Advanced VPN Client - Lizensierung + Routing Problem

[joeMJ]

Hallo Ihr,

mit gründlich Nachlesen und der guten Hilfe von Euch habe ich es geschafft, dass der LC1821 8 Gateways per VPN erreicht. Danke dafür! Darunter auch eine Netscreen 25 und eine PIX. Allerdings erst nachdem ich die Proposal Listen editiert habe - meist genehmigt er sich PSK-AES-SHA / Gruppe 5. Klappt alles wunderbar ohne großartige Verzögerung. Er baut die Strecken auf und ich kann ohne Probleme dahin wo ich will.

Jetzt möchte ich das ganze auch von unterwegs nutzen. Da habe ich auf der CD den Advanced VPN Client gefunden und als 30 Tage DEMO Version installiert. Den Zugang habe ich per Wizard gebastelt und bin erst mal auf die Nase geflogen. Leider funktionierte es erst, als ich im Config unter //VPN/Verbindungs- Parameter/Zugangsname die IKE Gruppe auf die Listen für IKE und IPSEC auf meine vordefinierten "nur" PSK-AES-SHA bzw. AES-SHA-96 gestellt habe und das adaptiv am Advanced Client auch gemacht habe. Auth mache ich beidseitig wie vom Wiz. gewünscht per FQUN. Ist auch XAUTH möglich? Der LC Advanced VPN Client baut via Bluetooth wunderbar mit meinem imat Jasjar eine UMTS Verbindung via EPlus auf und macht einen Handshake. Im trace + VPN sehe ich, dass der 1+2 Phase Handshake ohne Probleme klappt - ebenso auf dem Client im Logbuch.

Im Client habe ich definiert, welche Netze er erreichen soll - das wichtigste ist erstmal das Netz hinter dem 1821. Hab' ihm gesagt dass da 192.168.10.0/24 ist und er das über den Client machen soll.

Firewall ist zum Testen aus.

Problem 1: Im Netz durch die Landschaft surfen kann ich - nur hinter dem Router erreichen kann ich nix per LC Advanced VPN Client. Er sagt aber auf beiden Seiten, dass Handshake geklappt hat. Welche Daten werden benötigt, damit das Problem gelöst werden kann? Welche Fehler macht der blöde User da meistens?

Problem 2: Demo Version/ Verständnis Problem - Hab' ich nicht schon 5 Nutz- Kanäle, die ich gleichzeitig nutzen kann? Bei Netscreen gibt's dazu passend auch immer einen Client. Muss ich da einen Schlüssel freischalten ähnlich wie bei dynamischer VPN Option? Ich find' da nämlich nix. Ich geh' mal davon aus dass ich den doch kaufen muss mir reicht ja erstmal eine Lizenz für mich selbst. Bei Geizhals finde ich keinen Anbieter. Wo krieg' ich einen Lizenzschlüssel am günstigsten - wenn ja zu welchem Preis? Mich regt ja schon tierisch auf, dass da "DEMO" im Lan- Monitor bei den VPN Verbindungen steht - das muss da weg - Igitt fuba.

Problem 3: Der Juniper Client (nicht mehr installiert) baute bei Bedarf eine VPN Verbindung auf - wenn er gemerkt hat, dass ich genau da oder da hin wollte. Beim LC Advanced VPN Client muss ich immer selbst "start" drücken. Geht das irgendwie auch automatisch? Wäre schon lässig cool, wenn die Applikation nur geöffnet werden müsste

Problem 4: Dazwischen gibt's bei der Netscreen Gegenstelle noch ein kleineres Problem. Der LC baut durch einen IPSEC Tunnel eine PPTP Verbindung zu einem Gateway dahinter auf. Da ich die Verbindung am seltensten brauche möcht' ich die aber wieder zu haben - wenn ich sie nicht mehr brauche (Ist nur mein Arbeitgeber) - da ich meist die 5 Nutzkanäle für andere Strecken brauche bzw. Orwell mir da nicht lieb ist. Dauerverbindung mit Polling ist also nicht. Offensichtlich sieht er aber nicht, dass durch den IPSEC Tunnel Daten/ GRE Pakete laufen und macht ihn nach der eingestellten Haltezeit wieder zu. Da ich noch eine AS400 Verbindung auf der Strecke offen habe, ist das ziemlich blöde - denn die Sitzung kracht dann und meine Jobs laufen nicht weiter. Wie sollte ich das konfigurieren, damit der VPN Tunnel bei bestehender PPTP Verbindung durch den Tunnel nicht zu geht?

[edit] zu Problem 1: Log sagt später "Endpoint Security: Connect to Server failed", Suche im Forum hat mir nicht geholfen. Offensichtlich bekannt, bringt mich aber nicht weiter [/edit]

[eddia]

Hallo Joe,

Allerdings erst nachdem ich die Proposal Listen editiert habe - meist genehmigt er sich PSK-AES-SHA / Gruppe 5.

Es ist im Allgemeinen keine gute Idee, die vorhandenen Proposallisten zu editieren. Besser ist es da, sich eine neue anzulegen, falls mit den vorhandenen keine Verbindung möglich ist.

Was für ein Modus wird benutzt - Aggressive oder Main?

Den Zugang habe ich per Wizard gebastelt und bin erst mal auf die Nase geflogen. Leider funktionierte es erst, als ich im Config unter //VPN/Verbindungs- Parameter/Zugangsname die IKE Gruppe auf die Listen für IKE und IPSEC auf meine vordefinierten "nur" PSK-AES-SHA bzw. AES-SHA-96 gestellt habe und das adaptiv am Advanced Client auch gemacht habe.

Du hast bestimmt keine feste IP für den AVC. Dann ist erst mal die Proposalliste unter "Default-IKE-Proposalliste" für Aggressive Mode entscheidend und dann erst die Proposalliste, die der Wizard für den AVC anlegt. Wenn Du in ersterer Änderungen vorgenommen hast, könnte das dieses Verhalten erklären, da der AVC für IKE standardmäßig erst mal nur MD5 anbietet.

Das sollte man aber im VPN-Status trace sehen.

Problem 1: Im Netz durch die Landschaft surfen kann ich - nur hinter dem Router erreichen kann ich nix per LC Advanced VPN Client. Er sagt aber auf beiden Seiten, dass Handshake geklappt hat.

Sieh im IP-Router-Modul nach, ob 'Proxy-ARP' eingeschaltet ist. Das sollte Dir der Wizzard für den AVC eigentlich vorschlagen - aber vielleicht hast Du das abgelehnt.

Hab' ich nicht schon 5 Nutz- Kanäle, die ich gleichzeitig nutzen kann?

Ja - am Lancom. Die Clientlizenzen müssen zusätzlich erworben werden.

Gruß

Mario

[andreas]

Der LC Advanced VPN Client baut via Bluetooth wunderbar mit meinem imat Jasjar eine UMTS Verbindung via EPlus auf und macht einen Handshake. Im trace + VPN sehe ich, dass der 1+2 Phase Handshake ohne Probleme klappt - ebenso auf dem Client im Logbuch.

Benutzt Du den ipsec-enabler von E-Plus? Ohne den geht es nicht.

[joeMJ]

Boah - das ging aber schnell

Also gut.

Besser ist es da, sich eine neue anzulegen, falls mit den vorhandenen keine Verbindung möglich ist.

Sorry, ja - hab' ich ja auch gemacht. "Sie heist jeweils "PSK-AES-SHA-ONL" und "AES-SHA-96-ONLY" in denen ich nur jeweils die eine Methode eingebastelt habe

Was für ein Modus wird benutzt

Ja, err aggressive, aus Deinem genannten Grund.

Dann ist erst mal die Proposalliste unter "Default-IKE-Proposalliste"

Hatte ich meine eigene (PSK-AES-ONLY) eingebastelt (und Gruppe 5), da ich sonst mit der Juniper von Netcologne nicht klarkam. Auch Grund, warum ich im AVC meine etwas spezielle Wahl einstellen musste.

Sieh im IP-Router-Modul nach, ob 'Proxy-ARP' eingeschaltet ist

Ja, ist eingeschaltet.

Benutzt Du den ipsec-enabler von E-Plus? Ohne den geht es nicht.

Bahnhof. Wollen die jetzt auch noch mehr Geld von mir als für die Flat? Ich komm doch bis nach hause - 500 klappt doch. Oder etwa nicht? Log ist im Anhang.

Das witzige ist, ich kann den Client v. internen Netzwerk über die zugewiesene IP x.x.x.11 erreichen, der Client erreicht aber nix im Netz.

Log:
Verständnis: 192.168.10.12(!?) ist im Netzwerk nicht vorhanden, der zugewiesene ist x.x.x.11. Wer ist 12? Ist das 'ne virtuelle IP, die der Lancom da setzt? Kann ich im Netz aber nicht erreichen.

Zu Problem/ Frage 3 hat sich erledigt (kann von der Liste), hab' den Eintrag gefunden - AVC baut Verbindung automatisch auf.

[andreas]

Es liegt bestimmt am ipsec-enabler:
http://www.lancom-forum.de/topic,1411,- ... +.....html

Ich hab auch die UMTS-Flat, ohne IPSEc-enabler wird die Verbindung aufgebaut aber du bekommst keine Daten durch den Tunnel, mit enabler geht es ohne Probleme.

Geh doch mal mit internet by call und deinem Notebook ins Netz und bau dann das vpn auf...

[eddia]

Hallo Joe,

Hatte ich meine eigene (PSK-AES-ONLY) eingebastelt (und Gruppe 5), da ich sonst mit der Juniper von Netcologne nicht klarkam. Auch Grund, warum ich im AVC meine etwas spezielle Wahl einstellen musste.

Dann kommt der Juniper offenbar nicht mit dem Angebot von mehreren Proposals klar. Ich kenne das Problem vom FreeSwan - der will auch nur das zuerst angebotene Proposal akzeptieren.

Die Lösung ist eigentlich nur: Entweder feste IPs verwenden und eine eigene Proposalliste für die Gegenstelle verwenden (da dann die Default-IKE-Proposalliste keine Rolle mehr spielt) oder den VPN-Verbindungsaufbau nur vom Lancom aus zuzulassen.

Aber angesichts Deines Logs hast Du ein ganz anderes Problem - der Tunnel wird ja sofort wieder abgebaut. Das hörte sich in Deinem ersten Posting noch ganz anders an...

Gruß

Mario

[joeMJ]

Einen hab' ich noch.

Wieder so ein Thema, was ich mir nicht erklären kann.

Ich hätte auch lieber die Wiz- Prop Liste genommen, wie schon gesagt, die Juniper will damit nicht. Die LinuxFW ontheflyimageinstallation (ist glaub' ich Smoothwall oder IPCop oder so - tolles Ding) bei uns nebenan übrigens auch nicht. Dem ISA2004 oder 'nem Lancom ist's allerdings wurscht. Stelle fest: IKE/IPSEC 1 Proposal ist wesentlich besser und schneller beim Verbindungsaufbau, als die Dinger der Reihe nach durchzurattern.

Dann ist erst mal die Proposalliste unter "Default-IKE-Proposalliste" für Aggressive Mode entscheidend

• Frage: Verständnis -> habe unter //VPN/Parameter Proposal Listen festgelegt. Unter //VPN/Allgemein/Verbindungs- Parameter für jede Verbindung noch einmal selbiges. Kann ich mir irgendwo eine Einrichtung sparen, falls doch unter //VPN/Parameter Proposal Listen eh schon alles steht? Warum muss das nochmal in //VPN/Allgemein/Verbindungs- Parameter stehen bzw. welche greift über der anderen?

Aber angesichts Deines Logs hast Du ein ganz anderes Problem - der Tunnel wird ja sofort wieder abgebaut. Das hörte sich in Deinem ersten Posting noch ganz anders an...

Err - ich hatte manuell abgebaut - nachdem Folgendes im Log ankam:

Code: Alles auswählen

18.12.2005 13:14:35  Endpoint Security: Connect to Server 192.168.10.12
18.12.2005 13:14:37  Endpoint Security: Connect to Server failed
18.12.2005 13:14:42  IPSDIAL  - trennen von joemedia auf Kanal 1.
18.12.2005 13:14:43  IPSDIAL  - disconnected from joemedia on channel 1.

War mir dann irgendwie nach dem 10. Versuch zu blöde.

Geh doch mal mit internet by call und deinem Notebook ins Netz und bau dann das vpn auf...

Bekam die gleiche Fehlermeldung (mit dem Client 1.10 von der CD). Egal ob ich mich beim Freund hinter seiner LC im Netz, bei meinem Nachbarn oder ins WIFI von 2 Straßen weiter einhacke - no chance nach hause zu telefonieren.

Thema hat sich in sofern erledigt, als ich heute abend mal auf die "tolle Idee" gekommen bin, den AVC zu deinstallieren und die LC AVC Version v. LC direkt auf der Seite herunterzuladen.

Resultat: Klappt alles bestens! Über EPlus (internet.eplus.de, die UMTS Flat für 39,95 i.v. mit Time&More 50 - kein TM Web Paket). Die Neuinstallation hatte sich das "Telefonbuch" gemerkt, baute sofort eine Verbindung auf und war drin - ohne irgendwie zu meckern oder zu murren.

Mein AVC auf der CD war dann wohl doch älteres Semester (1.10). Mit der aktuellen klappt's ohne Probleme! Auch mit EPlus. Egal wo ich bin.

Konnte danach (fast) alles erreichen - nur Outlook ging in die Hose -> Programm hatte gemurrt bzw. kam nicht zum Exchange durch (RPC over HTTP). Nachdem ich allerdings die "Stateful Inspection Firewall" im Profil deaktiviert habe, ging auch das.

Alle Netze eingetragen, die ich über VPN erreichen will, Resultat: Perfekt. Ich muss mich um nix mehr kümmern und der Lancom macht den Rest. Klasse das. Habe AVC (1er Lizenz) bei Mindfactory für 76,xx Euro plus ein paar tote plus Versand bestellt. Eigentlich irgendwie richtig komfortabel. Ich bin höchstgradig zufrieden, wenn man das mal so sagen kann. Hoffe nur nicht, dass jetzt, da ich fast nix mehr zum konfigurieren habe, das Thema langweilig wird... Oder gibt's noch was zum konfigurieren? :D

Alle Probleme bis auf eines gelöst:

Abbruch der Verbindung wie oben in Problem 4 beschrieben.

Danke alle!

[backslash]

Hi joeMJ

Frage: Verständnis -> habe unter //VPN/Parameter Proposal Listen festgelegt. Unter //VPN/Allgemein/Verbindungs- Parameter für jede Verbindung noch einmal selbiges. Kann ich mir irgendwo eine Einrichtung sparen, falls doch unter //VPN/Parameter Proposal Listen eh schon alles steht? Warum muss das nochmal in //VPN/Allgemein/Verbindungs- Parameter stehen bzw. welche greift über der anderen?

Unter VPN -> Parameter definierst du die Defaults, die genommen werden, wenn eine Zuordnung (z.B. über die IP-Adresse) nicht möglich ist. Wenn du von beliebigen Adressen kommst, müssen diese verwendet werden.

Unter VPN -> Allgemein -> Verbindungs-Parameter definierst du die Listen, die verwendet werden sollen, wenn die Zuordnung von anfang klar ist, z.B. wenn das LANCOM selbst den Tunnel aufbauen will oder halt die Gegenstelle über einen dynDNS-Namen identifizieren kann...

Gruß
Backslash

[joeMJ]

Dann käme bei mir jeweils nur letzteres in Frage, warscheinlich habe ich auch deswegen obiges in Frage gestellt. So ganz habe ich den "Dynamischen" Teil ja auch noch nicht verstanden (arbeite nicht mit main mode), wohl aber, dass ich jeweils am besten mit FQUN arbeite, bei festen Gegenstellen mit IP. Ich glaube, das ist ein Buch, das man nie zuende lesen kann.

Scherz am Rande: Ich dachte, dass der LC AVC eine 30 Tage Testversion ist? Sitze heute blöd um 11:30 im Büro, konfiguriere mir einen Wolf an der ISA um GRE marschieren zu lassen und da sagt mir dieses Biest, dass der Testzeitraum abgelaufen ist und unternimmt nicht mal den Versuch eines Aufbaus? Ist ja wohl der Hammer. Ich hab' den grad' zwei Tage effektiv genutzt. Gottseidank ist das Paket v. Mindfactory morgen da.

Muss ich dir Rückseite v. Router noch abfotografieren? Wegen Lizenz und so? Könnte ein Problem werden, der klebt nämlich mit Loctite 401 an der Holzplatte neben dem Switch...

[langewiesche]

Bei mir war es der harken ... VPN NAT-T weil Eplus mit ein nat auf ein 10. Netz ... und nur wenn man ipsec freischalten laesst bekommen man eine "echte" wan adresse. Aber mit Nat-t geht ja auch so
ebenfalls online mit EPlus Flat

[joeMJ]

Ja, denke ich auch. Allerdings hat mich ein wenig verwundert, dass es mit 1.10 nicht ging und mit 1.11 wunderbar - gleiche Einstellung.

Übrigens: Paket ist noch nicht da sitze hier immer noch ohne AVC.