Erstmal einen freundlichen guten Abend an alle!
Ich bin - was Lancom-Router und VPN betrifft - noch ein ziemlicher Neuling. Habe bisher nur mit Astaro-Geräten bzw. OpenVPN zutun gehabt.
Ein neuer Kunde von mir hat allerdings einen Lancom 1721+ VPN im Einsatz. Nun soll eine kleine Zweigstelle in einer anderen Stadt eröffnet werden, wo bereits ein 1711+ VPN steht.
Auf die Gefahr hin, dass ich nicht der Erste bin, der diese Probleme hier äußert: Ich kriege es nicht hin.
Zur Konfiguration: Standort A verfügt über den 1721+ VPN, der eigenständig eine PPTP-Verbindung aufbaut (Vodafone DSL 6000). Feste IP ist vorhanden.
Standort B (neue Zweigstelle) hat keine feste IP, ist aber ebenfalls über Vodafon DSL 6000 (separates Modem) angebunden.
Eigentlich keine ungünstige Ausgangslage, oder?
Jedenfalls habe ich jetzt an beiden Standorten den VPN-Assistenten ("Zwei lokale Netze verbinden") ausgeführt. Bei Standort A habe ich Gegenstelle mit dynamischer IP eingestellt, bei Standort B Gegenstelle mit fester IP. Alles erstmal ohne Zertifikate, Verbindung dauerhaft halten.
Bei Standort A erhalte ich jetzt:
"Kein Übertragungskanal verfügbar (Initiator) 0x1102"
bei Standort B:
"Keine Route zum entfernten Gateway (Initiator) 0x1103"
Was ich noch nicht durchschaue: Wer initiiert denn eigentlich die Verbindung? Eigentlich müßte das doch der Host mit der dynamischen IP machen? Dem ist ja die IP des Standorts A als Gateway bekannt. Warum beschwert er sich, dass keine Route vorhanden ist?
Ich wäre sehr erfreut, wenn mir jemand einen Tipp geben könnte, was ich hier vielleicht falsch mache. Ich nehme an, es ist doch nicht so einfach, wie die assistentenbasierte Einrichtung vermuten läßt.
Achso, das Polling habe ich gemäß Lancom-Anleitung ebenfalls an beiden Standorten eingerichtet...
Viele Grüße und Dank im Voraus!
Sebastian
LAN-2-LAN 1721+ VPN <-> 1711+ VPN
Moderator: Lancom-Systems Moderatoren
hallo sevens
0 = Baut bei Anfrage an das entfernte Netz aktiv auf aber nicht wieder ab , wenn eine Trennung erfolgt wird nicht wieder aufgebaut.
300 = Baut bei Anfrage an das entfernte Netz aktiv auf und nach der Eingestellten Zeit inaktiv (hier 300 sek.) wieder ab , wenn eine Trennung erfolgt wird nicht wieder aufgebaut .
9999 = Baut aktiv auf, wenn eine Trennung erfolgt wird wieder aufgebaut.
Auch brauchst Du kein extra Polling einrichten, einfach nur unter
VPN/Allgemein NAT anschalten und am Aufbauenden Router wo in der VPN Verbindung 9999 drin ist unter Allgemein auf "Gemeinsam für KeepAlive" umstellen
Kannst Du aus dem Internet gesehen beide Router erreichen ?
Melde Dich , viel Spaß ....
Eigendlich können beide Aufbauen die Werte haben folgende Bedeutung:Was ich noch nicht durchschaue: Wer initiiert denn eigentlich die Verbindung? Eigentlich müßte das doch der Host mit der dynamischen IP machen? Dem ist ja die IP des Standorts A als Gateway bekannt. Warum beschwert er sich, dass keine Route vorhanden ist?
0 = Baut bei Anfrage an das entfernte Netz aktiv auf aber nicht wieder ab , wenn eine Trennung erfolgt wird nicht wieder aufgebaut.
300 = Baut bei Anfrage an das entfernte Netz aktiv auf und nach der Eingestellten Zeit inaktiv (hier 300 sek.) wieder ab , wenn eine Trennung erfolgt wird nicht wieder aufgebaut .
9999 = Baut aktiv auf, wenn eine Trennung erfolgt wird wieder aufgebaut.
bei Standort B:
"Keine Route zum entfernten Gateway (Initiator) 0x1103"
Auch brauchst Du kein extra Polling einrichten, einfach nur unter
VPN/Allgemein NAT anschalten und am Aufbauenden Router wo in der VPN Verbindung 9999 drin ist unter Allgemein auf "Gemeinsam für KeepAlive" umstellen
Kannst Du aus dem Internet gesehen beide Router erreichen ?
Melde Dich , viel Spaß ....
Vielen Dank für die schnelle Antwort!
Beste Grüße,
Sebastian
Wo genau finde ich diese Werte?ft2002 hat geschrieben:Eigendlich können beide Aufbauen die Werte haben folgende Bedeutung:
0 = Baut bei Anfrage an das entfernte Netz aktiv auf aber nicht wieder ab , wenn eine Trennung erfolgt wird nicht wieder aufgebaut.
300 = Baut bei Anfrage an das entfernte Netz aktiv auf und nach der Eingestellten Zeit inaktiv (hier 300 sek.) wieder ab , wenn eine Trennung erfolgt wird nicht wieder aufgebaut .
9999 = Baut aktiv auf, wenn eine Trennung erfolgt wird wieder aufgebaut.
Das ist wohl die entscheidende Frage. Im Moment (Testbetrieb) hängt der Lancom 1711+ am Standort B noch hinter einer FritzBox. Da wird wahrscheinlich das Problem liegen. D. h. ich müßte in der FritzBox ein Port Forwarding einrichten. Welchen Port verwenden die Lancom-Router üblicherweise für ihr Site-to-Site VPN?Kannst Du aus dem Internet gesehen beide Router erreichen?
Beste Grüße,
Sebastian
Hallo Sevens,
na kommen da noch mehr Leichen aus dem Keller
Erkläre doch bitte mal genau den Aufbau und warum kannst Du nicht den Lancom per Modem an Start bringen !
Dein Aufbau ist Extrem wichtig für die Einstellungen an den Routern da bei der Aushandlung des VPN Werte von der WAN-Seite abgefragt werden und die müssen stimmen. Dies ist nicht gegeben wenn der 1711 hinter einer FritzBox hängt.
In Deiner Konstelation hast Du den 1711 einfach an die FritzBox gehängt. Ich gehe davon aus das es keinen WAN.Port am 1711 gibt. Somit gibt es auch keine Default Router wo der VPN-Tunnel dann weis wo er raus soll.
Es wäre besser Du baust das so auf wie es später sein soll.
Kannst Du den 1721 vom Internet aus erreichen ?
Die Werte kannst Du im CM unter:
VPN/Allgemein/Verbindungsliste in der jeweiligen VPN-Verbindung die Haltezeit
Bis gleich....
na kommen da noch mehr Leichen aus dem Keller
Erkläre doch bitte mal genau den Aufbau und warum kannst Du nicht den Lancom per Modem an Start bringen !
Dein Aufbau ist Extrem wichtig für die Einstellungen an den Routern da bei der Aushandlung des VPN Werte von der WAN-Seite abgefragt werden und die müssen stimmen. Dies ist nicht gegeben wenn der 1711 hinter einer FritzBox hängt.
In Deiner Konstelation hast Du den 1711 einfach an die FritzBox gehängt. Ich gehe davon aus das es keinen WAN.Port am 1711 gibt. Somit gibt es auch keine Default Router wo der VPN-Tunnel dann weis wo er raus soll.
Es wäre besser Du baust das so auf wie es später sein soll.
Kannst Du den 1721 vom Internet aus erreichen ?
Die Werte kannst Du im CM unter:
VPN/Allgemein/Verbindungsliste in der jeweiligen VPN-Verbindung die Haltezeit
Bis gleich....
Ok, ich sehe schon: Ich werde das unter Echt-Bedingungen testen müssen. Im Moment habe ich den 1711+ in meinem Büro hinter der FritzBox ganz einfach ins Netz gehängt (normale ETH1-Schnittstelle), um das Ganze zu testen. Er soll ab Dienstag in Berlin als Router und VPN-Brücke zum Einsatz kommen.
Ich werde ihn morgen mal direkt über den WAN-Port mit meinem (Kabel-)Modem verbinden und schauen, was passiert.
Der 1721+ ist bereits an seinem vorgesehenen Standort und dort auch über eine feste IP definitiv erreichbar.
Bis gleich
Ich werde ihn morgen mal direkt über den WAN-Port mit meinem (Kabel-)Modem verbinden und schauen, was passiert.
Der 1721+ ist bereits an seinem vorgesehenen Standort und dort auch über eine feste IP definitiv erreichbar.
Bis gleich
Hallo Sevens,
Du kannst auch den 1771 an der FritzBox betreiben , nur Du musst dann einen WAN Port definieren und im 1711 was Umstellen das der Tunnel funktioniert.
Per CM-Wizard ein DSL am ETH-1 per IPoE einrichten. (An ETH-1 die FritzBox hängen !)
Somit hast Du eine Default Route im 1711 (brauchst Du später nur per CM-Wizard mit dem dann Richtigen Einstellungen überschreiben....)
Jetzt musst DU im 1721 und am 1711 unter
VPN/Allgemein/VPN-Verbindungsliste in der VPN Verbindung auf
Dynamisches VPN(ein UDP Paket wird an die Gegenstelle gesendet um die IP Adresse zu ermitteln)
zusätzlich ein PPP Eintrag erstellen unter
Kommunikation/Protokolle/PPP-Liste
Neuen Eintrag hinzufügen
Gegenstelle jeweils den VPN aus der VPN-Verbindungsliste nehmen
und jetzt muss bei Benutzername jeweils der Name aus der Gegenstelle drin sein und zwar genau so wie er im anderen Gerät steht Groß/klein ist wichtig
z,B.
Berlin Benutzername: Hamburg
Hamburg Benutzername: Berlin
noch ein Password und IP-Routing aktivieren
alles andere kann so bleiben.... und jetzt sollte der Router die Verbindung aufbauen
Viel Spaß...
Du kannst auch den 1771 an der FritzBox betreiben , nur Du musst dann einen WAN Port definieren und im 1711 was Umstellen das der Tunnel funktioniert.
Per CM-Wizard ein DSL am ETH-1 per IPoE einrichten. (An ETH-1 die FritzBox hängen !)
Somit hast Du eine Default Route im 1711 (brauchst Du später nur per CM-Wizard mit dem dann Richtigen Einstellungen überschreiben....)
Jetzt musst DU im 1721 und am 1711 unter
VPN/Allgemein/VPN-Verbindungsliste in der VPN Verbindung auf
Dynamisches VPN(ein UDP Paket wird an die Gegenstelle gesendet um die IP Adresse zu ermitteln)
zusätzlich ein PPP Eintrag erstellen unter
Kommunikation/Protokolle/PPP-Liste
Neuen Eintrag hinzufügen
Gegenstelle jeweils den VPN aus der VPN-Verbindungsliste nehmen
und jetzt muss bei Benutzername jeweils der Name aus der Gegenstelle drin sein und zwar genau so wie er im anderen Gerät steht Groß/klein ist wichtig
z,B.
Berlin Benutzername: Hamburg
Hamburg Benutzername: Berlin
noch ein Password und IP-Routing aktivieren
alles andere kann so bleiben.... und jetzt sollte der Router die Verbindung aufbauen
Viel Spaß...
OK, das mit dem Spaß hält sich dann doch in Grenzen... 
ich habe mir gedacht, dass es vielleicht der beste Weg ist, den 1711+ erstmal direkt an das Kabelmodem zu hängen. Also FritzBox abgeklemmt, 1711+ rangesteckt ans Kabelmodem, per Wizard eine IPoE-Internetverbindung mit DHCP am WAN-Port eingerichtet. Laut LanMonitor steht die Internetverbindung auch. Er hat sogar per DHCP IP-Adresse, Gateway und DNS erhalten. Online und WAN-Status leuchten grün. Allerdings habe ich trotzdem keine Verbindung. Angeblich empfängt er zwar permanent Daten, aber ich kann nicht einmal den angegbenen Gateway anpingen. Woran könnte das liegen?
Das Kabelmodem habe ich bereits neu gestartet, hilft aber auch nix. Der 1711+ hat die neueste Firmware.
ich habe mir gedacht, dass es vielleicht der beste Weg ist, den 1711+ erstmal direkt an das Kabelmodem zu hängen. Also FritzBox abgeklemmt, 1711+ rangesteckt ans Kabelmodem, per Wizard eine IPoE-Internetverbindung mit DHCP am WAN-Port eingerichtet. Laut LanMonitor steht die Internetverbindung auch. Er hat sogar per DHCP IP-Adresse, Gateway und DNS erhalten. Online und WAN-Status leuchten grün. Allerdings habe ich trotzdem keine Verbindung. Angeblich empfängt er zwar permanent Daten, aber ich kann nicht einmal den angegbenen Gateway anpingen. Woran könnte das liegen?
Das Kabelmodem habe ich bereits neu gestartet, hilft aber auch nix. Der 1711+ hat die neueste Firmware.
Habe jetzt den 1711+ hinter die FritzBox gehängt und wie oben beschrieben eine IPoE auf ETH-1 eingerichtet. Klappt auch soweit: Der 1711+ bekommt von der FritzBox per DHCP alles zugeteilt. WAN-Status und Online leuchten grün. Angeblich schickt er auch Daten hin und her. Allerdings ist die FritzBox vom 1711+ aus nicht anpingbar. Dementsprechend funktioniert auch der Internet-Datenverkehr nicht, wenn ich einen PC an den 1711+ hänge.
Von PCs, die an der FritzBox hängen, kann ich den 1711+ unter der WAN-Adresse erreichen.
Das Kabelmodem ist ein Thomson THG520. Wenn es nicht mit dem Kabel verbunden ist, gibt es dem angeschlossenen Gerät automatisch eine Adresse im Bereich 192.168.0.x . Ansonsten reicht es die per DHCP erhaltenen Daten weiter.
Von PCs, die an der FritzBox hängen, kann ich den 1711+ unter der WAN-Adresse erreichen.
Das Kabelmodem ist ein Thomson THG520. Wenn es nicht mit dem Kabel verbunden ist, gibt es dem angeschlossenen Gerät automatisch eine Adresse im Bereich 192.168.0.x . Ansonsten reicht es die per DHCP erhaltenen Daten weiter.
Schau mal in der Routingtabelle dort sind ein paar Einträge Standartmäßig drin, die mit dem 192.168.0.0 Netz zu tun haben und es zum WAN blocken.
Kurzerhand deaktivieren und es sollte funzen, das Du vom Lancom-LAN zum FritzBox LAN kommst oder Du richtest eine Route ein für Dein FritzLAN mit Gegenstelle der WAN-Port.
Trotzdem solltest Du Surfen können am Lancom-LAN....
Kurzerhand deaktivieren und es sollte funzen, das Du vom Lancom-LAN zum FritzBox LAN kommst oder Du richtest eine Route ein für Dein FritzLAN mit Gegenstelle der WAN-Port.
Trotzdem solltest Du Surfen können am Lancom-LAN....
So langsam ist es zum Verzweifeln. Hab beim 1711+ jetzt einen hard reset gemacht und nocheinmal komplett von vorn angefangen. Das Einzige, was ich jetzt eingerichtet habe, ist die Internetverbindung auf ETH-1. Die Route 192.168.0.0 (block private) habe ich deaktiviert.
Es klappt nicht. Weder mit der FritzBox noch mit dem Modem. Bei beidem zeigen sich aber die gleichen Symptome: Der Router gibt vor, die Internetverbindung hergestellt zu haben. Er erhält eine IP-Adresse und das WAN-Data-Lämpchen blinkt munter. Aber ich bekomme keine Verbindung zum Standard-Gateway. Auch wenn ich nochmal eine spezifische Route mit dessen Adresse anlege, läßt sich der Gateway nicht erreichen. Irgendwo scheint da ein grundsätzliches Problem zu sein...
Gibt es noch irgendwo eine Sicherheitseinstellung, die die Kommunikation mit dem Gateway verbietet?
Wenn ich den 1711+ an die FritzBox angeschlossen habe, kann ich ihn interessanterweise über die von der FritzBox zugewiesene DHCP-Adresse von jedem Rechner erreichen, der an der FritzBox hängt (Ping funktioniert). In die andere Richtung funktioniert es aber nicht. Das ist doch irgendwie unlogisch.
Es klappt nicht. Weder mit der FritzBox noch mit dem Modem. Bei beidem zeigen sich aber die gleichen Symptome: Der Router gibt vor, die Internetverbindung hergestellt zu haben. Er erhält eine IP-Adresse und das WAN-Data-Lämpchen blinkt munter. Aber ich bekomme keine Verbindung zum Standard-Gateway. Auch wenn ich nochmal eine spezifische Route mit dessen Adresse anlege, läßt sich der Gateway nicht erreichen. Irgendwo scheint da ein grundsätzliches Problem zu sein...
Gibt es noch irgendwo eine Sicherheitseinstellung, die die Kommunikation mit dem Gateway verbietet?
Wenn ich den 1711+ an die FritzBox angeschlossen habe, kann ich ihn interessanterweise über die von der FritzBox zugewiesene DHCP-Adresse von jedem Rechner erreichen, der an der FritzBox hängt (Ping funktioniert). In die andere Richtung funktioniert es aber nicht. Das ist doch irgendwie unlogisch.
Hallo Sevens,
was mir noch einfällt, Richte eine automatische Sicherung ein damit bei Änderungen auch immer gleich eine Sicherung gemacht wird vor der Änderung.
Am besten eine Sicherung der Konfig per Script und Datei
Stellst Du ein, im CM unter EXTRA/Optionen/ Sicherungen (Nicht auf dem Router sonder wirklich im Manager !)
Ich hab es so gelöst das ich ein Extra Ordner Angelegt hab, da ich ein Paar mehr Geräte überwache.
Sicherungs-Pfad:
X:\Lancom\Sicherung (Wenn das nicht geändert wird sagt er bei der unteren Änderung das der Pfad zu lang ist!!!)
Sicherungs-Dateiname (ohne Erweiterung):
alles so gelassen nur hab ich vorn ein " \%N " vorgesetzt. Damit werden Extra Ordner angelegt nach Geräte Namen und man hat gleich die passende Datei vom Gerät zur Hand
Nochmal Viel Spaß .....
was mir noch einfällt, Richte eine automatische Sicherung ein damit bei Änderungen auch immer gleich eine Sicherung gemacht wird vor der Änderung.
Am besten eine Sicherung der Konfig per Script und Datei
Stellst Du ein, im CM unter EXTRA/Optionen/ Sicherungen (Nicht auf dem Router sonder wirklich im Manager !)
Ich hab es so gelöst das ich ein Extra Ordner Angelegt hab, da ich ein Paar mehr Geräte überwache.
Sicherungs-Pfad:
X:\Lancom\Sicherung (Wenn das nicht geändert wird sagt er bei der unteren Änderung das der Pfad zu lang ist!!!)
Sicherungs-Dateiname (ohne Erweiterung):
alles so gelassen nur hab ich vorn ein " \%N " vorgesetzt. Damit werden Extra Ordner angelegt nach Geräte Namen und man hat gleich die passende Datei vom Gerät zur Hand
Nochmal Viel Spaß .....