 |
|
|
|
  |
LANCOM-Forum.de Foren-Übersicht » LANCOM ADSL/ISDN: 821, 1621, 1521 Wireless, 1821 Wireless, 821+, 1721 VPN, 1722 VoIP, 1724 VoIP, 1723 VoIP, 1724 VoIP, 1823 VoIP, 1821+ Wireless ADSL, |
Gehe zu Seite 1, 2 Weiter |
| Autor |
Nachricht |
akku99
Anmeldungsdatum: 15.03.2006
Beiträge: 8
|
 Verfasst am:
Mi 15 März, 2006 13:59 |
  |
|
Habe Lcos 5.08
Wenn ich mit dem Advanced VPN client eine Einwahlverbindung hergestellt habe (LAN over IP), möchte ich den 1721 über diese Verbindung mit Hilfe von LANconfig einsehen bzw. Konfigurationen ändern.
(Ich kann mit WEBconfig auf den 1721 remote zugreifen aber das ist für mich als Lancom Neuling sehr viel unübersichtlicher und gefahrvoller als der Zugriff mit LANconfig)
Wenn ich nun bei bestehender Verbindung in LANconfig "Gerät suchen" klicke, wird kein Gerät gefunden, weder bei "Lokales Netz durchsuchen" mit Angabe der (internen) Netzadresse vom Netz, wo der 1721 steht, noch bei "Entferntes Netz durchsuchen" mit Angabe der externen Netzadresse des 1721.
Wo ist mein Problem und wie beseitige ich es?
Konkret: 1721 interne IP = 192.168.178.11
(von mir in LANconfig "Gerät suchen" angegebene Netzadresse = 192.168.178.0/255.255.255.0)
1721 externe IP = 84.157.182.193
(von mir in LANconfig "Gerät suchen" angegebene Netzadresse = 84.157.182.0/255.255.255.0)
remote client IP = 192.168.178.240 |
|
|
    |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
cosoft
Anmeldungsdatum: 29.06.2005
Beiträge: 136
Wohnort: Nordrhein Westfalen
|
| Verfasst am:
Mi 15 März, 2006 15:38 |
|
|
In "Management -> Admin -> Zugriffs-Rechte -> von entfernten Netzen" muss dazu TFTP erlaub sein, am besten "nur über VPN".
Wie die Einstellung über das Webinterface erfolgt, weiss ich leider nicht 
HTH
Gruß,
cosoft |
_________________
4E 4F 20 53 49 47 |
|
|
|
akku99
Anmeldungsdatum: 15.03.2006
Beiträge: 8
|
| Verfasst am:
Mi 15 März, 2006 16:30 |
|
|
Hallo cosoft,
ich hatte bereits per WEBconfig unter "Management/Admin/Zugriffsrechte/von entfernten Netzen" alle Protokolle erlaubt, also auch TFTP.
Funzt trotzdem nicht. |
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Mi 15 März, 2006 16:43 |
|
|
Hi akku99
unabhängig von deinem Problem, würde ich immer die aktuellste Firmware verwenden...
| Zitat:
|
|
Konkret: 1721 interne IP = 192.168.178.11
|
wenn du die Adresse des 1721 doch kennst, warum fügst du das Gerät nicht einfach hinzu...
| Zitat:
|
|
ich hatte bereits per WEBconfig unter "Management/Admin/Zugriffsrechte/von entfernten Netzen" alle Protokolle erlaubt, also auch TFTP.
|
Das solltest du tunlichst nicht machen, sondern - wie cosoft beweits angemerkt hat - einen Zugriff von entfernten Netzen nur über VPN zulassen.
Desweiteren funktioniert ein WAN-Zugriff nur, wenn das Gerät mit auch ein Paßwort hat....
Gruß
Backslash |
|
|
|
|
akku99
Anmeldungsdatum: 15.03.2006
Beiträge: 8
|
| Verfasst am:
Mi 15 März, 2006 17:18 |
|
|
Hi backslash,
1) Mein Kunde will nicht, daß neue Firmware aufgespielt wird. Und er will auch nicht für meine Anfahrt zahlen, wenn ich nur "kleine" Änderungen an seinem 1721 vornehmen muß. "Das können Sie doch auch per Fernzugriff, oder?...."
2) Das ist ja gerade das Problem, das ich oben beschrieb: wenn ich bei "Gerät hinzufügen" die externe oder interne IP Adresse eingebe, behauptet LANconfig nach einige Sekunden Suche im lokalen und/oder entfernten Netz: "kein Gerät gefunden".
Das gleiche passiert bei "Gerät suchen" und Eingabe der entsprechenden Netzwerkadressen.
3) Die Protokolle hatte ich alle nur deshalb freigegeben, weil es nicht funzte und ich das Problem schon dort vermutet hatte
Prinzipiell ist die Fernkonfiguration im 1721 erlaubt, da ich ja per Fernzugriff über WEBconfig die Konfiguration sehen und ändern kann. Nur LANconfig sieht den 1721 erst gar nicht aus der Ferne.
Alle Firewalls auf meinem Client sind aus. Welche Ports müssen für LANconfig denn eigentlich geöffnet sein? |
|
|
|
|
cosoft
Anmeldungsdatum: 29.06.2005
Beiträge: 136
Wohnort: Nordrhein Westfalen
|
| Verfasst am:
Mi 15 März, 2006 17:35 |
|
|
Nur so eine Idee: vielleicht mal eine andere (neuere) LANconfig-Version benutzen!? |
_________________
4E 4F 20 53 49 47 |
|
|
|
akku99
Anmeldungsdatum: 15.03.2006
Beiträge: 8
|
| Verfasst am:
Mi 15 März, 2006 17:38 |
|
|
Falls jemand von euch per Advanced VPN Client Fernzugriff hat (am liebsten auf einen 1721), könnte er mal für mich probieren, ob es bei ihm funzt? Das wäre echt nett! |
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Mi 15 März, 2006 20:01 |
|
|
Hi akku99
| Zitat:
|
|
Alle Firewalls auf meinem Client sind aus.
|
sicher? Die XP-Firewall ist da manchmal sehr hartnäckig...
Auch der AVC hat eine eigene Firewall...
| Zitat:
|
|
Welche Ports müssen für LANconfig denn eigentlich geöffnet sein?
|
eigentlich nur Port 69... Das Problem ist, daß LANconfig mit TFTP arbeitet und genau das führt bei manchen Firewalls zu massiven Problemen, da sich dabei der entfernte Port ändert:
Der Client sendet ein Paket von Port X an port 69
Der Server antwortet darauf mit einem Paket von Port Y an Port X.
Es gibt viele Firewalls, die das nicht abkönnen...
Gib im Ernstfall in deiner Firewall LANconfig für eingehende UDP-Verbindungen frei...
Gruß
Backslash |
|
|
|
|
akku99
Anmeldungsdatum: 15.03.2006
Beiträge: 8
|
| Verfasst am:
Mi 15 März, 2006 22:41 |
|
|
Hi backslash,
Personal Firewall hab ich keine, die XP Firewall ist deaktiviert.
ABER: ich habe eine FritzBox und die HAT eine Firewall! Dumm nur, daß die sich nicht generell abschalten läßt und auch eine Regel, die alle UDP Ports öffnet (1-65534), akzeptiert sie nicht.
Und auch ein Log der verworfenen reinkommenden Pakete hat sie nicht. |
|
|
|
|
akku99
Anmeldungsdatum: 15.03.2006
Beiträge: 8
|
| Verfasst am:
Mi 15 März, 2006 23:44 |
|
|
Ich hab jetzt mit 'nem Netgear Router herausgefunden, daß die Anforderungen der Gerätesuche von LANconfig auf UDP Ports zwischen 2700 und 2800 abgehen und auch wieder ankommen. Nach dem Einrichten einer entsprechenden Freigabe, hat es mit der externen IP des 1721 gefunzt, d.h. LANconfig hat ihn gefunden!!!
Nochmals vielen Dank für die Info, backslash!
Gibts denn von Lancom evtl. eine offizielle Aussage in welchem Portbereich sich die Anfragen abspielen, so daß man den freigegebenen Portbereich möglichst klein halten kann?
Das Problem mit der Freigabe eines großen Portbereiches bei meiner Hardware Firewall ist, daß an dem Router noch andere User hängen und die Freigabe genau genommen ein Port-Forwarding ist.
Ich muß also bei der Freigabe genau sagen, an welchen Client diese Ports weitergeleitet werden. Wenn nun für einen anderen Client was zwischen 2700 und 2800 ankommt, bekommt der das nie zu sehen!!
Nachtrag: jetzt werden Ports zwischen 3000 und 4000 benutzt!!
So kann ich das ja nie unter Kontrolle bringen!  |
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Do 16 März, 2006 17:25 |
|
|
Hi akku99
| Zitat:
|
|
ABER: ich habe eine FritzBox und die HAT eine Firewall!
|
tja, wäre da ein LANCOM, dann würde das auch klappen. Beschwer dich bei AVM darüber, daß sie nicht in der Lage sind TFTP zu maskieren...
| Zitat:
|
|
Gibts denn von Lancom evtl. eine offizielle Aussage in welchem Portbereich sich die Anfragen abspielen, so daß man den freigegebenen Portbereich möglichst klein halten kann?
|
Der Port wird von Windows dynamisch vergeben...
| Zitat:
|
|
Das Problem mit der Freigabe eines großen Portbereiches bei meiner Hardware Firewall ist
|
Ich dachte du wolltest den Router durch den VPN-Tunnel konfigurieren und nicht im Klartext über das Internet. Wenn das TFTP durch den Tunnel läuft, dann bekommt deine Fritzbox doch gar nichts davon mit...
Gruß
Backslash |
|
|
|
|
akku99
Anmeldungsdatum: 15.03.2006
Beiträge: 8
|
| Verfasst am:
Do 16 März, 2006 17:42 |
|
|
| backslash hat folgendes geschrieben:
|
|
Ich dachte du wolltest den Router durch den VPN-Tunnel konfigurieren und nicht im Klartext über das Internet. Wenn das TFTP durch den Tunnel läuft, dann bekommt deine Fritzbox doch gar nichts davon mit...
|
Offensichtlich blicke ich den mechanismus von LANconfig noch nicht ganz.
Was ich verstanden habe:
+ "Gerät suchen" passiert durch UDP 69 und wird vom remote 1721 über irgend einen anderen UDP Port bestätigt. Wenn dieser Port in meiner Hardwarefirewall offen ist (dazu am Besten temporär ganze Bereiche öffnen), dann meldet LANconfig: "Gerät gefunden".
Was mir nicht klar ist: Muss dann für die eigentliche Nutzung von LANconfig zur Konfiguration des remote 1721 kein UDP Port mehr offen sein? Evtl. dann andere Ports?
Hab ich überhaupt was gewonnen, wenn ich durch Öffnen der UDP Ports den 1721 gefunden habe? |
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Do 16 März, 2006 18:02 |
|
|
Hi akku 90
| Zitat:
|
Was ich verstanden habe:
+ "Gerät suchen" passiert durch UDP 69 und wird vom remote 1721 über irgend einen anderen UDP Port bestätigt. Wenn dieser Port in meiner Hardwarefirewall offen ist (dazu am Besten temporär ganze Bereiche öffnen), dann meldet LANconfig: "Gerät gefunden".
|
TFTP läuft wie folgt ab (habe ich oben schon beschrieben):
Der Client (also LANconfig) schickt ein Paket an Port 69. Das Paket braucht aber auch einen Absenderport und der wird von Windows dynamisch ausgewählt - nennen wir ihn X.
Das Paket kommt beim LANCOM an und es wird eine Antwort geschickt. Diese Antwort hat den Zielport X (also den, den sich Windows dynamisch ausgedacht hat). Nun ist es so, daß dieses Antwortpaket als Quellport aber nicht den port 69 haben darf. Also sucht sich das LANCOM auch wieder dynamisch einen Port aus. Nennen wir ihn Y
Ab nun erfolgt die Datenübertragung zwischen den ports X und Y. Und genau damit hat wohl die Fritzbox ein Problem.
| Zitat:
|
|
Was mir nicht klar ist: Muss dann für die eigentliche Nutzung von LANconfig zur Konfiguration des remote 1721 kein UDP Port mehr offen sein? Evtl. dann andere Ports?
|
Eine funktionierende Firewall würde das automatisch erkennen und es müßten keine Ports manuell "geöffnet" werden.
| Zitat:
|
|
Hab ich überhaupt was gewonnen, wenn ich durch Öffnen der UDP Ports den 1721 gefunden habe
|
nein, außer du öffnest alle Ports, da die nächste TFTP-Anfrage wieder einen neuen Port nimmt.
Aber wieseo kümmerst du dich heir überhaupt darum?
Wenn du das über VPN machen würdest, dann wäre das doch egal (du mußt das LANCOM dabei nur unter seiner internen Adresse ansprechen)...
Gruß
Backslash |
|
|
|
|
akku99
Anmeldungsdatum: 15.03.2006
Beiträge: 8
|
| Verfasst am:
Fr 17 März, 2006 09:36 |
|
|
Ja das hatte ich von Anfang an vor und auch probiert (s.o.) hat dort aber nicht gefunzt, daher hatte ich auch die externe Adresse versucht.
ABER: jetzt tut es!
Also dann nochmals Vielen dank für deine Mühe. Immerhin hab ich jetzt wieder einges gelernt, was ich evtl. mal woanders brauchen kann.! |
|
|
|
|
JanItor
Anmeldungsdatum: 20.12.2010
Beiträge: 38
|
| Verfasst am:
Mo 05 Sep, 2011 11:51 |
|
|
Ich häng mich mal hier an:
ist es möglich den 'weiteren Administratoren' den Zugriff auf das Hauptgeräte Passwort zu entziehen? Die Admins melden sich per Lanconfig im VPN Netz an. Sie arbeiten direkt an der Konfig. Ich möchte aber nun vermeiden das sie sich das Hauptgeräte Passwort anzeigen lassen können. Ist das möglich?
Gruß
JI |
|
|
|
|
|
|
|
|
LANCOM-Forum.de Foren-Übersicht » LANCOM ADSL/ISDN: 821, 1621, 1521 Wireless, 1821 Wireless, 821+, 1721 VPN, 1722 VoIP, 1724 VoIP, 1723 VoIP, 1724 VoIP, 1823 VoIP, 1821+ Wireless ADSL, |
Gehe zu Seite 1, 2 Weiter |
|
| |
|
|
