LANCOM Advanced VPN Client 2.30 + Zugriff auf einen LC1781-4

AS1306 · Beitrag von **AS1306** » 23 Mär 2012, 15:26

@All, nachdem der Zugang via LTE super funktioniert, versuche ich nun via VPN-Client auf den Router von außen zuzugreifen. Die VPN-Verbindung zwischen diesem Router und einem LC1823VoIP funktionierte dank Anleitung auf Anhieb ...

In diesem Fall war es recht einfach, da der Router immer UDP-Pakete an den LC1823VoIP sendet ... Per DynDNS.com wird die IP zwar korrekt "ausgliefert", allerdings ist durch die Mobilfunkanbindung ein direktes Ansprechen nicht möglich. Wie verhält es sich da mit dem VPN-Client? Der Router kann ja nicht UDP-Pakete an den Client senden - Funktioniert das via "1-ClickVPN"... Wahrscheinlich denke ich zu kompliziert, möchte das aber vorher klären, bevor ich das Geld investiere. Sicher, man kann den Client ausprobieren - ich halte meine Rechner aber gern "sauber".

Konnte hierfür weder Hinweise/Info´s im Forum noch ein Tutorial bei lancom-systems.de finden - Ich suche also eine Möglichkeit via VPN-Client auf einen in das LTE/UMTS-Netz eingebuchten LANCOM Router zuzugreifen.

Vielen Dank!

Andreas

backslash · Beitrag von **backslash** » 26 Mär 2012, 11:40

Hi AS1306

das ist doch nur eine Frage des Providers - sprich: erlaubt der Provider, daß du Serverdienste (hier IPSec) an dem "Anschluß" anbietest oder nicht? Mit dem richtigen Tarif, bei dem du eine öffentliche IP bekommst und bei dem eingehende Sessions nicht geblockt werden, ist die Einrichtung genau so einfach, wie bei einem normalen DSL-Zugang....

Gruß
Backslash

AS1306 · Beitrag von **AS1306** » 27 Mär 2012, 17:25

Danke für´s Feedback - habe mich heute mal mit der Hotline in Verbindung gesetzt, allerdings musste ich schnell feststellen, dass Kompetenz offensichtlich woanders daheim ist. O-Ton: "Sie wollen eine öffentliche IP ... setzen sie sich bitte mit der Telekom in Verbindung" Hä, was will mir diese nette Frau erzählen? Da muß mir erst noch ein

aufgehen ...

In diesem Zusammenhang wollte ich dann mal auf eigene Faust den APN internet.t-d1.de nutzen, da dieser wohl öffentliche IP´s bietet. Es blieb bei einem Versuch, da ich schnell festgestellt habe, dass es in der Konfiguration leider keinerlei Möglichkeit gibt USER und PASSWORT für einen APN zu hinterlegen - Absicht? - etwa hardcoded

... leider sind es andere Values als bei internet.t-mobile oder ist das Hinterlegen dieser Werte für eine Anmeldung beim ISP schlicht und einfach nicht mehr erforderlich?

Vielen Dank! Grüße aus dem sonnigen Berlin ...

Andreas

backslash · Beitrag von **backslash** » 27 Mär 2012, 20:07

Hi AS1306

In diesem Zusammenhang wollte ich dann mal auf eigene Faust den APN internet.t-d1.de nutzen, da dieser wohl öffentliche IP´s bietet.

T-Mobile bietet zwar öffentliche IPs, dennoch steht da i.A. noch eine Firewall vor, die Verhindert, daß Sessions aus dem Internet zu dir aufgebaut werden. Sowas lassen sich die Provider i.A. extra bezahlen...

dass es in der Konfiguration leider keinerlei Möglichkeit gibt USER und PASSWORT für einen APN zu hinterlegen - Absicht? - etwa hardcoded

weder, noch... Username und Paßwort hinterlegt du für die jeweilige Gegenstelle in der PPP-Liste (wie auch für dynamic VPN, XAUTH etc.)...

Gruß
Backslash

AS1306 · Beitrag von **AS1306** » 27 Mär 2012, 21:12

Hi Backslash,

das war ein nützlicher Hinweis ... habe mich schon lange nicht mehr mit meinen Lancom´s beschäftigen müssen - ist ja auch irgendwie ein gutes Zeichen

An die PPP-Liste habe ich wahrlich nicht mehr gedacht. Mir erschien es irgendwie nur logisch, dass das irgendwie in den Konfigurationsassistenten gehört, da man sonst letztendlich doch noch Hand anlegen muß. Mittlerweile würde mir sogar ein normaler RDP-Zugang reichen, da dieses Konstrukt eher eine Übergangslösung ist. Die Datenraten des Routers - und das über LTE - haben einen wieder an der Realität vorbeiträumen lassen. Aber peinlich von T-Mobile - eine zweite Nachfrage heute ergab das gleiche miese Bild. Anscheinend ist es viel wichtiger den richtigen Ansprechpartner als den richtigen Vertrag zu haben. Einen VPN-Vertrag diesbezüglich extra abzuschließen sprengt alle Kosten/Nutzen-Überlegungen.

Das VPN zwischen dem 1823 und dem LTE-Router steht - geht alles wirklich perfekt ... Vielleicht mal ein anderer Gedanke: Wäre es möglich ein Port-Forwarding auf den LTE-Router einzurichten? Die Idee wäre mit einem Aufruf der DynDNS-Adresse auf dem Port 3395 des Festnetzanschlusses - xyz.dyndns.org:3395 - auf den Server der hinter dem 1781-4G steht zuzugreifen. Reicht es hierzu einfach nur ein Port-Forwarding im 1823 auf das entfernte Netz (den 1781-4G) einzurichten. Ein direktes Weiterleiten an den entsprechenden Rechner funktioniert leider nicht ... Kommen hier eventuell noch Firewall-Regeln zum Tragen?

Wäre klasse, wenn das wenigstens laufen würde

Andreas

backslash · Beitrag von **backslash** » 28 Mär 2012, 13:51

Hi AS1306,

Reicht es hierzu einfach nur ein Port-Forwarding im 1823 auf das entfernte Netz (den 1781-4G) einzurichten. Ein direktes Weiterleiten an den entsprechenden Rechner funktioniert leider nicht

solange auf der VPN-Verbindung nicht maskiert wird, kannst du problemlos auch auf einen Server "hinter" dem Tunnel weiterleiten. Das einzige Problem dabei ist, daß auf der empfangenden Seite eine Defaultroute auf den Tunnel zeigen muß - und die sendende Seite muß eine passende VPN-Regel haben, die der empfangenden Seite erlaubt eine SA für eine Defaultroute auszuhandeln:

Code: Alles auswählen

[ ]  Diese Regel ist für die Firewall aktiv
[x]  Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen

Aktion:  übertragen
Quelle:  alle Stationen
Ziel:    VPN-Gegenstelle
Dienste: alle Dienste

Kommen hier eventuell noch Firewall-Regeln zum Tragen?

nun ja, wenn du eine Deny-All-Strategie verfolgst, dann mußt du den Zugriff natürlich auch zulassen (auf beiden LANCOMs)

Code: Alles auswählen

[x]  Diese Regel ist für die Firewall aktiv
[ ]  Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen

Aktion:  übertragen
Quelle:  alle Stationen
Ziel:    IP des Serversd
Dienste: TCP, UDP, Zielports: weitergeleitete Ports

Gruß
Backslash

AS1306 · Beitrag von **AS1306** » 29 Mär 2012, 10:39

Danke für Deine Bemühungen, leider funktioniert seit gestern zum späten Abend kein VPN und LTE mehr ... DATENVOLUMEN aufgebraucht. Habe zwar die SpeedOn Option sofort hinzugebucht, bringt aber außer neues Datenvolumen keine Änderung im Netzzugang und bei VPN ([0x1102] kein Datenkanal verfügbar ...) Da ich mit LTE einen super Empfang hatte (Den Cuttern ist die gute Uploadgeschwindigkeit extrem aufgefallen ... Halbierung der Zeit in Bezug auf einen 6MBit SDSL Anschluß bei 6GB Übertragungsvolumen!), kann ich mir nur vorstellen, dass da entweder die Basis ausgefallen ist oder an meinem SIM-Zugang etwas geändert wurde. Was soll´s ab 1. April kommen die neuen Datentarife, hoffentlich mit IPsec-Freischaltung und einer relativen leeren LTE-Funkzelle. Dann nehme ich das noch einmal in Angriff!

Gruß
Andreas

AS1306 · Beitrag von **AS1306** » 01 Apr 2012, 20:39

... VPN steht wieder, war wohl ein Problem mit dem Portforwarding beim SIP - komisch, nachdem ich die gelöscht hatte, ging es wieder?

Was soll´s, die RDP-Weiterleitung steht momentan im Mittelpunkt - leider funktioniert es immer noch nicht. Im VPN selbst funktioniert alles super. Mit der erstellten Regel geht es leider auch nicht - wo könnte der nächste Ansatzpunkt liegen? Die Maskierung ist übrigens auf "AUS" ... und es existiert keine DENY-ALL Strategie.

... Das einzige Problem dabei ist, daß auf der empfangenden Seite eine Defaultroute auf den Tunnel zeigen muß ...

Wie sieht das genau aus - ich bin davon ausgegangen, dass mit der VPN-Erstellung und dem entsprechenden Eintrag in der entfernten Gegenstelle (LC1781-4G) die Route bereits in der Routingtabelle drin steht - ist das dann nicht die DEFAULT-Route für diesen IP-Kreis?

THX Andreas