LANCOM 1781VA-4G VPN Port-Forwarding ESP bzw. GRE

[rt1970]

Hallo!

Wie kann ich dem LANCOM 1781VA-4G dazu bringen, dass die Protokolle ESP bzw. GRE für VPN an meinen Server geforwardet werden sollen?
Alles andere (UDP 500, UDP 4500, TCP 1723 usw.) gehen ja unter Port-Forwarding-Tabelle.

Jeder normale billige Router kann das nur der teure LANCOM nicht oder doch?

Kann mir jemand sagen wie?

[cpuprofi]

Hallo,

tja, das ist wirklich eine gute Frage...

Wenn man in der Port-Forwarding-Tabelle die "Einträge" aus den "IPv4-Regeln -> Dient-Objekte" bzw. "IPv6-Regeln -> TCP/UDP-Dient-Objekte + ICMP-Dient-Objekte + IP-Protokoll-Objekte" auswählen könnte, dann würde dieses gehen...

Grüße
Cpuprofi

[backslash]

Hi rt1970,

ESP und GRE sind erstmal nicht direkt maskierbar - nur im Zusammenhang mit IKE (UDP-Port 500) oder PPTP (TCP-Port 1723).

Bei IPSec sollte man aber stattdessen lieber auf NAT-T setzen und die UDP-Ports 500 und 4500 weiterleiten, statt in die Kiristallkugel zu schauen um die Zuordnung der SPIs zu den jeweiligen Endpunkten zu erraten.

PPTP sollte man überhaupt nicht mehr verwenden, weil seine Verschlüsselung schon seit Jahren als gebrochen gilt.

Jeder normale billige Router kann das nur der teure LANCOM nicht oder doch?

nein! jeder billige Router kann UDP und TCP forwarden - und scheitert im schlimmsten Fall sogar schon an so was simplem FTP oder gar TFTP...

Ein LANCOM hingegen kann ESP und GRE selektiv weiterleiten - aber man sollte heutzutage darauf verzichten, da es mit NAT-T besseres gibt und PPTP gebrochen ist...

Gruß
Backslash

[cpuprofi]

Hallo Backslash,

...Ein LANCOM hingegen kann ESP und GRE selektiv weiterleiten...

da würde mich interessieren wie dieses beim Port-Forwarding einzutragen ist? IP-Protokoll-Objekte kann ich da nicht auswählen...

Nachtrag: Oder meinst Du damit die "automatische Erkennung und Zuordnung dieser Protokolle durch den Lancom selber?

Grüße
Cpuprofi

[backslash]

Hi cpuprofi,

da würde mich interessieren wie dieses beim Port-Forwarding einzutragen ist? IP-Protokoll-Objekte kann ich da nicht auswählen..

Wenn Pakete über den UDP-Port 500 laufen, schaut das LANCOM in die Kristallkugel und versucht die Zuordnung der ESP-SPIs zu den Endpunkten zu erraten, trägt das Ergebnis in die IPSec-NAT-Tabelle (/Setup/IP-Router/1-N-NAT/IPSec-Table) ein und nutzt diese Erkenntnis ab dann um ESP weiterleiten zu können. Auch wenn ich hier schreibe, daß das LANCOM versucht die beziehungen zu "erraten", heißt das nicht, daß das Ergebnis zufällig wäre - es funktioniert zuverlässig... "Erraten" steht hier nur, weil die IKE-Pakete ja verschlüsselt sind und das LANCOM deshalb die Zuordnung nicht direkt der Verhandlung entnehmen kann. Es kann nur erkennen, wann ein neuer SPI ausgehandelt wird und ordnet das erste Paket mit einem neuen SPI der Session zu, die gerade einen SPI ausgehandelt hat.

Und wenn eine PPTP-Verhandlung (auf einem beliebiegen TCP-Port - also nicht nur 1723) erkannt wird, hält das LANCOM die Verhandlung nach und leitet passend die GRE-Pakete weiter... (die Zuordnungen sind aber in keiner Tabelle zu sehen)

Gruß
Backslash

[rt1970]

Was da heißt?

Habe ganz simpel Port 1723 TCP auf meinen Server geleitet und versucht eine PPTP-Verbindung aufzubauen.
Er bleibt bei "Benutzername und Passwort wird geprüft" hängen.

Fehlt evtl. eine Firewall-Regel?

Anders gefragt:
Was muss ich eintragen um wenigstens PPTP von meinem Server 2008 RRAS nutzen zu können?
Später soll umgestellt werden auf IPSEC mit PSK.

Am Telekom Company-Connect (Cisco 800 davor) sollte es nicht liegen, oder?

[backslash]

Hi rt1970,

Habe ganz simpel Port 1723 TCP auf meinen Server geleitet und versucht eine PPTP-Verbindung aufzubauen.

das ist auch völlig ausreichend, solange du keine Deny-All-Regel in der Firewall hast

Fehlt evtl. eine Firewall-Regel?

wenn du eine Deny-All-Regel hast, dann brauchst du natürlich auch noch eine Regel, die PPTP - also TCP-Port 1723 - eingehend erlaubt:

Code: Alles auswählen

Name:     ALLOW-PPTP
Aktion:   übertragen
Quelle:   alle Stationen
Ziel:     IP deines PPTP-Servers
Dienste:  TCP, Zielport 1723

das ist alles

Bist du sicher, daß die GRE-Pakete überhaupt beim LANCOM ankommen - nicht daß sie schon vorher ausgefiltert werden...
Hier gilt dann ganz klassich: Mit Traces versuchen die Stelle zu finden, an der die Pakete verloren gehen...

Da wäre dann der VDSL-Data-Trace - um zu schauen, ob die GRE-Pakete überhaupt an kommen...
Dann der IP-Router-Trace - um zu schauen, ob die korrekt weiter geroutet werden
und als letztes der Ethernet-Trace - um zu schauen, ob sie auch an deinen Server gehen und ob dieser antwortet...

Bei allen Traces solltest du darauf auchten, daß sonst kein Traffic vorhanden ist (sonst siehst du den Wald vor lauter Bäumen nicht) und beim Ethernet-Trace solltest du aufpassen, daß du nicht die Trace-Session mitschneidest - das gäbe dann einen Teilchen-Bechleuniger... D.h. Telnet und SSH beim Ethernet-Trace ausfiltern (trace # eth @ -telnet - ssh)

Gruß
Backslash

[backslash]

Hi rt1970,

Am Telekom Company-Connect (Cisco 800 davor) sollte es nicht liegen, oder?

das hatte ich ganz übersehen... Doch an genau dem kann es auch liegen...

Hier mußt du dann aber für das Tracen des WAN-Traffics auch den Ethernet-Trace verwenden...

Gruß
Backslash

[rt1970]

Am Cisco kann es auch liegen obwohl ich auf dem LANCOM eine öffentliche IP habe?
Soweit mir bekannt ist macht der Cisco 800 "nur" die Einwahl (PPPOE)...
Im Logging vom Lancom stand was von GRE denied...
Weiß aber nicht mehr wie der Support von LANCOM da hin kam. War via Telnet... Er meinte, dass der Lancom das tut was er soll. Liegt an meinem Netzwerk... Wieso funktioniert dann PPTP und IPSek mit dem QSC-Router?

[Dr.Einstein]

Soweit mir bekannt ist macht der Cisco 800 "nur" die Einwahl (PPPOE)...

Der Cisco blockt nix, der routet zwischen WAN und "LAN", wobei das der Pool ist, den du für deine 5 Geräte nutzen kannst.

[backslash]

Hi rt1970

Am Cisco kann es auch liegen obwohl ich auf dem LANCOM eine öffentliche IP habe?

ich hab auch nicht gesagt, DASS es am Cisco LIEGT, sondern, daß es auch an ihm liegen könnte...

Im Logging vom Lancom stand was von GRE denied...

das ist jetzt nicht so richtigh zielführend...
Du mußt schon mittracen, wo welche Pakete langlaufen (Ethernet-Trace ohne Telnet/SSH, IP-Router-Trace) und zwar tunlichst, wenn kein sonstiger Traffic läuft.

Weiß aber nicht mehr wie der Support von LANCOM da hin kam. War via Telnet...

Nimm den LANtracer (in LANconfig Rechtsklick auf das Gerät und dann "Trace-Ausgabe erstellen") und hake dann im Tree-View unter TraceEinstellungen "Ethernet", "Firewall", "IP-Masquerading" und "IP-Router" an. Im Statusfenster "Erzeugte Trace-Kommandos" unten rechts sollte dann folgendes stehen:

Code: Alles auswählen

# Trace config
trace + Ethernet @ -Telnet/SSL
trace + Firewall
trace + IP-Router
trace + IP-masquerading

# Show commands
show bootlog 

starte den Trace, versuche die Einwahl und stoppe ihn wieder. Dann hast du alles aufgezeichnet, um die Paklete zu verfolgen...

Gruß
Backslash

[rt1970]

Bekomme VPN Fehler 718

Hier mal ein Trace:

[IP-Router] 2015/09/04 23:08:54,151 Devicetime: 2015/09/04 23:08:08,594
IP-Router Rx (intern, RtgTag: 0):
DstIP: 192.168.0.1, SrcIP: 192.168.0.253, Len: 1500, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 60618, SrcPort: 992, Flags: A
Seq: 1274884286, Ack: 1731381811, Win: 1822, Len: 1460
Route: LAN Tx (INTRANET):

[IP-Router] 2015/09/04 23:08:54,151 Devicetime: 2015/09/04 23:08:08,605
IP-Router Rx (LAN-1, INTRANET, RtgTag: 0):
DstIP: xxx.xxx.xxx.xxx, SrcIP: 192.168.0.1, Len: 85, DSCP/TOS: 0x00
Prot.: GRE (47), Protocol: PPTP (34827), call id: 256
Route: WAN Tx (T-COMPCO)

[IP-masquerading] 2015/09/04 23:08:54,151 Devicetime: 2015/09/04 23:08:08,605
masquerading failed for GRE

[Ethernet] 2015/09/04 23:08:54,151 Devicetime: 2015/09/04 23:08:08,607
Sent 123 byte Ethernet packet via DSL-1:
-->IEEE 802.3 Header
Dest : d4:66:50:e5:8b:fc
Source : 02:aa:57:12:b0:16 (LANCOM(local-0) 12:b0:16)
Type : IPv4
-->IPv4 Header
Version : 4
Header Length : 20
Type of service : (0x00) Precedence 0
Total length : 109
ID : 731
Fragment : Offset 0 DontFrag
TTL : 127
Protocol : TCP
Checksum : 62769 (OK)
Src Address : xxx.xxx.xxx.xxx
Dest Address : xxx.xxx.xxx.xxx
-->TCP Header
Src Port : 3389
Dest Port : 11486
Sequence Number : 1940206043
Ack Number : 134899830
Header Length : 20
Flags : PSH ACK
Window Size : 516
Checksum : 10130 (OK)
Urgent Pointer : 0
Body : 17 03 01 00 40 f8 57 ff ....@.W.
4f a1 6d e5 e3 57 52 30 O.m..WR0
ab 3c 96 f6 f8 f0 99 27 .<.....'
7c eb 4b 87 9e 15 e8 52 |.K....R
ad 71 02 30 09 9d 27 99 .q.0..'.
d9 44 64 c3 25 f7 14 ca .Dd.%...
f0 47 ec c6 22 50 4f 0f .G.."PO.
3e 41 8d 7e b1 2b 78 90 >A.~.+x.
8d 0c 21 8e 1f ..!..