Einwahl über VPN Client scheitert

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
w.blecker
Beiträge: 27
Registriert: 10 Feb 2014, 14:43

Einwahl über VPN Client scheitert

Beitrag von w.blecker »

Seit gegrüßt :)

Ich habe hier eine etwas ungewöhnliches konstellation mit komischen effekten...

Eine Lancom VPN Gateway 7100+ und mehrere kleiner Lancom Router meiste 17xx und ein paar 883+. Die bauen alle eine Site2Site Verbindung IkeV2 zu dem Gateway auf zwecks Wartung/Monitoring und kommunikation mit dem zentralen WLAN Controller.
Auf den Routern gibt es in der regel eine Internes Netz und ein Gastnetz. Die beiden werden über vlan getrennt und per wlan ausgestrahlt.
Das Gastnetz ist ein getrenntes Netz was den lokalen Router zum Internetzugang nutzt genauso wie der Router auch DHCP und DNS zur verfügung stellt.
Das ganze funktioniert auch problemlos. Jetzt passiert aber folgendes: Es sind viele Notebooks im Umlauf die sich gelegentlich an diesem Gastnetz anmelden. Die Leute arbeiten mal vom Standort aus und mal von zu Hause. Dafür sind VPN Clients von Lancom installiert mit entsprechendem Zugang. Von anderen Netzen funktioniert das auch perfekt nur aus dem Gastnetz nicht. Da beschwert sich der Client das Passwort für die VPN Einwahl wäre falsch (IKEV2). Wie gesagt, nimmt er das Notebook mit nach Hause und meldet sich von da an ist das Passwort wieder plötzlich wieder richtig.
Das ganze tritt auch nicht bei allen auf, bei machen Aussenstellen geht es, bei anderen wieder nicht ..
VPN Endpunkt ist immer der Lancom7100+

Hat jemand eine Idee von was sowas kommt?
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: Einwahl über VPN Client scheitert

Beitrag von tstimper »

w.blecker hat geschrieben: 02 Mär 2023, 09:50 Seit gegrüßt :)

Ich habe hier eine etwas ungewöhnliches konstellation mit komischen effekten...

Das ganze tritt auch nicht bei allen auf, bei machen Aussenstellen geht es, bei anderen wieder nicht ..
VPN Endpunkt ist immer der Lancom7100+

Hat jemand eine Idee von was sowas kommt?
Ich kenne das Problem. Wenn ein Client sich aus einem Filial Gast WLAN auf ein zentrales VPN Gateway, zu dem aus Flilial Netz auch eine S2S VPN Verbindung zur Zentrale gibt, auf dieselbe Public IP einwählen möchte, schlägt das (fast zu 99% ) fehl.
Ich hatte auch mal Situationen, wo es funktionierte, reproduzierbar war das nicht.

Vermutlich muss man für solche Fälle am zentrahlen VPN Gateway eine weitere Public IP haben.
Da wo wir auf unserem 7100+ ein ganzes x er Public Netz haben, nemhen wir für VPN Clients eine IP, die sich von der S2S IP unterscheidet.

Die Einwahl mit VPN Clients aus Netzen, die nicht schon irgendwie per S2S VPN angebunden sing, funktioniert immer.

Vermutlich weis der 7100+ nicht, wo er die Antwort hinschicken soll oder er verwechselt die C2S Einwahl mit der S2S Einwahl.

Warum das so ist, darüber habe ich noch nicht weiter nachgedacht.

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
w.blecker
Beiträge: 27
Registriert: 10 Feb 2014, 14:43

Re: Einwahl über VPN Client scheitert

Beitrag von w.blecker »

Das ist doch schon mal eine Aussage ich bin also nicht zu doof :-) Vielleicht sollte man das mal an LANCOM weiterleiten was die dazu sagen .. evtl gibt es ja ein Workaround ..
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Einwahl über VPN Client scheitert

Beitrag von Jirka »

Das Verhalten ist normal und liegt darin begründet, dass sowohl VPN-Client als auch der davor befindliche Router für die Site-to-Site-VPN sich bei der anderen Seite (hier also der Zentrale mit dem 7100+) mit der gleichen IP-Adresse melden und die andere Seite die Anfragen nicht unterscheiden kann. Wer damit nicht leben kann oder will, muss VPN-Verbindungen mit Zertifikaten einsetzen, da damit eine Unterscheidung gewährleistet ist.
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: Einwahl über VPN Client scheitert

Beitrag von Dr.Einstein »

Jirka hat geschrieben: 04 Mär 2023, 13:34 Das Verhalten ist normal und liegt darin begründet, dass sowohl VPN-Client als auch der davor befindliche Router für die Site-to-Site-VPN sich bei der anderen Seite (hier also der Zentrale mit dem 7100+) mit der gleichen IP-Adresse melden und die andere Seite die Anfragen nicht unterscheiden kann. Wer damit nicht leben kann oder will, muss VPN-Verbindungen mit Zertifikaten einsetzen, da damit eine Unterscheidung gewährleistet ist.
Die Aussage ist so nicht korrekt. Früher hat Lancom mit der LMC zur Segmentierung extra mehrere Tunnel zwischen ein und den selben IP-Adressen aufgebaut, IKEv2-PSK. Dafür hat Lancom sogar die Lizensierung verändert, dass Tunnel zur selben IP nur 1x zählen und nicht x-Mal. Seit dem Feature, Rtg-Tags proprietär innerhalb eines IKEv2 Tunnel zu übermitteln, wird die alte Variante von der LMC nicht verwendet. Funktionieren würde es aber weiterhin.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Einwahl über VPN Client scheitert

Beitrag von backslash »

Hi Jirka,

am Ende haben beide recht... Bei IKEv1 funktioniert das Szenario nur mit Zertifikaten, bei IKEv2 sollte das auch mit preshared Keys gehen - wichtig dabei ist, daß der Client auch eine echte Identität übertmittelt (FQUDN/Email-Adresse) statt nur seiner IP-Adresse. Und dazu muß es natürlich auch de DEFAULT-Eintrag in der IKEv2-Verbindungsliste aktiv sein.

Und auch tsimper liegt nicht ganz falsch, wenn er sagt, daß dem Client eine IP zugewiesen werden sollte, die sich nicht im LAN befindet, denn sonst bekommt der Client u.U. ein Problem das Gateway zu finden (bzw. sägt an dem Ast, auf dem er sitzt) - aber dann bricht die Verhandlung mit einem Timeout ab und nicht mit einer Meldung über ein falsches Paßwort.

Ansonsten könnte ich mir noch ein Problem mit "Hair-Pin-NAT" vorstellen - da wurde ist seit der 10.42 das eine oder andere Überarbeitet. Aber auch das würde eher zu einem Timeout führen als zu einer Paßwort-Meldung.

Letztendlich kenne ich mich nur unzureichend in den Interna des IKEs aus, um hier wirklich eine tragfähige Aussage machen zu können

Gruß
Backslash
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: Einwahl über VPN Client scheitert

Beitrag von tstimper »

backslash hat geschrieben: 06 Mär 2023, 16:36
am Ende haben beide recht... Bei IKEv1 funktioniert das Szenario nur mit Zertifikaten, bei IKEv2 sollte das auch mit preshared Keys gehen - wichtig dabei ist, daß der Client auch eine echte Identität übertmittelt (FQUDN/Email-Adresse) statt nur seiner IP-Adresse. Und dazu muß es natürlich auch de DEFAULT-Eintrag in der IKEv2-Verbindungsliste aktiv sein.

Und auch tsimper liegt nicht ganz falsch, wenn er sagt, daß dem Client eine IP zugewiesen werden sollte, die sich nicht im LAN befindet, denn sonst bekommt der Client u.U. ein Problem das Gateway zu finden (bzw. sägt an dem Ast, auf dem er sitzt) - aber dann bricht die Verhandlung mit einem Timeout ab und nicht mit einer Meldung über ein falsches Paßwort.

Gruß
Backslash
Folgendes Setup:

- VPN IKEv2 S2S mit preshared Keys und echter Identität (FQUDN/Email-Adresse) vom Wartungsnetz zu einer unserer Public IPs
- VPN IKEv2 C2S mit preshared Keys und echter Identität (FQUDN/Email-Adresse) zur selben Public IP

Wenn ich mich mit diesem Client, der eine IKEv2 Einwahl ais einen WLAN "hinter" dem Wartungsrouter des Kunden versuche bei uns einzuwählen,
schlägt das feht, es kommt keine Verbindung zustande. Eine Enwahl auf anderer Public IPs funktioniert immer.
Es sieht so aus, als ob LCOS, nachdem es einen weiteren Verbindungsaufbau voin derselben IP sieht, nicht nochmal in die Identitäts Liste schaut,
um festzustellen, das sich jemand anderes einwählt.

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Einwahl über VPN Client scheitert

Beitrag von Jirka »

Ok, danke Backslash, (als Antwort auf Deinen letzten Satz:) aber Deine Angaben haben gereicht, um hier Klarheit reinzubringen. Und wenn man die angesprochenen Punkte überprüft, sollte das also hinzubekommen sein, wie ich finde.

Also, w.blecker, ich würde als erstes die Site-to-Site-VPN-Verbindungen bezüglich der SAs, also der Netzbeziehungen überprüfen. Dazu show vpn auf der Konsole eingeben und schauen, ob für die Site-to-Site-VPNs auf beiden Seiten jeweils nur das Intranet aufgenommen wurde in die Netzbeziehungen, letztlich also Intranet Zentrale zu Intranet Filiale und eben keinesfalls das Gastnetz. Anschließend den DEFAULT-Eintrag in der IKEv2-Verbindungsliste prüfen. Und dann noch die Firmware-Version, die 10.42.1037-SU10 ist sicherlich empfehlenswert für den 7100+. Wenn all das sauber geprüft wurde, dann würde ich als letztes mal einen Trace machen auf dem 7100+, um genauer zu sehen, was ihm nicht gefällt. Schöner wäre es allerdings, wenn man den Trace nicht braucht. In der Praxis stelle ich immer wieder fest, dass die Trennung von Gastnetzen und die VPN-Netzbeziehungen nicht sauber konfiguriert sind, vielleicht ist das hier auch so. Ein guter Grund, das mal in Ordnung zu bringen.
w.blecker
Beiträge: 27
Registriert: 10 Feb 2014, 14:43

Re: Einwahl über VPN Client scheitert

Beitrag von w.blecker »

Das mit den SA wäre natürlich eine Möglichkeit da bei den IkeV2 mit SA garnichts konfiguriert wurde. Bei IkeV1 musste man ja über Regeln definieren welche Netze durch den Tunnel sollen (Außer die direkt angeschlossenen) , bei IkeV2 lässt er ja standardgemäss alles durch.

Die Frage ist wie schliesse ich denn das Gastnetz aus den SA aus ?
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Einwahl über VPN Client scheitert

Beitrag von Jirka »

Hast Du denn mal ein show vpn gemacht und ausgewertet?
Man kann auch Filtern, falls es wirklich viele VPNs sind: show vpn @ Filiale1
wenn die VPN-Verbindung Filiale1 heißt.

Wie man das Gastnetz aus den SAs ausschließt, lässt sich nicht in einem Satz sagen, das hängt davon ab, was in den VPNs eingestellt ist. Grundsätzlich unterscheidet man auch bei IKEv2 zwischen manueller und automatischer Regelerzeugung. Bei manueller Regelerzeugung solltest Du einfach nur eine passende IPv4-Regel erstellen und zuordnen. Bei automatischer Regelerzeugung solltest Du sichergehen, dass Gastnetz und Intranet durch ein unterschiedliches Schnittstellen-Tag voneinander getrennt sind und dann die Routen zu den Netzen der VPNs somit nur für das Intranet erreichbar sind. Dann funktioniert alles weitere ganz von alleine.
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Einwahl über VPN Client scheitert

Beitrag von GrandDixence »

Jirka hat geschrieben: 08 Mär 2023, 17:45Grundsätzlich unterscheidet man auch bei IKEv2 zwischen manueller und automatischer Regelerzeugung.
Wenn ich die Beiträge unter:
fragen-zum-thema-vpn-f14/site2site-vpn- ... 19785.html
korrekt verstanden habe, unterstützt LCOS in neueren Versionen nur noch die manuelle Regelerzeugung.

Für die manuelle Regelerzeugung siehe die Hinweise unter:
fragen-zum-thema-vpn-f14/sitetosite-vpn ... tml#p91268

fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
zu:

Setup/VPN/Netzwerkregeln/IPv4-Regeln

Ein VPN-Tunnel mit IKEv2/IPSec läuft auf OSI-Layer 3, was bedeutet, dass jedes durch den VPN-Tunnel wanderndes (reguläres IP-)Datenpaket im LANCOM-Router beim IP-Routermodul vorbeikommt. Mit der Routingtabelle und den Firewallregeln kann man somit den durch den VPN-Tunnel laufenden Datenverkehr sehr präzise steuern. Siehe dazu:
fragen-zum-thema-firewall-f15/schulnetz ... 18890.html

fragen-zum-thema-firewall-f15/portscans ... ml#p104492

Die aktuelle Routingtabelle kann wie folgt eingesehen werden:
fragen-zum-thema-vpn-f14/verstaendnissf ... ml#p102823
Die Frage ist wie schliesse ich denn das Gastnetz aus den SA aus ?
Weiter kann der Datenverkehr durch den VPN-Tunnel mit der Security Association (SA) gefiltert werden. Siehe dazu:
fragen-zum-thema-vpn-f14/frage-zu-vorde ... 17087.html

fragen-zum-thema-vpn-f14/ich-komme-hier ... tml#p96922

Mit der manuellen Regelerzeugung wird die Security Association (SA) konfiguriert. Einfach den IP-Adressbereich des Gastnetz in der Security Association (SA) ausklammern und damit können keine IP-Datenpakete vom oder zum Gastnetz mehr durch den VPN-Tunnel wandern. Security Association (SA) wirkt wie ein Türsteher vor dem Eingang ins Partylokal. Hier steht der Türsteher halt vor dem VPN-Tunneleingang und kontrolliert die Herkunfts- und Ziel-IP-Adresse (inklusive Portnummer) aller durch den VPN-Tunnel wandernden IP-Datenpakete.

Der Fernzugriff auf Firmennetzwerke sollte heute (aus vertrauenswürdigen Netzwerke) per IKEv2/IPSEC-VPN-Tunnel mit "Split-Tunneling" in Kombination mit "Split-DNS" erfolgen. Siehe dazu:
alles-zum-lancom-advanced-vpn-client-f3 ... ml#p112276
Antworten