Hallo,
habe einen VPN-Zugang per LanConfig auf einem LC1621 gem. Handbuch konfiguriert, das Profil als Datei abgespeichert und auf einem Arbeitsplatz-PC den Client installiert und die Profildatei geladen.
Dieser Arbeitsplatz-PC , ein W7-PC x64 stellt aber keine Verbindung her. Der Verbindungsversuch dauert ca 20 Sekunden - solange ist der connect button grün. Danach ist der Button wieder rot.
Geplant ist, diesen VPN-Client auf einem PC ausserhalb der Firma einzusetzen. Zum Testen hab ich ihn erstmal auf einer Workstation im lokalen Firmennetz ( SBS 2003-Domäne) installiert.
Der LANCOM ist von aussen über eine dyndns-Adresse erreichbar, zumindest erscheint nach EIngabe der dyndns-Adresse im Browser das Lancom-Logo mit Firmware-Version und hostname.
Unten angehängt noch ein Auszug aus dem log des Adv.Client. Da sehe ich ein "disconnect" in der letzten Zeile, heisst das dass zuvor eine Verbindung bestand?
Funktioniert das etwa nicht wenn man im lokalen Netz sitzt?
Was läuft hier nicht richtig? Ich komme alleine nicht weiter.
Gruss,
Urmel
---Auszug aus dem log---
15:12:01 IPSec: Start building connection
15:12:01 IPSec: DNSREQ: resolving GW=<BLABLABLA.DYNDNS.ORG> over lan:
15:12:01 IPSec: DNSREQ: resolved ipadr: 666.666.666.666
15:12:02 Ike: Opening connection in PATHFINDER mode : LANCOM_GB-JEQK
15:12:02 Ike: Outgoing connect request AGGRESSIVE mode - gateway=66.666.666.666 : LANCOM_GB-JEQK
15:12:02 Ike: XMIT_MSG1_AGGRESSIVE - LANCOM_GB-JEQK
15:12:32 Ike: Switching to TCP ENCAPSULATION in PATHFINDER : LANCOM_GB-JEQK
15:12:32 Ike: Pathfinder-Outgoing connect request AGGRESSIVE mode - : LANCOM_GB-JEQK
15:12:32 Ike: XMIT_MSG1_AGGRESSIVE - LANCOM_GB-JEQK
15:12:42 IPSec: Disconnected from LANCOM_GB-JBQK on channel 1.
--- Ende ---
Bekomme VPN Advanced Client nicht verbunden LANCOM 1621
Moderator: Lancom-Systems Moderatoren
Advanced Client
ok, ich seh es ein.
Es gibt das Forum "Alles zum VPN Advanced Client".
Werde dort eine neue Anfrage starten.
urrmel
Es gibt das Forum "Alles zum VPN Advanced Client".
Werde dort eine neue Anfrage starten.
urrmel
Hi urrmel,
Nein verbunden war er bis zu diesem Zeitpunkt noch nicht. Was sagt ein VPN-Status Trace auf dem LANCOM wenn du versuchst den Client zu verbinden?---Auszug aus dem log---
15:12:01 IPSec: Start building connection
15:12:01 IPSec: DNSREQ: resolving GW=<BLABLABLA.DYNDNS.ORG> over lan:
15:12:01 IPSec: DNSREQ: resolved ipadr: 666.666.666.666
15:12:02 Ike: Opening connection in PATHFINDER mode : LANCOM_GB-JEQK
15:12:02 Ike: Outgoing connect request AGGRESSIVE mode - gateway=66.666.666.666 : LANCOM_GB-JEQK
15:12:02 Ike: XMIT_MSG1_AGGRESSIVE - LANCOM_GB-JEQK
15:12:32 Ike: Switching to TCP ENCAPSULATION in PATHFINDER : LANCOM_GB-JEQK
15:12:32 Ike: Pathfinder-Outgoing connect request AGGRESSIVE mode - : LANCOM_GB-JEQK
15:12:32 Ike: XMIT_MSG1_AGGRESSIVE - LANCOM_GB-JEQK
15:12:42 IPSec: Disconnected from LANCOM_GB-JBQK on channel 1.
--- Ende ---
Gruß
Pothos
Pothos
Irgendwie scheint der lancom die Konfiguration nicht zu haben...
--- trace auszug ---
[VPN-Status] 2012/11/29 10:55:48,040
IKE info: Phase-1 negotiation failed: no configuration found for incoming peer 80.228.192.212
--- ENDE ---
mehr hier:
http://www.schneiderz.de/lc/
--- trace auszug ---
[VPN-Status] 2012/11/29 10:55:48,040
IKE info: Phase-1 negotiation failed: no configuration found for incoming peer 80.228.192.212
--- ENDE ---
mehr hier:
http://www.schneiderz.de/lc/
OK. Vermutlich existiert dann auch keine SA. Bitte mal mit "show vpn" prüfen.
Dann bitte einmal unter "VPN -> IKE-Auth. -> IKE-Schlüssel und Identitäten" die Identiät mit dem vergleichen was im Profil hinterlegt ist (sowohl Wert als auch Typ). Sollte das stimmen gehts einmal quer durch die konfig
.
1. VPN Verbindungslisteneintrag vorhanden?
2. VPN Parameter vorhanden?
3. IKE und IPSec Parameter und Listen vorhanden?
4. Routingtabelleneintrag oder Adresspool für Einwahlzugänge definiert?
5. VPN Regel in der Firewall vorhanden?
Alternativ das eingerichtete Profil mit dem Setup-Assistenten von LANconfig löschen und ein neues einrichten.
Dann bitte einmal unter "VPN -> IKE-Auth. -> IKE-Schlüssel und Identitäten" die Identiät mit dem vergleichen was im Profil hinterlegt ist (sowohl Wert als auch Typ). Sollte das stimmen gehts einmal quer durch die konfig
.1. VPN Verbindungslisteneintrag vorhanden?
2. VPN Parameter vorhanden?
3. IKE und IPSec Parameter und Listen vorhanden?
4. Routingtabelleneintrag oder Adresspool für Einwahlzugänge definiert?
5. VPN Regel in der Firewall vorhanden?
Alternativ das eingerichtete Profil mit dem Setup-Assistenten von LANconfig löschen und ein neues einrichten.
Gruß
Pothos
Pothos
Prüfungsergebnis
Hi,
erstmal danke fürs erste feed back!
Ich habe also erstmal alle Zugänge mit dem Assistenten gelöscht.
Dann mit dem Assistenten einen neuen Zugang eingerichtet namesn TEST_2.
Dann einen neuen Verbindungsversuch durchgeführt, wieder keine Verbindung.
Der Trace mit show vpn liegt hier:
http://www.schneiderz.de/lc/LANCOM_GLB% ... 131739.lct
Vergleiche:
auf LC: Lokale/Entf. TYP= FQUN im Profil: Fully Qualified User Name
auf LC: Lokale/Entf. ID = TEST_2@intern im Profil: IkeIdStr=TEST2@intern
Hier stimmt was nicht, der Unterstrich fehlt im Profil, oder?
Werde nochmal mit einem Profilnamen ohne Sonderzeichen testen...
urrmel
erstmal danke fürs erste feed back!
Ich habe also erstmal alle Zugänge mit dem Assistenten gelöscht.
Dann mit dem Assistenten einen neuen Zugang eingerichtet namesn TEST_2.
Dann einen neuen Verbindungsversuch durchgeführt, wieder keine Verbindung.
Der Trace mit show vpn liegt hier:
http://www.schneiderz.de/lc/LANCOM_GLB% ... 131739.lct
Vergleiche:
auf LC: Lokale/Entf. TYP= FQUN im Profil: Fully Qualified User Name
auf LC: Lokale/Entf. ID = TEST_2@intern im Profil: IkeIdStr=TEST2@intern
Hier stimmt was nicht, der Unterstrich fehlt im Profil, oder?
Werde nochmal mit einem Profilnamen ohne Sonderzeichen testen...
urrmel
Leider funktionierte auch der Zugang namens "PFUPF" nicht.
Trace ebenfalls hier:
www.schneiderz.de/lc
Muss jetzt wech, übrinx ganz in AC-Nähe
Bin erst Montag wieder im Büro.
Danke und So long erstmal,
Urrmel
Trace ebenfalls hier:
www.schneiderz.de/lc
Muss jetzt wech, übrinx ganz in AC-Nähe
Bin erst Montag wieder im Büro.
Danke und So long erstmal,
Urrmel
Also der Typ ist korrekt, sprich FQUN = Fully Qualified User NameVergleiche:
auf LC: Lokale/Entf. TYP= FQUN im Profil: Fully Qualified User Name
auf LC: Lokale/Entf. ID = TEST_2@intern im Profil: IkeIdStr=TEST2@intern
ABER die ID muss die gleiche sein! Am einfachsten mal testen indem du beim Profil das gleiche einträgst wie im LANCOM.
Im Trace sieht man wieder, dass er die Einwahl nicht zuordnen kann. Aufgrund unterschiedlicher IDs kann der LANCOM das auch nicht zuordnen, weil im Aggressiv Mode anhand der Identitäten zugeordnet wird.
Edit: bezüglich dem zweiten Profil müsste genauso aussehen, wie beim ersten. Aber probier das Ganze mal von einer anderen WAN Verbindung aus. Also versuch mal eine Verbindung von zuhause in Richtung Firma. Es kann sein das der LANCOM sich verschluckt weil die eingehende Verbindung von "seiner" WAN IP kommt.
Gruß
Pothos
Pothos
So,
eben habe ich von zu Hause aus mal einen Verbindungsversuch gestartet.
Wieder mit dem Profil "PFUPF", leider auch diesmal ohne Erfolg.
Den Trace habe ich hier hingepackt:
www.schneiderz.de/lc
Meines Erachtens sieht er genauso aus wie sonst. Der LC findet keine Konfig-Infos.
Die IDs werde ich morgen nochmal prüfen, schätze aber, dass die ok sein werden, da die ID nur Buchstaben hat.
Greetz,
Urrmel
eben habe ich von zu Hause aus mal einen Verbindungsversuch gestartet.
Wieder mit dem Profil "PFUPF", leider auch diesmal ohne Erfolg.
Den Trace habe ich hier hingepackt:
www.schneiderz.de/lc
Meines Erachtens sieht er genauso aus wie sonst. Der LC findet keine Konfig-Infos.
Die IDs werde ich morgen nochmal prüfen, schätze aber, dass die ok sein werden, da die ID nur Buchstaben hat.
Greetz,
Urrmel
Hurrah!
Erster Erfolg erzielt!
Also, ich bekomme nun eine Verbindung hin, auch aus dem lokalen Netz heraus.
Der Fehler lag vermutlich bei den Einstellungen im Lancom, Abschnitt VPN und dort im Register "Default". Darin waren wohl falsche IKE-Proposals-Defaults gesetzt (siehe Bild). Nachdem ich dort ..VPN... eingestellt hatte, funktioniert es.
Ich vermute nun mal, dass der Zugang prinzipiell ok ist.
Trace hier: www.schneiderz.de/lc (6.12.2012, 10:38).
Mein nächster Schritt ist jetzt, über den VPN-Tunnel eine Domänenanmeldung zu ermöglichen.
Funktioniert das, wenn das eine Ende des Tunnels bereits in dieser Domäne angemeldet ist?
... die Antwort kommt beim Schreiben: ich probiers mal von einer lokalen Anmeldung aus....
Grüsse ,
Urrmel
Erster Erfolg erzielt!
Also, ich bekomme nun eine Verbindung hin, auch aus dem lokalen Netz heraus.
Der Fehler lag vermutlich bei den Einstellungen im Lancom, Abschnitt VPN und dort im Register "Default". Darin waren wohl falsche IKE-Proposals-Defaults gesetzt (siehe Bild). Nachdem ich dort ..VPN... eingestellt hatte, funktioniert es.
Ich vermute nun mal, dass der Zugang prinzipiell ok ist.
Trace hier: www.schneiderz.de/lc (6.12.2012, 10:38).
Mein nächster Schritt ist jetzt, über den VPN-Tunnel eine Domänenanmeldung zu ermöglichen.
Funktioniert das, wenn das eine Ende des Tunnels bereits in dieser Domäne angemeldet ist?
... die Antwort kommt beim Schreiben: ich probiers mal von einer lokalen Anmeldung aus....
Grüsse ,
Urrmel
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.