 |
|
|
|
| Autor |
Nachricht |
Muffeljupp
Anmeldungsdatum: 13.01.2006
Beiträge: 5
|
 Verfasst am:
Fr 13 Jan, 2006 21:48 |
  |
|
Hallo,
ich möchte eine VPN-Verbindung mit zwei 1711 aufbauen. Das ist ja nicht sonderlich schwer.
Beide Router hängen aber hinter einer Firewall. Die eine Seite hinter einem 821 und der Andere hinter einer Fritz-Box (nicht lachen). Aus beiden Firewall-Systemen habe ich den Port 500 und Port 1723 auf die jeweiligen 1711er geleitet. Bei der Fritzbox zusätzlich ESP.
Die VPN-Konfiguration habe ich erstmal ganz simpel über den Assistenten mit Shared-Key ausgeführt.
Wenn ich jetzt versuche eine VPN-Verbindng aufzubauen, dann bekomme ich egal auf welcher Seite eine Zeitüberschrietung der IKE oder IPSEC-Verhandlung.
Nun bin ich mit meinem Latein am ende.
Vielleicht hat ja jemand anderes eine Idee. |
|
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
goermet
Anmeldungsdatum: 29.01.2005
Beiträge: 210
Wohnort: Halle/S.
|
| Verfasst am:
Sa 14 Jan, 2006 21:19 |
|
|
Also
ich habe ein ähnliches Problem. Allerdings bin ich schon weiter. Hängen Firewall und Lancom im selben Subnetz und soll der Tunnel auch in dieses Subnetz geroutet werden? |
_________________
Goermet (LCS) |
|
|
|
Muffeljupp
Anmeldungsdatum: 13.01.2006
Beiträge: 5
|
| Verfasst am:
So 15 Jan, 2006 12:39 |
|
|
Hallo Goermet,
habe mich bereits an deinem Problem orientiert und hänge natürlich auch 
Die Systeme sind folgendermassen aufgebaut
Standort 1:
Lokal 192.168.253.0/24 -> (VPN Router) -> (DMZ) 192.168.254.0/24 -> (821) -> Internet
Standort 2:
Lokal 192.168.244.0/24 -> (VPN Router) -> (DMZ) 192.168.0.0/24 -> (FritzBox) -> Internet
Ich hoffe das ist so verständlich. Die VPN Router sind so eingerichtet, das sie eine (Internet) Verbindung über Plain Ethernet herstellen.
Die Routing Tabellen habe ich so angebasst, das die privaten Einträge für das 192er Netz nicht geblockt werden.
Was ich nicht weiß, ist ob der Provider die Verbindung nicht zulässt. Auf der einen Seite habe ich T-Business mit T-Business-Zugang.
Auf der andern T-Business mit 1und1 Zugang. |
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4567
Wohnort: Aachen
|
| Verfasst am:
So 15 Jan, 2006 17:50 |
|
|
Hi Muffeljupp
das ganze kann letztendlich nur unter folgenden Rahmenbedingungen funktionieren:
a) wenn du mit Preshared Keys arbeiten willst, dann mußt du auch Aggressive-Mode machen.
b) wenn du aus Sicherheitsgründen aber den Main-Mode verwenden willst, dann mußt du auch Zertifikate verwenden.
Ab Firmware 5.20 funktioniert auch dynamic VPN (dynamische Adressen mit Main-Mode und preshared Key) über ein NAT, wenn du zur Adressübermittlung UDP verwendest. Dafür mußt du in den Firewalls zusätzlich noch den Port 87 forwarden...
Gruß
Backslash |
|
|
|
|
Muffeljupp
Anmeldungsdatum: 13.01.2006
Beiträge: 5
|
| Verfasst am:
Mo 16 Jan, 2006 08:46 |
|
|
Hallo Backslash,
ich habe die Einrichtung mit dem Setup-Assistenten gemacht und der konfiguriert ja den Main-Mode.
Reicht es den Aggressive Mode einzuschalten oder muss dafür noch mehr konfiguriert werden. Denn, den einfach umschalten habe ich ausprobiert.
Ich muss dazu sagen, das ich eine VPN nicht von Hand konfigurieren könnte, da ich dafür zu wenig Ahnung von VPN habe.
Ich denke aber, ich werde versuchen mit Zertifikaten zu arbeiten, da ich die Einwahl in unsere Kundennetzte damit plane.
Erstmal möchte ich allerdings eine Verbindung hinbekommen, und da würde ich es im Aggressive-Mode testen. |
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4567
Wohnort: Aachen
|
| Verfasst am:
Mo 16 Jan, 2006 17:21 |
|
|
Hi Muffeljupp
| Zitat:
|
|
Reicht es den Aggressive Mode einzuschalten oder muss dafür noch mehr konfiguriert werden. Denn, den einfach umschalten habe ich ausprobiert.
|
Du mußt zusätzlich noch die Identitäten korrekt setzen (unter VPN -> IKE-Param -> IKE-Schlüssel), da der Aggressive-Mode die Verbindungen nicht anhand der IP-Adressen, sondern anhand der Identitäten auseinanderhält. Achte dabei darauf, daß lokale und remote Identität jeweils überkreuz eingetragen werden müssen...
Gruß
Backslash |
|
|
|
|
Muffeljupp
Anmeldungsdatum: 13.01.2006
Beiträge: 5
|
| Verfasst am:
Mo 16 Jan, 2006 19:44 |
|
|
Supi, 
das hat schonmal funktioniert. Vielen DAnk für die Hilfe. Jetzt werde ich mal versuchen Zertifikate in den Lancom zu schicken.
Noch irgenwelche Tips die zu beachten währen. |
|
|
|
|
omd
Anmeldungsdatum: 18.07.2005
Beiträge: 105
|
| Verfasst am:
Mo 16 Jan, 2006 20:18 |
|
|
Tipps.. ja: Falls Du zum ersten Mal Zertifikate erstellst, und das mit openssl, am besten erstmal die umständliche Vorgehensweise aus dem LANCOM-Handbuch mit diversen Ordnern und einer separaten Konfigurationsdatei ignorieren. Einfach irgendwo einen leeren Ordner anlegen und daraus openssl aufrufen... dann funktioniert es auch. 
Gruß
omd |
_________________
LC 1811 / LCOS 5.08 |
|
 |
|
Muffeljupp
Anmeldungsdatum: 13.01.2006
Beiträge: 5
|
| Verfasst am:
Mo 16 Jan, 2006 21:34 |
|
|
So....
habe die Zertifikate mit openssl erstellt. Das war zwar aufwändiger, aber das funktionierte wenigstens (mein 2003 SBS wollte nicht so wie ich das wollte).
Leider habe ich dein Statement 'OMD' zu spät gelsen, dann hätte ich mir die Fehlersuche gespart. Die Angabe der open.cnf funktioniert nicht. Aber...einfach loslegen und schon klappt es.
Auch die Beschreibung im Handbuch ist genau das richtige für mich.
Alle Änderungen so durchgeführt und schon geht die VPN-Verbindung mit Zertifikaten.
Vielen Dank an alle die sich mit mir Gedanken gemacht haben.!!! |
|
|
|
|
|
|
|
|
| |
|
|
