 |
|
|
|
| Autor |
Nachricht |
sappel
Anmeldungsdatum: 04.06.2011
Beiträge: 3
|
 Verfasst am:
Sa 04 Jun, 2011 18:45 |
  |
|
Moin zusammen,
ich habe ein Problem mit einem VPN auf einem LANCOM DSL/I-1611. Ich bin leider kein LANCOM Profi, daher bitte ich um Nachsicht, wenn ich mich etwas unbeholfen ausdrücke.
Da bei uns die Internetverbindung der Telekom relativ kurzfristig abgeschaltet wurde, haben wir nun ein Richtfunk DSL Anbieter, der regional aktiv ist. Da nicht das DSL Signal direkt gefunkt wird, sitzt am Einwahlpunkt des Anbieters ein weiterer Router und unser LANCOM hier hat daher keine direkte öffentliche IP, sondern eine statisch zugewiesene über ein Gateway X. Diese IP ist eine aus dem Richtfunk-Netz des Anbieters, also aus einem privaten Netzbereich.
Damit kommt eine unserer VPN Verbindungen in eine Niederlassung wunderbar zurecht. Die Niederlassung kann sich nach Weiterleitung der entsprechenden Ports auf dem Router des Richtfunk-Internet-Anbieters (UDP 500 und 4500) wieder erfolgreich bei uns einwählen.
Eine zweite Verbindung, die von uns aus zu einem Servicedienstleister aufgebaut wird, schlägt aber fehl. Dem Servicedienstleister wurde eine neue IP mitgeteilt, der dortige CISCO nimmt die Verbindung auch zunächst an, doch schlägt dann die authentication negotiation in der IKE phase 1 fehl. Ich habe keinen Zugang zum Router des Dienstleisters, kann also auch nur begrenzt tracen. Telefonisch wurde mir mitgeteilt, dass unser LANCOM zwar mit einer public IP connected (217.123.123.1 beispielsweise) während der IKE auth Phase seine eigene WAN IP, die ja eine aus einem privaten Bereich ist, da er hinter dem Router des Richtfunk-Internet-Anbieters sitzt (192.168.100.10), übermittelt. Und genau an diesem Punkt bricht der CISCO den Aufbau der Verbindung ab.
Was für Möglichkeiten habe ich, das zu umgehen? Kann ich im LANCOM die WAN-IP irgendwie maskieren?
Der Support des Dienstleisters hält sich aktuell leider sehr in Grenzen, die sagen nur, vorher gings ja, der Rest ist euer Problem.
Vielen Dank vorab,
Grüße
sappel |
|
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
ft2002
Anmeldungsdatum: 10.02.2010
Beiträge: 436
Wohnort: Hamburg
|
| Verfasst am:
So 05 Jun, 2011 00:04 |
|
|
Hallo,
Da beim MainMode die WAN-Adresse deines Routers, also bei Dir jetzt, ein nicht öffendliche zum Verbindungsaufbau herangezogen wird und diese nicht mit dem entfernten Gateway aus Richtung des Cisco übereinstimmt wird es nicht funktionieren.
Du musst eine Verbindung im agressive Mode einrichten.
Gruss ...  |
|
|
|
|
sappel
Anmeldungsdatum: 04.06.2011
Beiträge: 3
|
| Verfasst am:
So 05 Jun, 2011 09:06 |
|
|
Das ist das einzige? Dann wäre ich aber schwer enttäuscht von der teueren LANCOM Hotline...die konnten mir da nämlich auch nicht weiterhelfen.
Ich komme jetzt am Wochenende nicht auf den Router, aber ich werde es mir morgen mal ansehen. Ich meine aber, die Main und Aggressive Mode Verfahren seien aktuell genau umgekehrt: Bei der funktionierenden Verbindung in die Niederlassung ist Main drin (wobei sich da ja auch die Niederlassung bei uns einwählt und nicht umgekehrt) und bei der fehlerhaften zum CISCO sei Aggressive drin. Aber ich schaue das lieber nochmal nach, wenn es "nur" das wäre, wäre es ja schnell gelöst. |
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4568
Wohnort: Aachen
|
| Verfasst am:
Di 07 Jun, 2011 19:34 |
|
|
Hi sappel
in dem moment, in dem ein NAT zwischen den VPN-Routern steht, gibt es nur zwei Möglichkeiten:
1. preshared Key mit Aggressive-Mode
2. Zertifikate mit Main-Mode
Zertifikate mit Aggressive-Mode ginge zwar auch noch, aber das ist eher unsinnig...
Gruß
Backslash |
|
|
|
|
sappel
Anmeldungsdatum: 04.06.2011
Beiträge: 3
|
| Verfasst am:
Di 07 Jun, 2011 19:50 |
|
|
OK, dann Aggressive Mode mit PSK - aber zusätzlich noch NAT-T, oder? |
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4568
Wohnort: Aachen
|
| Verfasst am:
Mi 08 Jun, 2011 11:26 |
|
|
Hi sappel
| Zitat:
|
|
aber zusätzlich noch NAT-T, oder?
|
ja...
Gruß
Backslash |
|
|
|
|
|
|
|
|
| |
|
|
