maskierte VPN-Verbindungen / LCOS 8.80

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
CJ
Beiträge: 15
Registriert: 03 Jan 2006, 22:52

maskierte VPN-Verbindungen / LCOS 8.80

Beitrag von CJ »

Hallo,

ich habe von einem 1821+ VPN-Verbindungen zu anderen Lancoms (1681V, 1721+, u.a) eingerichtet, im 1821+ habe ich die Verbindungen jeweils mit Extranet-Adresse maskiert. Lief jahrelang problemlos.
Seit Update auf die 8.8 beim 1821+ werden die Verbindungen nicht mehr aufgebaut. Wenn ich die Maskierung rausnehme oder ein Downgrade auf die 8.62 durchführe klappt wieder alles.
Hat sich im Bereich VPN was mit LCOS 8.8 geändert?

Gruß
Carsten
Nach oben
backslash
Moderator
Moderator
Beiträge: 7132
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Beitrag von backslash »

Hi CJ,

das sollte eigentlich funktionieren...

Wie sieht denn dein Regelsatz aus (show vpn)?
Nutzt du automatische oder manuelle Regelerzeugung?
Nutzt du ggf. Interface-Tags, die nicht mit der Routing-Tags deiner VPN-Routen zusammenpassen?
Was sagt ein VPN-Status-Trace beim Verbindungsaufbau?


Gruß
Backslash
Nach oben
CJ
Beiträge: 15
Registriert: 03 Jan 2006, 22:52

Beitrag von CJ »

Hallo Backslash,

Meine Seite(soll maskiert werden): 1821n, Netz 192.168.5.0/24, Extranet 192.168.5.1 (auch Adresse vom 1821n)
dynamische IP, nur diese Seite kann die Verbindung aufbauen. Ob die IP-Adressen über ICMP oder UDP ausgetauscht werden ist egal, Verbindung wird nicht aufgebaut.

show vpn:
Connection #3 192.168.5.1/255.255.255.255:0 <-> 192.168.3.0/255.255.255.0:0 any

Name: BPRCJWOB
Unique Id: ipsec-0-BPRCJWOB-pr0-l0-r0
Flags: main-mode
Local Network: IPV4_ADDR(any:0, 192.168.5.1/255.255.255.255)
Local Gateway: IPV4_ADDR(any:0, 82.xx.xx.145)
Remote Gateway: IPV4_ADDR(any:0, 80.xx.xx.3)
Remote Network: IPV4_ADDR_SUBNET(any:0, 192.168.3.0/255.255.255.0)


Gegenstelle: 1821+, Netz 192.168.3.0/24,
feste IP, entspricht Remote Gateway von oben

show vpn:
Connection #8 192.168.3.0/255.255.255.0:0 <-> 192.168.5.1/255.255.255.255:0 any

Name: BPRCJWOB
Unique Id: ipsec-0-BPRCJWOB-pr0-l0-r0
Flags: main-mode
Local Network: IPV4_ADDR_SUBNET(any:0, 192.168.3.0/255.255.255.0)
Local Gateway: IPV4_ADDR(any:0, 0.0.0.0)
Remote Gateway: IPV4_ADDR(any:0, 0.0.0.0)
Remote Network: IPV4_ADDR(any:0, 192.168.5.1/255.255.255.255)

Eingestellt auf automatische Regelerzeugung auf beiden Seiten. Routing-Tags sind alle auf '0', sowohl bei den VPN-Verbindungen wie auch bei den IP-Routen.


trace auf der Seite des Netzes 192.168.5.0/24 sagt:

Code: Alles auswählen

[VPN-Status] 2013/03/20 20:44:09,261  Devicetime: 2013/03/20 20:43:32,705
VPN: WAN state changed to WanCall for BPRCJWOB (80.xxx.xxx.3), called by: 003642fd

[VPN-Status] 2013/03/20 20:44:09,261  Devicetime: 2013/03/20 20:43:32,705
VPN: connecting to BPRCJWOB (80.xxx.xxx.3)

[VPN-Status] 2013/03/20 20:44:09,261  Devicetime: 2013/03/20 20:43:32,705
vpn-maps[28], remote: BPRCJWOB, nego, static-name, connected-by-name

[VPN-Status] 2013/03/20 20:44:09,262  Devicetime: 2013/03/20 20:43:32,705
vpn-maps[28], remote: BPRCJWOB, nego, static-name, connected-by-name

[VPN-Status] 2013/03/20 20:44:09,262  Devicetime: 2013/03/20 20:43:32,706
VPN: set local server addresses for BPRCJWOB (80.xxx.xxx.3)
   DNS:  192.168.5.1, 0.0.0.0
   NBNS: 192.168.5.1, 0.0.0.0

[VPN-Status] 2013/03/20 20:44:09,262  Devicetime: 2013/03/20 20:43:32,706
VPN: start dynamic VPN negotiation for BPRCJWOB (80.xxx.xxx.3) via ICMP/UDP

[VPN-Status] 2013/03/20 20:44:09,262  Devicetime: 2013/03/20 20:43:32,706
VPN: create dynamic VPN V2 authentication packet for BPRCJWOB (80.xxx.xxx.3)
   DNS:  192.168.5.1, 0.0.0.0
   NBNS: 192.168.5.1, 0.0.0.0
   polling address: 192.168.5.1

[VPN-Status] 2013/03/20 20:44:09,262  Devicetime: 2013/03/20 20:43:32,706
VPN: dynamic VPN V2 packet send to BPRCJWOB (80.xxx.xxx.3)
dynamic VPN V2 header:
    Version: 2
    HdrLen: 20
    InfoLen: 40
    MsgType: address info (1)
    Flags: 0x0000
      Responser: no
    Challenge: 3585672209

[VPN-Status] 2013/03/20 20:44:09,262  Devicetime: 2013/03/20 20:43:32,880
VPN: dynamic VPN V2 packet received from BPRCJWOB (80.xxx.xxx.3)
dynamic VPN V2 header:
    Version: 2
    HdrLen: 20
    InfoLen: 40
    MsgType: address info (1)
    Flags: 0x0001
      Responser: yes
    Challenge: 2194963052

[VPN-Status] 2013/03/20 20:44:09,262  Devicetime: 2013/03/20 20:43:32,881
VPN: received dynamic VPN V2 authentication packet from BPRCJWOB (80.xxx.xxx.3)
   DNS:  192.168.3.200, 0.0.0.0
   NBNS: 0.0.0.0, 0.0.0.0
   polling address: 192.168.3.200

[VPN-Status] 2013/03/20 20:44:09,262  Devicetime: 2013/03/20 20:43:32,882
VPN: set local server addresses for BPRCJWOB (80.xxx.xxx.3)
   DNS:  192.168.5.1, 0.0.0.0
   NBNS: 192.168.5.1, 0.0.0.0

[VPN-Status] 2013/03/20 20:44:09,262  Devicetime: 2013/03/20 20:43:32,882
vpn-maps[28], remote: BPRCJWOB, nego, static-name, connected-by-name

[VPN-Status] 2013/03/20 20:44:09,262  Devicetime: 2013/03/20 20:43:32,882
VPN: installing ruleset for BPRCJWOB (80.xxx.xxx.3)

[VPN-Status] 2013/03/20 20:44:09,262  Devicetime: 2013/03/20 20:43:32,894
VPN: ruleset installed for BPRCJWOB (80.xxx.xxx.3)

[VPN-Status] 2013/03/20 20:44:09,463  Devicetime: 2013/03/20 20:43:32,894
VPN: start dynamic VPN negotiation for BPRCJWOB (80.xxx.xxx.3) via ICMP/UDP

[VPN-Status] 2013/03/20 20:44:09,463  Devicetime: 2013/03/20 20:43:32,894
VPN: create dynamic VPN V2 authentication packet for BPRCJWOB (80.xxx.xxx.3)
   DNS:  192.168.5.1, 0.0.0.0
   NBNS: 192.168.5.1, 0.0.0.0
   polling address: 192.168.5.1

[VPN-Status] 2013/03/20 20:44:09,463  Devicetime: 2013/03/20 20:43:32,894
VPN: dynamic VPN V2 packet send to BPRCJWOB (80.xxx.xxx.3)
dynamic VPN V2 header:
    Version: 2
    HdrLen: 20
    InfoLen: 40
    MsgType: address info (1)
    Flags: 0x0000
      Responser: no
    Challenge: 2271478056

[VPN-Status] 2013/03/20 20:44:09,463  Devicetime: 2013/03/20 20:43:32,895
VPN: start IKE negotiation for BPRCJWOB (80.xxx.xxx.3)

[VPN-Status] 2013/03/20 20:44:09,463  Devicetime: 2013/03/20 20:43:32,895
VPN: WAN state changed to WanProtocol for BPRCJWOB (80.xxx.xxx.3), called by: 003642fd

[VPN-Status] 2013/03/20 20:44:09,464  Devicetime: 2013/03/20 20:43:32,902
VPN: rulesets installed

[VPN-Status] 2013/03/20 20:44:26,413  Devicetime: 2013/03/20 20:43:49,847
VPN: received dynamic VPN V2 authentication packet from BPRCJWOB (80.xxx.xxx.3)
   DNS:  192.168.3.200, 0.0.0.0
   NBNS: 0.0.0.0, 0.0.0.0
   polling address: 192.168.3.200

[VPN-Status] 2013/03/20 20:44:27,430  Devicetime: 2013/03/20 20:43:50,863
VPN: dynamic VPN V2 packet received from BPRCJWOB (80.xxx.xxx.3)
dynamic VPN V2 header:
    Version: 2
    HdrLen: 20
    InfoLen: 40
    MsgType: address info (1)
    Flags: 0x0001
      Responser: yes
    Challenge: 2194963052
.
.
wiederholt sich ca. 10mal
.
.
.

[VPN-Status] 2013/03/20 20:45:18,458  Devicetime: 2013/03/20 20:44:41,883
VPN: received dynamic VPN V2 authentication packet from BPRCJWOB (80.xxx.xxx.3)
   DNS:  192.168.3.200, 0.0.0.0
   NBNS: 0.0.0.0, 0.0.0.0
   polling address: 192.168.3.200

[VPN-Status] 2013/03/20 20:45:21,294  Devicetime: 2013/03/20 20:44:44,888
VPN: dynamic VPN V2 packet received from BPRCJWOB (80.xxx.xxx.3)
dynamic VPN V2 header:
    Version: 2
    HdrLen: 20
    InfoLen: 40
    MsgType: address info (1)
    Flags: 0x0001
      Responser: yes
    Challenge: 4259449965
.
.
.
.
.wiederholt sich ca. 10mal
.
.
[VPN-Status] 2013/03/20 20:45:21,295  Devicetime: 2013/03/20 20:44:44,888
VPN: received dynamic VPN V2 authentication packet from BPRCJWOB (80.xxx.xxx.3)
   DNS:  192.168.3.200, 0.0.0.0
   NBNS: 0.0.0.0, 0.0.0.0
   polling address: 192.168.3.200

[VPN-Status] 2013/03/20 20:45:21,295  Devicetime: 2013/03/20 20:44:44,896
VPN: connection for BPRCJWOB (80.xxx.xxx.3) timed out: no response

[VPN-Status] 2013/03/20 20:45:21,296  Devicetime: 2013/03/20 20:44:44,896
VPN: Error: IFC-I-Connection-timeout-IKE-IPSEC (0x1106) for BPRCJWOB (80.xxx.xxx.3)

[VPN-Status] 2013/03/20 20:45:21,297  Devicetime: 2013/03/20 20:44:44,896
VPN: disconnecting BPRCJWOB (80.xxx.xxx.3)

[VPN-Status] 2013/03/20 20:45:21,298  Devicetime: 2013/03/20 20:44:44,896
VPN: Error: IFC-I-Connection-timeout-IKE-IPSEC (0x1106) for BPRCJWOB (80.xxx.xxx.3)

[VPN-Status] 2013/03/20 20:45:21,299  Devicetime: 2013/03/20 20:44:44,905
VPN: BPRCJWOB (80.xxx.xxx.3)  disconnected

[VPN-Status] 2013/03/20 20:45:21,300  Devicetime: 2013/03/20 20:44:44,905
vpn-maps[28], remote: BPRCJWOB, idle, static-name

[VPN-Status] 2013/03/20 20:45:21,300  Devicetime: 2013/03/20 20:44:44,912
selecting next remote gateway using strategy eFirst for BPRCJWOB
     => no remote gateway selected

[VPN-Status] 2013/03/20 20:45:21,300  Devicetime: 2013/03/20 20:44:44,913
selecting first remote gateway using strategy eFirst for BPRCJWOB
     => CurrIdx=0, IpStr=>80.xxx.xxx.3<, IpAddr=80.xxx.xxx.3, IpTtl=0s

[VPN-Status] 2013/03/20 20:45:21,300  Devicetime: 2013/03/20 20:44:44,913
VPN: installing ruleset for BPRCJWOB (80.xxx.xxx.3)

[VPN-Status] 2013/03/20 20:45:21,300  Devicetime: 2013/03/20 20:44:44,913
VPN: WAN state changed to WanDisconnect for BPRCJWOB (80.xxx.xxx.3), called by: 003642fd

[VPN-Status] 2013/03/20 20:45:21,302  Devicetime: 2013/03/20 20:44:44,914
VPN: WAN state changed to WanIdle for BPRCJWOB (80.xxx.xxx.3), called by: 003642fd

[VPN-Status] 2013/03/20 20:45:21,303  Devicetime: 2013/03/20 20:44:44,925
VPN: rulesets installed

die Gegenseite:

Code: Alles auswählen

[VPN-Status] 2013/03/20 20:57:14,952  Devicetime: 2013/03/20 20:56:41,210
VPN: set local server addresses for BPRCJWOB (0.0.0.0)
   DNS:  192.168.3.200, 0.0.0.0
   NBNS: 0.0.0.0, 0.0.0.0

[VPN-Status] 2013/03/20 20:57:14,952  Devicetime: 2013/03/20 20:56:41,211
VPN: WAN state changed to WanCalled for BPRCJWOB (0.0.0.0), called by: 002b9e1d

[VPN-Status] 2013/03/20 20:57:14,952  Devicetime: 2013/03/20 20:56:41,211
vpn-maps[22], remote: BPRCJWOB, nego, static-name, connected-by-name

[VPN-Status] 2013/03/20 20:57:14,953  Devicetime: 2013/03/20 20:56:41,211
VPN: received dynamic VPN V2 authentication packet from BPRCJWOB (82.83.46.145)
   DNS:  192.168.5.1, 0.0.0.0
   NBNS: 192.168.5.1, 0.0.0.0
   polling address: 192.168.5.1

[VPN-Status] 2013/03/20 20:57:14,953  Devicetime: 2013/03/20 20:56:41,212
VPN: new remote gateway detected BPRCJWOB (0.0.0.0)

[VPN-Status] 2013/03/20 20:57:14,953  Devicetime: 2013/03/20 20:56:41,212
VPN: set local server addresses for BPRCJWOB (82.83.46.145)
   DNS:  192.168.3.200, 0.0.0.0
   NBNS: 0.0.0.0, 0.0.0.0

[VPN-Status] 2013/03/20 20:57:14,953  Devicetime: 2013/03/20 20:56:41,212
VPN: installing ruleset for BPRCJWOB (82.83.46.145)

[VPN-Status] 2013/03/20 20:57:14,953  Devicetime: 2013/03/20 20:56:41,212
vpn-maps[22], remote: BPRCJWOB, nego, static-name, connected-by-name

[VPN-Status] 2013/03/20 20:57:14,953  Devicetime: 2013/03/20 20:56:41,228
VPN: ruleset installed for BPRCJWOB (82.83.46.145)

[VPN-Status] 2013/03/20 20:57:14,953  Devicetime: 2013/03/20 20:56:41,228
VPN: start dynamic VPN negotiation for BPRCJWOB (82.83.46.145) via ICMP/UDP

[VPN-Status] 2013/03/20 20:57:14,990  Devicetime: 2013/03/20 20:56:41,228
VPN: create dynamic VPN V2 authentication packet for BPRCJWOB (82.83.46.145)
   DNS:  192.168.3.200, 0.0.0.0
   NBNS: 0.0.0.0, 0.0.0.0
   polling address: 192.168.3.200

[VPN-Status] 2013/03/20 20:57:14,990  Devicetime: 2013/03/20 20:56:41,228
VPN: dynamic VPN V2 packet send to BPRCJWOB (82.83.46.145)
dynamic VPN V2 header:
    Version: 2
    HdrLen: 20
    InfoLen: 40
    MsgType: address info (1)
    Flags: 0x0001
      Responser: yes
    Challenge: 3727004394

[VPN-Status] 2013/03/20 20:57:14,991  Devicetime: 2013/03/20 20:56:41,229
VPN: wait for IKE negotiation from BPRCJWOB (82.83.46.145)

[VPN-Status] 2013/03/20 20:57:14,991  Devicetime: 2013/03/20 20:56:41,229
VPN: WAN state changed to WanProtocol for BPRCJWOB (82.83.46.145), called by: 002b9e1d

[VPN-Status] 2013/03/20 20:57:14,991  Devicetime: 2013/03/20 20:56:41,242
VPN: rulesets installed

[VPN-Status] 2013/03/20 20:57:15,233  Devicetime: 2013/03/20 20:56:41,295
VPN: dynamic VPN V2 packet received from BPRCJWOB (82.83.46.145)
dynamic VPN V2 header:
    Version: 2
    HdrLen: 20
    InfoLen: 40
    MsgType: address info (1)
    Flags: 0x0000
      Responser: no
    Challenge: 954649275

[VPN-Status] 2013/03/20 20:57:15,234  Devicetime: 2013/03/20 20:56:41,295
VPN: received dynamic VPN V2 authentication packet from BPRCJWOB (82.83.46.145)
   DNS:  192.168.5.1, 0.0.0.0
   NBNS: 192.168.5.1, 0.0.0.0
   polling address: 192.168.5.1


[VPN-Status] 2013/03/20 20:57:38,384  Devicetime: 2013/03/20 20:57:04,454
IKE info: NOTIFY received of type ISAKMP_NOTIFY_DPD_R_U_THERE for peer BPRBREWOBDSL Seq-Nr 0x1f76ff1d, expected 0x1f76ff1d

[VPN-Status] 2013/03/20 20:57:38,384  Devicetime: 2013/03/20 20:57:04,455
IKE info: ISAKMP_NOTIFY_DPD_R_U_THERE_ACK sent for Phase-1 SA to peer BPRBREWOBDSL, sequence nr 0x1f76ff1d


[VPN-Status] 2013/03/20 20:57:44,998  Devicetime: 2013/03/20 20:57:11,242
VPN: connection for BPRCJWOB (82.83.46.145) timed out: no response

[VPN-Status] 2013/03/20 20:57:44,998  Devicetime: 2013/03/20 20:57:11,242
VPN: Error: IFC-R-Connection-timeout-IKE-IPSEC (0x1206) for BPRCJWOB (82.83.46.145)

[VPN-Status] 2013/03/20 20:57:44,998  Devicetime: 2013/03/20 20:57:11,242
VPN: disconnecting BPRCJWOB (82.83.46.145)

[VPN-Status] 2013/03/20 20:57:44,998  Devicetime: 2013/03/20 20:57:11,242
VPN: Error: IFC-R-Connection-timeout-IKE-IPSEC (0x1206) for BPRCJWOB (82.83.46.145)

[VPN-Status] 2013/03/20 20:57:44,998  Devicetime: 2013/03/20 20:57:11,259
VPN: BPRCJWOB (82.83.46.145)  disconnected

[VPN-Status] 2013/03/20 20:57:44,998  Devicetime: 2013/03/20 20:57:11,259
vpn-maps[22], remote: BPRCJWOB, idle, static-name

[VPN-Status] 2013/03/20 20:57:44,998  Devicetime: 2013/03/20 20:57:11,273
selecting next remote gateway using strategy eFirst for BPRCJWOB
     => no remote gateway selected
Gruß
CJ
Nach oben
backslash
Moderator
Moderator
Beiträge: 7132
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Beitrag von backslash »

Hi CJ,

die VPN-Regeln sehen schon mal gut aus - eigentlich müßte damit aufgebaut werden. Und der VPN-Status-Trace ist auch OK, bis zur Zeile

Code: Alles auswählen

[VPN-Status] 2013/03/20 20:44:09,463  Devicetime: 2013/03/20 20:43:32,895
VPN: start IKE negotiation for BPRCJWOB (80.xxx.xxx.3)
Danach sollte eigentlich die IKE-Verhandlung losgehen, aber es passiert nichts...

Wie steht der Schalter für den Aufbau der Netzbeziehungen (unte VPN -> Allgemein)? Der sollte auf "immer alle gemeinsam" stehen - ansonsten wird der Tunnel nur ausgehandelt, wenn Traffic läuft.

Nutzt du ggf. ein ICMP-Polling über den Tunnel? wenn ja, mach doch bitte zusätzlich einen VPN-Packet-Trace (ggf. eingeschänkt auf die angepingte Adresse)


Gruß
Backslash
Nach oben
CJ
Beiträge: 15
Registriert: 03 Jan 2006, 22:52

Beitrag von CJ »

Hallo Backslash
Wie steht der Schalter für den Aufbau der Netzbeziehungen (unte VPN -> Allgemein)? Der sollte auf "immer alle gemeinsam" stehen - ansonsten wird der Tunnel nur ausgehandelt, wenn Traffic läuft.
Nein, stand auf 'Gemeinsam für Keep-Alive'.
Ich habe auf 'immer alle gemeinsam' umgestellt und schon geht alles!!! :D

Vielen Dank für die Hilfe!

Gruß
CJ
Nach oben
Antworten

Zurück zu „Fragen zum Thema VPN“