Lancom VPN Client zu 1781A hinter eine Digibox

Fragen zum LANCOM Advanced VPN Client

Moderator: Lancom-Systems Moderatoren

Antworten
tf_conbrio
Beiträge: 2
Registriert: 29 Jun 2020, 15:32

Lancom VPN Client zu 1781A hinter eine Digibox

Beitrag von tf_conbrio »

Hallo Zusammen,

leider komme ich nicht so recht weiter, nachdem ich schon diverse Anleitungen und recherchen durchgeführt habe.

Vorhanden ist eine Digitalisierungsbox Smart (IP: 192.168.100.11)
Diese macht die normale Interneteinwahl und ist der Haupt Router.

Dann gibt es noch einen Lancom 1781A (192.168.100.250) im selben Netz der einen VPN Tunel mit unserem Router aufgebaut hat.

Nun will ich mit einem Lancom Advanced VPN Client mich auf dem 1781A (192.168.100.250) einwählen, was allerdings mit der Meldung: VPN Gateway antwortet nicht. Bitte Internetverbindung prüfen.

Das Profil für den Lancom VPN Client ist über den Assistenten des 1781A mit IKEv1 erstellt worden.
In der Digibox Smart habe ich den Exposed Host für 192.168.100.250 eingerichtet. Zusätzlich noch UDP 500, UDP 4500 und ESP.

Wo liegt der Fehler? Ich hoffe jemand kann mir hier helfen.
Benutzeravatar
hyperjojo
Beiträge: 801
Registriert: 26 Jul 2009, 02:26

Re: Lancom VPN Client zu 1781A hinter eine Digibox

Beitrag von hyperjojo »

hi,

du musst ein ausgehendes Portforwarding auf der Digitalisierungsbox für den Port 500 konfigurieren (Quelle: IP des LANCOM, UDP, Quellport 500, Zielport 500). Das sorgt dafür, dass die Digibox beim abgehenden Verkehr den Port nicht umbiegt.

Gruß hyperjojo
tf_conbrio
Beiträge: 2
Registriert: 29 Jun 2020, 15:32

Re: Lancom VPN Client zu 1781A hinter eine Digibox

Beitrag von tf_conbrio »

Hey,

hab ich gemacht, leider keine besserung...

hier eine kurze Übersicht:

Portweiterleitung:
Dienst | Weiterleiten an | Status
IP-SEC (UDP:500) -> 192.168.100.250 - Aktiv
IP-SEC-NATT (UDP:4500) -> 192.168.100.250 - Aktiv
esp (ESP) -> 192.168.100.250 - Aktiv
Exposed Host (Beliebig) -> 192.168.100.250 - Aktiv

Firewall Filterregeln:
Quelle | Ziel | Dienst | Aktion
WAN_DTAG INTERNET-ZUGANG -> Host_192.168.100.250 -> ip-sec (UDP:500) -> Zugriff
WAN_DTAG INTERNET-ZUGANG -> Host_192.168.100.250 -> ipsec-natt (UDP:4500) -> Zugriff
WAN_DTAG INTERNET-ZUGANG -> Host_192.168.100.250 -> esp (ESP) -> Zugriff
WAN_DTAG INTERNET-ZUGANG -> Host_192.168.100.250 -> any (beliebig) -> Zugriff
Host_192.168.100.250 -> WAN_DTAG INTERNET-ZUGANG -> ip-sec (UDP:500) -> Zugriff

NAT-Konfiguration:
Beschreibung | Richtung | Dienst/Protokoll | Quell-IP/Mask | Ziel-IP/Mask | Neue Quell-IP & Ziel-IP
wz_UDP(500) -> Eingehend ip-sec(UDP) -> 0.0.0.0/0.0.0.0: - -> 0.0.0.0/0.0.0.0:500 -> (Z)192.168.100.250/255.255.255.255
wz_UDP(4500) -> Eingehend -> ipsec-natt(UDP) 0.0.0.0/0.0.0.0: - -> 0.0.0.0/0.0.0.0:4500 -> (Z)192.168.100.250/255.255.255.255
wz_ESP -> Eingehend esp(ESP) -> 0.0.0.0/0.0.0.0: - 0.0.0.0/0.0.0.0 -> (Z)192.168.100.250/255.255.255.255
wz_Beliebig -> Eingehend any -> 0.0.0.0/0.0.0.0: - 0.0.0.0/0.0.0.0 -> (Z)192.168.100.250/255.255.255.255
Exposed Host Ausgehend any -> 192.168.100.250/255.255.255.255 -> 0.0.0.0/0.0.0.0:0-65535 -> (Q)0.0.0.0/255.255.255.255:-1--1
Pasadena
Beiträge: 23
Registriert: 13 Dez 2016, 15:49

Re: Lancom VPN Client zu 1781A hinter eine Digibox

Beitrag von Pasadena »

Hallo,
besteht das Problem noch?
Ich habe mich für eine ähnliche Konfiguration allerdings mit einer Digibox Premium an folgendem Dokument aus der Lancom Knowledge Base orientiert und die dort empfohlenen Freigaben und Weiterleitungen für die dort genannten Protokolle alle eingerichtet und damit funktioniert es:
https://support.lancom-systems.com/know ... w/32989036
Zusätzlich lasse ich explizit auch das echo Protokoll zu.
Viele Grüße von Hans-Georg
Antworten