip]

Shrew-Soft und Linux problem?

Hallo und vielen Dank

Auch das entsprechende Übertragen der Einstellungen hat nichts geholfen.

Kann es sein dass das ein Problem von Shrew-soft unter Linux ist?

Vielen Dank