LANCOM-Forum.de

Das inoffizielle Profi-Forum für LANCOM-User
Aktuelle Zeit: 16 Jan 2018, 21:18

Alle Zeiten sind UTC + 1 Stunde [ Sommerzeit ]




Ein neues Thema erstellen Auf das Thema antworten  [ 11 Beiträge ] 
Autor Nachricht
BeitragVerfasst: 27 Nov 2012, 16:40 
Offline

Registriert: 27 Nov 2012, 15:54
Beiträge: 7
Hallo,

habe einen VPN-Zugang per LanConfig auf einem LC1621 gem. Handbuch konfiguriert, das Profil als Datei abgespeichert und auf einem Arbeitsplatz-PC den Client installiert und die Profildatei geladen.

Dieser Arbeitsplatz-PC , ein W7-PC x64 stellt aber keine Verbindung her. Der Verbindungsversuch dauert ca 20 Sekunden - solange ist der connect button grün. Danach ist der Button wieder rot.

Geplant ist, diesen VPN-Client auf einem PC ausserhalb der Firma einzusetzen. Zum Testen hab ich ihn erstmal auf einer Workstation im lokalen Firmennetz ( SBS 2003-Domäne) installiert.

Der LANCOM ist von aussen über eine dyndns-Adresse erreichbar, zumindest erscheint nach EIngabe der dyndns-Adresse im Browser das Lancom-Logo mit Firmware-Version und hostname.

Unten angehängt noch ein Auszug aus dem log des Adv.Client. Da sehe ich ein "disconnect" in der letzten Zeile, heisst das dass zuvor eine Verbindung bestand?

Funktioniert das etwa nicht wenn man im lokalen Netz sitzt?
Was läuft hier nicht richtig? Ich komme alleine nicht weiter.

Gruss,
Urmel


---Auszug aus dem log---
15:12:01 IPSec: Start building connection
15:12:01 IPSec: DNSREQ: resolving GW=<BLABLABLA.DYNDNS.ORG> over lan:
15:12:01 IPSec: DNSREQ: resolved ipadr: 666.666.666.666
15:12:02 Ike: Opening connection in PATHFINDER mode : LANCOM_GB-JEQK
15:12:02 Ike: Outgoing connect request AGGRESSIVE mode - gateway=66.666.666.666 : LANCOM_GB-JEQK
15:12:02 Ike: XMIT_MSG1_AGGRESSIVE - LANCOM_GB-JEQK
15:12:32 Ike: Switching to TCP ENCAPSULATION in PATHFINDER : LANCOM_GB-JEQK
15:12:32 Ike: Pathfinder-Outgoing connect request AGGRESSIVE mode - : LANCOM_GB-JEQK
15:12:32 Ike: XMIT_MSG1_AGGRESSIVE - LANCOM_GB-JEQK
15:12:42 IPSec: Disconnected from LANCOM_GB-JBQK on channel 1.
--- Ende ---


Nach oben
 Profil  
 
 Betreff des Beitrags: Advanced Client
BeitragVerfasst: 29 Nov 2012, 10:42 
Offline

Registriert: 27 Nov 2012, 15:54
Beiträge: 7
ok, ich seh es ein.

Es gibt das Forum "Alles zum VPN Advanced Client".

Werde dort eine neue Anfrage starten.

urrmel


Nach oben
 Profil  
 
 Betreff des Beitrags:
BeitragVerfasst: 29 Nov 2012, 11:17 
Offline
Moderator
Moderator
Benutzeravatar

Registriert: 09 Feb 2012, 11:26
Beiträge: 292
Wohnort: Jülich
Hi urrmel,

Zitat:
---Auszug aus dem log---
15:12:01 IPSec: Start building connection
15:12:01 IPSec: DNSREQ: resolving GW=<BLABLABLA.DYNDNS.ORG> over lan:
15:12:01 IPSec: DNSREQ: resolved ipadr: 666.666.666.666
15:12:02 Ike: Opening connection in PATHFINDER mode : LANCOM_GB-JEQK
15:12:02 Ike: Outgoing connect request AGGRESSIVE mode - gateway=66.666.666.666 : LANCOM_GB-JEQK
15:12:02 Ike: XMIT_MSG1_AGGRESSIVE - LANCOM_GB-JEQK
15:12:32 Ike: Switching to TCP ENCAPSULATION in PATHFINDER : LANCOM_GB-JEQK
15:12:32 Ike: Pathfinder-Outgoing connect request AGGRESSIVE mode - : LANCOM_GB-JEQK
15:12:32 Ike: XMIT_MSG1_AGGRESSIVE - LANCOM_GB-JEQK
15:12:42 IPSec: Disconnected from LANCOM_GB-JBQK on channel 1.
--- Ende ---


Nein verbunden war er bis zu diesem Zeitpunkt noch nicht. Was sagt ein VPN-Status Trace auf dem LANCOM wenn du versuchst den Client zu verbinden?

_________________
Gruß
Pothos


Nach oben
 Profil  
 
 Betreff des Beitrags:
BeitragVerfasst: 29 Nov 2012, 11:25 
Offline
Site Admin
Site Admin
Benutzeravatar

Registriert: 07 Nov 2004, 19:29
Beiträge: 4851
Wohnort: Aix la Chapelle
Hi,

ich hab das Thema mal ins richte Forum geschoben.


Ciao
LoUiS

_________________
Dr.House hat geschrieben:
Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.


Nach oben
 Profil  
 
 Betreff des Beitrags:
BeitragVerfasst: 29 Nov 2012, 12:04 
Offline

Registriert: 27 Nov 2012, 15:54
Beiträge: 7
Irgendwie scheint der lancom die Konfiguration nicht zu haben...

--- trace auszug ---
[VPN-Status] 2012/11/29 10:55:48,040
IKE info: Phase-1 negotiation failed: no configuration found for incoming peer 80.228.192.212
--- ENDE ---

mehr hier:
http://www.schneiderz.de/lc/


Nach oben
 Profil  
 
 Betreff des Beitrags:
BeitragVerfasst: 29 Nov 2012, 12:19 
Offline
Moderator
Moderator
Benutzeravatar

Registriert: 09 Feb 2012, 11:26
Beiträge: 292
Wohnort: Jülich
OK. Vermutlich existiert dann auch keine SA. Bitte mal mit "show vpn" prüfen.

Dann bitte einmal unter "VPN -> IKE-Auth. -> IKE-Schlüssel und Identitäten" die Identiät mit dem vergleichen was im Profil hinterlegt ist (sowohl Wert als auch Typ). Sollte das stimmen gehts einmal quer durch die konfig :D.
1. VPN Verbindungslisteneintrag vorhanden?
2. VPN Parameter vorhanden?
3. IKE und IPSec Parameter und Listen vorhanden?
4. Routingtabelleneintrag oder Adresspool für Einwahlzugänge definiert?
5. VPN Regel in der Firewall vorhanden?

Alternativ das eingerichtete Profil mit dem Setup-Assistenten von LANconfig löschen und ein neues einrichten.

_________________
Gruß
Pothos


Nach oben
 Profil  
 
 Betreff des Beitrags: Prüfungsergebnis
BeitragVerfasst: 29 Nov 2012, 14:44 
Offline

Registriert: 27 Nov 2012, 15:54
Beiträge: 7
Hi,
erstmal danke fürs erste feed back!

Ich habe also erstmal alle Zugänge mit dem Assistenten gelöscht.
Dann mit dem Assistenten einen neuen Zugang eingerichtet namesn TEST_2.
Dann einen neuen Verbindungsversuch durchgeführt, wieder keine Verbindung.
Der Trace mit show vpn liegt hier:
http://www.schneiderz.de/lc/LANCOM_GLB% ... 131739.lct

Vergleiche:
auf LC: Lokale/Entf. TYP= FQUN im Profil: Fully Qualified User Name
auf LC: Lokale/Entf. ID = TEST_2@intern im Profil: IkeIdStr=TEST2@intern

Hier stimmt was nicht, der Unterstrich fehlt im Profil, oder?

Werde nochmal mit einem Profilnamen ohne Sonderzeichen testen...

urrmel


Nach oben
 Profil  
 
 Betreff des Beitrags:
BeitragVerfasst: 29 Nov 2012, 15:05 
Offline

Registriert: 27 Nov 2012, 15:54
Beiträge: 7
Leider funktionierte auch der Zugang namens "PFUPF" nicht.
Trace ebenfalls hier:
www.schneiderz.de/lc

Muss jetzt wech, übrinx ganz in AC-Nähe ;-)
Bin erst Montag wieder im Büro.

Danke und So long erstmal,
Urrmel


Nach oben
 Profil  
 
 Betreff des Beitrags:
BeitragVerfasst: 29 Nov 2012, 15:05 
Offline
Moderator
Moderator
Benutzeravatar

Registriert: 09 Feb 2012, 11:26
Beiträge: 292
Wohnort: Jülich
Zitat:
Vergleiche:
auf LC: Lokale/Entf. TYP= FQUN im Profil: Fully Qualified User Name
auf LC: Lokale/Entf. ID = TEST_2@intern im Profil: IkeIdStr=TEST2@intern


Also der Typ ist korrekt, sprich FQUN = Fully Qualified User Name
ABER die ID muss die gleiche sein! Am einfachsten mal testen indem du beim Profil das gleiche einträgst wie im LANCOM.

Im Trace sieht man wieder, dass er die Einwahl nicht zuordnen kann. Aufgrund unterschiedlicher IDs kann der LANCOM das auch nicht zuordnen, weil im Aggressiv Mode anhand der Identitäten zugeordnet wird.

Edit: bezüglich dem zweiten Profil müsste genauso aussehen, wie beim ersten. Aber probier das Ganze mal von einer anderen WAN Verbindung aus. Also versuch mal eine Verbindung von zuhause in Richtung Firma. Es kann sein das der LANCOM sich verschluckt weil die eingehende Verbindung von "seiner" WAN IP kommt.

_________________
Gruß
Pothos


Nach oben
 Profil  
 
 Betreff des Beitrags:
BeitragVerfasst: 05 Dez 2012, 23:26 
Offline

Registriert: 27 Nov 2012, 15:54
Beiträge: 7
So,
eben habe ich von zu Hause aus mal einen Verbindungsversuch gestartet.
Wieder mit dem Profil "PFUPF", leider auch diesmal ohne Erfolg.

Den Trace habe ich hier hingepackt:
www.schneiderz.de/lc
Meines Erachtens sieht er genauso aus wie sonst. Der LC findet keine Konfig-Infos.

Die IDs werde ich morgen nochmal prüfen, schätze aber, dass die ok sein werden, da die ID nur Buchstaben hat.

Greetz,
Urrmel


Nach oben
 Profil  
 
 Betreff des Beitrags:
BeitragVerfasst: 06 Dez 2012, 11:57 
Offline

Registriert: 27 Nov 2012, 15:54
Beiträge: 7
Hurrah!
Erster Erfolg erzielt!

Also, ich bekomme nun eine Verbindung hin, auch aus dem lokalen Netz heraus.

Der Fehler lag vermutlich bei den Einstellungen im Lancom, Abschnitt VPN und dort im Register "Default". Darin waren wohl falsche IKE-Proposals-Defaults gesetzt (siehe Bild). Nachdem ich dort ..VPN... eingestellt hatte, funktioniert es.

Ich vermute nun mal, dass der Zugang prinzipiell ok ist.
Trace hier: www.schneiderz.de/lc (6.12.2012, 10:38).

Mein nächster Schritt ist jetzt, über den VPN-Tunnel eine Domänenanmeldung zu ermöglichen.

Funktioniert das, wenn das eine Ende des Tunnels bereits in dieser Domäne angemeldet ist?
... die Antwort kommt beim Schreiben: ich probiers mal von einer lokalen Anmeldung aus....

Grüsse ,
Urrmel


Dateianhänge:
Register_Default.jpg
Register_Default.jpg [ 53.69 KiB | 902-mal betrachtet ]
Nach oben
 Profil  
 
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen Auf das Thema antworten  [ 11 Beiträge ] 

Alle Zeiten sind UTC + 1 Stunde [ Sommerzeit ]



Ähnliche Themen
 Themen   Autor   Antworten   Zugriffe   Letzter Beitrag 
Es gibt keine neuen ungelesenen Beiträge in diesem Thema. Dateianhang Lancom advanced VPN client erkennt USB-Modem nicht

TBU

1

6032

22 Jul 2011, 13:42

TBU Neuester Beitrag

Es gibt keine neuen ungelesenen Beiträge in diesem Thema. LANCOM Advanced VPN Client 3.0 läßt sich nicht installieren

boehryjunk

3

1462

08 Jul 2015, 22:25

Bernie137 Neuester Beitrag

Es gibt keine neuen ungelesenen Beiträge in diesem Thema. Advanced VPN Client startet nicht mehr

wireless_lan

2

3524

06 Dez 2007, 23:29

wireless_lan Neuester Beitrag

Es gibt keine neuen ungelesenen Beiträge in diesem Thema. Dateianhang IKEv2 mit Advanced VPN Client (MAC) 2.05 RU1 nicht möglich

CyberT

1

632

20 Okt 2017, 21:47

GrandDixence Neuester Beitrag

Es gibt keine neuen ungelesenen Beiträge in diesem Thema. Installation Advanced VPN Client unter Windows 10 geht nicht

czahl

3

1572

13 Dez 2015, 20:48

czahl Neuester Beitrag

 


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 3 Gäste


Du darfst keine neuen Themen in diesem Forum erstellen.
Du darfst keine Antworten zu Themen in diesem Forum erstellen.
Du darfst deine Beiträge in diesem Forum nicht ändern.
Du darfst deine Beiträge in diesem Forum nicht löschen.
Du darfst keine Dateianhänge in diesem Forum erstellen.

Suche nach:
Gehe zu:  
cron
Powered by phpBB® Forum Software © phpBB Group