Hallo,
ich quäle mich hier schon seit ein paar Tagen mit einem Zertifikats- oder wahrscheinlich eher Routingproblem herum. Bevor ich darauf spekuliere, daß graue Haare attraktiv machen, bitte ich Euch um Hilfe:
Das Szenario:
Router FIRMA (Lancom 1811), Zertifikat:CN=1811,O=Firma, DynDNS (aufgelöst fff.fff.fff.fff), 10.0.2.0 Netz
Router PRIVAT (Lancom 1821), Zertifikat:CN=1821, DynDNS (aufgelöst ppp.ppp.ppp.ppp), 10.0.1.0 Netz
Laptop (Advanced Client), Zertifikat:CN=ADV,O=Firma
Zertikate sind über OpenSSL erstellt und sollten ok sein, denn:
LAN-LAN-VPN Verbindung mit beiden Routern klappt auf Anhieb und ist stabil. Laptop mit Modemeinwahl zu Firma via VPN klappt ebenfalls problemlos.
Der Laptop soll nun ein LAN (over IP) Profil bekommen, um ihn aus bestehenden Netzen in der Ferne mit der Firma zu verbinden.
Zu Testzwecken schalte ich auf meiner Seite die LAN-LAN-VPN Verbindung ab, damit die VPN-Verbindung nur vom Laptop ausgehen kann, der in meinem Netz hinter dem PRIVAT-Router steht. Verwendet wird auf dem Laptop das kopierte und auf LAN (overIP) modifizierte Modemprofil mit gleichen Zertifikaten.
Eine Verbindung direkt vom Laptop mit dem Router Firma via LAN ist nie möglich, der Client spuckt immer die Meldung aus:
IPSDIALCHAN::start building connection
IPSDIAL::DNSREQ: resolving dnserver over lan: firma.dyndns.org
IPSDIAL->DNSREQ: resolved ipadr: fff.fff.fff.fff
NCPIKE-phase1:name(Firma (TCP)) - outgoing connect request - main mode.
XMIT_MSG1_MAIN - Firma (TCP)
NCPIKE-phase1:name(Firma (TCP)) - error - retry timeout - max retries
IPSDIAL - disconnected from Firma (TCP) on channel 1.
Ein VPN Trace auf dem Router FIRMA sieht folgendermaßen aus:
[VPN-Status] 2006/09/10 07:18:56,200
IKE info: The remote server ppp.ppp.ppp.ppp:500 peer PRIVAT id <no_id> supports NAT-T in mode draft
IKE info: The remote server ppp.ppp.ppp.ppp:500 peer PRIVAT id <no_id> supports NAT-T in mode rfc
IKE info: The remote server ppp.ppp.ppp.ppp:500 peer PRIVAT id <no_id> negotiated rfc-3706-dead-peer-detection
IKE info: The remote server ppp.ppp.ppp.ppp:500 peer PRIVAT id <no_id> supports NAT-T in mode rfc
IKE info: The remote server ppp.ppp.ppp.ppp:500 peer PRIVAT id <no_id> supports NAT-T in mode rfc
IKE info: Phase-1 remote proposal 1 for peer PRIVAT matched with local proposal 1
IKE info: Phase-1 failed for peer PRIVAT: received ID DER_ASN1_DN:CN=ADV,O=Firma != expected ID DER_ASN1_DN:010U PRIVAT
VPN: Error: IKE-R-ID-type-mismatch (0x2208) for PRIVAT (ppp.ppp.ppp.ppp)
VPN: starting external DNS resolution for PRIVAT
IpStr=>privat.dyndns.org<, IpAddr(old)=ppp.ppp.ppp.ppp, IpTtl(old)=60s
VPN: external DNS resolution for PRIVAT
IpStr=>privat.dyndns.org<, IpAddr(old)=ppp.ppp.ppp.ppp, IpTtl(old)=60s
IpStr=>privat.dyndns.org<, IpAddr(new)=ppp.ppp.ppp.ppp, IpTtl(new)=60s
So als blutiger Anfänger in VPN-Sachen vermute ich mal irgendwas in Richtung eines IP-Konfliktes, weil er scheinbar die gleiche IP von Router PRIVAT und Laptop (ppp.ppp.ppp.ppp) nicht trennen kann bzw. die alte Verbindung nicht vergißt und danach eine neue dyndns-Abfrage startet. Kann man das irgendwie abstellen und vor allem wo(z.B. mit MAC-Adressen Kennung o.ä.)?
Würde der Advanced Client unverändert in einem Fremdnetz ggf. funktionieren (habe leider keine Testmöglichkeit außer diesen beiden Netzen hier)?
Sollte man in meinem Szenario NAT-T auf beiden Routern ein- oder ausschalten (oder auch nur auf einem)? Wie sind die diesbezüglichen Infos zu deuten, als Rat NAT-T einzuschalten? (momentan sind übrigens beide NAT-T aus)
Wie sieht das bei mehreren Laptops mit anderen CNs in den Zertifikaten aus, wiederholt sich da die Ganze Konfiktsituation?
Tausend Dank für hilfreiche Antworten.
Adv. Client + Zertifikate: Modem geht, LAN nicht
Moderator: Lancom-Systems Moderatoren
Hi ramses002
Damit es nicht zu diesem Konflikt kommt, mußt du entweder die VPN LAN-LAN-Kopplung auch in der Zentrale deaktivieren oder die dyndns-Auflösung entfernen.
Um die dyndns-Auflösung zu entfernen, löschst du einfach das Feld "Entferntes Gateway"
Gruß
Backslash
korrekt. Dadurch, daß du in der Zentrale über die dyndns-Auflösung eine Verknüpfung zwischen IP-Adresse und Identität hergestellt hast, erwartet das LANCOM nun auch immer die Identität der LAN-LAN-Kopplung.So als blutiger Anfänger in VPN-Sachen vermute ich mal irgendwas in Richtung eines IP-Konfliktes, weil er scheinbar die gleiche IP von Router PRIVAT und Laptop (ppp.ppp.ppp.ppp) nicht trennen kann bzw. die alte Verbindung nicht vergißt und danach eine neue dyndns-Abfrage startet.
Damit es nicht zu diesem Konflikt kommt, mußt du entweder die VPN LAN-LAN-Kopplung auch in der Zentrale deaktivieren oder die dyndns-Auflösung entfernen.
Zum Deaktivieren der LAN-LAN-Kopplung stellst du für die VPN-Verbindung die Regelerzeugung auf "Aus"Kann man das irgendwie abstellen und vor allem wo
Um die dyndns-Auflösung zu entfernen, löschst du einfach das Feld "Entferntes Gateway"
NAT-T solltest du aktiviert haben (da reicht die Zentrale, der Client hat es immer aktiv), da du ja nicht weißt, ob der Laptop irgendwann mal in einem Netz steht, dessen Gateway kein IPSec-Passthrough beherrscht...Sollte man in meinem Szenario NAT-T auf beiden Routern ein- oder ausschalten (oder auch nur auf einem)?
solange du in der Zentrale die VPN LAN-LAN-Kopplung aktiv hast, wird dir das mit jedem Client und jedem Zertifikat passieren, wenn du ihn aus deinem privaten Netz startest.Wie sieht das bei mehreren Laptops mit anderen CNs in den Zertifikaten aus, wiederholt sich da die Ganze Konfiktsituation?
Gruß
Backslash
Vielen Dank, habe gerade die LAN-LAN-Verbindung mit Deiner Regellösung temporär abgeschaltet - VPN klappt nun auch über den ADV-Client.
Wenn es nun noch das LANconfig bzw. den Client für OS X gäbe, wäre ich vollständig glücklich, dann könnte ich auch einige unserer Agenturen einbinden (100% Macs), aber das Webinterface des Lancom kann man ja niemanden ohne intensivste Beschäftigung mit der Materie zumuten.
Wenn es nun noch das LANconfig bzw. den Client für OS X gäbe, wäre ich vollständig glücklich, dann könnte ich auch einige unserer Agenturen einbinden (100% Macs), aber das Webinterface des Lancom kann man ja niemanden ohne intensivste Beschäftigung mit der Materie zumuten.
Hi,
Firewall, die sich vom "normalen" LANconfig noch unterscheidet)
Ciao
LoUiS
Du weisst aber, dass die Oberflaeche des LANconfig im WEBconfig unter dem Punkt "Konfiguration" nachgebildet ist. (Einziger Nachteil ist derzeit dieaber das Webinterface des Lancom kann man ja niemanden ohne intensivste Beschäftigung mit der Materie zumuten.
Firewall, die sich vom "normalen" LANconfig noch unterscheidet)
Ciao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
Ich muß Euch nochmal um Rat bitten:
Ich habe jetzt mal ein paar Advanced VPN Clients mit Zertifikaten testweise über den Setup Assistenten eingebunden. Das ganze klappt soweit, aber leider tauchen jetzt alle diese Clients - sofern sie nicht verbunden sind - im LANmonitor mit folgender Fehlermeldung auf:
Nicht verbunden mit CLIENT1
Dynamic VPN - kein passender Eintrag in PPP-Liste vorhanden (Initiator) [0x1104]
Irgendwas scheint da immer noch falsch zu laufen, obwohl das Ganze funktioniert. Kriegt man diese schrillen Fehlermeldungen irgendwie weg? Ich sehe nicht so gerne Rot, es suggeriert mir immer meine eigene Unzulänglichkeit
Ach ja, der Assistent hat in der Verbindungsliste bei Haltezeit der CLIENTs 0 eingetragen, ich habe die mal auf 300 Sekunden gestellt, hat aber diesbezüglich leider auch nichts gebracht.
Danke für hilfreiche Antworten
ramses002
Ich habe jetzt mal ein paar Advanced VPN Clients mit Zertifikaten testweise über den Setup Assistenten eingebunden. Das ganze klappt soweit, aber leider tauchen jetzt alle diese Clients - sofern sie nicht verbunden sind - im LANmonitor mit folgender Fehlermeldung auf:
Nicht verbunden mit CLIENT1
Dynamic VPN - kein passender Eintrag in PPP-Liste vorhanden (Initiator) [0x1104]
Irgendwas scheint da immer noch falsch zu laufen, obwohl das Ganze funktioniert. Kriegt man diese schrillen Fehlermeldungen irgendwie weg? Ich sehe nicht so gerne Rot, es suggeriert mir immer meine eigene Unzulänglichkeit
Ach ja, der Assistent hat in der Verbindungsliste bei Haltezeit der CLIENTs 0 eingetragen, ich habe die mal auf 300 Sekunden gestellt, hat aber diesbezüglich leider auch nichts gebracht.
Danke für hilfreiche Antworten
ramses002
diese meldung erhälst du wenn du proxy-arp aktiviert hast (sprich deine vpn-clients eine virtuelle ip aus demselben lokalen ip-subnetz des lan erhalten) und von einem rechner im lan die (festen) ip-adressen der entsprechenden vpn-clients anpingst.
die meldung ist (solange kein tunnel aufgebaut ist) normal.
die fehlermeldung kannst du im lanmonitor mit einem rechtsklick auf die meldung der der auswahl "fehler löschen" entfernen. aber die meldung taucht jedes mal auf, wenn ein interner host diese ip-adresse anpingt.
die meldung ist (solange kein tunnel aufgebaut ist) normal.
die fehlermeldung kannst du im lanmonitor mit einem rechtsklick auf die meldung der der auswahl "fehler löschen" entfernen. aber die meldung taucht jedes mal auf, wenn ein interner host diese ip-adresse anpingt.
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a