Hallo Gemeinde
Ich habe schon versucht, über die Suche oder die Dokumentationen etwas zu finden, komme aber wegen der "Fachbegriffe" zum Teil nicht weiter.
Was habe ich?
-----------------
Netzwerkinfrastruktur:
Lancom 1711, Windows 2000 Server (mit fest vergebener IP im Firmennetz), Exchange 2003, DSL-Verbindung ohne feste IP-Adresse, Domainname über DynDNS
Laptop mit XP SP2, der sich über wLAN innerhalb des Firmennetzes anmeldet (IP über DHCP)
Eine Aussenstellte (Heimbüro), mit DSL ohne feste IP-Adresse und wLAN
Was will ich?
--------------
Vom Heimbüro aus über VPN im Firmennetz anmelden und dort z.B. das Outlook mit dem Exchange synchronisieren und falls möglich trotzdem gleichzeitig im Heimbüro noch eine normale Internetnutzung neben der VPN-Verbindung
Wie weit bin ich?
-------------------
Ich habe den LANCOM Konfigurationsassistenten für den 1711 laufen lassen und folgende Angaben gemacht:
1. Zugang bereitstellen (RAS,VPN,IPSec over wLAN)
2. VPN-Verbindung über das Internet
3. LANCOM ADvanced VPN-Client
4. Name des Zugans: "FIRMA_VPN"
5. Gemeinsames Kennwort und Aggressive Mode (Kennwort angegeben)
6. FullyQualifiedUserName: "ich@firma.de"
7. IP-Adresse aus dem Subnet meines Firmennetzes: z.B. 198.8.2.220
8. Alle IP-Adressen für den VPN-Client erlauben
9. NetBios über IP-Routing ist aus
Ich habe dann versucht den VPN-Client auf dem Laptop (der wie gesagt wechselweise im Homeoffice oder in der Firma (jeweils über wLAN) ans Netz angeschlossen wird) zu konfigurieren, komme da aber nicht wirklich weiter.
Wenn möglich sollte der VPN-Client nicht die Steuerung über die wLAN-Konfiguration mit übernehmen sondern (im Bedarfsfalle) einen Tunnel zum Firmen herstellen.
Ich benötige jetzt Eure Hilfe und hoffentlich Antwort auf folgende Fragen:
1. Geht das überhaupt?
2. wie muss ich den VPN-Client konfigurieren?
3. Muss ich am 1711 iirgendwelche Ports noch aufmachen (momentan sind der http-Port und der Terminalserver-Port offen)
Vielen Dank für jede Hilfe!
Harald
VPN einrichten für Lancom 1711 mit Advanced Client
Moderator: Lancom-Systems Moderatoren
Hi haraldh
Gruß
Backslash
Der Assitent erzeugt doch ein passendes Profil für den Client, daß du nur noch importieren mußt.Ich habe dann versucht den VPN-Client auf dem Laptop (der wie gesagt wechselweise im Homeoffice oder in der Firma (jeweils über wLAN) ans Netz angeschlossen wird) zu konfigurieren, komme da aber nicht wirklich weiter.
Normalerweise mußt du am Client den Tunnel durch Kilcken auf "Verbinden" manuell aufbauen.Wenn möglich sollte der VPN-Client nicht die Steuerung über die wLAN-Konfiguration mit übernehmen sondern (im Bedarfsfalle) einen Tunnel zum Firmen herstellen.
natürlich - das ist schließlich das Standard-Szenario...1. Geht das überhaupt?
einfach das Profil importieren, das der Assistent erstellt hat2. wie muss ich den VPN-Client konfigurieren?
nein - es sei denn, da hast eine Deny-All Regel in der Firewall. Dann mußt du natürlich eine Regel erstellen, die den Client zuläßt.3. Muss ich am 1711 iirgendwelche Ports noch aufmachen (momentan sind der http-Port und der Terminalserver-Port offen)
Gruß
Backslash
Hallo Backslash,
hallo Gemeinde!
Ich hab's jetzt mit dem Profilimport probiert und erhalte folgendes Log-File:
24.04.2008 22:05:13 RWSGA using OperatingSystem - 5
24.04.2008 22:05:13 Firewall recognized adapter - NCP VPN Adapter
24.04.2008 22:05:13 FW configures adapter NCP VPN Adapter
24.04.2008 22:05:13 Als Testversion lizenziert - 5.
24.04.2008 22:05:13 License for Oem Version - 0
24.04.2008 22:05:13 Found adapter: 1394-Netzwerkadapter with MTU 1512 bytes
24.04.2008 22:05:13 Firewall recognized adapter - 1394-Netzwerkadapter
24.04.2008 22:05:13 FW configures adapter 1394-Netzwerkadapter
24.04.2008 22:05:13 Found adapter: NDISWAN with MTU 1400 bytes
24.04.2008 22:05:13 Firewall recognized adapter - NDISWAN
24.04.2008 22:05:13 FW configures adapter NDISWAN
24.04.2008 22:05:13 Found adapter: Intel(R) Wireless WiFi Link 4965AGN with MTU 1500 bytes
24.04.2008 22:05:13 Firewall recognized adapter - Intel(R) Wireless WiFi Link 4965AGN
24.04.2008 22:05:13 FW configures adapter Intel(R) Wireless WiFi Link 4965AGN
24.04.2008 22:05:13 Testversion abgelaufen
24.04.2008 22:05:13 LANCOM Advanced VPN Client V2.03 Build 44
24.04.2008 22:05:13 Als Testversion lizenziert - 2416459.
24.04.2008 22:05:13 License for Oem Version - 5
24.04.2008 22:05:13 Monitor : Installed - LANCOM Advanced VPN Client 203 Build 44 (903)
24.04.2008 22:05:13 Monitor : Trial version (valid for another 28 days)
24.04.2008 22:05:16 LinkStatus Change - 1,Intel(R) Wireless WiFi Link 4965AGN
24.04.2008 22:05:16 Firewall recognized adapter - Intel(R) Wireless WiFi Link 4965AGN
24.04.2008 22:05:23 Ip Address Change - 203,Intel(R) Wireless WiFi Link 4965AGN
24.04.2008 22:05:23 Firewall recognized adapter - Intel(R) Wireless WiFi Link 4965AGN
24.04.2008 22:06:16 Protecting RAS adapter - 0
24.04.2008 22:06:23 IPSDIALCHAN::start building connection
24.04.2008 22:06:23 IPSDIAL::DNSREQ: resolving dnserver over lan: FIRMA.HOMEIP.NET
24.04.2008 22:06:24 IPSDIAL->DNSREQ: resolved ipadr: xxx.xxx.xxx.xxx
24.04.2008 22:06:24 NCPIKE-phase1:name(ROUTER-CLIENT_0001) - outgoing connect request - aggressive mode.
24.04.2008 22:06:24 XMIT_MSG1_AGGRESSIVE - ROUTER-CLIENT_0001
24.04.2008 22:06:53 NCPIKE-phase1:name(ROUTER-CLIENT_0001) - error - retry timeout - max retries
24.04.2008 22:06:53 IPSDIAL - disconnected from ROUTER-CLIENT_0001 on channel 1.
24.04.2008 22:07:32 IPSDIALCHAN::start building connection
24.04.2008 22:07:32 IPSDIAL::DNSREQ: resolving dnserver over lan: FIRMA.HOMEIP.NET
24.04.2008 22:07:32 IPSDIAL->DNSREQ: resolved ipadr: xxx.xxx.xxx.xxx
24.04.2008 22:07:32 NCPIKE-phase1:name(ROUTER-CLIENT_0001) - outgoing connect request - aggressive mode.
24.04.2008 22:07:32 XMIT_MSG1_AGGRESSIVE - ROUTER-CLIENT_0001
24.04.2008 22:08:01 NCPIKE-phase1:name(ROUTER-CLIENT_0001) - error - retry timeout - max retries
24.04.2008 22:08:01 IPSDIAL - disconnected from ROUTER-CLIENT_0001 on channel 1.
Es erscheint im Client:
IKE-Fehler (Phase 1) Kontakt zur Gegenstelle verloren.
Ich hoffe auf Hilfe!
Gruß
Harald
hallo Gemeinde!
Ich hab's jetzt mit dem Profilimport probiert und erhalte folgendes Log-File:
24.04.2008 22:05:13 RWSGA using OperatingSystem - 5
24.04.2008 22:05:13 Firewall recognized adapter - NCP VPN Adapter
24.04.2008 22:05:13 FW configures adapter NCP VPN Adapter
24.04.2008 22:05:13 Als Testversion lizenziert - 5.
24.04.2008 22:05:13 License for Oem Version - 0
24.04.2008 22:05:13 Found adapter: 1394-Netzwerkadapter with MTU 1512 bytes
24.04.2008 22:05:13 Firewall recognized adapter - 1394-Netzwerkadapter
24.04.2008 22:05:13 FW configures adapter 1394-Netzwerkadapter
24.04.2008 22:05:13 Found adapter: NDISWAN with MTU 1400 bytes
24.04.2008 22:05:13 Firewall recognized adapter - NDISWAN
24.04.2008 22:05:13 FW configures adapter NDISWAN
24.04.2008 22:05:13 Found adapter: Intel(R) Wireless WiFi Link 4965AGN with MTU 1500 bytes
24.04.2008 22:05:13 Firewall recognized adapter - Intel(R) Wireless WiFi Link 4965AGN
24.04.2008 22:05:13 FW configures adapter Intel(R) Wireless WiFi Link 4965AGN
24.04.2008 22:05:13 Testversion abgelaufen
24.04.2008 22:05:13 LANCOM Advanced VPN Client V2.03 Build 44
24.04.2008 22:05:13 Als Testversion lizenziert - 2416459.
24.04.2008 22:05:13 License for Oem Version - 5
24.04.2008 22:05:13 Monitor : Installed - LANCOM Advanced VPN Client 203 Build 44 (903)
24.04.2008 22:05:13 Monitor : Trial version (valid for another 28 days)
24.04.2008 22:05:16 LinkStatus Change - 1,Intel(R) Wireless WiFi Link 4965AGN
24.04.2008 22:05:16 Firewall recognized adapter - Intel(R) Wireless WiFi Link 4965AGN
24.04.2008 22:05:23 Ip Address Change - 203,Intel(R) Wireless WiFi Link 4965AGN
24.04.2008 22:05:23 Firewall recognized adapter - Intel(R) Wireless WiFi Link 4965AGN
24.04.2008 22:06:16 Protecting RAS adapter - 0
24.04.2008 22:06:23 IPSDIALCHAN::start building connection
24.04.2008 22:06:23 IPSDIAL::DNSREQ: resolving dnserver over lan: FIRMA.HOMEIP.NET
24.04.2008 22:06:24 IPSDIAL->DNSREQ: resolved ipadr: xxx.xxx.xxx.xxx
24.04.2008 22:06:24 NCPIKE-phase1:name(ROUTER-CLIENT_0001) - outgoing connect request - aggressive mode.
24.04.2008 22:06:24 XMIT_MSG1_AGGRESSIVE - ROUTER-CLIENT_0001
24.04.2008 22:06:53 NCPIKE-phase1:name(ROUTER-CLIENT_0001) - error - retry timeout - max retries
24.04.2008 22:06:53 IPSDIAL - disconnected from ROUTER-CLIENT_0001 on channel 1.
24.04.2008 22:07:32 IPSDIALCHAN::start building connection
24.04.2008 22:07:32 IPSDIAL::DNSREQ: resolving dnserver over lan: FIRMA.HOMEIP.NET
24.04.2008 22:07:32 IPSDIAL->DNSREQ: resolved ipadr: xxx.xxx.xxx.xxx
24.04.2008 22:07:32 NCPIKE-phase1:name(ROUTER-CLIENT_0001) - outgoing connect request - aggressive mode.
24.04.2008 22:07:32 XMIT_MSG1_AGGRESSIVE - ROUTER-CLIENT_0001
24.04.2008 22:08:01 NCPIKE-phase1:name(ROUTER-CLIENT_0001) - error - retry timeout - max retries
24.04.2008 22:08:01 IPSDIAL - disconnected from ROUTER-CLIENT_0001 on channel 1.
Es erscheint im Client:
IKE-Fehler (Phase 1) Kontakt zur Gegenstelle verloren.
Ich hoffe auf Hilfe!
Gruß
Harald
Hier noch der Router-Trace ...
[VPN-Status] 2008/04/26 12:14:43,420
IKE info: The remote server 84.148.105.xxx:500 peer def-aggr-peer id <no_id> sup
ports draft-ietf-ipsec-isakmp-xauth
IKE info: The remote server 84.148.105.xxx:500 peer def-aggr-peer id <no_id> sup
ports NAT-T in mode draft
IKE info: The remote server 84.148.105.xxx:500 peer def-aggr-peer id <no_id> sup
ports NAT-T in mode draft
IKE info: The remote server 84.148.105.xxx:500 peer def-aggr-peer id <no_id> sup
ports NAT-T in mode draft
IKE info: The remote server 84.148.105.xxx:500 peer def-aggr-peer id <no_id> sup
ports NAT-T in mode rfc
IKE info: The remote server 84.148.105.xxx:500 peer def-aggr-peer id <no_id> neg
otiated rfc-3706-dead-peer-detection
IKE info: The remote client 84.148.105.xxx:500 peer def-aggr-peer id <no_id> is
NCP LANCOM Serial Number Protocol 1.0 with serial number 0
IKE info: The remote server 84.148.105.xxx:500 peer def-aggr-peer id <no_id> sup
ports NAT-T in mode rfc
IKE info: The remote server 84.148.105.xxx:500 peer def-aggr-peer id <no_id> sup
ports NAT-T in mode rfc
IKE info: The remote server 84.148.105.xxx:500 peer def-aggr-peer id <no_id> sup
ports NAT-T in mode rfc
[VPN-Status] 2008/04/26 12:14:43,430
IKE info: Phase-1 remote proposal 1 for peer def-aggr-peer matched with local pr
oposal 1
Hopethishelps
Harald
[VPN-Status] 2008/04/26 12:14:43,420
IKE info: The remote server 84.148.105.xxx:500 peer def-aggr-peer id <no_id> sup
ports draft-ietf-ipsec-isakmp-xauth
IKE info: The remote server 84.148.105.xxx:500 peer def-aggr-peer id <no_id> sup
ports NAT-T in mode draft
IKE info: The remote server 84.148.105.xxx:500 peer def-aggr-peer id <no_id> sup
ports NAT-T in mode draft
IKE info: The remote server 84.148.105.xxx:500 peer def-aggr-peer id <no_id> sup
ports NAT-T in mode draft
IKE info: The remote server 84.148.105.xxx:500 peer def-aggr-peer id <no_id> sup
ports NAT-T in mode rfc
IKE info: The remote server 84.148.105.xxx:500 peer def-aggr-peer id <no_id> neg
otiated rfc-3706-dead-peer-detection
IKE info: The remote client 84.148.105.xxx:500 peer def-aggr-peer id <no_id> is
NCP LANCOM Serial Number Protocol 1.0 with serial number 0
IKE info: The remote server 84.148.105.xxx:500 peer def-aggr-peer id <no_id> sup
ports NAT-T in mode rfc
IKE info: The remote server 84.148.105.xxx:500 peer def-aggr-peer id <no_id> sup
ports NAT-T in mode rfc
IKE info: The remote server 84.148.105.xxx:500 peer def-aggr-peer id <no_id> sup
ports NAT-T in mode rfc
[VPN-Status] 2008/04/26 12:14:43,430
IKE info: Phase-1 remote proposal 1 for peer def-aggr-peer matched with local pr
oposal 1
Hopethishelps
Harald