IP Adresse über DHCP bei VPN Verbindung

[froeschi62]

Hi,

ok, dann ändere deine VPN Regel (Firewall) dahingehend, dass Du bei "Stationen" als Quelle "Verbindung von allen Stationen" und als Ziel deinen VPN Gegenstellennamen angibst. Im AVC Client löschst Du dein IP-Netz.

Die IKE Lifetime kannst Du im Menü (LC) VPN/IKE-Parameter/IKE-Proposals konfigurieren.

Gruß
Dietmar

[Dr.Wackelzahn]

Hallo,
VPN Regel (Firewall) dahingehend, dass Du bei "Stationen" als Quelle "Verbindung von allen Stationen" und als Ziel deinen VPN Gegenstellennamen angibst
Das hatte der Wizard bereits so eingestell.
Gruß,
Alex

[froeschi62]

Hi,

wenn der Wizzard das schon so eingestellt hat, musst Du im AVC Client nicht explizit ein IP-Netz angeben.
Wie wählst Du Dich von aussen überhaupt ein? Über einen NAT-Router und DSL oder UMTS, etc.? Was für ein Betriebssystem nutzt Dein Notebook? Hast Du dort eine Firewall aktiv?
Es ist unglaublich schwer, aus der Ferne die Situation zu beurteilen. Ich kann hier nur Grundtipps geben.

Gruß
Dietmar

[Dr.Wackelzahn]

Von außen wähle ich mich über eine Router ins Netz:

Notebook -> Router -- DSL -- Lancom1821 -x-> Server

Wobei -x-> derzeit nicht funktioniert.
Betriebssystem ist Win XP mit SP3.
FW: ZoneAlarm, wobei dort 192.168.10.0 bereist als sicheres SubNetz eingetragen ist.
Aber auch mit deaktivierter FW ist keine Verbindung möglich.
Zwar kann ich mich auf das Lancom verbinden, aber dann komme ich nicht weiter. Ich vermute eine Einstellung im Lancom welche verhindert, dass ich von dort ins Firmennetz komme.
Die VPN-Verbindung funktioniert.

Vielen Dank für Deine Tipps, denn mir fehlt einfach der Hintergrund zum Lancom. Die wenn ich wüsste welche Traces in Frage kommen wäre oder hilfreich wären bin ich schon dankbar.

Gruß,
Alex

[froeschi62]

Hi,

ok, dann wählst Du Dich hinter einem NAT-Router ein. Mache bitte auf Lancom Seite ein VPN-Packet Trace.

Ein funktionierendes NAT-T sieht exemplarisch so aus:

[VPN-Packet] 2008/09/24 10:32:29,640
uncompressed: xxx.187.251.171->xxx.32.200.105 439 IP-ENCAP

[VPN-Packet] 2008/09/24 10:32:29,640
encrypted: xxx.187.251.171->xxx.32.200.105 496 UDP port 4500->4500

Man beachte Port 4500!

Gruß
Dietmar

[froeschi62]

Hi,

[VPN-Packet] 2008/09/22 17:20:51,900
decrypted: 88.66.xxx.xxx->88.66.xxx.xxx 133 IP-ENCAP

[VPN-Packet] 2008/09/22 17:20:51,900
decap: 192.168.10.23->192.168.10.6 89 UDP port 2006->53

[VPN-Packet] 2008/09/22 17:20:57,910
received: 88.66.xxx.xxx->88.66.xxx.xxx 152 ESP SPI[5071d7a6]

[VPN-Packet] 2008/09/22 17:20:57,910
decrypted: 88.66.xxx.xxx->88.66.xxx.xxx 133 IP-ENCAP

[VPN-Packet] 2008/09/22 17:20:57,910
decap: 192.168.10.23->192.168.10.6 89 UDP port 2006->53
[/list]

Ich sehe gerade bei Dir funktioniert das NAT-T nämlich nicht. Das dürfte auch der Grund deiner ganzen Probleme sein.

Gruß
Dietmar

[Dr.Wackelzahn]

So das derzeit gültige "tr # vpn" output lautet wie folgt:

• [VPN-Status] 2008/09/24 20:44:01,390
  IKE info: The remote server 88.xxx.xxx.xxx:500 peer def-aggr-peer id <no_id> supports NAT-T in mode draft
  IKE info: The remote server 88.xxx.xxx.xxx:500 peer def-aggr-peer id <no_id> supports NAT-T in mode draft
  IKE info: The remote server 88.xxx.xxx.xxx:500 peer def-aggr-peer id <no_id> supports NAT-T in mode draft
  IKE info: The remote server 88.xxx.xxx.xxx:500 peer def-aggr-peer id <no_id> supports NAT-T in mode rfc
  IKE info: The remote server 88.xxx.xxx.xxx:500 peer def-aggr-peer id <no_id> negotiated rfc-3706-dead-peer-detection
  IKE info: The remote client 88.xxx.xxx.xxx:500 peer def-aggr-peer id <no_id> is NCP LANCOM Serial Number Protocol 1.0 with serial number 2xxxxxxxxx1
  IKE info: The remote server 88.xxx.xxx.xxx:500 peer def-aggr-peer id <no_id> supports NAT-T in mode rfc
  IKE info: The remote server 88.xxx.xxx.xxx:500 peer def-aggr-peer id <no_id> supports NAT-T in mode rfc
  IKE info: The remote server 88.xxx.xxx.xxx:500 peer def-aggr-peer id <no_id> supports NAT-T in mode rfc
  
  
  [VPN-Status] 2008/09/24 20:44:01,390
  IKE info: phase-1 proposal failed: remote No 1 hash algorithm = SHA <-> local No 1 hash algorithm = MD5
  IKE info: Phase-1 remote proposal 1 for peer def-aggr-peer matched with local proposal 2
  
  
  [VPN-Status] 2008/09/24 20:44:01,650
  IKE info: Phase-1 [responder] got initial contact from peer XXXX (88.xxx.xxx.xxx)
  
  
  [VPN-Status] 2008/09/24 20:44:01,660
  IKE info: Phase-1 [responder] for peer XXXX between initiator id XXXX@xxxxx.local, responder id XXXX@xxxxx.local done
  IKE info: NAT-T enabled in mode rfc, we are not behind a nat, the remote side is behind a nat
  IKE info: SA ISAKMP for peer XXXX encryption aes-cbc authentication sha1
  IKE info: life time ( 28800 sec/ 0 kb)
  
  
  [VPN-Status] 2008/09/24 20:44:01,750
  IKE info: Phase-2 proposal failed: remote No 1, number of protos 2 <-> local No 1, number of protos 1
  IKE info: Phase-2 remote proposal 1 failed for peer XXXX
  IKE info: Phase-2 proposal failed: remote No 2, number of protos 2 <-> local No 1, number of protos 1
  IKE info: Phase-2 remote proposal 2 failed for peer XXXX
  IKE info: Phase-2 proposal failed: remote No 3, number of protos 2 <-> local No 1, number of protos 1
  IKE info: Phase-2 remote proposal 3 failed for peer XXXX
  IKE info: Phase-2 proposal failed: remote No 4, number of protos 2 <-> local No 1, number of protos 1
  IKE info: Phase-2 remote proposal 4 failed for peer XXXX
  IKE info: Phase-2 proposal failed: remote No 5, number of protos 2 <-> local No 1, number of protos 1
  IKE info: Phase-2 remote proposal 5 failed for peer XXXX
  IKE info: Phase-2 proposal failed: remote No 6, number of protos 2 <-> local No 1, number of protos 1
  IKE info: Phase-2 remote proposal 6 failed for peer XXXX
  IKE info: Phase-2 proposal failed: remote No 7, number of protos 2 <-> local No 1, number of protos 1
  IKE info: Phase-2 remote proposal 7 failed for peer XXXX
  IKE info: Phase-2 proposal failed: remote No 8, number of protos 2 <-> local No 1, number of protos 1
  IKE info: Phase-2 remote proposal 8 failed for peer XXXX
  IKE info: Phase-2 proposal failed: remote No 9, number of protos 2 <-> local No 1, number of protos 1
  IKE info: Phase-2 remote proposal 9 failed for peer XXXX
  IKE info: Phase-2 proposal failed: remote No 10, number of protos 2 <-> local No 1, number of protos 1
  IKE info: Phase-2 remote proposal 10 failed for peer XXXX
  IKE info: Phase-2 remote proposal 11 for peer XXXX matched with local proposal 1
  
  
  [VPN-Status] 2008/09/24 20:44:01,940
  IKE info: Phase-2 [responder] done with 2 SAS for peer XXXX rule ipsec-0-XXXX-pr0-l0-r0
  IKE info: rule:' ipsec 192.168.10.0/255.255.255.0 <-> 192.168.10.23/255.255.255.255 '
  IKE info: SA ESP [0xc4cc2ffa] alg AES keylength 128 +hmac HMAC_MD5 outgoing
  IKE info: SA ESP [0x77755500] alg AES keylength 128 +hmac HMAC_MD5 incoming
  IKE info: life soft( 25920 sec/0 kb) hard (28800 sec/0 kb)
  IKE info: tunnel between src: 88.xxx.xxx.xxx dst: 88.xxx.xxx.xxx
  
  [VPN-Status] 2008/09/24 20:44:01,940
  VPN: wait for IKE negotiation from XXXX(88.xxx.xxx.xxx)
  
  [VPN-Status] 2008/09/24 20:44:02,990
  VPN: XXXX (88.xxx.xxx.xxx) connected

Sorry, wenn ich da ein Log von einer falschen" Konfig gepostet hatte. Ich wollte niemanden auf die falsche Fährte bringen.

Seltsam finde ich, dass alles richtig funktioniert, wenn mir das Lancom eine IP zuweist, aber wenn ich die IP mir selbst definiere, kann ich nur noch auf's Lancom zugreifen.

Es kann ja nur noch eine Einstellung im Lancom sein.

Aber wo?

Will ich per SSH auf einen bekannten Server hinter dem Lancom zugreifen erhalte ich beim "tr # vpn" folgende Rückmeldung:

• [VPN-Packet] 2008/09/24 20:52:16,140
  received: 88.xxx.xxx.xxx->88.xxx.xxx.xxx 120 ESP SPI[77755500]
  
  [VPN-Packet] 2008/09/24 20:52:16,140
  decrypted: 88.xxx.xxx.xxx->88.xxx.xxx.xxx 92 IP-ENCAP
  
  [VPN-Packet] 2008/09/24 20:52:16,140
  decap: 192.168.10.23->192.168.10.2 48 TCP port 1260->23
  
  [VPN-Packet] 2008/09/24 20:52:19,070
  received: 88.xxx.xxx.xxx->88.xxx.xxx.xxx 120 ESP SPI[77755500]
  
  [VPN-Packet] 2008/09/24 20:52:19,070
  decrypted: 88.xxx.xxx.xxx->88.xxx.xxx.xxx 92 IP-ENCAP
  
  [VPN-Packet] 2008/09/24 20:52:19,070
  decap: 192.168.10.23->192.168.10.2 48 TCP port 1260->23
  
  [VPN-Status] 2008/09/24 20:52:20,900
  IKE info: NOTIFY received of type ISAKMP_NOTIFY_DPD_R_U_THERE for peer ALEX Seq-Nr 0x19827767, expected 0x19827767
  
  
  [VPN-Status] 2008/09/24 20:52:20,900
  IKE info: ISAKMP_NOTIFY_DPD_R_U_THERE_ACK sent for Phase-1 SA to peer ALEX, sequence nr 0x19827767
  
  
  [VPN-Packet] 2008/09/24 20:52:25,110
  received: 88.xxx.xxx.xxx->88.xxx.xxx.xxx 120 ESP SPI[77755500]
  
  [VPN-Packet] 2008/09/24 20:52:25,110
  decrypted: 88.xxx.xxx.xxx->88.xxx.xxx.xxx 92 IP-ENCAP
  
  [VPN-Packet] 2008/09/24 20:52:25,110
  decap: 192.168.10.23->192.168.10.2 48 TCP port 1260->23

Welches Trace könnte hier noch interessant sein?

[froeschi62]

Hi,

Noch eine Idee.

Im LC bitte kontrollieren ob per LanConfig Menue "IP-Router/Allgemein" Proxy ARP "entfernte Stationen mit Proxy-ARP einbinden" eingeschaltet ist.

Falls das noch keine Wirkung zeigt, bitte testweise zusätzlich nachfolgendes probieren:

1. Die VPN Gegenstellenroute in der Routing Tabelle deaktivieren
2. IM AVC Client die manuell vergebene IP löschen und stattdessen bitte den "IKE Config Mode" einstellen. Diesen Mode kannst Du im übrigen immer einstellen, auch wenn die oben genannte Route aktiviert/konfiguriert ist.

..eventuell LC neu booten....

Gruß
Dietmar

[Dr.Wackelzahn]

Hallo,
also "entfernte Stationen mit Proxy-ARP einbinden" war bereits aktiviert.

Im AVC hatte ich den IKE Config Mode wieder aktiviert.
Wenn ich im LC die IP-Router -> Routing -> Routing Tabelle die passende Route deaktiviere, dann er halte ich folgende Meldung:

• 25.09.2008 11:12:09 NCPIKE-phase1:name(LANCOM1821-XXXX) - outgoing connect request - aggressive mode.
  25.09.2008 11:12:09 XMIT_MSG1_AGGRESSIVE - LANCOM1821-XXXX
  25.09.2008 11:12:38 NCPIKE-phase1:name(LANCOM1821-XXXX) - error - retry timeout - max retries
  25.09.2008 11:12:38 IPSDIAL - disconnected from LANCOM1821-XXXX on channel 1.

???

[froeschi62]

Hi,

war ein Versuch wert. Dann schalte die Route natürlich wieder ein. Allerdings muss ich jetzt passen. Mir fällt dazu nichts weiteres mehr ein. Vielleicht hat noch jemand anders hier einen Vorschlag.
Notfalls das Problem beim LC Support einkippen. Der Support kann sich auch auf deinen Router draufschalten wenn Du einen Zugang freigibst. So kann nachgeschaut werden ob auch alles richtig konfiguriert ist, was ich aus der Ferne nicht beurteilen kann.

Gruß
Dietmar

[Dr.Wackelzahn]

Bei bestehender VPN Verbindung versuchte ich per SSH auf einen Server (192.168.10.2) zu zugreifen.

trace # firewall ergab:

• [Firewall] 2008/09/25 13:55:05,510
  Packet matched rule DENY-ALL
  DstIP: 192.168.10.2, SrcIP: 192.168.10.23, Len: 48, DSCP/TOS: 0x00
  Prot.: TCP (6), DstPort: 23, SrcPort: 2077, Flags: S
  
  test next filter (no matching condition)
  
  [Firewall] 2008/09/25 13:55:05,510
  Packet matched rule DEFAULT (ACCEPT-ALL)
  DstIP: 192.168.10.2, SrcIP: 192.168.10.23, Len: 48, DSCP/TOS: 0x00
  Prot.: TCP (6), DstPort: 23, SrcPort: 2077, Flags: S
  
  packet accepted
  
  [Firewall] 2008/09/25 13:55:16,230
  Packet matched rule intruder detection
  DstIP: 192.168.10.23, SrcIP: 192.168.10.6, Len: 60, DSCP/TOS: 0x00
  Prot.: ICMP (1), echo reply, id: 0xa802, seq: 0x1300
  
  Filter info: packet received from invalid interface XXXX
  send SNMP trap
  packet accepted
  test next filter (no matching condition)
  
  [Firewall] 2008/09/25 13:55:16,240
  Packet matched rule intruder detection
  DstIP: 192.168.10.23, SrcIP: 192.168.10.6, Len: 60, DSCP/TOS: 0x00
  Prot.: ICMP (1), echo reply, id: 0xa802, seq: 0x1300
  
  Filter info: packet received from invalid interface XXXX
  send SNMP trap
  packet accepted
  packet accepted

Ich vermute, dass ich mich irgendwie aussperre, aber wo genau?

[Dr.Wackelzahn]

So, jetzt habe ich nochmal von vorne angefangen. Letzes Konfig-File wiederhergestellt und nochmal eine Testkonfiguration erstellt:

Code: Alles auswählen

[VPN-Status] 2008/09/25 17:32:04,620
IKE info: The remote server 88.xxx.xxx.xxx:500 peer def-aggr-peer id <no_id> supports draft-ietf-ipsec-isakmp-xauth
IKE info: The remote server 88.xxx.xxx.xxx:500 peer def-aggr-peer id <no_id> supports NAT-T in mode draft
IKE info: The remote server 88.xxx.xxx.xxx:500 peer def-aggr-peer id <no_id> supports NAT-T in mode draft
IKE info: The remote server 88.xxx.xxx.xxx:500 peer def-aggr-peer id <no_id> supports NAT-T in mode draft
IKE info: The remote server 88.xxx.xxx.xxx:500 peer def-aggr-peer id <no_id> supports NAT-T in mode rfc
IKE info: The remote server 88.xxx.xxx.xxx:500 peer def-aggr-peer id <no_id> negotiated rfc-3706-dead-peer-detection
IKE info: The remote client 88.xxx.xxx.xxx:500 peer def-aggr-peer id <no_id> is NCP LANCOM Serial Number Protocol 1.0 with serial number 21060481
IKE info: The remote server 88.xxx.xxx.xxx:500 peer def-aggr-peer id <no_id> supports NAT-T in mode rfc
IKE info: The remote server 88.xxx.xxx.xxx:500 peer def-aggr-peer id <no_id> supports NAT-T in mode rfc
IKE info: The remote server 88.xxx.xxx.xxx:500 peer def-aggr-peer id <no_id> supports NAT-T in mode rfc


[VPN-Status] 2008/09/25 17:32:04,620
IKE info: phase-1 proposal failed: remote No 1 hash algorithm = SHA <-> local No 1 hash algorithm = MD5
IKE info: Phase-1 remote proposal 1 for peer def-aggr-peer matched with local proposal 2


[VPN-Status] 2008/09/25 17:32:04,810
IKE info: Phase-1 [responder] got initial contact from peer XXXX (88.xxx.xxx.xxx)


[VPN-Status] 2008/09/25 17:32:04,810
IKE info: Phase-1 [responder] for peer XXXX between initiator id XXXX, responder id XXXX done
IKE info: NAT-T enabled in mode rfc, we are not behind a nat, the remote side is behind a nat
IKE info: SA ISAKMP for peer XXXX encryption aes-cbc authentication sha1
IKE info: life time ( 28800 sec/ 0 kb)

Bis hier ist noch alles klar und soweit ich beurteilen kann auch in Ordnung.

Code: Alles auswählen

[VPN-Status] 2008/09/25 17:32:05,630
VPN: connecting to XXXX (0.0.0.0)

Wieso 0.0.0.0 ??

Code: Alles auswählen

[VPN-Status] 2008/09/25 17:32:05,650
VPN: Error: IFC-I-No-PPP-table-entry-matched (0x1104) for XXXX (0.0.0.0)

Muss denn in der PPP-Tabelle noch ein Eintrag für XXXX von Hand eingestellt werden?

Code: Alles auswählen

[VPN-Status] 2008/09/25 17:32:05,650
VPN: Error: IFC-I-Negotiator-no-remote (0x1114) for XXXX (0.0.0.0)

[VPN-Status] 2008/09/25 17:32:06,520
IKE info: IKE-CFG: Received REQUEST message with id 0 from peer XXXX
IKE info: IKE-CFG:   Attribute INTERNAL_IP4_ADDRESS     len 0 value (none) received
IKE info: IKE-CFG:   Attribute INTERNAL_IP4_DNS         len 0 value (none) received
IKE info: IKE-CFG:   Attribute INTERNAL_IP4_NBNS        len 0 value (none) received
IKE info: IKE-CFG:   Attribute <Unknown 20002>          len 0 is private -> ignore
IKE info: IKE-CFG:   Attribute <Unknown 28672>          len 0 is private -> ignore
IKE info: IKE-CFG:   Attribute <Unknown 28673>          len 0 is private -> ignore
IKE info: IKE-CFG:   Attribute <Unknown 28674>          len 0 is private -> ignore
IKE info: IKE-CFG:   Attribute <Unknown 28675>          len 0 is private -> ignore
IKE info: IKE-CFG:   Attribute <Unknown 28676>          len 0 is private -> ignore
IKE info: IKE-CFG:   Attribute <Unknown 28678>          len 0 is private -> ignore
IKE info: IKE-CFG:   Attribute <Unknown 28679>          len 0 is private -> ignore
IKE info: IKE-CFG:   Attribute <Unknown 28680>          len 12 is private -> ignore
IKE info: IKE-CFG:   Attribute <Unknown 28681>          len 0 is private -> ignore
IKE info: IKE-CFG:   Attribute <Unknown 20003>          len 0 is private -> ignore
IKE info: IKE-CFG:   Attribute <Unknown 20004>          len 0 is private -> ignore
IKE info: IKE-CFG:   Attribute <Unknown 20005>          len 4 is private -> ignore

Das verstehe ich nicht. Wieso unbekanntes Attribut?

Code: Alles auswählen

[VPN-Status] 2008/09/25 17:32:06,540
IKE info: IKE-CFG: Creating REPLY message with id 0 for peer XXXX
IKE info: IKE-CFG:   Attribute INTERNAL_IP4_NBNS        len 4 value 192.168.10.6 added
IKE info: IKE-CFG:   Attribute INTERNAL_IP4_DNS         len 4 value 192.168.10.6 added
IKE info: IKE-CFG:   Attribute INTERNAL_IP4_ADDRESS     len 4 value 192.168.10.199 added
IKE info: IKE-CFG: Sending message


[VPN-Status] 2008/09/25 17:32:06,590
IKE info: Phase-2 proposal failed: remote No 1, number of protos 2 <-> local No 1,  number of protos 1
IKE info: Phase-2 remote proposal 1 failed for peer XXXX
IKE info: Phase-2 proposal failed: remote No 2, number of protos 2 <-> local No 1,  number of protos 1
IKE info: Phase-2 remote proposal 2 failed for peer XXXX
IKE info: Phase-2 proposal failed: remote No 3, number of protos 2 <-> local No 1,  number of protos 1
IKE info: Phase-2 remote proposal 3 failed for peer XXXX
IKE info: Phase-2 proposal failed: remote No 4, number of protos 2 <-> local No 1,  number of protos 1
IKE info: Phase-2 remote proposal 4 failed for peer XXXX
IKE info: Phase-2 proposal failed: remote No 5, number of protos 2 <-> local No 1,  number of protos 1
IKE info: Phase-2 remote proposal 5 failed for peer XXXX
IKE info: Phase-2 proposal failed: remote No 6, number of protos 2 <-> local No 1,  number of protos 1
IKE info: Phase-2 remote proposal 6 failed for peer XXXX
IKE info: Phase-2 proposal failed: remote No 7, number of protos 2 <-> local No 1,  number of protos 1
IKE info: Phase-2 remote proposal 7 failed for peer XXXX
IKE info: Phase-2 proposal failed: remote No 8, number of protos 2 <-> local No 1,  number of protos 1
IKE info: Phase-2 remote proposal 8 failed for peer XXXX
IKE info: Phase-2 proposal failed: remote No 9, number of protos 2 <-> local No 1,  number of protos 1
IKE info: Phase-2 remote proposal 9 failed for peer XXXX
IKE info: Phase-2 proposal failed: remote No 10, number of protos 2 <-> local No 1,  number of protos 1
IKE info: Phase-2 remote proposal 10 failed for peer XXXX
IKE info: Phase-2 remote proposal 11 for peer XXXX matched with local proposal 1

Das scheint wieder in Ordnung.

Code: Alles auswählen

[VPN-Packet] 2008/09/25 17:32:06,710
received: 88.xxx.xxx.xxx->88.xxx.xxx.xxx  648  ESP SPI[2a73687f]

[VPN-Status] 2008/09/25 17:32:06,780
IKE info: Phase-2 [responder] done with 2 SAS for peer XXXX rule ipsec-0-XXXX-pr0-l0-r0
IKE info: rule:' ipsec 0.0.0.0/0.0.0.0 <-> 192.168.10.199/255.255.255.255 '
IKE info: SA ESP [0xf91377d6]  alg AES keylength 128 +hmac HMAC_MD5 outgoing
IKE info: SA ESP [0x2a73687f]  alg AES keylength 128 +hmac HMAC_MD5 incoming
IKE info: life soft( 25920 sec/0 kb) hard (28800 sec/0 kb)
IKE info: tunnel between src: 88.xxx.xxx.xxx dst: 88.xxx.xxx.xxx


[VPN-Status] 2008/09/25 17:32:06,780
VPN: wait for IKE negotiation from XXXX (88.xxx.xxx.xxx)

[VPN-Packet] 2008/09/25 17:32:07,800
received: 88.xxx.xxx.xxx->88.xxx.xxx.xxx 1016  ESP SPI[2a73687f]

[VPN-Packet] 2008/09/25 17:32:07,800
decrypted: 88.xxx.xxx.xxx->88.xxx.xxx.xxx  995  IP-ENCAP

[VPN-Packet] 2008/09/25 17:32:07,800
decap: 192.168.10.199->192.168.10.6  951  UDP port 1365->161

[VPN-Status] 2008/09/25 17:32:07,830
VPN: XXXX (88.xxx.xxx.xxx) connected

[VPN-Packet] 2008/09/25 17:32:07,850
for send: 192.168.10.6->192.168.10.199   96  UDP port 137->137

[VPN-Packet] 2008/09/25 17:32:15,380
encap: 88.xxx.xxx.xxx->88.xxx.xxx.xxx  116  IP-ENCAP

[VPN-Packet] 2008/09/25 17:32:15,380
encrypted: 88.xxx.xxx.xxx->88.xxx.xxx.xxx  176  UDP port 4500->60202

[VPN-Packet] 2008/09/25 17:32:15,480
for send: 192.168.10.6->192.168.10.199   96  UDP port 137->137

[VPN-Packet] 2008/09/25 17:32:15,480
encap: 88.xxx.xxx.xxx->88.xxx.xxx.xxx  116  IP-ENCAP

[VPN-Packet] 2008/09/25 17:32:15,480
encrypted: 88.xxx.xxx.xxx->88.xxx.xxx.xxx  176  UDP port 4500->60202

[VPN-Status] 2008/09/25 17:32:15,500
IKE info: Delete Notification received for Phase-2 SA ipsec-0-XXXX-pr0-l0-r0 peer XXXX spi [0xf91377d6]


[VPN-Status] 2008/09/25 17:32:15,500
IKE info: Phase-2 SA removed: peer XXXX rule ipsec-0-XXXX-pr0-l0-r0 removed
IKE info: containing Protocol IPSEC_ESP, with spis [f91377d6  ] [2a73687f  ]


[VPN-Status] 2008/09/25 17:32:15,510
IKE info: Delete Notification received for Phase-1 SA isakmp-peer-XXXX peer XXXX cookies [d40080e4951388af fef46c6a0502c059]


[VPN-Status] 2008/09/25 17:32:15,510
IKE info: Phase-1 SA removed: peer XXXX rule XXXX removed


[VPN-Status] 2008/09/25 17:32:15,510
VPN: XXXX (88.xxx.xxx.xxx) disconnected

[VPN-Status] 2008/09/25 17:32:15,510
VPN: Disconnect info: remote-disconnected (0x4301) for XXXX (88.xxx.xxx.xxx)

[VPN-Status] 2008/09/25 17:32:15,550
VPN: selecting first remote gateway using strategy eFirst for XXXX
     => no remote gateway selected

[VPN-Status] 2008/09/25 17:32:15,550
VPN: installing ruleset for XXXX (0.0.0.0)

[VPN-Status] 2008/09/25 17:32:15,600
VPN: rulesets installed

Dann habe ich die Verbindung wieder getrennt.
Ist hier schon etwas erkennbar was verhindert, dass ich die Server hinter dem Lancom erreiche?

[froeschi62]

Hi,

also irgendwie das totale Chaos. Da stimmt nichts. Integriere Den LC, bevor Du mit VPN anfängst, überhaupt erst einmal richtig ins Netz.
1. Du schaltest DHCP am Lancom aus
2. Du hinterlegst auf dem LAN DHCP Server entsprechend die IP des Lancoms, so dass diese den Rechnern im LAN als Standardgateway übermittelt wird. Zusätzlich sollte der DHCP Server den Lancom als DNS Server angeben.
3. Deine jetzige VPN Verbindung löschst Du über den Assistenten im Lancom und richtest diese nochmals neu ein.
4. Ganz wichtig! Vor allen Arbeitsschritten deinstallierst Du das Zonealarm vollständig. Das Teil benötigst Du nicht und ist eine einzige Katastrophe.

Gruß
Dietmar

[Dr.Wackelzahn]

Hallo,
ja sowas hatte ich mir gestern schon gedacht und mir die Mühe gemacht, von Hand die Lancom Einstellungen durchzusehen.

Dabei hatte ich alle mir unsinnig und unwichtig erscheinenden Einstellungen entfernt. Dann über den Assistenten eine VPN-Verbindung eingerichtet. im AVC importiert und die Verbindung klappte so wie ich es eigentlich gewollt hatte.

• 1. Zugriff auf die Server hinter dem Lancom
  2. IP-Adresse entsprechend des Profils aber im Lancom eingestellt
  3. Zugriff auf das Internet

Heute morgen wieder lokal am Netz -> ging das Netzwerk nicht.
Lanmonitor meldete einen fehlenden Eintrag in der PPP-Liste.
Okay, diesen von Hand nachgetragen (IP: 192.168.10.23 / 255.255.255.255). Dann konnte ich wieder ins lokale Netz aber nicht ins Internet.
PPP-Tabelle geändert und die Netzmaske auf 255.255.255.0 gesetzt und jetzt geht es so wie ich es mir gedacht hatte.
ENDLICH!

Nun zu Deinen Aufträgen:
zu 1.:
Der DHCP im Lancom ist definitiv nicht aktiviert.
zu 2.:
Der lokale DHCP vergibt bereits das Lancom als Standardgateway und als DNS-Server.
So sah bisher die ipconfig /all Ausgabe immer aus:

Code: Alles auswählen

DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
IP-Adresse. . . . . . . . . . . . : 192.168.10.xx      <--- Peripherie
Subnetzmaske. . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.10.x      <--- Lancom
DHCP-Server . . . . . . . . . . . : 192.168.10.y      <--- Lokaler DHCP
DNS-Server. . . . . . . . . . . . : 192.168.10.x      <--- Lancom

zu 3.:
Hatte ich ja bereits gestern erledigt.
zu 4.:
Ja weiss um den Sinn und Unsinn einer Personal-FW, allerdings habe ich ohne diese keine wirkliche Kontrolle welche Software jetzt nach aussen funken will. Und ich sehe es gar nicht ein, dass persönliche Daten von einer kostenlosen Software an deren Zentrale übermittelt wird. Wenn es dafür eine bessere Lösung gibt bin ich gerne bereit auf ZoneAlarm zu verzichten, denn ich mag diese Software auch nicht.

Vielen Dank,
mfG,
Alex

[froeschi62]

Hi,

DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
IP-Adresse. . . . . . . . . . . . : 192.168.10.xx <--- Peripherie
Subnetzmaske. . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.10.x <--- Lancom
DHCP-Server . . . . . . . . . . . : 192.168.10.y <--- Lokaler DHCP
DNS-Server. . . . . . . . . . . . : 192.168.10.x <--- Lancom

Das sieht gut aus und funktioniert. Das war eine schwierige Geburt und wir haben es endlich vom Tisch.

Viele Grüße
Dietmar