Advanced Client -> LANCOM DSL/I1611 / 2 x dyn.IP ->kei

BurkhardSchaefer · Beitrag von **BurkhardSchaefer** » 01 Apr 2005, 15:54

Hallo,
Ich versuche ein VPN von einem Advanced VPN-Client zu einem LANCOM DSL/I1611 aufzubauen. Beide Seiten haben dynamische IP-Adressen (Dyndns.org). Der Client befindet sich in einem LAN hinter einem Router. Der Tunnel wird auch schon hergestellt, ich kann jedoch keinen Ping auf die andere Seite machen (auch nicht auf den anderen Router). Da der VPN-Client mir bei einem Ping Netzwerkverkehr meldet, vermute ich, dass ich die Antwort aufgrund eines Routingproblems nicht bekomme.

Woher kommt die IP-Adresse, die dem Client zugewiesen wird und ie, die dem Router zugewiesen wird (s. Client-Log: 01.04.2005 15:37:22 IPCP - verbunden mit GMarien mit IP Adresse: 192.168.254.002. : 192.168.254.003.) Diese Adressen habe ich nirgendwo eingestellt....

Advanced Client Logfile:

01.04.2005 15:37:18 IPSDIAL::DNSREQ: resolving dnserver over lan: GMarien.DYNDNS.ORG
01.04.2005 15:37:18 IPSDIAL->DNSREQ: resolved ipadr: 080.139.138.081
01.04.2005 15:37:18 NCPIKE-phase1:name(GMarien) - outgoing connect request - aggressive mode.
01.04.2005 15:37:18 XMIT_MSG1_AGGRESSIVE - GMarien
01.04.2005 15:37:21 RECV_MSG2_AGGRESSIVE - GMarien
01.04.2005 15:37:21 IPSDIAL->FINAL_TUNNEL_ENDPOINT:080.139.138.081
01.04.2005 15:37:21 XMIT_MSG3_AGGRESSIVE - GMarien
01.04.2005 15:37:21 Turning on DPD mode - GMarien
01.04.2005 15:37:21 NCPIKE-phase1:name(GMarien) - connected
01.04.2005 15:37:21 XMIT_MSG1_QUICK - GMarien
01.04.2005 15:37:22 RECV_MSG2_QUICK - GMarien
01.04.2005 15:37:22 XMIT_MSG3_QUICK - GMarien
01.04.2005 15:37:22 NCPIKE-phase2:name(GMarien) - connected
01.04.2005 15:37:22 IPSDIAL - verbunden mit GMarien auf Kanal 1.
01.04.2005 15:37:22 IPCP - verbunden mit GMarien mit IP Adresse: 192.168.254.002. : 192.168.254.003.
01.04.2005 15:37:42 NOTIFY : GMarien : SENT : NOTIFY_MSG_R_U_HERE
01.04.2005 15:37:52 NOTIFY : GMarien : SENT : NOTIFY_MSG_R_U_HERE
01.04.2005 15:37:52 NOTIFY : GMarien : RECEIVED : NOTIFY_MSG_R_U_HERE_ACK
01.04.2005 15:38:42 NOTIFY : GMarien : SENT : NOTIFY_MSG_R_U_HERE
01.04.2005 15:38:53 NOTIFY : GMarien : SENT : NOTIFY_MSG_R_U_HERE
01.04.2005 15:38:53 NOTIFY : GMarien : RECEIVED : NOTIFY_MSG_R_U_HERE_ACK

Advanced Client Trace:

IpsDialChan::s_conreq
ChanConReq( Exit Okey )
mif32_UpdMib(0040,00000000,00232)
IPSEC:UpdateSpd - 1
Fri Apr 01 15:37:17 2005:CreateSpdEntry:Adapter-0,Name-GMarien,Count-1
User::Adding LwsGateway
SYSTEM->IPS: ConnectPhaseII (00000001)
Fri Apr 01 15:37:17 2005:CreateSab:Adapter-0,Name-unknown,Count-1
IpsDialCb::GetMyIpAdr aindex=201
User::Adding LwsGateway
IKE->IPS:IpsAddSa: AdapterIndex = 0, ReqIndex = 38
IpSec::Phase2 is up: GMarien
IpsAdr: 000.000.000.000
Destination Gateway: 080.139.138.081
SrcRange: 010.000.000.019 - 010.000.000.019
DstRange: 148.100.150.200 - 148.100.150.201
LocPrt: 00500 - RemPrt: 00500
RemEndPoint = (508b8a51) LocEndPoint = (0a000013).
Adding SPI(Spi=e078444f,protid=3,tranid=7,lifesec=19209600)
Fri Apr 01 15:37:22 2005:CreateESPSaEntry:Adapter-0,Name-GMarien,Count-1
RemEndPoint = (508b8a51) LocEndPoint = (0a000013).
Adding SPI(Spi=214e681a,protid=3,tranid=7,lifesec=19209600)
Fri Apr 01 15:37:22 2005:CreateESPSaEntry:Adapter-0,Name-GMarien,Count-2
IpsSab::RekeyTimer = 19209590
(20114):IpsDial:linkup(id= 1)
Lcp::linkup(1954a58)
BaseCp::enter_open_state(c021)
BaseCp::enter_open_state(8021)
IpcpIsOpen
DhcpServ::send_renew()
Receive DHCP -> (00000000,ffffffff)
DhcpServ::recv_release(00000000)
Receive DHCP -> (00000000,ffffffff)
DhcpServ::recv_discover(00000000,00000000)
DhcpServ::xmit_offer(c0a8fe02
,00000000)
IPDHCP::Sent DNS options(00000000,00000000,00000000,00000000)
sipa = c0a8fe03 -> dipa = ffffffff
Receive DHCP -> (00000000,ffffffff)
DhcpServ::recv_request(c0a8fe02,00000000)
DhcpServ::xmit_ack(c0a8fe02,00000000)
IPDHCP::Sent DNS options(00000000,00000000,00000000,00000000)
sipa = c0a8fe03 -> dipa = ffffffff

PPPDest::arpreq()Renew done(00000000,0,1,82f594)
User::AddingLws Route - 946496c8
User::Sending IPHLP status (6)
User::AddingLws Route - 946496c8

PPPDest::arpreq()

PPPDest::arpreq()
User::ip_sndreq(96,c0a8fe02,c0a8feff,137,137 )
User::ip_sndreq(96,c0a8fe02,c0a8feff,137,137 )
User::ip_sndreq(96,c0a8fe02,c0a8feff,137,137 )
User::ip_sndreq(96,c0a8fe02,c0a8feff,137,137 )
User::ip_sndreq(96,c0a8fe02,c0a8feff,137,137 )
User::ip_sndreq(96,c0a8fe02,c0a8feff,137,137 )
User::ip_sndreq(96,c0a8fe02,c0a8feff,137,137 )
User::ip_sndreq(96,c0a8fe02,c0a8feff,137,137 )
User::ip_sndreq(96,c0a8fe02,c0a8feff,137,137 )
User::ip_sndreq(96,c0a8fe02,c0a8feff,137,137 )
User::ip_sndreq(96,c0a8fe02,c0a8feff,137,137 )
User::ip_sndreq(96,c0a8fe02,c0a8feff,137,137 )
User::ip_sndreq(96,c0a8fe02,c0a8feff,137,137 )
User::ip_sndreq(96,c0a8fe02,c0a8feff,137,137 )
User::ip_sndreq(96,c0a8fe02,c0a8feff,137,137 )
User::ip_sndreq(96,c0a8fe02,c0a8feff,137,137 )
User::ip_sndreq(96,c0a8fe02,c0a8feff,137,137 )
User::ip_sndreq(96,c0a8fe02,c0a8feff,137,137 )
User::ip_sndreq(96,c0a8fe02,c0a8feff,137,137 )
User::ip_sndreq(96,c0a8fe02,c0a8feff,137,137 )
User::ip_sndreq(96,c0a8fe02,c0a8feff,137,137 )
User::ip_sndreq(96,c0a8fe02,c0a8feff,137,137 )
User::ip_sndreq(96,c0a8fe02,c0a8feff,137,137 )
User::ip_sndreq(96,c0a8fe02,c0a8feff,137,137 )
User::ip_sndreq(206,c0a8fe02,c0a8feff,138,138 )
User::ip_sndreq(206,c0a8fe02,c0a8feff,138,138 )
User::ip_sndreq(206,c0a8fe02,c0a8feff,138,138 )
User::ip_sndreq(206,c0a8fe02,c0a8feff,138,138 )
User::ip_sndreq(218,c0a8fe02,c0a8feff,138,138 )
User::ip_sndreq(218,c0a8fe02,c0a8feff,138,138 )
User::ip_sndreq(218,c0a8fe02,c0a8feff,138,138 )
User::ip_sndreq(218,c0a8fe02,c0a8feff,138,138 )
User::ip_sndreq(96,c0a8fe02,c0a8feff,137,137 )

backslash · Beitrag von **backslash** » 01 Apr 2005, 19:21

Hi BurkhardSchaefer

Der Client befindet sich in einem LAN hinter einem Router

Was ist das für ein Router? Kann der überhaupt IPSec maskieren?

Wenn der Router IPSec nicht maskieren kann (wie die meisten "billig-Router"), dann wird zwar der Tunnel noch ausgehandelt und ein "Connect" gemeldet, wenn dann aber die ESP-Pakete ankommen, dann ist "Schluß"...

Woher kommt die IP-Adresse, die dem Client zugewiesen wird und ie, die dem Router zugewiesen wird (s. Client-Log: 01.04.2005 15:37:22 IPCP - verbunden mit GMarien mit IP Adresse: 192.168.254.002. : 192.168.254.003.) Diese Adressen habe ich nirgendwo eingestellt....

Das dürften die Adressen des virtuellen Netzwerkadapters sein - nicht drum kümmern...

Gruß
Backlsash

BurkhardSchaefer · Beitrag von **BurkhardSchaefer** » 04 Apr 2005, 15:36

Hallo und vielen Dank für die schnelle Antwort

,

backslash hat geschrieben:
Der Client befindet sich in einem LAN hinter einem Router
Was ist das für ein Router? Kann der überhaupt IPSec maskieren?

Wenn der Router IPSec nicht maskieren kann (wie die meisten "billig-Router"), dann wird zwar der Tunnel noch ausgehandelt und ein "Connect" gemeldet, wenn dann aber die ESP-Pakete ankommen, dann ist "Schluß"...

Es handelt sich um einen Lancom 1711 VPN, aber ich möchte (im wesentlichen aus politischen Gründen) kein direktes VPN zwischen den Routern aufbauen, sondern den AdvancedClient nutzen. Außerdem habe ich diese Konstruktion mit einer fremden Firma erfolgreich realisiert. Doch dort bekam ich das Konfigurationsfile zugesandt und habe keinen Einblick auf den Router und keine Möglichkeit nachzufragen.

backslash hat geschrieben:
Woher kommt die IP-Adresse, die dem Client zugewiesen wird und ie, die dem Router zugewiesen wird (s. Client-Log: 01.04.2005 15:37:22 IPCP - verbunden mit GMarien mit IP Adresse: 192.168.254.002. : 192.168.254.003.) Diese Adressen habe ich nirgendwo eingestellt....
Das dürften die Adressen des virtuellen Netzwerkadapters sein - nicht drum kümmern...

Die 192.168.254.002 stammt von meinem virtuellen Netzwerkadapter. Aber was ist mit der 192.168.254.003 (dorthin geht kein Ping)? Wie werden diese Adressen festgelegt (Sie sind auf dem Remote-Router nicht eingetragen)?

expert · Beitrag von **expert** » 04 Apr 2005, 17:10

Wird die Option "Lokale IP-Adresse verwenden" aktiviert bzw. die lokale IP im Adv. VPN CLient als VPN IP angegeben, so wird ein NAT durchführt, d.h. die IP-Adresse des LANCOM Secure Client Adapter wird mit 192.168.254.2 ausgewiesen, diese Adresse wird aber umgesetzt. Verwendet wird die IP-Adresse des Adapter, worüber der IPSec-Tunnel aufgebaut wurde.

BurkhardSchaefer · Beitrag von **BurkhardSchaefer** » 20 Apr 2005, 07:20

Selbst wenn ich von dem Remote-Router (über telnet) einen Ping auf den AdvancedClient mache, kommt nichts an (kein Network-Traffic). Wie bringe ich den Router dazu, den Ping über den Tunnel zu senden???

maikel_b · Beitrag von **maikel_b** » 21 Apr 2005, 10:25

Hi BurkhardSchaefer,

schau doch mal im IP-Router Trace des 1711ers, der Passthrough macht nach, ob überhaupt Pakete ESP Pakete ankommen oder net. Ich kann mir kaum vorstellen, dass der LANCOM dort irgendein Mumpitz macht.
Gleichzeit kannste mal auf dem VPN-Gateway ebenfalls im IP-Router Trace mal nachschauen ob das was ankommt. Wenn du ein Ping machst, reicht lediglich ein ICMP-Trace.

Gruß
maikel_b

hobro · Beitrag von **hobro** » 21 Apr 2005, 15:00

Hat sich das Problem gelöst?
Wäre sehr interessant, ich habe das gleiche Problem, aber dahingehend, dass ein Bintec-Router die Informationen nicht durchlässt.
Bin für Infos dankbar!

hobro

BurkhardSchaefer · Beitrag von **BurkhardSchaefer** » 21 Apr 2005, 17:31

Hallo,

ich habe das Problem dadurch umgangen, dass ich die Routerkonfiguration nicht von Hand, sondern mit dem Wizzard durchgeführt habe. Nun funktioniert es.

Ich werde aber sobald ich Zeit habe analysieren, wo die Unterschiede zwischen vorher und jetzt liegen.

PS: Der Tip mit dem Router-Trace ist übrigens wirklich gut, da er viel mehr Infos enthält, als Log oder trace auf der Clientseite (Mit Telnet auf den Router und dann z.B. "trace + vpn" - mit der telnet-Option +f lässt sich alles in einem File mitprotokollieren)

Bis bald

Burkhard Schäfer

LANCOM-Forum.de

Advanced Client -> LANCOM DSL/I1611 / 2 x dyn.IP ->kei

Advanced Client -> LANCOM DSL/I1611 / 2 x dyn.IP ->kei

Es geht immer noch nicht...