UF-200 IPSec VPN mit NAT Bug
Moderator: Lancom-Systems Moderatoren
UF-200 IPSec VPN mit NAT Bug
Hi,
wir haben eine UF-200 mit aktuellerster Firmware - leider gibt es einen Bug bei hide nat bei VPN Verbindunden.
Kann es mal jemand reproduzieren?
IPSec Verbindung und dann mit einer Hide-NAT IP z.b. 10.20.9.99 alles in das VPN Netz natten aus einem der LAN Netze 192.168.1.100 oder so.
wir haben eine UF-200 mit aktuellerster Firmware - leider gibt es einen Bug bei hide nat bei VPN Verbindunden.
Kann es mal jemand reproduzieren?
IPSec Verbindung und dann mit einer Hide-NAT IP z.b. 10.20.9.99 alles in das VPN Netz natten aus einem der LAN Netze 192.168.1.100 oder so.
Re: UF-200 IPSec VPN mit NAT Bug
Hi,MDCYP hat geschrieben: 13 Mär 2023, 12:34 Hi,
wir haben eine UF-200 mit aktuellerster Firmware - leider gibt es einen Bug bei hide nat bei VPN Verbindunden.
Kann es mal jemand reproduzieren?
IPSec Verbindung und dann mit einer Hide-NAT IP z.b. 10.20.9.99 alles in das VPN Netz natten aus einem der LAN Netze 192.168.1.100 oder so.
ich habe eine UF-300, mit der ich testen könnte, verstehe Deine Anforderung nicht ganz.
Also was geht nicht? und funktioniert es mit einer älteren UF Firmware?
Viele Grüße
ts
TakeControl: Config Backup für LANCOM Router, WLC, APs, Firewalls und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Re: UF-200 IPSec VPN mit NAT Bug
Hi,
also ich möchte von Netzwerk 1 ( 192.168.100.x) via IPSec auf host 12.13.14.16/32 zugreifen, dafür möchte ich dort mit der Hide NAT IP 10.12.14.15/32 aufschlagen.
Das funktioniert nicht.
Ältere UFs hab ich nicht.
also ich möchte von Netzwerk 1 ( 192.168.100.x) via IPSec auf host 12.13.14.16/32 zugreifen, dafür möchte ich dort mit der Hide NAT IP 10.12.14.15/32 aufschlagen.
Das funktioniert nicht.
Ältere UFs hab ich nicht.
Re: UF-200 IPSec VPN mit NAT Bug
@tsimper konntest mal testen?
Re: UF-200 IPSec VPN mit NAT Bug
noch nicht ...
Ich baue meine UF-300 grad um an ein neues Public Netz, muss heute fertig werden, also, könnte ich morgen testen

Viele Grüße
ts
TakeControl: Config Backup für LANCOM Router, WLC, APs, Firewalls und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Re: UF-200 IPSec VPN mit NAT Bug
@tsimper cool - alles geschafft?
Re: UF-200 IPSec VPN mit NAT Bug
ja, fertig, am liebsten wäre mir, wir schauen uns das mal zusammen an.
Zumindest können wir die Konfigs vergleichen.
Viele Grüße
ts
TakeControl: Config Backup für LANCOM Router, WLC, APs, Firewalls und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Re: UF-200 IPSec VPN mit NAT Bug
Hallo,
gab es hier zu der Frage des TE eine Lösung ?
Wenn ich das recht verstanden habe müsste das sowas wie source-nat oder twice-nat, wie man bei Cisco sagt, werden.
Wäre sicher nicht nur für mich interessant die mögliche Lösung hier zu sehen ....
gab es hier zu der Frage des TE eine Lösung ?
Wenn ich das recht verstanden habe müsste das sowas wie source-nat oder twice-nat, wie man bei Cisco sagt, werden.
Wäre sicher nicht nur für mich interessant die mögliche Lösung hier zu sehen ....

Re: UF-200 IPSec VPN mit NAT Bug
Hallo HJ8,XJ8 hat geschrieben: 11 Apr 2023, 21:24 Hallo,
gab es hier zu der Frage des TE eine Lösung ?
Wenn ich das recht verstanden habe müsste das sowas wie source-nat oder twice-nat, wie man bei Cisco sagt, werden.
Wäre sicher nicht nur für mich interessant die mögliche Lösung hier zu sehen ....![]()
keine dokumentierte Lösung. Ich habe dem TE angeboten, das wir das auf unser UF mal testen, da ich sein Problem nicht so ganz verstanden habe,
er hat sich dannach nicht wieder gemeldet.
Viele Grüße
ts
TakeControl: Config Backup für LANCOM Router, WLC, APs, Firewalls und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Re: UF-200 IPSec VPN mit NAT Bug
Also ich habe inzwischen mit Lancom Support gesprochen, es gibt dazu einen dokumentierten Bug. Es funktioniert schlichtweg nicht.
Ich kann kein Hide NAT bei IPSec machen. Sprich:
Client PC lokal aus Netz 192.168.1.0/24 möchte via IPSec angebundenes Netz 10.23.100.0/24 zugreifen, allerdings ist auf der Seite nur 192.168.2.0/24 als Netz zugelassen.
Wenn ich nun Hide NAT aus dem 192.168.1er Netz mit z.B. 192.168.2.99 machen möchte um auf z.B. 10.23.100.1 zuzugreifen, klappt dies nicht.
Dies ist ein Bug der noch immer nicht gefixed ist.
Wenn man SSH auf die UF macht und dann ssh auf 10.23.100.1 z.b. klappt es, man schlägt dort dann mit 192.168.2.254 auf
Es gibt einen Workaround, aber den finde ich sehr unschön. Man muss ein WAN Objekt definieren zu dem dann NAT gemacht werden soll... dann klappt es.
Ich kann kein Hide NAT bei IPSec machen. Sprich:
Client PC lokal aus Netz 192.168.1.0/24 möchte via IPSec angebundenes Netz 10.23.100.0/24 zugreifen, allerdings ist auf der Seite nur 192.168.2.0/24 als Netz zugelassen.
Wenn ich nun Hide NAT aus dem 192.168.1er Netz mit z.B. 192.168.2.99 machen möchte um auf z.B. 10.23.100.1 zuzugreifen, klappt dies nicht.
Dies ist ein Bug der noch immer nicht gefixed ist.
Wenn man SSH auf die UF macht und dann ssh auf 10.23.100.1 z.b. klappt es, man schlägt dort dann mit 192.168.2.254 auf
Es gibt einen Workaround, aber den finde ich sehr unschön. Man muss ein WAN Objekt definieren zu dem dann NAT gemacht werden soll... dann klappt es.
Re: UF-200 IPSec VPN mit NAT Bug
vielen Dank für die Info.MDCYP hat geschrieben: 13 Apr 2023, 11:14 Also ich habe inzwischen mit Lancom Support gesprochen, es gibt dazu einen dokumentierten Bug. Es funktioniert schlichtweg nicht.
Es gibt einen Workaround, aber den finde ich sehr unschön. Man muss ein WAN Objekt definieren zu dem dann NAT gemacht werden soll... dann klappt es.
Hast Du eine Bug Nummer als Referenz bekommen und hat man Dir gesagt, in welchem Release das gefixt wird?
Viele Grüße
ts
TakeControl: Config Backup für LANCOM Router, WLC, APs, Firewalls und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Re: UF-200 IPSec VPN mit NAT Bug
Leider nein, hab den Bug vor über einem Jahr gemeldet.
Ticket LCSUP-111197
Zitat ""Sobald ein entsprechender Fix implementiert wurde, werden wir dies in den Release-Notes aufnehmen. Ich bitte Sie daher die kommenden Release Notes im Auge zu behalten."
Ticket LCSUP-111197
Zitat ""Sobald ein entsprechender Fix implementiert wurde, werden wir dies in den Release-Notes aufnehmen. Ich bitte Sie daher die kommenden Release Notes im Auge zu behalten."
Re: UF-200 IPSec VPN mit NAT Bug
Problem ist auch weiterhin bei 10.12 rel. drin.
Re: UF-200 IPSec VPN mit NAT Bug
Hat Deine UF das Update im Updater angezeigt?
Meine UF-300 zeigt das nicht an, Refresh usw. hilft nicht.
Im LANCOM Firewall Portal gibt es nur die 10.12rel ISO, aber keine Update Datei.
Und auf dem FTP Server gibt es keine UF Files.
Hat der LANCOM Support sich wegen deined Cases nochmal gemeldet?
Viele Grüße
ts
TakeControl: Config Backup für LANCOM Router, WLC, APs, Firewalls und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Re: UF-200 IPSec VPN mit NAT Bug
Wir nutzen die UF-200 wg. des Bugs gar nicht produktiv. Seit 1,5 Jahren nun.
Daher hab ich die gestern erst wieder via USB Stick und der ISO geupdated, Konfig kann man ja ganz gut einspielen wieder.
Ja, hab nochmal gefragt, aber kommt eben nur "Fall ist noch nicht behoben, bitte warten"
Scheint wohl Sonderfall zu sein, bzw. die wenigstens machen Hide-NAT IPSec mit dem Gerät..
Daher hab ich die gestern erst wieder via USB Stick und der ISO geupdated, Konfig kann man ja ganz gut einspielen wieder.
Ja, hab nochmal gefragt, aber kommt eben nur "Fall ist noch nicht behoben, bitte warten"
Scheint wohl Sonderfall zu sein, bzw. die wenigstens machen Hide-NAT IPSec mit dem Gerät..