[GELÖST]LAN-2-LAN Kopplung (AVM vs. LANcom)

[ecox]

Hallo zusammen,

also ich versuche seit zwei Stunden einen Tunnel zwischen LANcom 1783VAW & FRITZ!Box 7360 herzustellen, jedoch ohne Erfolg, ich habe mittlerweile etliche Anleitungen durch, viele sind einfach nur Müll, deshalb beziehe ich mich hier auf diese Anleitungen:

http://benjaminluebbe.de/pages/it-hilfe ... itzbox.php
http://avm.de/service/vpn/tipps-tricks/ ... -kopplung/

Ich habe jetzt fünf mal diese Anleitungen durchexerziert, ohne Erfolg. Die Geräte wurden zwischendurch auch mal resettet um auf Nummer sicher zu gehen, kein Erfolg.

Wer von euch hat denn eine läuffähige Konfiguration vorliegen? Ich verzweifel hier bald.

Infos:

• Beide Seiten haben ein DynDNS
  Fritzbox = 192.168.30.0/24
  Lancom = 192.168.10.0/24
  Software beidseitig auf dem neusten Stand

Fehler im LANmonitor = Zeitüberschreitung während IKE- oder IPSec-Verhandlung (Aktiver Verbindungsaufbau) [0x1106]


[VPN-Status] 2016/01/25 13:26:34,534
VPN: disconnecting LANCOM (91.6.223.206)

[VPN-Status] 2016/01/25 13:26:34,534
VPN: Error: IFC-I-Connection-timeout-IKE-IPSEC (0x1106) for LANCOM (xx.xx.xx.xx)



Ich hoffe mir kann wer helfen, ich habe wirklich viel im alleingang probiert aber an diesem Thema verzweifel ich, aber es muss gehen, denn Benjamin seine Anleitung nach laufen seine VPNer ja einwandfrei und stabil.

Grüße

ecOx

EDIT:

[RalphT]

Hi,

ich hatte das mal mit einer 3370 eingerichtet. Anfangs war ich da auch etwas am fummeln. Dann gings aber.

Ich weiß ja jetzt nicht, wo es klemmt. Bei mir war eine Schwierigkeit nicht die Lancom, sondern die Konfiguration der Fritzbox. Man musste in CFG-Datei etwas verändern. Die CFG wird ja von einem Programm erzeugt. Jedoch ohne manuelle Anpassung lief es nicht. Der Tunnel wurde nicht aufgebaut.

Vielleicht mal als kleine Hilfe, meine alte CFG-Datei. Wichtige Daten sind da eh nicht drin, ist auch schon alles wieder abgebaut worden.

Hier die Datei:

/*
* C:\Dokumente und Einstellungen\nutzer\Anwendungsdaten\AVM\FRITZ!Fernzugang\zweigstelle_no-ip_com\fritzbox_zweigstelle_no-ip_com.cfg
* Sun Mar 03 09:14:25 2013
*/

vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "Hauptstelle";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "haupstelle.dyndns.org";
localid {
fqdn = "FRITZBOX";
}
remoteid {
fqdn = "ZWEIGSTELLE";
}
mode = phase1_mode_idp;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "37Ud0V77Vs7Uk0";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.28.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.12.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.12.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

[ecox]

Hallo Ralph,

also meine CFG sieht bis auf die "variablen" genau so aus. Ich habe auch schon etliche Einstellungen probiert, es bringt alles nichts, hat wer ein Beispiel anhand der aktuellen LCOS? Das mein LANCOM unter

Grüße

P.S.: Ich probiere jetzt seit vier Stunden, ich werde mich dem Thema heute Abend nochmal annehmen
Trotzdem schön wenn ein wenig Fritzbox vs. LANCom know-how einfließt

[RalphT]

Ich habe noch die Sicherung vom Router 1811 rumliegen. Ich sichere die mal zurück und sehe im Router nach, was dort für Einstellungen waren.

[DGrand]

Hallo eCox,
Hab seit Monaten stabil eine Verbindung zwischen FB 7490 und LC1781VA

Als dyndns Dienste jeweils myfritz auf der einen und selfhost auf der anderen Seite genutz.

Kann Dir heute Abend mal meine Konfigs zum Vergleich per PN schicken.

Machbar ist es auf jedenfalls.

Stelle aber zuerst sicher, das die beiden Router zuverlässig per dyndns erreichbar sind um eine grundsätzliche Fehlerquelle auszuschließen.

Gruß

Daniel

[ecox]

Stelle aber zuerst sicher, das die beiden Router zuverlässig per dyndns erreichbar sind um eine grundsätzliche Fehlerquelle auszuschließen.

Hallo, wäre Super wenn du die Configs mal zukommen lassen kannst.

LANcom sowie Fritte habe beide SPDNS als DynDNS und sind auch problemlos erreichbar. Die Updates in die Datenbank von SPDNS laufen sehr schnell (bei Trennung Internet).

Bin leider nicht mehr zum testen gekommen.

Grüße

[cpuprofi]

...Wer von euch hat denn eine läuffähige Konfiguration vorliegen?...

Ich.

...Ich verzweifel hier bald...

Das kann passieren...

...ich habe wirklich viel im alleingang probiert aber an diesem Thema verzweifel ich...

Wie schon gesagt, auch das kann passieren...

...aber es muss gehen, denn Benjamin seine Anleitung nach laufen seine VPNer ja einwandfrei und stabil...

Geht auch.

Grüße
Cpuprofi

[ecox]

Hallo,

aus mir unerklärlichen Gründen, läuft es jetzt. Ich arbeite gerade die *.cfg und *.lcs auf, sodass ich dann alles zur Verfügung stellen werde...

Danke für die Hilfe

Grüße

[ecox]

...aufgrund von schlechtem feedback und einer unsicheren konfiguration habe ich das hier entfernt...benutzt das tool das dr. einstein unten verlinkt hat...

[Jirka]

Hallo ecox,

würde ich mich über Feedback freuen.

hier hast Du es:

Die Darbietungsform der Dateien zum Download ist unter aller Sau. Ein Normaluser, der keinen Uploaded.net-Account hat, lädt die zweite Datei nach 3 Stunden runter. Dazu kommt jede Menge Werbung und 30 Sekunden Wartezeit (pro Datei). Es ist mir unverständlich, wie man sowas hier anbieten kann.

Ach ja und inhaltlich ist das Ding auch nur halbherzig, weil hier nur der unsichere Aggressive-Mode verwendet wird, statt der sichere Main-Mode.

Deine positive Absicht in allen Ehren, aber das Ergebnis ist nicht zu gebrauchen.

Viele Grüße,
Jirka

[Dr.Einstein]

Find's eigentlich schade, dass nicht auf das Tool http://www.lancom-forum.de/lancom-faq-f ... 11439.html verwiesen wird. Er hat sich bestimmt viel Arbeit gemacht.

Gruß Dr.Einstein

[ecox]

Er hat sich bestimmt viel Arbeit gemacht.

Hey Dr.,

ich habe es mit dem Tool mehrfach versucht, jedoch kein Erfolg gehabt. Viel falsch eingeben kann man dort ja auch nicht aber es kam zu keinem Aufbau des Tunnelsl...

Grüße

[ecox]

Ach ja und inhaltlich ist das Ding auch nur halbherzig, weil hier nur der unsichere Aggressive-Mode verwendet wird, statt der sichere Main-Mode.

Deine positive Absicht in allen Ehren, aber das Ergebnis ist nicht zu gebrauchen.

Hallo Jirka,

dann lass uns doch an deiner DynDNS Lösung im MainMode teilhaben, ich bin ganz Ohr ? Wäre mir neu das das laufen wird. Nicht jeder kommt in den Luxus only mit festen IPs zu arbeiten

Grüße

[Dr.Einstein]

Hallo,

hau

Code: Alles auswählen

mode = phase1_mode_idp;

statt aggressive rein und es sollte gehen. Main Mode IKEv1 setzt die Identifizierung beider seiten voraus. D.h. beide feste IP, beide DynDNS oder Mischmasch. Alternativ gleich mit Zertifikaten, was ich aber bei einer Fritzbox noch nie gemacht habe.

Gruß Dr.Einstein

[ecox]

Code: Alles auswählen

mode = phase1_mode_idp;

Hat super geklappt, danke Dr.

Es besteht aktuell aber immer noch ein Problem, nach der Zwangstrennung baut weder LANcom noch FRITZ!box eine neue Verbindung aug, egal wie rum ich die Haltezeiten einstelle, irgendwie komisch. Nach der Zwangstrennung versucht die Box im "always_renew=yes" Modus gar nicht meinen LANcom zu erreichen, jedenfalls ist im VPN-St Trace nichts zu erkennen. Nehme ich den LANcom auf 9999, bekommt er keine Verbindung zur Box aufgebaut "Zeitüberschreitung während IKE- oder IPSec-Verhandlung (Aktiver Verbindungsaufbau) [0x1106]". Nur wenn ich die CFG neu in die Fritte lade, baut der Tunnel direkt auf, sofort um genau zu sein...

Daran knabber ich gerade noch falls wer Ideen hat, dann bitte her damit es ist absolut nicht möglich das der LANcom die Verbindung aufbaut. Mit always_renew = no. Klappt es absolut nicht wenn der LANcom 9999 macht

Grüße