 |
|
|
|
| Autor |
Nachricht |
clarice
Anmeldungsdatum: 22.06.2005
Beiträge: 38
Wohnort: Thüringer Wald
|
 Verfasst am:
Do 23 Jun, 2005 12:06 |
  |
|
Hallo zusammen,
ich setzte schon sein mehreren Jahren verschiedene Lancom-Router (auch Elsa-Modelle) ein. Bisher konnte ich die Router immer nach meinen Erfordernissen anpassen.
Jetzt zu meinem Problem
Wie es bisher funktioniert:
Zwei Netze sind mit zwei LC1611 per dyn. VPN miteinander gekoppelt.
Standort1: DSL1000 mit Flatrate
Standort2: nur Internet über ISDN möglich
Was verändert werden soll:
Standort1 bleibt unverändert.
Standort2 bekommt einen Internetzugang per Richtfunk. Hier wird ein Router vom Provider eingesetzt. Der Zugang im Netzwerk erfolgt dann über den Router als "Gateway". D.h. der LC1611 macht selbst keine Einwahl mehr ins Internet, sondern muß über das Gateway routen.
Was schon erreicht wurde:
Zur Vorbereitung und zum Testen der neuen Konstellation wird ein LC1811 verwendet, den ich prinzipiell nach dieser Anleitung konfiguriert habe. Der normale Internetzugang funktioniert ohne Probleme. Nur kommt keine VPN-Verbindung zustande, die bei direkter Einwahl des LC1811 über ein DSL-Modem ordnungsgemäß funktioniert.
Ich wäre für Hinweise zur Problemlösung dankbar.
Gruß clarice |
|
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
COMCARGRU
Anmeldungsdatum: 10.11.2004
Beiträge: 976
Wohnort: Hessen
|
| Verfasst am:
Do 23 Jun, 2005 15:58 |
|
|
Blöde Frage. Ich habe schon erlebt, das Provider die für VPN notwendigen Ports sperren und sich die Freischaltung vergolden lassen... - wie sieht das bei dir aus??? |
_________________
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet??? |
|
|
|
clarice
Anmeldungsdatum: 22.06.2005
Beiträge: 38
Wohnort: Thüringer Wald
|
| Verfasst am:
Do 23 Jun, 2005 17:18 |
|
|
Hallo COMCARGRU,
danke für deine Antwort. Eine Portsperrung kann man eigentlich ausschließen, da der Provider damit wirbt, seinen Kunden eine LAN-LAN-Kopplung per VPN zu garantieren. Es handelt sich hier eigentlich auch eher um einen örtlichen Anbieter als um einen Provider. Dieser bietet seinen Kunden halt einen relativ schnellen und kostengüstigen Internetzugang in einem Gebiet, wo DSL in den nächsten Jahren nicht verfügbar sein wird.
zum Hintergrund:
Die Richtfunkstecke wird erst in etwa zwei Wochen zur Verfügung stehen. Bis dahin muß ich eine gangbare Lösung mit der vorhandenen Technik (die beiden LC1611) bereitstellen. D.h. an den LC1611 kann ich derzeit keine Änderung durchführen, da die Verbindung im Moment rund um die Uhr verwendet wird.
Deshalb stelle ich die angedachte Konstellation mit zwei LC1811 nach, um die notwendige Konfiguration vorab zu ermitteln. Diese kann, vorausgesetzt es klappt mit den 1811er, prinzipiell auf die 1611er übertragen werden.
Dann habe ich noch eine weitere Hürde zu nehmen: Beide 1611er muß ich per Fernwartung konfigurieren.
wieder zur Technik:
Die beiden 1811er sind z.Z. ebenfalls per VPN (mit DynDNS) verbunden, allerdings auf beiden Seiten direkt am DSL-Modem angeschlossen. Diese Verbindung wird abends nicht verwendet, so daß ich hier experimentieren kann. Einen hab ich hinter einen Router gehängt, um die angedachte Situation nachzustellen.
Testsituation jetzt:
LAN1: LC1811-1 hängt am DSL-Modem, ist ständig online und wurde konfigurationsmäßig nicht verändert.
LAN2: LC1811-2 läuft hinter einem Router (Router-LAN2) mit den in meinem vorigen Beitrag erwähnten Modifikationen.
Die in beiden LC eingerichteten VPN-Verbindungen wurden bisher nicht verändert. Im Router-LAN2 wurden der UDP-Port 500 und das ESP-Protokoll auf den LC1811-2 weitergeleitet.
Beim Versuch aus LAN2 auf LAN1 zuzugreifen versucht LC1811-2 eine VPN-Verbindung zu eröffnen. Dieser Versuch wird mit einer Zeitüberschreitung abgebochen.
Frage:
Müssen die Einstellungen für die VPN-Verbindungsparametern in den beiden LC noch angepaßt werden?
Sind noch weitere Ports notwendig?
Gruß clarice |
|
|
|
|
eddia
Anmeldungsdatum: 15.11.2004
Beiträge: 1239
|
| Verfasst am:
Do 23 Jun, 2005 18:39 |
|
|
Hallo clarice,
| Zitat:
|
|
Standort2 bekommt einen Internetzugang per Richtfunk. Hier wird ein Router vom Provider eingesetzt. Der Zugang im Netzwerk erfolgt dann über den Router als "Gateway". D.h. der LC1611 macht selbst keine Einwahl mehr ins Internet, sondern muß über das Gateway routen.
|
Kein Problem - per Assistent einfach eine Verbindung mit IPoE einrichten. Jetzt kommt es nur noch darauf an, ob Dir Dein Provider für den Lancom eine öffentliche oder private IP zuteilt. Falls nur privat muss das vorgeschaltete Gateway VPN-Passtrough für IPSec unterstützen, zudem kann nur noch dieser Lancom den Tunnel initieren.
Gruß
Mario |
|
|
|
|
clarice
Anmeldungsdatum: 22.06.2005
Beiträge: 38
Wohnort: Thüringer Wald
|
| Verfasst am:
Fr 24 Jun, 2005 12:37 |
|
|
Hallo eddia,
die Verbindung mit IPoE habe ich, wie oben beschrieben, eingerichtet. Das normale Internet funktioniert auch darüber. Nur die VPN-Verbindungen klappen noch nicht. Ich werde heute abend einen anderen Router-LAN2 verwenden (Bintec X1200 mit VPN-Passtrough).
Fragen zu den LC1811:
Müssen in den VPN-Einstellungen der beiden LC1811 bestimmte Einstellungen getroffen werden?
z.Bsp. Main Mode, IKE-Proposal, IKE-Gruppe, ....
Fragen zum Router-LAN2:
Sind folgende Angaben richtig?
1. Mit IPSec-Passtrough sind nur ausgehende VPN-Verbindungen möglich.
2. Für eingehende VPN-Verbindungen ins LAN2 muß der UDP-Port 500 auf den LC1811-2 weitergeleitet werden. (zusätzlich ESP?)
Gruß clarice |
|
|
|
|
eddia
Anmeldungsdatum: 15.11.2004
Beiträge: 1239
|
| Verfasst am:
Fr 24 Jun, 2005 18:45 |
|
|
Hallo clarice,
| Zitat:
|
Fragen zu den LC1811:
Müssen in den VPN-Einstellungen der beiden LC1811 bestimmte Einstellungen getroffen werden?
z.Bsp. Main Mode, IKE-Proposal, IKE-Gruppe, ....
|
sieh Dir erst mal folgenden link an:
http://www.router-forum.de/thread.php?thre...55c6da4f24
Das Problem habe ich auch schon mal gehabt. 
Wenn Du die Verbindung mit den Assistenten einrichtest, musst Du etwas nacharbeiten. Wichtig ist aggressive mode auf beiden Seiten. Am 1811-1 muss die default IKE-Gruppe identisch mit der IKE-Gruppeneinstellung in den Verbindungsparametern am 1811-2 sein. Am 1811-1 wird als entferntes Gateway 0.0.0.0 eingetragen.
Gruß
Mario |
|
|
|
|
clarice
Anmeldungsdatum: 22.06.2005
Beiträge: 38
Wohnort: Thüringer Wald
|
| Verfasst am:
Sa 25 Jun, 2005 00:58 |
|
|
Hallo eddia,
erst einmal vielen Dank für deine Unterstützung.
| Zitat:
|
sieh Dir erst mal folgenden link an:
http://www.router-forum.de/thread.php?thre...55c6da4f24
Das Problem habe ich auch schon mal gehabt.
|
Den Link hatte ich vorgestern schon entdeckt und einige Anregungen für meinen ersten Versuch daraus entnommen.
| Zitat:
|
|
Wenn Du die Verbindung mit den Assistenten einrichtest, musst Du etwas nacharbeiten. Wichtig ist aggressive mode auf beiden Seiten. Am 1811-1 muss die default IKE-Gruppe identisch mit der IKE-Gruppeneinstellung in den Verbindungsparametern am 1811-2 sein. Am 1811-1 wird als entferntes Gateway 0.0.0.0 eingetragen.
|
Diese Einstellungen habe ich jetzt zusätzlich vorgenommen. Desweiteren ist der Router-LAN2 nun ein Bintec X1200. Hier wurde PPTP-Passtrough (nicht VPN-Passtrough) in der Konfiguration eingestellt.
Nun ist im LANmonitor ersichtlich, daß Protokollverhandlungen durchgeführt werden, die mit einer "Zeitüberschreitung während der IKE- oder IPSec-Verhandlung" abbrechen.
Die Konfiguration der VPN-Verbindungen in den beiden LC1811 wurde ansonsten nicht weiter verändert.
Vielleicht sollte ich diese Verbindungen komplett entfernen und mit dem Setup-Assistenten neu erstellen.
Gruß clarice |
|
|
|
|
eddia
Anmeldungsdatum: 15.11.2004
Beiträge: 1239
|
| Verfasst am:
Sa 25 Jun, 2005 12:22 |
|
|
Hallo clarice,
| Zitat:
|
|
Desweiteren ist der Router-LAN2 nun ein Bintec X1200. Hier wurde PPTP-Passtrough (nicht VPN-Passtrough) in der Konfiguration eingestellt.
|
PPTP wäre nur für den alten Standard VPN-Client wichtig. Hier gehts allerdings um IPSec. Ich meine mich an ein Dokument bei Bintec zu erinnern, wo die Konfiguration von IPSec-Passtrough beschrieben wird.
Gruß
Mario |
|
|
|
|
clarice
Anmeldungsdatum: 22.06.2005
Beiträge: 38
Wohnort: Thüringer Wald
|
| Verfasst am:
Sa 25 Jun, 2005 13:03 |
|
|
Hallo eddia,
ich werde mich heute abend mal auf die Suche bei Bintec machen.
Bei der endgültigen Situation mit den beiden 1611 wurde mir ein Router-LAN2 zugesichert, der VPN-Passtrough beherrscht. In diesem Router wird es auch eine öffentliche IP geben. Diese steht mir jetzt bei meinen Versuchen mit den 1811 nicht zur Verfügung, d.h. auf beiden Seiten gibt es dynamische.
Gruß clarice |
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4568
Wohnort: Aachen
|
| Verfasst am:
Sa 25 Jun, 2005 19:55 |
|
|
Hi clarice
in deinem ersten Posting schriebst du
| Zitat:
|
|
Zwei Netze sind mit zwei LC1611 per dyn. VPN miteinander gekoppelt
|
Meinst Du damit das LANCOM dynamic VPN, oder nur, daß die Geräte sich bei einem dynDNS-Provider anmelden und die Adressen entsprechend aufgelöst werden.
Wenn du wirklich das LANCOM dynamic VPN verwendest, dann muß ich dir sagen, daß es wegen des Adreßaustauschs nicht über ein NAT funktioniert.
Wenn die Geräte über dynDNS angebunden sind, dann mußt du entweder den Aggressive-Mode verwenden oder auf Zertifikate umsteigen.
Desweiteren solltest Du sicherstellen, daß du kein AH verwendest, denn das scheitert natürlichg bei einem NAT.
Gruß
Backlash |
|
|
|
|
clarice
Anmeldungsdatum: 22.06.2005
Beiträge: 38
Wohnort: Thüringer Wald
|
| Verfasst am:
So 26 Jun, 2005 01:50 |
|
|
Hallo backslash,
ich meine das LANCOM dynamic VPN, wobei die IP-Adressen per ISDN ausgetauscht werden.
Das ist der derzeitige Istzustand, da am zweiten Standort bisher nur ISDN möglich war und demzufolge auch die Internet-Verbindung über ISDN erfolgte.
In meinem Ausgangsposting habe ich beschrieben, wie sich diese Situation in einigen Wochen verändern wird.
Alles was ich im Moment versuche, dient der Vorbereitung auf die neue Situation, um genau zu wissen welche Einstellungen in den LC1611 am Tag X vorzunehmen sind. Selbst mit dem Wissen der notwendigen Konfiguration wird es reichlich schwierig, da auf beide Netzwerke nur per Fernwartung zugegriffen werden kann. Auf den Router-LAN2 des Providers kann ich überhaupt keinen Einfluß nehmen.
Das oben erwähnte dynamic VPN soll ersetzt werden, da am Standort2 eine feste öffentliche IP vorhanden sein wird (Standleitung).
Am Standort1 bleibt die Anbindung wie zuvor (DSL1000, Flatrate, 24h Zwangstrennung mit wechselnden IP-Adressen).
| Zitat:
|
|
Wenn die Geräte über dynDNS angebunden sind, dann mußt du entweder den Aggressive-Mode verwenden ....
|
Genau das versuche ich gerade mit den beiden LC1811.
| Zitat:
|
|
Desweiteren solltest Du sicherstellen, daß du kein AH verwendest, denn das scheitert natürlich bei einem NAT.
|
Welchen Einfluß habe ich den darauf, ob AH verwendet wird? Eine Einstellung hierzu finde ich nicht.
Hallo eddia,
die entsprechenden Einstellungen für den Bintec habe ich hier gefunden und im Gerät konfiguriert.
Desweiteren habe ich die Einstellungen der Proposal-Listen aus dem router-forum überprüft. Auf den ersten Blick eigentlich alles OK.
Vielleicht könnt ihr den Traces der beiden LC1811 etwas entnehmen.
Verbindungsversuch von LC1811-2 (hinter Bintec) --> LC1811-1:
| Zitat:
|
Trace im LC1811-2
[VPN-Status] 2005/06/25 23:58:42,150
VPN: connecting to R1-LC-1811 (84.184.204.30)
[VPN-Status] 2005/06/25 23:58:42,150
VPN: installing ruleset for R1-LC-1811 (84.184.204.30)
[VPN-Status] 2005/06/25 23:58:42,150
VPN: ruleset installed for R1-LC-1811 (84.184.204.30)
[VPN-Status] 2005/06/25 23:58:42,160
VPN: start IKE negotiation for R1-LC-1811 (84.184.204.30)
[VPN-Status] 2005/06/25 23:58:42,160
VPN: rulesets installed
[VPN-Status] 2005/06/25 23:58:42,170
IKE info: Phase-1 negotiation started for peer R1-LC-1811 rule isakmp-peer-R1-LC-1811 using AGGRESSIVE mode
[VPN-Status] 2005/06/25 23:58:42,280
IKE info: NOTIFY received of type INVALID_ID_INFORMATION for peer <no_name>
[VPN-Status] 2005/06/25 23:59:12,160
VPN: connection for R1-LC-1811 (84.184.204.30) timed out: no response
[VPN-Status] 2005/06/25 23:59:12,160
VPN: Error: IFC-I-Connection-timeout-IKE-IPSEC (0x1106) for R1-LC-1811 (84.184.204.30)
[VPN-Status] 2005/06/25 23:59:12,160
VPN: disconnecting R1-LC-1811 (84.184.204.30)
[VPN-Status] 2005/06/25 23:59:12,180
VPN: R1-LC-1811 (84.184.204.30) disconnected
Trace im LC1811-1
VPN-Status] 2005/06/26 00:06:40,560
IKE info: The remote server 84.184.251.10:500 peer def-aggr-peer id <no_id> is Enigmatec IPSEC version 1.4.0
IKE info: The remote server 84.184.251.10:500 peer def-aggr-peer id <no_id> negotiated rfc-3706-dead-peer-detection
[VPN-Status] 2005/06/26 00:06:40,560
IKE info: Phase-1 remote proposal 1 for peer def-aggr-peer matched with local proposal 1
[VPN-Status] 2005/06/26 00:06:40,560
IKE log: 000640 Default dropped message from 84.184.251.10 port 500 due to notification type INVALID_ID_INFORMATION
[VPN-Status] 2005/06/26 00:06:40,560
IKE info: dropped message from peer unknown 84.184.251.10 port 500 due to notification type INVALID_ID_INFORMATION
|
Gruß clarice
Edit 26.06.05 11:50:
Hat die Meldung "INVALID_ID_INFORMATION" in Trace etwas mit einem nicht ordnungsgemäß übermittelten AH zu tun? |
|
|
|
|
eddia
Anmeldungsdatum: 15.11.2004
Beiträge: 1239
|
| Verfasst am:
So 26 Jun, 2005 14:53 |
|
|
Hallo clarice,
| Zitat:
|
[VPN-Status] 2005/06/26 00:06:40,560
IKE log: 000640 Default dropped message from 84.184.251.10 port 500 due to notification type INVALID_ID_INFORMATION
|
diese Meldung erhält man z.B., wenn die Identitäten (lokal und remote) zwischen den Lancoms nicht übereinstimmen.
Gruß
Mario |
|
|
|
|
clarice
Anmeldungsdatum: 22.06.2005
Beiträge: 38
Wohnort: Thüringer Wald
|
| Verfasst am:
Mo 27 Jun, 2005 00:58 |
|
|
Hallo zusammen,
euch Allen ein Dankeschön für eure Mithilfe.
Nach langwierigen Versuchen werden jetzt die VPN-Verbindungen aufgebaut.
Entscheidend war:
1. UDP-Port 500 und ESP-Protokoll ausgehend (entspicht IPSec-Passtrough)
2. UDP-Port 500 und ESP-Protokoll eingehend
3. Die Anmeldung des Router-LAN2 (Bintec) bei DynDNS
4. Der Eintrag dieses DynDNS-Namen des Router-LAN2 im LC1811-1 unter VPN->Allgemein->Verbindungsliste->Gateway
5. Der Eintrag des DynDNS-Namen des LC1811-1 im LC1811-2 unter VPN->Allgemein->Verbindungsliste->Gateway (war vorher schon drin)
Sowohl der Main als auch der Aggr. Mode funktionieren (solange auf beiden Seiten identische Einstellungen vorgenommen werden).
Bei allen anderen VPN-Einstellungen sind noch die Default-Werte eingetragen.
Die Verbindungen können von beiden Seiten ausgelöst werden.
Das war die Trockenübung. Das Vorgehen sollte, abgesehen von einer festen IP auf der einen Seite, eigentlich bei den LC1611 identisch sein.
Ich werde dann von den Erfolgen berichten oder mit einem Hilfeschrei hier auftauchen.
Gruß clarice |
|
|
|
|
clarice
Anmeldungsdatum: 22.06.2005
Beiträge: 38
Wohnort: Thüringer Wald
|
| Verfasst am:
Mo 27 Jun, 2005 13:25 |
|
|
Hallo zusammen,
noch eine kleine Frage fürs Verständnis.
Ich arbeite im Moment auf beiden Seiten mit DynDNS. Dadurch sind den Routern die IP-Adressen der jeweiligen Gegenstelle bekannt.
Frage: Da sowohl der Main als auch der Aggr. Mode funktioniert, bietet einer von beiden mir irgendeinen Vorteil.
Gruß clarice |
|
|
|
|
eddia
Anmeldungsdatum: 15.11.2004
Beiträge: 1239
|
| Verfasst am:
Mo 27 Jun, 2005 18:11 |
|
|
Hallo clarice,
| Zitat:
|
Ich arbeite im Moment auf beiden Seiten mit DynDNS. Dadurch sind den Routern die IP-Adressen der jeweiligen Gegenstelle bekannt.
Frage: Da sowohl der Main als auch der Aggr. Mode funktioniert, bietet einer von beiden mir irgendeinen Vorteil.
|
wenn Du Wahl hast dann natürlich Main Mode.
Aber ich bin überrascht - ich dachte, dass bei einer solchen Konfiguration kein Main Mode möglich sei. Hast Du da ein Port forwarding auf dem Bintec eingerichtet?
Gruß
Mario |
|
|
|
|
|
|
|
|
| |
|
|
