 |
|
|
|
| Autor |
Nachricht |
Pmeger
Anmeldungsdatum: 09.07.2007
Beiträge: 23
|
 Verfasst am:
Di 27 Nov, 2007 09:51 |
  |
|
Wir haben einen Lancom8011VPN und in der Außenstelle einen Draytek 2700.
Jetzt würden wir die beiden Geräte gerne per VPN mit einander vernetzten.
Aber irgendwie wollen sie nicht so richtig.
Wie muss ich im Lancom vorgehen um eine "normale" IPSec Verbindung ohne L2TP zum 8011 zu zulassen?
Der Draytek soll die Verbindung zum Lancom aufbauen zu können.
Ich möchte nur einen IKE-PresharedKey eingeben und sonst nichts 
Sicherheitsmethode haben wir uns für "Hoch"(ESP) - DES ohne Autenthifizierung entschieden.
Phase 1: DES-MD5
Phase 2: DES
Geht das so? Oder müssen wir auf ESP verzichten und mit AH arbeiten?
Liegt es vll. am DES?
Danke schonmal vorab! |
|
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
TheCloud
Anmeldungsdatum: 22.11.2007
Beiträge: 193
|
| Verfasst am:
Di 27 Nov, 2007 13:17 |
|
|
Hallo Pmeger,
in den Default-Proposallisten des LANCOMs ist DES nicht enthalten (nur 3DES).
Du findest in den VPN Verbindungs-Parametern die Zuweisungen, welche Proposal-Listen, PFS-Gruppe für die entsprechende VPN-Gegenstelle genutzt werden.
Ggf. musst Du die Werte entsprechend anpassen...
Gruß
TC |
|
|
|
|
Pmeger
Anmeldungsdatum: 09.07.2007
Beiträge: 23
|
| Verfasst am:
Di 27 Nov, 2007 13:24 |
|
|
OK, danke erstmal!
Wie kann ich denn im Lancom sehen ob er versucht die VPN Verbindung anzunehmen? Bzw. warum er sie ablehnt?
Im Lanmonitor passiert nichts, wenn ich mir die Geräteaktivitäten anzeigen lasse.
Danke! |
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Di 27 Nov, 2007 15:21 |
|
|
Hi Pmeger
gim auf der Konsole/Telnet/SSH trace # vpn-status ein und harre der Dinge die dort passieren...
Gruß
Backslash |
|
|
|
|
Pmeger
Anmeldungsdatum: 09.07.2007
Beiträge: 23
|
| Verfasst am:
Di 27 Nov, 2007 15:54 |
|
|
Hhm, hab ich jetzt eingegeben aber ich sehe trotzdem nichts.
Wenn ich irgendwas an den Regeln oder so ändere, dann kommt zwar nen Comment das es erfolgreich geändert wurde, aber mehr nicht. |
|
|
|
|
TheCloud
Anmeldungsdatum: 22.11.2007
Beiträge: 193
|
| Verfasst am:
Di 27 Nov, 2007 16:20 |
|
|
Hi,
| Zitat:
|
|
Hhm, hab ich jetzt eingegeben aber ich sehe trotzdem nichts.
|
Du müsstest hier aber zumindest einen eingehenden connect request von der Gegenseite sehen.
Bist Du sicher, dass Du auf dem Draytek die öffentliche IP des 8011 als VPN-Gegenstelle angegeben hast? 
Oder steht zwischen den beiden Routern noch eine Firewall, die ggf. Pakete filtert?
Gruß
TC |
|
|
|
|
Pmeger
Anmeldungsdatum: 09.07.2007
Beiträge: 23
|
| Verfasst am:
Di 27 Nov, 2007 16:29 |
|
|
Ja, ich bin mir ganz sicher
Wenn ich mich via PPTP von einem Windows Rechner einwählen möchte, sehe ich auch nichts.
Aber bekomme in Windows die Meldung Benutzer oder Passwort falsch.
Ist auch keine Firewall. Beide Router hängen direkt an einem eigenen DSL Anschluss.
Firewall im 8011 ist auch aus. |
|
|
|
|
Pmeger
Anmeldungsdatum: 09.07.2007
Beiträge: 23
|
| Verfasst am:
Di 27 Nov, 2007 16:37 |
|
|
wenn ich über das LAN versuche mich via VPN einzuwählen, sehe ich auch keine Meldung |
|
|
|
|
LoUiS
Site Admin
Anmeldungsdatum: 07.11.2004
Beiträge: 3989
Wohnort: Aix la Chapelle
|
| Verfasst am:
Di 27 Nov, 2007 18:52 |
|
|
Hi,
| Zitat:
|
|
wenn ich über das LAN versuche mich via VPN einzuwählen, sehe ich auch keine Meldung
|
Dann hast Du vmtl. im Telnet/SSH auch nicht, wie von Backslash bereits geschrieben, "trace # vpn-st" eingegeben.
Ciao
LoUiS |
_________________
| Dr.House hat folgendes geschrieben:
|
Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
|
|
|
  |
|
Pmeger
Anmeldungsdatum: 09.07.2007
Beiträge: 23
|
| Verfasst am:
Di 27 Nov, 2007 20:48 |
|
|
Doch klar!
Ich sehe doch auch, wenn ich eine Regel ändere oder so.
Ausserdem steht dort:
VPN-Status ON |
|
|
|
|
LoUiS
Site Admin
Anmeldungsdatum: 07.11.2004
Beiträge: 3989
Wohnort: Aix la Chapelle
|
| Verfasst am:
Di 27 Nov, 2007 21:05 |
|
|
Hi,
wenn dann im Trace garnichts angezeigt wird, dann kommt da wohl auch nichts von der Gegenstelle an. Wie "TheCloud" schon schrieb
| Zitat:
|
|
Du müsstest hier aber zumindest einen eingehenden connect request von der Gegenseite sehen.
|
Wenn Du nichts siehst, dann muss irgendwo vorher schon was falsch laufen.
Ciao
LoUiS |
_________________
| Dr.House hat folgendes geschrieben:
|
Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
|
|
|
|
|
Pmeger
Anmeldungsdatum: 09.07.2007
Beiträge: 23
|
| Verfasst am:
Di 27 Nov, 2007 23:19 |
|
|
Da muss aber was ankommen. Weil wenn ich mit nem Windows PC versuche eine PPTP Verbindung aufzubauen bekomme ich eine Rückmeldung: Falscher Benutzername oder Passwort
Wenn ich das PPTP Konto lösche, dann kommt: Der VPN Server ist nicht erreichbar.
Also muss ja irgendwas ankommen,.. |
|
|
|
|
TheCloud
Anmeldungsdatum: 22.11.2007
Beiträge: 193
|
| Verfasst am:
Di 27 Nov, 2007 23:33 |
|
|
Hallo Pmeger,
| Zitat:
|
Da muss aber was ankommen. Weil wenn ich mit nem Windows PC versuche eine PPTP Verbindung aufzubauen bekomme ich eine Rückmeldung: Falscher Benutzername oder Passwort
Wenn ich das PPTP Konto lösche, dann kommt: Der VPN Server ist nicht erreichbar.
|
Jetzt verwechselst Du aber Äpfel mit Birnen 
Ankommende PPTP-Verbindungen wirst Du im VPN-Status Trace auch nicht sehen, denn auch den Windows das PPTP als VPN bezeichnet, hat dies nicht im Geringsten etwas mit IPsec zu tun.
Im VPN-Status Trace wirst Du nur Meldungen zum VPN via IPsec sehen.
Gruß
TC |
|
|
|
|
Pmeger
Anmeldungsdatum: 09.07.2007
Beiträge: 23
|
| Verfasst am:
Mi 28 Nov, 2007 00:59 |
|
|
Ah! Dann ist ja gut!
Also sehe ich nur "richtige" IPSec Verbinden.
Dann probier ich morgen nochmal. |
|
|
|
|
Pmeger
Anmeldungsdatum: 09.07.2007
Beiträge: 23
|
| Verfasst am:
Mi 28 Nov, 2007 12:41 |
|
|
Es lag am PPTP, ich bin davon ausgegangen, dass ich diese Meldungen auch mit "trace # vpn-st" sehe ^^
So, habe es jetzt soweit das ich folgende Meldung sehe:
| Code:
|
[VPN-Status] 1900/01/01 20:45:11,380
IKE info: Phase-1 remote proposal 1 for peer def-aggr-peer matched with local proposal 1
|
Das sagt mir doch, dass die Verschlüsselung für Phase1 auf beiden Geräten im proposal übereinstimmt?
Nach Dieser Meldung passiert allerdings nicht mehr und mein Draytek versucht erneut eine Verbindung aufzubauen und die selbe Meldung kommt erneut und erneut,..
Also bleibt er irgendwo bei Phase1 hängen?
Danke! |
|
|
|
|
|
|
|
|
| |
|
|
