Liebe Mitleser,
ich habe hier einen Lancom 1781A, der VPN-Server für fünf Aussenstationen ist. Diese sind mit Tainy-GPRS-Routern ausgestattet. Diese Konstellation lief 2 Jahre mit folgenden Einstellungen unter:
VPN -> Defaults:
Default IKE-Proposal-Liste: IKE-PRESH-KEY
Default IKE-Guppe: 5(MODP-1536)
Nun sollte ein Advanced VPN-Client angebunden werden. 25 VPN-Option ist installiert.
Ich bekomme den Advanced VPN nur zum Laufen, wenn ich die Default IKE-Guppe auf 2(MODP-1024) stelle.
Die Aussenstationen umzustellen wäre ein riesen Aufwand. Kann ich die IKE-Gruppe 5 nicht irgendwo im Lancom für die Aussenstationen hinterlegen, so dass ich für die Advanced VPN-Tunnel die Default IKE-Guppe auf 2 stehen lassen kann?
Gruß,
Aksels
Aussenstationen mit VPN und Advanced VPN
Moderator: Lancom-Systems Moderatoren
Re: Aussenstationen mit VPN und Advanced VPN
Hi,
Sowohl das LCOS als auch der Advanved VPN Client unterstützen die IKE-Gruppe 5.
Kannst du bitte einen VPN-Status-Trace vom fehlschlagenden Gruppe 5 Aufbau posten?
Am besten auch einen Log des Advanced Clients. (Hilfe->Logbuch)
Das mit dem Hinterlegen hängt davon ab ob die Aussenstelle oder die Zentrale aufbaut und wer welche WAN Situation hat (Feste IP, zufällige IP, hinter einem Nat usw).
Wenn du z.b. dem Rechner mit dem Advanced Client bzw dessen Router eine DNS-Addresse verabereichst kannst du ganz normal über mainmode von der Zentrale zur "Filiale" die Verbindung aufbauen.
Aber vorher erstmal das mit der Gruppe untersuchen.
Gruß
Sowohl das LCOS als auch der Advanved VPN Client unterstützen die IKE-Gruppe 5.
Kannst du bitte einen VPN-Status-Trace vom fehlschlagenden Gruppe 5 Aufbau posten?
Am besten auch einen Log des Advanced Clients. (Hilfe->Logbuch)
Das mit dem Hinterlegen hängt davon ab ob die Aussenstelle oder die Zentrale aufbaut und wer welche WAN Situation hat (Feste IP, zufällige IP, hinter einem Nat usw).
Wenn du z.b. dem Rechner mit dem Advanced Client bzw dessen Router eine DNS-Addresse verabereichst kannst du ganz normal über mainmode von der Zentrale zur "Filiale" die Verbindung aufbauen.
Aber vorher erstmal das mit der Gruppe untersuchen.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Re: Aussenstationen mit VPN und Advanced VPN
Die externen Stationen in Wald und Feld haben GPRS mit dynamischer IP. Die Verbindung wird von diesen aktiv im Aggressive Mode zum Lancom aufgebaut, den auch der Adv.-VPN Client verwendet.
Ich habe mir die INI-Dateien mal angeschaut, die der Advanced VPN-Client Wizard erstellt.
Dort steht grundsätzlich IkeDhGroup=2 drin, egal was unter VPN-Defaults im Router steht.
Die Einstellung im Advanced VPN-Client habe ich inzwischen auch gefunden und von Hand umgestellt.
Im Lancom Router kann man diese Einstellung nicht bei einem einzelnen Client hinterlegen(zumindest habe ich keine Möglichkeit gefunden), es wird für alle VPNs die Einstellung in VPN -> Defaults genommen. Kann das jemand bestätigen?
Nur auf dem Laptop den ich bereits ausgeliefert habe muss ich diese Einstellung jetzt noch anpassen lassen, dann ist alles wieder in Butter.
Schön wäre dennoch, wenn der A.-VPN Wizard die Default Einstellungen beachten würde bei der Erstellung der INI-Datei.
Aksels
Ich habe mir die INI-Dateien mal angeschaut, die der Advanced VPN-Client Wizard erstellt.
Dort steht grundsätzlich IkeDhGroup=2 drin, egal was unter VPN-Defaults im Router steht.
Die Einstellung im Advanced VPN-Client habe ich inzwischen auch gefunden und von Hand umgestellt.
Im Lancom Router kann man diese Einstellung nicht bei einem einzelnen Client hinterlegen(zumindest habe ich keine Möglichkeit gefunden), es wird für alle VPNs die Einstellung in VPN -> Defaults genommen. Kann das jemand bestätigen?
Nur auf dem Laptop den ich bereits ausgeliefert habe muss ich diese Einstellung jetzt noch anpassen lassen, dann ist alles wieder in Butter.
Schön wäre dennoch, wenn der A.-VPN Wizard die Default Einstellungen beachten würde bei der Erstellung der INI-Datei.
Aksels
Re: Aussenstationen mit VPN und Advanced VPN
Hi,
Die Default IKE Gruppen(VPN/MainMode-IKE-Group-Default & QuickMode-PFS-Group-Default & AggrMode-IKE-Group-Default) gelten nur für die eingehenden Verbindungen welche nicht direkt per IP mit einer Gegenstelle (VPN-Peer) verknüpft werden können. Wie z.b. deinen Mobilfunk Geräten, da diese mit einer "zufälligen" IP anfragen, daher auch der Default-Fall.
Alle ausgehenden Verbindungsaufbauversuche sowie alle eingehenden mit einer dem System vorher bekannten IP (VPN-Peer/Gateway-Address) werden über die VPN/Layer Tabelle geregelt. Auf diese wird in der VPN-Peerliste unter Layer verwiesen.
Alles zu den Menüpunkten kannst du unter http://www.lancom-systems.de/download/d ... 900-EN.pdf nachlesen.
Schau dir am besten an 2.19.7 an. Allgemein beschreibt 2.19 alle Möglichkeiten der Einstellung für IPSEC+IKEv1.
Zur Einstellung der Gruppe im Advanced VPN Client kannst du im Profil unter IPSEC-Einstellungen->Editor->***Verwendete IKE-Richtlinie***->DH-Gruppe eine Gruppe einstellen
Das mit dem Wizard-Wunsch geb ich dennoch gerne für dich weiter, da der nicht meine Baustelle ist.
Gruß
P.S.:
Du kannst auch von Lancom zu Lancom auch mit Dynamic VPN vorher deine IP ankündigen. Somit kannst du auch in solche Szenarien direkt zum Start der Verhandlung die selben Vorteile nutzen wie bei einer vorher bekannten Gateway-Addresse.
Die Default IKE Gruppen(VPN/MainMode-IKE-Group-Default & QuickMode-PFS-Group-Default & AggrMode-IKE-Group-Default) gelten nur für die eingehenden Verbindungen welche nicht direkt per IP mit einer Gegenstelle (VPN-Peer) verknüpft werden können. Wie z.b. deinen Mobilfunk Geräten, da diese mit einer "zufälligen" IP anfragen, daher auch der Default-Fall.
Alle ausgehenden Verbindungsaufbauversuche sowie alle eingehenden mit einer dem System vorher bekannten IP (VPN-Peer/Gateway-Address) werden über die VPN/Layer Tabelle geregelt. Auf diese wird in der VPN-Peerliste unter Layer verwiesen.
Alles zu den Menüpunkten kannst du unter http://www.lancom-systems.de/download/d ... 900-EN.pdf nachlesen.
Schau dir am besten an 2.19.7 an. Allgemein beschreibt 2.19 alle Möglichkeiten der Einstellung für IPSEC+IKEv1.
ich schätze du meinst damit folgendes:Die Einstellung im Advanced VPN-Client habe ich inzwischen auch gefunden und von Hand umgestellt.
Zur Einstellung der Gruppe im Advanced VPN Client kannst du im Profil unter IPSEC-Einstellungen->Editor->***Verwendete IKE-Richtlinie***->DH-Gruppe eine Gruppe einstellen
Das mit dem Wizard-Wunsch geb ich dennoch gerne für dich weiter, da der nicht meine Baustelle ist.
Gruß
P.S.:
Du kannst auch von Lancom zu Lancom auch mit Dynamic VPN vorher deine IP ankündigen. Somit kannst du auch in solche Szenarien direkt zum Start der Verhandlung die selben Vorteile nutzen wie bei einer vorher bekannten Gateway-Addresse.
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.