 |
|
|
|
| Autor |
Nachricht |
Haliel
Anmeldungsdatum: 27.05.2010
Beiträge: 19
Wohnort: Wiesbaden
|
 Verfasst am:
Di 06 Jul, 2010 14:04 |
  |
|
Hallöchen mal wieder,
habe noch schnell mal eine Frage zum Thema Ports. Zur Situation:
Filiale 1 -> 1711+ über UM-Kabelmodem in Netz (funzt super)
Filiale 2 -> 1611+ über ein Speedport 300 in Netz
Um jetzt einen VPN-Tunnel aufzubauen muss ich ja im Speedport Portsfreischalten. Wenn mich mein Wissen nicht täuscht müssten doch die Ports UDP 500 (IKE) und UDP 4500 (NAT-T) reichen oder?
Danke schon mal im Voraus
grüße Haliel |
|
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
ft2002
Anmeldungsdatum: 10.02.2010
Beiträge: 436
Wohnort: Hamburg
|
| Verfasst am:
Di 06 Jul, 2010 14:15 |
|
|
|
|
|
Haliel
Anmeldungsdatum: 27.05.2010
Beiträge: 19
Wohnort: Wiesbaden
|
| Verfasst am:
Di 06 Jul, 2010 16:58 |
|
|
Hy,
also eingerichtet habe ich jetzt die Verbindung so wie in der zweiten Anleitung, ohne ISDN. Bei der Gegenstelle habe ich die Konfig auch eingetragen aber so richtig funzt das noch nicht.
Der 1611+er gibt folgenden fehler aus:
4 06.07.2010 16:44:10 LOCAL0 Fehler VPN: Error for peer VPN-Filiale1: IFC-I-Name-resolution-failed
5 06.07.2010 16:44:22 LOCAL0 Fehler VPN: Disconnect info for peer VPN-Filiale1: physical-disconnected
6 06.07.2010 16:44:22 AUTH Hinweis logged out from peer VPN-Filiale1
8 06.07.2010 16:44:37 LOCAL0 Fehler VPN: Disconnect info for peer VPN-Filiale1: physical-disconnected
9 06.07.2010 16:44:37 AUTH Hinweis logged out from peer VPN-Filiale1
10 06.07.2010 16:45:08 LOCAL0 Fehler VPN: Error for peer VPN-Filiale1: IFC-I-Connection-timeout-dynamic
11 06.07.2010 16:45:39 LOCAL0 Fehler VPN: Error for peer VPN-Filiale1: IFC-I-Connection-timeout-dynamic
12 06.07.2010 16:45:43 LOCAL0 Fehler VPN: Disconnect info for peer VPN-Filiale1: physical-disconnected
13 06.07.2010 16:45:43 AUTH Hinweis logged out from peer VPN-Filiale1
16 06.07.2010 16:46:14 LOCAL0 Fehler VPN: Error for peer VPN-Filiale1: IFC-I-Connection-timeout-dynamic
17 06.07.2010 16:46:37 LOCAL0 Fehler VPN: Disconnect info for peer VPN-Filiale1: physical-disconnected
18 06.07.2010 16:46:37 AUTH Hinweis logged out from peer VPN-Filiale1
Der 1711er gibt im Protokoll garnichts aus. Kannst du was damit anfangen? |
|
|
|
|
ft2002
Anmeldungsdatum: 10.02.2010
Beiträge: 436
Wohnort: Hamburg
|
| Verfasst am:
Di 06 Jul, 2010 17:12 |
|
|
Wie kannst Du denn 1711 erreichen per DYNDNS denk ich ,
Ging das , also war er erreichbar ?
Und das wichtigste wie hast Du die Verbindung des 1611 eingerichtet, also auf welche Art hast Du beide Konfiguriert Speedport und 1611 ?
Es sieht so aus als wenn der 1611 den VPN nicht aufbauen kann .... |
|
|
|
|
Haliel
Anmeldungsdatum: 27.05.2010
Beiträge: 19
Wohnort: Wiesbaden
|
| Verfasst am:
Di 06 Jul, 2010 19:24 |
|
|
Hy,
also beide Lancom Router sind über DynDns erreichbar (Ports 80 Frei).
Der 1711+ in der Filiale 1 ist über den WANPort mit dem Kabelmodem von Unitymedia verbunden (DHCPOE) ins I-Net (siehe anderen Beitrag von mir).
Der 1611+ in der Filiale 2 ist über sein WANPort mit dem Speedport 300 verbunden (Feste IP) ins I-Net.
Das ist der Derzeitige stand, denn zwischen Drin habe ich die neue Firmware gesehen und die mal aufgespielt und dank eines tollen zufalls habe ich dann den 1611+ reseten müssen.
Jetzt habe ich den 1611+ so konfiguriert wie in deinem Link beschrieben.
Hier die Zusammenfassung:
(Config für den 1611+)
Name der Verbindung: VPN-Filiale1
Haltezeit: 9.999 Sek
Dead Peer Detection: 60
Extranet-Adresse: 0.0.0.0
Entferntes Gateway: filiale1.dyndns.org
Verbindungsparameter: VPN-Filiale1
Regelerzeugung: Auto
Dyn VPN: (UDP)
IKE: (Grau, aber MainMode)
IKE-CFG: Aus
XAuth: Aus
SSL-IPSEC: aus
Routing-Tag: 0
(Config für den 1711+)
Name der Verbindung: VPN-Filiale2
Haltezeit: 9.999 Sek
Dead Peer Detection: 60
Extranet-Adresse: 0.0.0.0
Entferntes Gateway: 0.0.0.0
Verbindungsparameter: VPN-Filiale2
Regelerzeugung: Auto
Dyn VPN: Kein
IKE: MainMode
IKE-CFG: Aus
XAuth: Aus
SSL-IPSEC: aus
Routing-Tag: 0
Das Passwort und der Key sind identisch!
NAT-T ist bei beiden Aktiv. Wenn noch was fehlt sag bescheid |
|
|
|
|
ft2002
Anmeldungsdatum: 10.02.2010
Beiträge: 436
Wohnort: Hamburg
|
| Verfasst am:
Di 06 Jul, 2010 19:32 |
|
|
Nim mal bei dem 1711 die Haltezeit raus auf 0 stellen und es wäre wichtig was der trace im 1711 sagt vpn-status
Es ist alles interresant ab dem ersten Error
Ist am 1611 bei VPN Gemeinsam für KeepAlive eingestellt und am 1711 nicht ?
Beim 1611 wie hast Du die IP Adressen vergeben je Router einen anderen Kreis, damit das Routing funktioniert.
Als der SpeedPort hat z.B. 192.168.212.0 und der 1611 die 192.168.2.1
(Speedport hat also nur eine Transport-Netz funktion!) |
|
|
|
|
Haliel
Anmeldungsdatum: 27.05.2010
Beiträge: 19
Wohnort: Wiesbaden
|
| Verfasst am:
Di 06 Jul, 2010 19:38 |
|
|
gnarf sag ich mal. Hab den Beitrag gerade geschrieben neben der neukonfig der beiden und bin dann mal schnell in die küche gegangen und was sehen meine Augen beim zurückkommen???
(1711+)
23 06.07.2010 19:30:40 AUTH Hinweis User Filiale2 successfully logged in
24 06.07.2010 19:31:55 LOCAL0 Fehler line polling to peer Filiale2 failed
25 06.07.2010 19:31:55 LOCAL0 Fehler VPN: Error for peer Filiale2: IFC-X-Line-polling-failed
26 06.07.2010 19:31:55 LOCAL0 Fehler last message repeated 1 time
27 06.07.2010 19:31:55 AUTH Hinweis User Filiale2 logged out
Das macht der jetzt ca alle 70 Sek das Spiel und der 1611+ erzählt:
40 06.07.2010 19:30:40 AUTH Hinweis Successfull logged in to peer Filiale1
41 06.07.2010 19:30:46 LOCAL0 Fehler VPN: Disconnect info for peer Filiale1: physical-disconnected
42 06.07.2010 19:30:46 AUTH Hinweis logged out from peer Filiale1
43 06.07.2010 19:31:05 LOCAL0 Fehler VPN: Disconnect info for peer Filiale1: physical-disconnected
44 06.07.2010 19:31:05 AUTH Hinweis logged out from peer Filiale1
45 06.07.2010 19:31:14 LOCAL0 Fehler VPN: Disconnect info for peer Filiale1: physical-disconnected
46 06.07.2010 19:31:14 AUTH Hinweis logged out from peer Filiale1
47 06.07.2010 19:31:35 LOCAL0 Fehler VPN: Disconnect info for peer Filiale1: physical-disconnected
48 06.07.2010 19:31:35 AUTH Hinweis logged out from peer Filiale1
49 06.07.2010 19:31:39 LOCAL0 Fehler VPN: Disconnect info for peer Filiale1: physical-disconnected
50 06.07.2010 19:31:39 AUTH Hinweis logged out from peer Filiale1
51 06.07.2010 19:31:44 LOCAL0 Fehler VPN: Disconnect info for peer Filiale1: physical-disconnected
52 06.07.2010 19:31:44 AUTH Hinweis logged out from peer Filiale1
53 06.07.2010 19:31:50 LOCAL3 Alarm Dst: 192.168.2.152 {Filiale2}, Src: 81.210.167.25 (ESP): connection refused
54 06.07.2010 19:31:54 LOCAL3 Alarm last message repeated 4 times
55 06.07.2010 19:31:57 AUTH Hinweis Successfull logged in to peer Filiale1
ist zwar eine neue situ aber zu deinen Fragen,
Wo kan ich den Trace machen? Aus windows heraus bring das ja nichts.
Gemeinsam für KeepAlive ist bei beiden an.
| ft2002 hat folgendes geschrieben:
|
Beim 1611 wie hast Du die IP Adressen vergeben je Router einen anderen Kreis, damit das Routing funktioniert.
Als der SpeedPort hat z.B. 192.168.212.0 und der 1611 die 192.168.2.1
(Speedport hat also nur eine Transport-Netz funktion!)
|
Nein beide im selben Netzt, da der Speedport noch das Netz drum herum betreut, wird aber alles bald auf den Lancom umgesetzt, Netze sollen aber so bleiben. (Filiale 1 192.168.1.0, Filiale 2 192.168.2.0) Oder soll ich zwischen Speedport und Lancom nen anderes Netz setzten? |
|
|
|
|
ft2002
Anmeldungsdatum: 10.02.2010
Beiträge: 436
Wohnort: Hamburg
|
| Verfasst am:
Di 06 Jul, 2010 21:56 |
|
|
Wenn Du in den 1611 was reinsteckst kannst Du dann überhaupt surfen.
Ich würde den 1611 als Verwalter und Gateway für das Netz nehmen und den Speedport nur wie ein Modem nutzen ebend nur mit IPoE an der WAN.
Du bekommst sonnst Probleme mit dem Routing weil Du zwei Gateways hast und dann muesstest Du ein paar Einstellungen anpassen auch am Speedport.
Ich sag ma das es einfacher ist den Lancom als Gateway und den Speedport als Modem.
Dann sollte es auch funktionieren...  |
|
|
|
|
Haliel
Anmeldungsdatum: 27.05.2010
Beiträge: 19
Wohnort: Wiesbaden
|
| Verfasst am:
Mi 07 Jul, 2010 07:05 |
|
|
OK, versuche ich dann gleich um kurz nach 9 mal. Wie siehts mit dem KeepAlive aus? Soll ich das beim 1711 aus machen? |
|
|
|
|
ft2002
Anmeldungsdatum: 10.02.2010
Beiträge: 436
Wohnort: Hamburg
|
| Verfasst am:
Mi 07 Jul, 2010 08:04 |
|
|
ja KeepAlive ist nur im aufbauenden einzustellen.
Es ersetzt das Polling ob die Leitung steht, Wenn nichts passiert auf der Leitung wird darüber der Verbindungszustand überwacht und die Leitung aktiv gehalten.
Achso Tracen kanst Du auf verschieden arten: (Immer auf dem zu Empfangenen Gerät!)
Per Telnet Strg + T im ConfigManager auf das Gerät und nach der Passworteingabe direkt
Show VPN für SA Aushandlung oder
Trace # VPN Status für den Status bei der Aushandlung
am einfachsten ist es im LanMonitor (aktives LanMonitor Fenster) oben auf das Gerät , es markieren und dann die Lupe . (oder rechte MAus auf das Gerät und Trace)
Dort suchst Du nach VPN-Status
Was Du auch noch kontrollieren kannst , obwohl bei einer Verbindung und alles automatisch eingerichtet sollte es eigendlich klappen........
Im Trace Feld im Baum oben auf Show klicken und dort VPN dann einmal auslesen die SA verhandlung . Sollte in beiden Geräten Deine Netze auftauchen
Viel Erfolg |
|
|
|
|
Haliel
Anmeldungsdatum: 27.05.2010
Beiträge: 19
Wohnort: Wiesbaden
|
| Verfasst am:
Mi 07 Jul, 2010 11:22 |
|
|
schön wärs wenn ich schon so weit wäre. Das Protokoll des 1611+ wirft mir jetzt das hier aus:
Fehler error for peer INTERNET: DSL layer 1
Dummerweise kann ich im Speddport 300 nur die letzten 2 Oktete ändern.
Hab schon gelesen, wenn ich ein Transfernetz nutze mit einem Privaten Adressbereich muss ich eine neue IP-Router festlegen oder die bockierende löschen. Macht es sinn die blockierende zu löschen oder soll ich lieber einen neue Router schreiben?
Das Netz, was der Speedport jetzt nutzt lautet 192.168.36.0/24.
Die Route dazu müste dann so aussehen oder?
IP-Adresse: 192.168.36.0
Netzmaske: 255.255.255.0
Routing-Tag: 0
Schaltzustand: An, sticky für RIP
Router: INTERNET
Distanz: 0
Mask.: aus
oder hab ich da einen Denkfehler? |
|
|
|
|
ft2002
Anmeldungsdatum: 10.02.2010
Beiträge: 436
Wohnort: Hamburg
|
| Verfasst am:
Mi 07 Jul, 2010 11:47 |
|
|
Nein, nein , nein
Du richtest den 1611 von mir aus auch uber den Assi, ein DSL ein aber ebend per IPoE ohne Benutzerdaten und im Routing ist die default-Router auf den SpeedPort
255.255.255.0 0.0.0.0 Maskierung AN Tag 0
Der 1611 denkt das am WAN internet ist und leitet alle anfragen die er nicht auflösen kann an den WAN Port dort trifft er auf den Speedport und da der auch nichts damit anfangen kann leittet er ins jetz echte Internet
Dein IP Kreis muß im SpeedPort nur anders als im 1611 sein
Ganz einfach  |
|
|
|
|
Haliel
Anmeldungsdatum: 27.05.2010
Beiträge: 19
Wohnort: Wiesbaden
|
| Verfasst am:
Mi 07 Jul, 2010 12:15 |
|
|
also 1611 total reset, wan-verbindung als ipoe eingerichtet. jetzt taucht zwar im protokoll kein fehler mehr auf, aber die verbindung bricht laufend ab.
Im Protokoll steht nur alle 20 sekunden das er für den wanport ne neue ip und ein gateway hat. kabel ist in ordnung. liegt das vielleich am speedport?
auth hinweis local IP adress for INTERNET is 192.168.36.30, Gateway adress ist 192.168.36.150
der lanmonitor gibt mir noch folgenden fehleR raus: Protocol negotiation with INTERNET |
|
|
|
|
ft2002
Anmeldungsdatum: 10.02.2010
Beiträge: 436
Wohnort: Hamburg
|
| Verfasst am:
Mi 07 Jul, 2010 12:29 |
|
|
Vergebe mal eine Festeip mit allen Einträgen und mach mal ein Neustart auf Lancom und Speedport.
Danach solltest Du eigendlich hinter dem Lancom surfen können....
Editiert:
Einstellung unter Schnittstellen/WAN fest auf 10MBit Vollduplex stellen, die aushandlung zum Speedport funzt nicht !!! |
Zuletzt bearbeitet von ft2002 am Do 08 Jul, 2010 00:58, insgesamt einmal bearbeitet |
|
|
|
Haliel
Anmeldungsdatum: 27.05.2010
Beiträge: 19
Wohnort: Wiesbaden
|
| Verfasst am:
Mi 07 Jul, 2010 12:54 |
|
|
so feste ip drin aber surfen geht immernoch nicht. wan verbindung bricht wieder ab und im prot steht das hier wieder,
Fehler error for peer INTERNET: DSL layer 1
der mag mich nicht würde ich sagen! |
|
|
|
|
|
|
|
|
| |
|
|
