Hallo Lancom-Gemeinde
Ich habe (wie soviele ) ein grosses Problem bei der Einrichtung eines VPN-Tunnel zwischen einem Lancom 1821+ und einer Frtitzbox 7490.
Ich bekomme einfach keinen VPN-Tunnel zum laufen. Hier mal meine Einstellungen.
Fritzbox (Nixda-Box) hängt an einem DSL-Anschluß und der Lancom (Lancom) über LAN1 an einem VDSL Modem. VDSL und Telefonie sind am laufen.
Für die Fritzbox habe ich nachfolgende Konfig übertragen.
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "LancomVPN";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "Lancom-DYNS";
localid {
fqdn = "Nixda-Box";
}
remoteid {
fqdn = "Lancom";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "-------KEY---------------";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.2.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.1.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.1.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF
Der 1821+ hat Firmware LC-1821plus-B-9.00.0275-RU4 drauf. Habe alles weitere in den Lancom nach dieser Anleitung von AVM eingegeben.
Rufen Sie im Konfigurationsprogramm des LANCOM-Routers die VPN-Konfiguration auf.
Nehmen Sie auf der Registerkarte "Allgemein" folgende Einstellungen vor:
"Virtual Private Network:" = "Aktiviert"
Deaktivieren Sie die Optionen "Vereinfachte Einwahl mit Zerifikaten aktiviert" und "NAT-Traversal aktiviert".
"Aufbau Netzbeziehungen (SAs):" = "Jede einzeln nach Bedarf"
Wählen Sie auf der Registerkarte "Allgemein" die "Verbindungs-Parameter".
Nehmen Sie im Fenster "Verbindungs-Parameter - Eintrag beabeiten" folgende Einstellungen vor:
"Bezeichnung" = FRITZ!BOX
"PFS-Gruppe:" = "2 (MODP-1024)"
"IKE-Gruppe:" = "2 (MODP-1024)"
"IKE-Proposals:" = "IKE_PRESH_KEY"
"IKE-Schlüssel:" = keine Auswahl (Leerer Eintrag)
"IPSec-Proposals:" = "ESP_TN"
Wählen Sie auf der Registerkarte "Allgemein" die "Verbindungs-Liste".
Nehmen im Fenster "Verbindungs-Liste - Eintrag bearbeiten" folgende Einstellungen vor:
"Name der Verbindung" = FRITZ!Box
"Haltezeit" = 3.600 Sekunden
"Dead Peer Detection" = 0 Sekunden
"Extranet-Adresse" = 192.168.2.0
"Entferntes Gateway:" = fritzbox.dyndns.org
"Verbindungs-Parameter" = "FRITZ!BOX"
"Regelerzeugung:" = "Automatisch"
Aktivieren Sie die Optionen "Kein dynamisches VPN" und "Aggressive Mode".
"IKE-CFG:" = "Aus"
"Routing-Tag:" = 0
Wählen Sie die Registerkarte "Defaults" und nehmen Sie folgende Einstellungen im Abschnitt "Für Aggressive-Mode-Verbindungen" vor:
"Default IKE-Proposal-Liste:" = "IKE_PRESH_KEY"
"Default IKE-Gruppe:" = "2 (MODP-1024)"
HINWEIS:
Die weiteren Einstellungen auf der Registerkarte Defaults sind für die VPN-Verbindung zur FRITZ!Box irrelevant.
Wählen Sie auf der Registerkarte "IKE-Param." die "IKE-Proposals".
Nehmen Sie im Fenster "IKE-Proposals - Eintrag bearbeiten" folgende Einstellungen vor:
"Bezeichnung" = FRITZ!BOX
"Verschlüsselung:" = "AES-CBC"
"Schlüssel-Länge:" = 256 bit
"Hash:" = "SHA1"
"Authentifizierung" = "Preshared Key"
"Gültigkeitsdauer" = 3.600 Sekunden, 0 kBytes
Wählen Sie auf der Registerkarte "IKE-Auth." die "IKE-Schlüssel und Identitäten".
Nehmen Sie im Fenster "IKE-Schlüssel und Identitäten - Eintrag bearbeiten" folgende Einstellungen vor:
"Bezeichnung" = FRITZ!BOX
"Preshared-Key" = -------KEY--------
"Lokaler Identität-Typ:" = "Domänen-Name (FQDN)"
"Lokale Identität:" = Lancom
"Entfernter Identität-Typ:" = "Domänen-Name (FQDN)"
"Entfernte Identität:" = "Nixda-Box"
Wählen Sie auf der Registerkarte "IPSec-Param." die "IPSec-Proposals".
Nehmen Sie im Fenster "IPSec-Proposals - Eintrag bearbeiten" folgende Einstellungen vor:
"Bezeichnung" = FRITZ!BOX
"Modus:" = "Tunnel"
"Verschlüsselung:" = "AES-CBC"
"Schlüssel-Länge:" = 256 bit
Unter "ESP-Proposal": "Authentifizierung:" = "HMAC-SHA1"
Unter "AH-Proposal": "Authentifizierung:" = "Kein AH"
"Kompression:" = "Kein IPCOMP"
"Gültigkeitsdauer" = 3.600 Sekunden, 200.000 kBytes
VPN-Verbindung herstellen
Die VPN-Verbindung zwischen FRITZ!Box und dem Router LANCOM 1722 VoIP wird automatisch hergestellt, wenn aus dem FRITZ!Box-Netzwerk eine Anfrage an ein Netzwerkgerät im Netzwerk des LANCOM-Routers gestellt wird (und umgekehrt).
Beispiel:
Im FRITZ!Box-Netzwerk wird von einem Computer mit der IP-Adresse 192.168.100.20 auf die Netzwerkfreigabe des Computers 192.168.200.20 im Netzwerk des LANCOM-Routers zugegriffen.
Der Status der VPN-Verbindung wird in der "Übersicht" der FRITZ!Box-.Benutzeroberfläche im Abschnitt "VPN-Verbindung" angezeigt.
Leider kommt kein VPN-Tunnel zu stande. Ich habe schon so viele Fritzboxen eingerichtet ab der Lancom ist echt ne harte Nummer für mich.
Ich brauche dringend Hilfe da hinter dem Lancom meine Auerswald 5020 hängt und ich hinter der Fritzbox ein Snom 821 sowie Remotedesktop über den Firmenserver machen muss.
Würde mich sehr über Hilfe freuen und sage schon mal Danke
Grüße aus Berlin
P.S. Nachtrag habe im Log vom Lancom eben folgenden Eintrag gefunden IFC-I-Name-resolution-failed
1821+ VPN zu Fritzbox 7490
Moderator: Lancom-Systems Moderatoren
-
- Beiträge: 2914
- Registriert: 12 Jan 2010, 14:10
Re: 1821+ VPN zu Fritzbox 7490
Hallo Senti,
falls die Meldung stimmt, dann gehe mal via Telnet/SSH auf den Lancom, und ping mal den DynDNS Namen der Fritzbox. Kommt eine Auflösung / Antwort zustande? Wenn nein trace # dns danach den ping wiederholen. Wenn Namensauflösung klappt andere Baustelle.
Wenn dort was steht Richtung kein DNS vorhanden schau mal unter IPv4 / DNS / Weiterleitungen nach.
Gruß Dr.Einstein
falls die Meldung stimmt, dann gehe mal via Telnet/SSH auf den Lancom, und ping mal den DynDNS Namen der Fritzbox. Kommt eine Auflösung / Antwort zustande? Wenn nein trace # dns danach den ping wiederholen. Wenn Namensauflösung klappt andere Baustelle.
Wenn dort was steht Richtung kein DNS vorhanden schau mal unter IPv4 / DNS / Weiterleitungen nach.
Gruß Dr.Einstein
Re: 1821+ VPN zu Fritzbox 7490
also der ping auf die Fritzbox DYN lies sich mit der externenen IP auflösen
das war es leider nicht
das war es leider nicht
Re: 1821+ VPN zu Fritzbox 7490
hat den keiner eine Idee wie man das in den Griff bekommt ?
Re: 1821+ VPN zu Fritzbox 7490
Hallo,
Grüße
Cpuprofi
stelle mal im Lancom unter "Haltezeit" = 9999 ein und starte den Lancom neu. Teile uns dann mit, ob der Verbindungsaufbau klappt. Wenn nicht, benötigt man am besten einen VPN Trace zur weiteren Analyse.Senti hat geschrieben:Die VPN-Verbindung zwischen FRITZ!Box und dem Router LANCOM 1722 VoIP wird automatisch hergestellt, wenn aus dem FRITZ!Box-Netzwerk eine Anfrage an ein Netzwerkgerät im Netzwerk des LANCOM-Routers gestellt wird (und umgekehrt).
Grüße
Cpuprofi
Re: 1821+ VPN zu Fritzbox 7490
Nun bekomme ich folgende Meldung IFC-I-No-poll-table-entry-matched
Habe mir darauf die Polling Tabelle angesehen und dort war kein Eintrag drin.
Neuen Eintrag angelegt mit Gegenstelle Nixda-Box ( Fritzbox ) und IP1 192.168.2.1 und IP2 192.168.2.85 (Snom821) Absendeadresse Intranet
leider hilft das auch nicht
Habe mir darauf die Polling Tabelle angesehen und dort war kein Eintrag drin.
Neuen Eintrag angelegt mit Gegenstelle Nixda-Box ( Fritzbox ) und IP1 192.168.2.1 und IP2 192.168.2.85 (Snom821) Absendeadresse Intranet
leider hilft das auch nicht
Re: 1821+ VPN zu Fritzbox 7490
Hallo zusammen,
ich kram das noch einmal hervor, weil es (noch) keine Lösung gibt und ich jetzt exakt vor demselben Problem stehe, allerdings mit einem LanCom 1781A auf der einen und einer FRITZ!Box 7490 auf der anderen Seite. Ich habe 2-3 mal zufällig ohne es zu merken eine Verbindung hinbekommen, das hat allerdings dann etwa eine halbe Stunde gedauert. Da ich absolut keine Ahnung habe, sagt mir der Trace des LanCom gar nichts. Ich sehe nur, dass sich Abläufe ständig wiederholen, aber nicht warum. Das Ereignisprotokoll der Fritzbox meldet ständige Timeouts: VPN-Fehler: ACG, IKE-Error 0x2027
Hat der OP das Problem evtl. gelöst oder hat sonst jemand einen schlauen Rat? Danke!
ich kram das noch einmal hervor, weil es (noch) keine Lösung gibt und ich jetzt exakt vor demselben Problem stehe, allerdings mit einem LanCom 1781A auf der einen und einer FRITZ!Box 7490 auf der anderen Seite. Ich habe 2-3 mal zufällig ohne es zu merken eine Verbindung hinbekommen, das hat allerdings dann etwa eine halbe Stunde gedauert. Da ich absolut keine Ahnung habe, sagt mir der Trace des LanCom gar nichts. Ich sehe nur, dass sich Abläufe ständig wiederholen, aber nicht warum. Das Ereignisprotokoll der Fritzbox meldet ständige Timeouts: VPN-Fehler: ACG, IKE-Error 0x2027
Hat der OP das Problem evtl. gelöst oder hat sonst jemand einen schlauen Rat? Danke!
Gruß Peter