Lancom VPN hinter Lancom Firewall

goermet · Beitrag von **goermet** » 07 Mär 2005, 19:32

Hallo

da die Knowlegdebase nicht erreichbar ist

: weiss zufälligerweise jemand aus dem Kopf, was ich bei einer 6011 im Firewall/Portforwardig/routing einstellen muss, wenn ich eine lancom 7011 als VPN Server dahinter betreiben will.

mfg
Goermet

backslash · Beitrag von **backslash** » 07 Mär 2005, 20:42

Hi goermet

da die Knowlegdebase nicht erreichbar ist : weiss zufälligerweise jemand aus dem Kopf, was ich bei einer 6011 im Firewall/Portforwardig/routing einstellen muss, wenn ich eine lancom 7011 als VPN Server dahinter betreiben will.

In der Masquerading-Service-Tabelle des 6011 den port 500 auf den 7011 weiterleiten und in der Firewall sowohl den Port 500 als auch ESP freigeben. Im LANconfig gibt es in der Firewall dafür sogar einen vordefinierten Dienst "Virtuelles privates Netzwerk (VPN/IPSEC)", der einfach nur angehakt werden muß...

Gruß
Backslash

goermet · Beitrag von **goermet** » 08 Mär 2005, 07:04

Das hatte ich auch gemacht (Swoeit hatte ich es noch im Kopf). Nur kamen bisher lediglich Verbindungen zustande, die die 7011 von innen aufgebaut hat. Software bzw. dynamischen Clients sind noch nicht reingekommen.

goermet · Beitrag von **goermet** » 08 Mär 2005, 07:17

Nachtrag: den 1723 Port habe ich auch weitergeleitet

froeschi62 · Beitrag von **froeschi62** » 08 Mär 2005, 13:44

Hallo Backslash,
beinhaltet der Dienst "Virtuelles privates Netzwerk (VPN/IPSEC)" auch die Freigabe von ESP oder nur die Freigabe des Ports 500. Das wußte ich auch bei meiner Konfig nicht so genau. Sonst könnte ich eine Regel sparen.

)
Gruß
Dietmar

backslash · Beitrag von **backslash** » 08 Mär 2005, 19:37

Hi froeschi62,

"Virtuelles privates Netzwerk (VPN/IPSEC)" beinhaltet den UDP-Port 500 und die Protokolle AH, ESP und IPCOMP

Gruß
Backslash

froeschi62 · Beitrag von **froeschi62** » 08 Mär 2005, 19:41

Hallo Backslash,

danke! Hab's gleich geändert und es funktioniert.

Gruß
Dietmar

goermet · Beitrag von **goermet** » 08 Mär 2005, 19:53

Hallo

noch mal zum Thema (falls dieser Text doppelt kommt., sorry): Es haut soweit alles hin, bis auf die Lancom Router die via ICMP ihre IP Adresse übergeben wollen. Da kann keine Verbindung aufgebaut werden. Hat jemand Lösungsvorschläge? Am liebsten würde ich nur auf der 6011/7011 was umstellen müssen. Ich probiere aber weiter.

Goermet

goermet · Beitrag von **goermet** » 09 Mär 2005, 07:05

Also im aggrassive Mode würden die Teile reinkommen. Bevor ich aber jetzt alle umstelle: hat noch einer eine Idee, wie es anders geht?

backslash · Beitrag von **backslash** » 09 Mär 2005, 19:31

Hi goermet

Also im aggrassive Mode würden die Teile reinkommen. Bevor ich aber jetzt alle umstelle: hat noch einer eine Idee, wie es anders geht?

es geht leider nicht anders, weil die ICMP-Pakete, gleichzeitig zur Authetifizierung dienen. Dabei wird aus dem PPP-Username, dem PPP-Paßwort und der IP-Adresse des LANCOMs ein Hashwert gebildet, der vom Empfänger geprüft wird. Da das ICMP-Paket hinter einem NAT aber eine andere Adresse erhält, kann der Hashwert beim Empfänger nicht mehr korrekt gebildet werden...

dynamic VPN ist halt nicht maskierbar

Gruß
Backslash