Bekomme VPN Advanced Client nicht verbunden LANCOM 1621

Alle Fragen zum LANCOM Advanced VPN Client hier rein

Moderator: Lancom-Systems Moderatoren

Antworten
urrmel
Beiträge: 7
Registriert: 27 Nov 2012, 15:54

Bekomme VPN Advanced Client nicht verbunden LANCOM 1621

Beitrag von urrmel » 27 Nov 2012, 16:40

Hallo,

habe einen VPN-Zugang per LanConfig auf einem LC1621 gem. Handbuch konfiguriert, das Profil als Datei abgespeichert und auf einem Arbeitsplatz-PC den Client installiert und die Profildatei geladen.

Dieser Arbeitsplatz-PC , ein W7-PC x64 stellt aber keine Verbindung her. Der Verbindungsversuch dauert ca 20 Sekunden - solange ist der connect button grün. Danach ist der Button wieder rot.

Geplant ist, diesen VPN-Client auf einem PC ausserhalb der Firma einzusetzen. Zum Testen hab ich ihn erstmal auf einer Workstation im lokalen Firmennetz ( SBS 2003-Domäne) installiert.

Der LANCOM ist von aussen über eine dyndns-Adresse erreichbar, zumindest erscheint nach EIngabe der dyndns-Adresse im Browser das Lancom-Logo mit Firmware-Version und hostname.

Unten angehängt noch ein Auszug aus dem log des Adv.Client. Da sehe ich ein "disconnect" in der letzten Zeile, heisst das dass zuvor eine Verbindung bestand?

Funktioniert das etwa nicht wenn man im lokalen Netz sitzt?
Was läuft hier nicht richtig? Ich komme alleine nicht weiter.

Gruss,
Urmel


---Auszug aus dem log---
15:12:01 IPSec: Start building connection
15:12:01 IPSec: DNSREQ: resolving GW=<BLABLABLA.DYNDNS.ORG> over lan:
15:12:01 IPSec: DNSREQ: resolved ipadr: 666.666.666.666
15:12:02 Ike: Opening connection in PATHFINDER mode : LANCOM_GB-JEQK
15:12:02 Ike: Outgoing connect request AGGRESSIVE mode - gateway=66.666.666.666 : LANCOM_GB-JEQK
15:12:02 Ike: XMIT_MSG1_AGGRESSIVE - LANCOM_GB-JEQK
15:12:32 Ike: Switching to TCP ENCAPSULATION in PATHFINDER : LANCOM_GB-JEQK
15:12:32 Ike: Pathfinder-Outgoing connect request AGGRESSIVE mode - : LANCOM_GB-JEQK
15:12:32 Ike: XMIT_MSG1_AGGRESSIVE - LANCOM_GB-JEQK
15:12:42 IPSec: Disconnected from LANCOM_GB-JBQK on channel 1.
--- Ende ---

urrmel
Beiträge: 7
Registriert: 27 Nov 2012, 15:54

Advanced Client

Beitrag von urrmel » 29 Nov 2012, 10:42

ok, ich seh es ein.

Es gibt das Forum "Alles zum VPN Advanced Client".

Werde dort eine neue Anfrage starten.

urrmel

Benutzeravatar
Pothos
Moderator
Moderator
Beiträge: 304
Registriert: 09 Feb 2012, 11:26
Wohnort: Jülich

Beitrag von Pothos » 29 Nov 2012, 11:17

Hi urrmel,
---Auszug aus dem log---
15:12:01 IPSec: Start building connection
15:12:01 IPSec: DNSREQ: resolving GW=<BLABLABLA.DYNDNS.ORG> over lan:
15:12:01 IPSec: DNSREQ: resolved ipadr: 666.666.666.666
15:12:02 Ike: Opening connection in PATHFINDER mode : LANCOM_GB-JEQK
15:12:02 Ike: Outgoing connect request AGGRESSIVE mode - gateway=66.666.666.666 : LANCOM_GB-JEQK
15:12:02 Ike: XMIT_MSG1_AGGRESSIVE - LANCOM_GB-JEQK
15:12:32 Ike: Switching to TCP ENCAPSULATION in PATHFINDER : LANCOM_GB-JEQK
15:12:32 Ike: Pathfinder-Outgoing connect request AGGRESSIVE mode - : LANCOM_GB-JEQK
15:12:32 Ike: XMIT_MSG1_AGGRESSIVE - LANCOM_GB-JEQK
15:12:42 IPSec: Disconnected from LANCOM_GB-JBQK on channel 1.
--- Ende ---
Nein verbunden war er bis zu diesem Zeitpunkt noch nicht. Was sagt ein VPN-Status Trace auf dem LANCOM wenn du versuchst den Client zu verbinden?
Gruß
Pothos

Benutzeravatar
LoUiS
Site Admin
Site Admin
Beiträge: 4868
Registriert: 07 Nov 2004, 19:29
Wohnort: Aix la Chapelle

Beitrag von LoUiS » 29 Nov 2012, 11:25

Hi,

ich hab das Thema mal ins richte Forum geschoben.


Ciao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.

urrmel
Beiträge: 7
Registriert: 27 Nov 2012, 15:54

Beitrag von urrmel » 29 Nov 2012, 12:04

Irgendwie scheint der lancom die Konfiguration nicht zu haben...

--- trace auszug ---
[VPN-Status] 2012/11/29 10:55:48,040
IKE info: Phase-1 negotiation failed: no configuration found for incoming peer 80.228.192.212
--- ENDE ---

mehr hier:
http://www.schneiderz.de/lc/

Benutzeravatar
Pothos
Moderator
Moderator
Beiträge: 304
Registriert: 09 Feb 2012, 11:26
Wohnort: Jülich

Beitrag von Pothos » 29 Nov 2012, 12:19

OK. Vermutlich existiert dann auch keine SA. Bitte mal mit "show vpn" prüfen.

Dann bitte einmal unter "VPN -> IKE-Auth. -> IKE-Schlüssel und Identitäten" die Identiät mit dem vergleichen was im Profil hinterlegt ist (sowohl Wert als auch Typ). Sollte das stimmen gehts einmal quer durch die konfig :D.
1. VPN Verbindungslisteneintrag vorhanden?
2. VPN Parameter vorhanden?
3. IKE und IPSec Parameter und Listen vorhanden?
4. Routingtabelleneintrag oder Adresspool für Einwahlzugänge definiert?
5. VPN Regel in der Firewall vorhanden?

Alternativ das eingerichtete Profil mit dem Setup-Assistenten von LANconfig löschen und ein neues einrichten.
Gruß
Pothos

urrmel
Beiträge: 7
Registriert: 27 Nov 2012, 15:54

Prüfungsergebnis

Beitrag von urrmel » 29 Nov 2012, 14:44

Hi,
erstmal danke fürs erste feed back!

Ich habe also erstmal alle Zugänge mit dem Assistenten gelöscht.
Dann mit dem Assistenten einen neuen Zugang eingerichtet namesn TEST_2.
Dann einen neuen Verbindungsversuch durchgeführt, wieder keine Verbindung.
Der Trace mit show vpn liegt hier:
http://www.schneiderz.de/lc/LANCOM_GLB% ... 131739.lct

Vergleiche:
auf LC: Lokale/Entf. TYP= FQUN im Profil: Fully Qualified User Name
auf LC: Lokale/Entf. ID = TEST_2@intern im Profil: IkeIdStr=TEST2@intern

Hier stimmt was nicht, der Unterstrich fehlt im Profil, oder?

Werde nochmal mit einem Profilnamen ohne Sonderzeichen testen...

urrmel

urrmel
Beiträge: 7
Registriert: 27 Nov 2012, 15:54

Beitrag von urrmel » 29 Nov 2012, 15:05

Leider funktionierte auch der Zugang namens "PFUPF" nicht.
Trace ebenfalls hier:
www.schneiderz.de/lc

Muss jetzt wech, übrinx ganz in AC-Nähe ;-)
Bin erst Montag wieder im Büro.

Danke und So long erstmal,
Urrmel

Benutzeravatar
Pothos
Moderator
Moderator
Beiträge: 304
Registriert: 09 Feb 2012, 11:26
Wohnort: Jülich

Beitrag von Pothos » 29 Nov 2012, 15:05

Vergleiche:
auf LC: Lokale/Entf. TYP= FQUN im Profil: Fully Qualified User Name
auf LC: Lokale/Entf. ID = TEST_2@intern im Profil: IkeIdStr=TEST2@intern
Also der Typ ist korrekt, sprich FQUN = Fully Qualified User Name
ABER die ID muss die gleiche sein! Am einfachsten mal testen indem du beim Profil das gleiche einträgst wie im LANCOM.

Im Trace sieht man wieder, dass er die Einwahl nicht zuordnen kann. Aufgrund unterschiedlicher IDs kann der LANCOM das auch nicht zuordnen, weil im Aggressiv Mode anhand der Identitäten zugeordnet wird.

Edit: bezüglich dem zweiten Profil müsste genauso aussehen, wie beim ersten. Aber probier das Ganze mal von einer anderen WAN Verbindung aus. Also versuch mal eine Verbindung von zuhause in Richtung Firma. Es kann sein das der LANCOM sich verschluckt weil die eingehende Verbindung von "seiner" WAN IP kommt.
Gruß
Pothos

urrmel
Beiträge: 7
Registriert: 27 Nov 2012, 15:54

Beitrag von urrmel » 05 Dez 2012, 23:26

So,
eben habe ich von zu Hause aus mal einen Verbindungsversuch gestartet.
Wieder mit dem Profil "PFUPF", leider auch diesmal ohne Erfolg.

Den Trace habe ich hier hingepackt:
www.schneiderz.de/lc
Meines Erachtens sieht er genauso aus wie sonst. Der LC findet keine Konfig-Infos.

Die IDs werde ich morgen nochmal prüfen, schätze aber, dass die ok sein werden, da die ID nur Buchstaben hat.

Greetz,
Urrmel

urrmel
Beiträge: 7
Registriert: 27 Nov 2012, 15:54

Beitrag von urrmel » 06 Dez 2012, 11:57

Hurrah!
Erster Erfolg erzielt!

Also, ich bekomme nun eine Verbindung hin, auch aus dem lokalen Netz heraus.

Der Fehler lag vermutlich bei den Einstellungen im Lancom, Abschnitt VPN und dort im Register "Default". Darin waren wohl falsche IKE-Proposals-Defaults gesetzt (siehe Bild). Nachdem ich dort ..VPN... eingestellt hatte, funktioniert es.

Ich vermute nun mal, dass der Zugang prinzipiell ok ist.
Trace hier: www.schneiderz.de/lc (6.12.2012, 10:38).

Mein nächster Schritt ist jetzt, über den VPN-Tunnel eine Domänenanmeldung zu ermöglichen.

Funktioniert das, wenn das eine Ende des Tunnels bereits in dieser Domäne angemeldet ist?
... die Antwort kommt beim Schreiben: ich probiers mal von einer lokalen Anmeldung aus....

Grüsse ,
Urrmel
Dateianhänge
Register_Default.jpg
Register_Default.jpg (53.69 KiB) 1075 mal betrachtet

Antworten

Zurück zu „Alles zum LANCOM Advanced VPN Client“