 |
|
|
|
| Autor |
Nachricht |
Michael008
Anmeldungsdatum: 14.01.2005
Beiträge: 325
Wohnort: Stuttgart
|
 Verfasst am:
Sa 30 Jul, 2005 14:33 |
  |
|
Hallo,
ich habe 2 LANs mittels VPN gekoppelt.(Geräte: 1611+1811)
Das funktioniert soweit ganz gut.
Wie kann ich denn verhindern, das die Verbindung aus dem Netz des 1611 initiiert wird?
Es soll nur eine Verbindung aufgebaut werden, wenn eine Anfrage aus dem 1811 (192.168.2.1/24) Netz ins 1611 (192.168.1.1/24) Netz geht.
Danke schonmal
Michael |
|
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
eddia
Anmeldungsdatum: 15.11.2004
Beiträge: 1239
|
| Verfasst am:
Sa 30 Jul, 2005 16:47 |
|
|
Hallo Michael,
| Zitat:
|
ich habe 2 LANs mittels VPN gekoppelt.(Geräte: 1611+1811)
Das funktioniert soweit ganz gut.
Wie kann ich denn verhindern, das die Verbindung aus dem Netz des 1611 initiiert wird?
|
Setze einfach den Gateway Eintrag auf dem 1611 für diese VPN-Verbindung auf 0.0.0.0.
Gruß
Mario |
|
|
|
|
Michael008
Anmeldungsdatum: 14.01.2005
Beiträge: 325
Wohnort: Stuttgart
|
| Verfasst am:
Sa 30 Jul, 2005 19:18 |
|
|
Hi eddia,
das funktionniert.
Vielen Dank
Komisch ist allerdings, das ich mit eingetragenem GW keine Verbindung mit dem AVC auf das 1611er Netz bekomme.
OK die ist jetzt aus dem 1811er LAN ein wenig überflüssig geworden, aber die AVC-Verbindung ging davor.
Der Trace # vpn-s am 1611 sagt:
| Code:
|
IKE info: Phase-1 failed for peer LC1811VPN: remote side has AGGRESSIVE mode, local side has MAIN mode
IKE log: 163159 Default exchange_setup_p1: expected exchange type MAIN got AGGRESSIVE
|
Lösche ich den GW-Eintrag am 1611, funktionniert eine Verbindung mit dem AVC wieder ganz normal, auch parallel, wie man sieht.
Ich hoffe das ich hierbei was falsch mache.
Ich hoffe mal nicht das ich mich zwischen AVC und LAN-LAN entscheiden muss, da ich mich auch weiterhin per AVC von anderswo einwählen können möchte.
Habt ihr Ideen wie ich den AVC auch weiterhin benutzen kann?
Danke Michael |
|
|
|
|
eddia
Anmeldungsdatum: 15.11.2004
Beiträge: 1239
|
| Verfasst am:
Sa 30 Jul, 2005 21:42 |
|
|
Hallo Michael,
| Zitat:
|
Komisch ist allerdings, das ich mit eingetragenem GW keine Verbindung mit dem AVC auf das 1611er Netz bekomme.
OK die ist jetzt aus dem 1811er LAN ein wenig überflüssig geworden, aber die AVC-Verbindung ging davor.
|
Deine Beschreibung ist absolut unklar.
Gruß
Mario |
|
|
|
|
Michael008
Anmeldungsdatum: 14.01.2005
Beiträge: 325
Wohnort: Stuttgart
|
| Verfasst am:
Sa 30 Jul, 2005 23:55 |
|
|
@ eddia,
tut mir leid wenn ich mich unklar ausgedrückt habe, ich werde es nochmal versuchen.
Situation:
Es sind 2 LANs, eines mit einem 1811 und eines mit einem 1611 als Router.
Bisher habe ich mich in beide Netzt mit dem AVC eingewählt, das hat
vom 1811 ins 1611
vom 1611 ins 1811 und
von außerhalb in beide LANs funktioniert.
Die jüngste Änderung:
Ich habe mit dem Assi eine LAN(1811)-LAN(1611) Kopplung eingerichtet.
Diese funktioniert super.
Problem:
Die AVC-Einwahl ins 1611-LAN von innerhalb des 1811-LAN geht nichtmehr. Von extern habe ich es noch nicht versucht.
Der Trace # vpn-s am 1611 sagt:
| Code:
|
IKE info: Phase-1 failed for peer LC1811VPN: remote side has AGGRESSIVE mode, local side has MAIN mode
IKE log: 163159 Default exchange_setup_p1: expected exchange type MAIN got AGGRESSIVE
|
Was mir aufgefallen ist:
Zufällig wollte ich noch eine Initiierung der VPN-Strecke durch das 1611-LAN vermeiden. (Manche PCs bauen ständig eine Verbindung auf)
Hierzu habe ich diesen Tip umgesetzt.
| eddia hat folgendes geschrieben:
|
|
Setze einfach den Gateway Eintrag auf dem 1611 für diese VPN-Verbindung auf 0.0.0.0.
|
Das hat super funktioniert, die LAN-LAN Kopplung kann nur noch aus dem 1811-LAN aufgebaut werden.
Das ist OK, bis ich die PCs im 1611-LAN zähmen kann.
Nach dieser Änderung (Löschung des GW in der 1611 nach 1811 VPN-Strecke) hat die Einwahl mit dem AVC aus dem 1811-LAN haraus ins 1611-LAN wieder geklappt.
Vermutung:
Die Pakete
vom 1611(192.168.1.1)
hin zum 1811(192.168.2.1)
könnten auf der falschen Route zurück wollen. Nämlich auf der LAN-LAN-Verbindung und nicht auf der AVC Verbindung.
Frage:
Wie kann ich auch weiterhin den AVC benutzen, ohne auf die LAN-LAN Kopplung zu verzichten?
Ich würde mich gerne wie bisher mit dem AVC von innerhalb des 1611-LANs ins 1811-LAN einwählen können.
Von Extern wäre ein Zugriff mit dem AVC in beide LANs wünschenswert.
Falls ich noch was verdeutlichen soll, bitte kurz nachhaken.
Danke für die Hilfe
Michael |
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
So 31 Jul, 2005 16:24 |
|
|
Hi Michael008
also entweder du wählst dich mit dem AVC ein oder du verwendest eine LAN-LAN-Kopplung. Das Problem liegt darin, daß der 1611 in beiden (!) Fällen nur die WAN-Adresse des 1811 sieht. Bei der LAN-LAN-Kopplung ist wird der 1811 anhand dieser Adresse identifiziert und es wird Main-Mode aktiviert. Der AVC verwendet jedoch den Aggressive-Mode - was nunmal nicht gleichzeitig funktionieren kann und vom 1611 abgelehnt wird:
| Code:
|
|
IKE info: Phase-1 failed for peer LC1811VPN: remote side has AGGRESSIVE mode, local side has MAIN mode
|
Du hast nun zwei Möglichkeiten, daß beides wieder funktioniert:
1. Du verwendest bei der LAN-LAN-Kopplung auch den Aggressive-Mode
2. Du stellst die AVC-Verbindung auf Zertifikate um und verwendest dort den Main-Mode
Aus Sicherheitsaspekten ist von Variante 1 abzuraten, da der Aggressive-Mode angreifbar ist.
Gruß
Backslash |
|
|
|
|
|
|
|
|
| |
|
|
