 |
|
|
|
| Autor |
Nachricht |
omd
Anmeldungsdatum: 18.07.2005
Beiträge: 105
|
 Verfasst am:
Sa 23 Jul, 2005 22:55 |
  |
|
Hallo,
bin gerade etwas ernüchtert... für das zeitweise Anbinden eines Heim-Arbeitsplatzes habe ich mit beispielloser Blindheit (Empfehlung durch "Experten", was den Anwendungsfall betrifft) einen Lancom-VPN-Router gekauft.
Jetzt stellte sich heraus, dass IPSec-Verbindungen von Arbeitsplätzen hinter Routern/NAT mehr oder weniger gar nicht funktionieren. Ich wäre ja schon froh, wenn VPN-Verbindungen über eine direkte Netzwerkverbindung funktionierten. Mit dem Standard-Client geht gar nichts, mit dem Advanced Client immerhin schonmal im lokalen Netz. Wobei dieser Standard Client wohl eher ein schlechter Scherz ist. Der Aufpreis für den Lancom-Client (bzw. wohl eher NCP-Client) auch.
Dazu kommt die reichlich verwinkelte lanconfig-Oberfläche (wie schrieb c't, Herkunft aus dem Heim-Bereich sei nicht zu verleugnen). Die Einstellungen sind in alle Winde verteilt, es dauerte erst einmal einen Tag, sich damit vertraut zu machen. Das ominöse Häkchen zum Erstellen von VPN-Regeln möchte mir immer noch nicht einleuchten. Als Hoffnung bleibt da nur noch eine evtl. brauchbare Kommandozeile, dieser lanconfig-Assistenten-Stil ist doch arg umständlich.
Jedenfalls frage ich mich mittlerweile (insb. wegen der IPSec-Schwierigkeiten), ob es nicht besser gewesen wäre, einen 08/15-Linksys-Router herzunehmen, OpenVPN aufzuspielen, das Netz von außen bis auf den OpenVPN-Port dichtzumachen und nach außen das Nötigste durchzulassen. Wäre kein Aufwand, eine Hand voll übersichtlicher Paketfilterregeln, und vor allem ein funktionierender, getunnelter VPN-Zugriff.
Nach einer Möglichkeit, OpenVPN oder Änliches auf dem linksys einzusetzen, brauche ich wohl nicht fragen...
Gruß,
omd |
|
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
Michael008
Anmeldungsdatum: 14.01.2005
Beiträge: 325
Wohnort: Stuttgart
|
| Verfasst am:
So 24 Jul, 2005 01:18 |
|
|
Hi omd,
sehr interessant. Ich glaube mit OpenVPN kann man sich auch gegen den LANCOM verbinden. Da war vor kurzem mal ein Thread dazu.
So eine richtige Frage konnte ich aus deinem Post gar nicht rauslesen.
Aber wenn du ein Problem mit einer VPN-Verbindung zu einem LANCOM Router hast, und das hört sich obwohl es generisch klingt danach an.
| Zitat:
|
|
Jetzt stellte sich heraus, dass IPSec-Verbindungen von Arbeitsplätzen hinter Routern/NAT mehr oder weniger gar nicht funktionieren.
|
Dann beschreib mal genau was du machen willst, die Umgebung, was nicht geht und was du schon versucht hast...
Vielleicht klappts ja doch noch.
Gruß
Michael |
|
|
 |
|
Jirka
Moderator
Anmeldungsdatum: 03.01.2005
Beiträge: 1905
Wohnort: Ex-OPAL-Gebiet
|
| Verfasst am:
So 24 Jul, 2005 02:04 |
|
|
Hi omd,
ich kann mich Michael nur anschließen. Beschreibe noch mal möglichst genau, was du willst - mit den notwendigen Einzelheiten.
> Dazu kommt die reichlich verwinkelte lanconfig-Oberfläche
Ok, ich gebe zu, dass der erste Anblick erst mal ein "Schock" ist, mir haben damals die vielen Einstellmöglichkeiten auch erst mal - neben der Faszination - ein Grübeln hervorgerufen, wofür das denn alles ist. Aber das gibt sich und irgendwann findet man dieses System einfach genial.
> Die Einstellungen sind in alle Winde verteilt, es dauerte erst einmal einen Tag, sich damit vertraut zu machen.
Oft gibt es Assistenten, die meist schneller weiter helfen. Ich stelle die meisten Sachen auch lieber per Hand ein, aber für Anfänger und bestimmte Fälle sind die schon ganz sinnvoll.
Also, gib nicht so schnell auf!
Viele Grüße,
Jirka |
|
|
|
|
eddia
Anmeldungsdatum: 15.11.2004
Beiträge: 1239
|
| Verfasst am:
So 24 Jul, 2005 12:01 |
|
|
Hallo omd,
| Zitat:
|
|
Jetzt stellte sich heraus, dass IPSec-Verbindungen von Arbeitsplätzen hinter Routern/NAT mehr oder weniger gar nicht funktionieren.
|
dann machst Du etwas falsch.
| Zitat:
|
|
Wobei dieser Standard Client wohl eher ein schlechter Scherz ist. Der Aufpreis für den Lancom-Client (bzw. wohl eher NCP-Client) auch.
|
Der Standard-Client ist nur ein Frontend für die Windows IPSec-Konfiguration. Und es bleibt Dir überlassen, einen anderen VPN-Client einzusetzen.
| Zitat:
|
|
Das ominöse Häkchen zum Erstellen von VPN-Regeln möchte mir immer noch nicht einleuchten.
|
Lad Dir mal das Referenzhandbuch von Lancom runter - da ist alles ausführlich erklärt.
| Zitat:
|
|
Jedenfalls frage ich mich mittlerweile (insb. wegen der IPSec-Schwierigkeiten), ob es nicht besser gewesen wäre, einen 08/15-Linksys-Router herzunehmen, OpenVPN aufzuspielen, das Netz von außen bis auf den OpenVPN-Port dichtzumachen und nach außen das Nötigste durchzulassen. Wäre kein Aufwand, eine Hand voll übersichtlicher Paketfilterregeln, und vor allem ein funktionierender, getunnelter VPN-Zugriff.
|
Und genau das kannst Du auch mit dem Lancom erreichen. Und auf welchem System das 'einfacher' ist, ist Ansichtssache.
Gruß
Mario |
|
|
|
|
langewiesche
Anmeldungsdatum: 27.04.2005
Beiträge: 921
Wohnort: Gevelsberg / Sprockhoevel im Ruhrgebiet
|
| Verfasst am:
Di 26 Jul, 2005 09:07 |
|
|
| Zitat:
|
| Zitat:
|
Zitat:
Jetzt stellte sich heraus, dass IPSec-Verbindungen von Arbeitsplätzen hinter Routern/NAT mehr oder weniger gar nicht funktionieren.
|
dann machst Du etwas falsch.
|
Also ohne Portweiterleitung auf der Clientseite (am (fremd)Router) ist da ja nichts zu hohlen, mit dem alten Client war es das besser. Ich suche selber zur Zeit eine Lösung fuer viele Clients. Ich wollte eigenlich alles von Lancom erwerben, da wir irgendlich alle anderen Router rausschmeissen wollen. Veraenderungen an den Router der Clientseite scheiden da aus, zudem waere ja dann nur immer ein Client pro Netz moeglich. Was mir auch nicht so richtig gefallen mag ist der Agressive Mode in diesere betreibsart. Das alte System mit dem Layer2 Tunnel vor dem IPSEC Tunnel war ja nicht schlecht, so was musst es fuer den neuen Client auch geben. |
_________________
Es gruesst Lars
VP-100 - L54xx- I1610 VPN 1611/1621B - IAP54/OAP54 - 1711/1722B /1723B - 1811/1821*+/1823B - 3x50 incl. UMTS - 3850 - 7011VPN - 7111 - 8011 - R800+ - R1011, WLCs, L315,322, |
|
  |
|
ua
Anmeldungsdatum: 29.04.2005
Beiträge: 67
|
| Verfasst am:
Di 26 Jul, 2005 09:32 |
|
|
Hallo,
| Zitat:
|
Zitat:
Zitat:
Zitat:
Jetzt stellte sich heraus, dass IPSec-Verbindungen von Arbeitsplätzen hinter Routern/NAT mehr oder weniger gar nicht funktionieren.
dann machst Du etwas falsch.
|
Das liegt meist an Routern, die kein GRE oder ESP durchlassen. TCP und UDP klappen aber kein anderes Protokoll, da GRE=!IP. Am NAT liegt es nicht. Oft haben wir das Problem an einer PIX, schaltet man dort GRE und ESP (bei älteren Klients AHP) frei klappts auch mit dem Nachbarn.
Viele Grüße
Udo |
_________________
... das Netz ist der Computer ...
n* LC und vieles mehr... |
|
|
|
langewiesche
Anmeldungsdatum: 27.04.2005
Beiträge: 921
Wohnort: Gevelsberg / Sprockhoevel im Ruhrgebiet
|
| Verfasst am:
Di 26 Jul, 2005 10:33 |
|
|
Aber mit dem L2 Tunnel wurde das Problem ja umgangen. |
_________________
Es gruesst Lars
VP-100 - L54xx- I1610 VPN 1611/1621B - IAP54/OAP54 - 1711/1722B /1723B - 1811/1821*+/1823B - 3x50 incl. UMTS - 3850 - 7011VPN - 7111 - 8011 - R800+ - R1011, WLCs, L315,322, |
|
|
|
eddia
Anmeldungsdatum: 15.11.2004
Beiträge: 1239
|
| Verfasst am:
Di 26 Jul, 2005 10:50 |
|
|
Hallo Lars,
| Zitat:
|
|
Also ohne Portweiterleitung auf der Clientseite (am (fremd)Router) ist da ja nichts zu hohlen, mit dem alten Client war es das besser. Ich suche selber zur Zeit eine Lösung fuer viele Clients. Ich wollte eigenlich alles von Lancom erwerben, da wir irgendlich alle anderen Router rausschmeissen wollen.
|
An den Lancoms muss man da gar nichts einstellen. Ich kann hier problemlos von mehreren Clients mit dem ADV-Client über einen 1611 verschiedene Lancoms erreichen.
| Zitat:
|
|
Veraenderungen an den Router der Clientseite scheiden da aus, zudem waere ja dann nur immer ein Client pro Netz moeglich.
|
Falls mehrere Clients sich per VPN verbinden sollen, wäre dort eigentlich auch ein zentrales VPN-Gateway empfehlenswert.
| Zitat:
|
|
Was mir auch nicht so richtig gefallen mag ist der Agressive Mode in diesere betreibsart.
|
Ab FW 5.0 kannst Du den Main-Mode nutzen, wenn Du Zertifikate einsetzst.
Gruß
Mario |
|
|
|
|
langewiesche
Anmeldungsdatum: 27.04.2005
Beiträge: 921
Wohnort: Gevelsberg / Sprockhoevel im Ruhrgebiet
|
| Verfasst am:
Di 26 Jul, 2005 11:32 |
|
|
Das Problem ist ja da stehen keine LC Router, und ich kann nicht aufeinmal fuer alle Aussenstellen wo fast immer nur ein Pc ins MAN muss VPN Router kaufen. Zudem muesste ich allen Netze die IPs anpassen.
Im Haushalt 2006 vielleicht, aber halt nicht jetzt. Aber es muss bald laufen, sonst kaufen die leider was anderes, in den Zentral Standorten und wenn wir einmal was anderes haben, ist eine Neubeschaffung fast unmoeglich. Alle anderen Mitarbeiter sollen auf die LC Schulungen und sind auch angemeldet, aber es koennte alles an so ein Mist kippen. |
_________________
Es gruesst Lars
VP-100 - L54xx- I1610 VPN 1611/1621B - IAP54/OAP54 - 1711/1722B /1723B - 1811/1821*+/1823B - 3x50 incl. UMTS - 3850 - 7011VPN - 7111 - 8011 - R800+ - R1011, WLCs, L315,322, |
|
|
|
eddia
Anmeldungsdatum: 15.11.2004
Beiträge: 1239
|
| Verfasst am:
Di 26 Jul, 2005 17:56 |
|
|
Hallo Lars,
| Zitat:
|
|
Im Haushalt 2006 vielleicht, aber halt nicht jetzt. Aber es muss bald laufen, sonst kaufen die leider was anderes, in den Zentral Standorten und wenn wir einmal was anderes haben, ist eine Neubeschaffung fast unmoeglich.
|
So richtig kann ich Deiner Argumentation nicht folgen. Es ist doch klar, dass es nicht an den Lancoms oder am VPN-Client liegt - sondern an den von Dir verwendeten Routern. Wenn die kein IPSec-Passtrough beherrschen, sind die Müll. Das musst Du nur Deinen Verantwortlichen klarmachen.
Gruß
Mario |
|
|
|
|
langewiesche
Anmeldungsdatum: 27.04.2005
Beiträge: 921
Wohnort: Gevelsberg / Sprockhoevel im Ruhrgebiet
|
| Verfasst am:
Mi 27 Jul, 2005 02:54 |
|
|
Die Router sind nicht von uns. Wir nutzen in den Standorten nur den Inet link mit, fuer einen PC. Und mal eben 10 davon zu kaufen ist ja nicht so ohne. |
_________________
Es gruesst Lars
VP-100 - L54xx- I1610 VPN 1611/1621B - IAP54/OAP54 - 1711/1722B /1723B - 1811/1821*+/1823B - 3x50 incl. UMTS - 3850 - 7011VPN - 7111 - 8011 - R800+ - R1011, WLCs, L315,322, |
|
|
|
lernen
Anmeldungsdatum: 20.01.2005
Beiträge: 100
|
| Verfasst am:
Mi 27 Jul, 2005 08:36 |
|
|
hi,
bin zwar etwas noch relativ neu im bereich Lancom, aber mit dem Assi kann man fast alles lösen 
die Probleme des IPSec-Passtrough bestehen sind bei "einfachen" Routern nicht von der Hand zu weisen. selbst wenn sie es unterstützen, sind sie nicht in der Lage, mehre clients aus einem netz sauber zu händeln. hatte nen di-304 und nen netgear fvm318 als nat. beide haben sich blöd angestellt. nun habe ich an mehreren orten einen austausch vorgenommen. und...es klappt mit dem nat an allen!!! orten.  |
|
|
|
|
omd
Anmeldungsdatum: 18.07.2005
Beiträge: 105
|
| Verfasst am:
Fr 29 Jul, 2005 14:16 |
|
|
Hallo,
danke schonmal für die Aufmunterung. Das NAT-Problem hab' ich erstmal umgangen, indem ich einen Client direkt an der Telefondose/ISDN-Adapter aufgebaut habe. IPSec-Aushandlung läuft mit Zertifikaten und Adv. Client schonmal erfolgreich durch, aber danach geht's nicht weiter (hab' einen neuen Thread dazu erstellt).
Wofür es die ominösen VPN-Regeln und das entspr. Häkchen im Firewall-Bereich gibt, verstehe ich immer noch nicht, im LCOS5 Referenzhandbuch wird zwar mehrfach auf eine Erklärung dort verwiesen, die ist dann aber auch irgendwie unbefriedigend. Meine Regeln konfiguriere ich doch für die Firewall (z.B. dass Gegenstelle VPN1 vollen Zugriff auf das lokale Netz erhält). Aber wofür dann noch VPN-Regeln? Mir ist auch gar nicht klar, für welche Regeln es sinnvoll ist, das Häkchen zu setzen.
Gruß,
omd |
_________________
LC 1811 / LCOS 5.08 |
|
|
|
eddia
Anmeldungsdatum: 15.11.2004
Beiträge: 1239
|
| Verfasst am:
Fr 29 Jul, 2005 19:55 |
|
|
Hallo omd,
| Zitat:
|
|
Wofür es die ominösen VPN-Regeln und das entspr. Häkchen im Firewall-Bereich gibt, verstehe ich immer noch nicht, im LCOS5 Referenzhandbuch wird zwar mehrfach auf eine Erklärung dort verwiesen, die ist dann aber auch irgendwie unbefriedigend.
|
was verstehst Du nicht an der Beschreibung auf den Seiten 180, 181 und 185?
Gruß
Mario |
|
|
|
|
omd
Anmeldungsdatum: 18.07.2005
Beiträge: 105
|
| Verfasst am:
Fr 29 Jul, 2005 22:23 |
|
|
Hallo Mario,
folgendes bleibt mir unklar:
- Sind Firewall-Regeln mit VPN-Häkchen das vorgesehene Werkzeug, um VPN-Regeln festzulegen
- Firewall-Einträge welcher Art sind für VPN-Regeln relevant, und welche VPN-Regeln werden aus welchen Firewalleinträgen erzeugt
Im Referenzhandbuch steht meines Erachtens sinngemäß nur: Der Router erzeugt aus irgendwelchen Firewalleinträgen (und Routen und anderes mehr) irgendwelche VPN-Regeln.
Das Konzept, VPN-Einstellungen über Firewallregeln festzulegen, stellt mich vor Rätsel. Wäre der Weg umgekehrt und es würden auf Wunsch für eine VPN-Konfiguration die entsprechenden "Verkehrswege" durch Erzeugung von Firewallregeln freigegeben, dann würde es mir einleuchten.
Evtl. habe ich auch vom Begriff der VPN-Regeln eine falsche Vorstellung. Was ist damit gemeint -- das, was man mit "show vpn" angezeigt bekommt (die beteiligten Netzwerk- und Schnittstellenadressen)?
Gruß,
omd |
|
|
|
|
|
|
|
|
| |
|
|
