Hallo zusammen,
ich habe vor einiger Zeit einen Lancom 7111 für iPhone / iPad VPN Zugänge eingerichtet. Am Lancom 7111 hängen auch noch 4 L-54G fürs WLAN (einmal WPA und einmal RADIUS). Das nun schon mal grob vorab.
Vor dem Update auf LCOS 8.82 war es möglich auch Hausintern vom iPad / iPhone über das WLAN eine VPN Verbindung aufzubauen. Das war sehr sinnvoll und komfortabel, da hier die Mobilfunkverbindung "etwas" träge ist. Leider geht das nun plötzlich nicht mehr. Da an der Konfiguration keine Änderungen vorgenommen worden sind muss sich etwas am LCOS geändert haben. Wieder zurück auf die alte Version kommt nicht in Frage...
Das iPad / iPhone meldet nur VPN Server antwortet nicht. Ich habe leider keine Ahnung, wie ich das tracen soll. Bei einem normalen VPN Trace sehe ich nichts. Wenn ich mir gefiltert durch die IP des iPads aber den gesamten Traffic ansehen, ist eine Kommunikation auf Port 500 zu sehen. Im VPN Trace taucht aber nichts auf. Der 7111 hängt am SDSL mit einer fester IP...
Ich bin für jeden Tipp dankbar!
Viele Grüße!
7111 VPN Problem nach Update auf LCOS 8.82
Moderator: Lancom-Systems Moderatoren
Re: 7111 VPN Problem nach Update auf LCOS 8.82
Hi,
Du möchtest also eine VPN-Verbindung zu deinem WLAN-Router aufbauen?
Oder möchtest du eine Verbindung über das VPN und den Router mit einer Gegenstelle im Internet aufbauen?
Warum?
Möchtest du verhindern das andere in deinem lokalen Netz den Traffic mitlesen können?
Ich schätze mal du hast den VPN-Status-Trace verwendet?
Was sagt den ein IP-Router-Trace? https://www2.lancom.de/kb.nsf/1275/181C ... enDocument
Werden dort die Pakete an das jeweilige VPN-Interface weitergeleitet?
Gruß
Du möchtest also eine VPN-Verbindung zu deinem WLAN-Router aufbauen?
Oder möchtest du eine Verbindung über das VPN und den Router mit einer Gegenstelle im Internet aufbauen?
Warum?
Möchtest du verhindern das andere in deinem lokalen Netz den Traffic mitlesen können?
Ich schätze mal du hast den VPN-Status-Trace verwendet?
Was sagt den ein IP-Router-Trace? https://www2.lancom.de/kb.nsf/1275/181C ... enDocument
Werden dort die Pakete an das jeweilige VPN-Interface weitergeleitet?
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Re: 7111 VPN Problem nach Update auf LCOS 8.82
Ok... Jetzt wo ich meinen eigenen Text noch einmal mit verstand gelesen habe, kann ich nachvollziehen, dass noch Fragen offen sind 
Also:
Der eigentliche Sinn der 7111 ist externen iPad Benutzern eine VPN Verbindung ins interne Firmennetz zu ermöglichen. Das funktioniert auch super. Vor dem Update des LCOS konnte ich aber auch über das interne WLAN Netz eine Verbindung ins Firmennetz aufbauen. Achtung: Auch das klingt jetzt verwirrend: Das WLAN Netz ist wirklich nur ein eigenes Netz ohne Zugang zum eigentlichen Firmennetz. Nur Internetzugang ist möglich. Also quasi ein "Gastnetzwerk".
Soll heißen: Die 7111..
...hängt mit einem Port am Internet
...mit einem Port im Firmennetz
...hat ein Netz für WLAN "Gastzugang"
...stellt über 802.1X über einen RADIUS Server eine Verbindung zum internen Firmennetz bereit
...und stellt iPad und iPhone Nutzern ebenfalls über VPN (aktuell leider nur von extern) ebenfalls einen Zugang zum internen Firmennetz bereit.
Ich hoffe das erklärt einiges. Ist sicherlich im Gesamten nicht die Einfachste Umgebung
Also:
Der eigentliche Sinn der 7111 ist externen iPad Benutzern eine VPN Verbindung ins interne Firmennetz zu ermöglichen. Das funktioniert auch super. Vor dem Update des LCOS konnte ich aber auch über das interne WLAN Netz eine Verbindung ins Firmennetz aufbauen. Achtung: Auch das klingt jetzt verwirrend: Das WLAN Netz ist wirklich nur ein eigenes Netz ohne Zugang zum eigentlichen Firmennetz. Nur Internetzugang ist möglich. Also quasi ein "Gastnetzwerk".
Soll heißen: Die 7111..
...hängt mit einem Port am Internet
...mit einem Port im Firmennetz
...hat ein Netz für WLAN "Gastzugang"
...stellt über 802.1X über einen RADIUS Server eine Verbindung zum internen Firmennetz bereit
...und stellt iPad und iPhone Nutzern ebenfalls über VPN (aktuell leider nur von extern) ebenfalls einen Zugang zum internen Firmennetz bereit.
Ich hoffe das erklärt einiges. Ist sicherlich im Gesamten nicht die Einfachste Umgebung
Re: 7111 VPN Problem nach Update auf LCOS 8.82
Hi,
Für das interne WLAN-Netz mit VPN an die Sache herranzugehen scheint mir etwas arg umständlich.
Gruß
Warum nutzt du/ihr nicht das um euch per WLAN zu authentifizieren?stellt über 802.1X über einen RADIUS Server eine Verbindung zum internen Firmennetz bereit
Für das interne WLAN-Netz mit VPN an die Sache herranzugehen scheint mir etwas arg umständlich.
Sag mal Bescheid, wenn du das testen konntest.Ich schätze mal du hast den VPN-Status-Trace verwendet?
Was sagt den ein IP-Router-Trace? https://www2.lancom.de/kb.nsf/1275/181C ... enDocument
Werden dort die Pakete an das jeweilige VPN-Interface weitergeleitet?
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Re: 7111 VPN Problem nach Update auf LCOS 8.82
Na das ist eigentlich ganz einfach. Den VPN nutzt unser Außendienst also fast nur extern. Sind die Kollegen aber mal im Haus klingelt laufend das Telefon und ich muss jedem erklären warum es nicht geht. Außerdem war es für mich zum Testen bisher sehr sinnvoll...MariusP hat geschrieben:Hi,Warum nutzt du/ihr nicht das um euch per WLAN zu authentifizieren?stellt über 802.1X über einen RADIUS Server eine Verbindung zum internen Firmennetz bereit
Für das interne WLAN-Netz mit VPN an die Sache herranzugehen scheint mir etwas arg umständlich.
Hier das Ergebnis des IP-Router Trace:
Code: Alles auswählen
[IP-Router] 2013/09/20 14:27:07,426 Devicetime: 2013/09/20 14:27:06,582
IP-Router Rx (LAN-2, OPEN_WIFI, RtgTag: 0):
DstIP: xxx.xxx.xxx.xxx, SrcIP: 192.168.11.103, Len: 696, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 500, SrcPort: 500
Route: WAN Tx (INTERNET)
[IP-Router] 2013/09/20 14:27:07,426 Devicetime: 2013/09/20 14:27:06,584
IP-Router Rx (INTERNET, RtgTag: 0):
DstIP: 192.168.11.103, SrcIP: xxx.xxx.xxx.xxx, Len: 696, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 500, SrcPort: 500
Route: LAN-2 Tx (OPEN_WIFI):
[IP-Router] 2013/09/20 14:27:10,658 Devicetime: 2013/09/20 14:27:09,815
IP-Router Rx (LAN-2, OPEN_WIFI, RtgTag: 0):
DstIP: xxx.xxx.xxx.xxx, SrcIP: 192.168.11.103, Len: 696, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 500, SrcPort: 500
Route: WAN Tx (INTERNET)
[IP-Router] 2013/09/20 14:27:10,658 Devicetime: 2013/09/20 14:27:09,816
IP-Router Rx (INTERNET, RtgTag: 0):
DstIP: 192.168.11.103, SrcIP: xxx.xxx.xxx.xxx, Len: 696, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 500, SrcPort: 500
Route: LAN-2 Tx (OPEN_WIFI):
Re: 7111 VPN Problem nach Update auf LCOS 8.82
Hi,
ist xxx.xxx.xxx.xxx die Wan IP des Routers?
Gruß
ist xxx.xxx.xxx.xxx die Wan IP des Routers?
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Re: 7111 VPN Problem nach Update auf LCOS 8.82
Ja. So ist es.MariusP hat geschrieben:Hi,
ist xxx.xxx.xxx.xxx die Wan IP des Routers?
Gruß
Re: 7111 VPN Problem nach Update auf LCOS 8.82
Hi,
Du sagtest ja
Wie schaut denn der Inhalt dieser ISAKMP-Pakete aus?
Sind das beides mal die ersten IKE Phase 1 Pakete?
https://www2.lancom.de/kb.nsf/1275/1CF7 ... enDocument
Gruß
Du sagtest ja
Aber mit was antwortet der Router dann?Bei einem normalen VPN Trace sehe ich nichts.
Code: Alles auswählen
[IP-Router] 2013/09/20 14:27:07,426 Devicetime: 2013/09/20 14:27:06,584
IP-Router Rx (INTERNET, RtgTag: 0):
DstIP: 192.168.11.103, SrcIP: xxx.xxx.xxx.xxx, Len: 696, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 500, SrcPort: 500
Route: LAN-2 Tx (OPEN_WIFI): Sind das beides mal die ersten IKE Phase 1 Pakete?
https://www2.lancom.de/kb.nsf/1275/1CF7 ... enDocument
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Re: 7111 VPN Problem nach Update auf LCOS 8.82
Hi,
hatte gerade mal kurz Zeit ne Runde zu tracen:
8 2.926181 192.168.11.115 xxx.xxx.xxx.xxx ISAKMP 710 Identity Protection (Main Mode)
9 2.927086 192.168.11.115 xxx.xxx.xxx.xxx ISAKMP 710 Identity Protection (Main Mode)
10 2.927484 xxx.xxx.xxx.xxx 192.168.11.115 ISAKMP 710 Identity Protection (Main Mode)
11 2.927745 xxx.xxx.xxx.xxx 192.168.11.115 ISAKMP 710 Identity Protection (Main Mode)
Schon interessant... beides die ersten Pakete und gleich zwei mal?!
Viele Grüße!
hatte gerade mal kurz Zeit ne Runde zu tracen:
8 2.926181 192.168.11.115 xxx.xxx.xxx.xxx ISAKMP 710 Identity Protection (Main Mode)
9 2.927086 192.168.11.115 xxx.xxx.xxx.xxx ISAKMP 710 Identity Protection (Main Mode)
10 2.927484 xxx.xxx.xxx.xxx 192.168.11.115 ISAKMP 710 Identity Protection (Main Mode)
11 2.927745 xxx.xxx.xxx.xxx 192.168.11.115 ISAKMP 710 Identity Protection (Main Mode)
Schon interessant... beides die ersten Pakete und gleich zwei mal?!
Viele Grüße!
Re: 7111 VPN Problem nach Update auf LCOS 8.82
Hi,
Ich hoffe ich gebe das nicht falsch an:
Die Paket soll über das Wan rausgehen, da die IP auf die Default-Route fällt. Daher wird die IP maskiert. Das Interface merkt, dass das Paket an sich selber addressiert ist und verarbeitet es weiter, dabei ist sind aber die IP-Addresses des Pakets also Src und Dst gleich, wenn du also kein Aggressive-Mode verwendest oder Main-Mode mit Zertifikaten kann es schon mal nicht funktionieren.
Jedenfalls wird, nachdem das Paket verarbeitet wurde, eine Antwort erzeugt. Diese wird auch an die Wan Ip geschickt, das Interface merkt dann wieder, dass es für ihn selber ist und aufgrund des Zielports merkt er, zu welcher Maskierung es gehört und demaskiert es. Das Paket was nun wieder deine eigene IP als Dst hat, wird vom IP-Router an dich geleitet.
Es sollte funktionieren; stellt sich nur noch die Frage: Warum im VPN-Status-trace, dass nicht angezeigt wird?
Warum das Paket 2 mal auftaucht kann ich dir leider nicht sagen.
Gruß
Ich hoffe ich gebe das nicht falsch an:
Die Paket soll über das Wan rausgehen, da die IP auf die Default-Route fällt. Daher wird die IP maskiert. Das Interface merkt, dass das Paket an sich selber addressiert ist und verarbeitet es weiter, dabei ist sind aber die IP-Addresses des Pakets also Src und Dst gleich, wenn du also kein Aggressive-Mode verwendest oder Main-Mode mit Zertifikaten kann es schon mal nicht funktionieren.
Jedenfalls wird, nachdem das Paket verarbeitet wurde, eine Antwort erzeugt. Diese wird auch an die Wan Ip geschickt, das Interface merkt dann wieder, dass es für ihn selber ist und aufgrund des Zielports merkt er, zu welcher Maskierung es gehört und demaskiert es. Das Paket was nun wieder deine eigene IP als Dst hat, wird vom IP-Router an dich geleitet.
Es sollte funktionieren; stellt sich nur noch die Frage: Warum im VPN-Status-trace, dass nicht angezeigt wird?
Warum das Paket 2 mal auftaucht kann ich dir leider nicht sagen.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Re: 7111 VPN Problem nach Update auf LCOS 8.82
Hi!
Das klingt soweit alles gut und schön... Aber irgendwo muss da ja etwas im LCOS passiert sein, da es ja vorher ohne Probleme ging...
Echt verrückt.
BTW: Ich verwende Main Mode mit Zertifikaten...
Viele Grüße!
Das klingt soweit alles gut und schön... Aber irgendwo muss da ja etwas im LCOS passiert sein, da es ja vorher ohne Probleme ging...
Echt verrückt.
BTW: Ich verwende Main Mode mit Zertifikaten...
Viele Grüße!