Hallo,
ich benutze den Shrewsoft VPN Clients, um eine VPN Verbindung herzustellen. Ich habe mich an dieser Anleitung aus dem Forum orientiert http://www.lancom-forum.de/htopic,4835,.html
Mein Problem ist aber, dass ich eine Tunnel-Verbindung bekomme, auch eine neue IP Adresse wird vergeben, aber es fehlt der Gateway. Dadurch kann ich keine IPs/DNS Anfragen im Remote VPN Netzwerk auflösen. Ich finde leider die zugehörige Einstellung im LanConfig nicht.
Als Hardware ist bei uns ein Lancom 1723 im Einsatz.
Hat da evtl. jemand einen Tipp für mich, wo sich die Einstellung versteckt?
Grüße
Shrewsoft VPN Clients - Gateway Problem
Moderator: Lancom-Systems Moderatoren
Hallo Florian,
danke für deine Antwort, darüber kann ich es probieren. Mir ist nur aufgefallen, dass wenn ich die Lancom Software einsetze ein Gateway gesetzt wird. Wenn ich mich mit dem Shrew CLient verbinde, fehlt dieser Gateway-Eintrag, dadurch sind die Rechner im remote Netzwerk nicht erreichbar.
Ich dachte, ich müsste das im Routerprofil einstellen, habe aber keine eindeutige Einstellung dazu gefunden. Darum weiß ich nicht, was ich nun machen soll/muss
Grüße
danke für deine Antwort, darüber kann ich es probieren. Mir ist nur aufgefallen, dass wenn ich die Lancom Software einsetze ein Gateway gesetzt wird. Wenn ich mich mit dem Shrew CLient verbinde, fehlt dieser Gateway-Eintrag, dadurch sind die Rechner im remote Netzwerk nicht erreichbar.
Ich dachte, ich müsste das im Routerprofil einstellen, habe aber keine eindeutige Einstellung dazu gefunden. Darum weiß ich nicht, was ich nun machen soll/muss
Grüße
Hallo,
also ich verstehe das auch noch nicht ganz. Ich habe folgende Konfiguration:
Firmennetzwerk 192.168.10.0
Lancom 1611+Router 192.168.10.254
Terminalserver 192.168.10.1
Heimnetzwerk 192.168.0.0
Fritzbox Router 192.168.0.1
Client-PC 192.168.0.2
Subnetz ist bei beiden 255.255.255.0.
Ich habe es geschafft, mit dem ShrewClienten eine VPN-Verbindung vom Clienten-PC zu meinem Lancom 1611+ aufzubauen, die ich auch im Lanmonitor als permanent "aktiv" sehen kann, wenn ich mich zeitgleich noch von einem anderen Rechner mittels Lancom VPN einlogge. Soweit so gut, aber...
Wenn ich dann allerdings auf dem Clienten Remotedesktop starte und die LAN-IP des Firmen-Terminal-Servers eingebe, auf den ich von zu Hause zugreifen möchte, sehe ich sofort im Lanmonitor folgende Fehlermeldung
"Keine Regel für IDs gefunden-unbekannte Verbindung oder fehlerhafte ID (z.B. Netzwerkdefinitionen) (Responder IPSec) 0x3201"
Ich bekomme also leider absolut keinen Zugriff auf den Server.
Ich hatte vorher am Lancom-Router bei der Anlegung der VPN-Verbindung mich an die beschriebene Vorgehensweise hier im Forum gehalten und auch das private Heim-Netzwerk "192.168.0.0" eingegeben, ebenso unter "policy" in Shrew sowohl das Heimnetzwerk "192.168.0.0" als auch das Firmennetzwerk "192.168.10.0".
Wenn ich während der Verbindung "ipconfig" am Clienten eingebe, sehe ich zwar auch die virtuelle LAN-IP, aber eben kein Standardgateway. Ist das richtig?
Hat das jemand hinbekommen und einen Tip, was jetzt noch zu konfigurieren ist?
Danke!
Gruß
also ich verstehe das auch noch nicht ganz. Ich habe folgende Konfiguration:
Firmennetzwerk 192.168.10.0
Lancom 1611+Router 192.168.10.254
Terminalserver 192.168.10.1
Heimnetzwerk 192.168.0.0
Fritzbox Router 192.168.0.1
Client-PC 192.168.0.2
Subnetz ist bei beiden 255.255.255.0.
Ich habe es geschafft, mit dem ShrewClienten eine VPN-Verbindung vom Clienten-PC zu meinem Lancom 1611+ aufzubauen, die ich auch im Lanmonitor als permanent "aktiv" sehen kann, wenn ich mich zeitgleich noch von einem anderen Rechner mittels Lancom VPN einlogge. Soweit so gut, aber...
Wenn ich dann allerdings auf dem Clienten Remotedesktop starte und die LAN-IP des Firmen-Terminal-Servers eingebe, auf den ich von zu Hause zugreifen möchte, sehe ich sofort im Lanmonitor folgende Fehlermeldung
"Keine Regel für IDs gefunden-unbekannte Verbindung oder fehlerhafte ID (z.B. Netzwerkdefinitionen) (Responder IPSec) 0x3201"
Ich bekomme also leider absolut keinen Zugriff auf den Server.
Ich hatte vorher am Lancom-Router bei der Anlegung der VPN-Verbindung mich an die beschriebene Vorgehensweise hier im Forum gehalten und auch das private Heim-Netzwerk "192.168.0.0" eingegeben, ebenso unter "policy" in Shrew sowohl das Heimnetzwerk "192.168.0.0" als auch das Firmennetzwerk "192.168.10.0".
Wenn ich während der Verbindung "ipconfig" am Clienten eingebe, sehe ich zwar auch die virtuelle LAN-IP, aber eben kein Standardgateway. Ist das richtig?
Hat das jemand hinbekommen und einen Tip, was jetzt noch zu konfigurieren ist?
Danke!
Gruß
Hi hornigunn,
ich denke, das Problem liegt in der Einstellung der Policies; hier darf nur das entfernte Netz eingetragen werden. Den Fehler dürftes Du bekommen, da im LANCOM diese Netzbeziehung nicht definiert ist.
Bei ipconfig darf kein Standardgateway stehen, da nur die angegebenen Netze geroutet werden, dies(e) trägt der Client in die Routing-Tabelle auch ein. (route print)
Mich wundert, dass Dir die Verbindung als aktiv angezeigt wird; ich habe es bislang immer nur so gesehen, dass die Phase 2 erst bei Datenübertragungen aufgebaut wird.
Wo hast Du im LANCOM das Netz 192.168.0.0 angegeben? Hier gibt's doch eingetlich nicht die Möglichkeit dazu?! Hast Du vll den Lan-Lan Assistenten genutzt? Du musst den für den NCP-Client nutzen.
Und nimm unbedingt eine 2er Version des Shrew-Soft-Clients, bei den 1er stürzt der LANCOM bei Rekeying ab.
Gruß
Florian
ich denke, das Problem liegt in der Einstellung der Policies; hier darf nur das entfernte Netz eingetragen werden. Den Fehler dürftes Du bekommen, da im LANCOM diese Netzbeziehung nicht definiert ist.
Bei ipconfig darf kein Standardgateway stehen, da nur die angegebenen Netze geroutet werden, dies(e) trägt der Client in die Routing-Tabelle auch ein. (route print)
Mich wundert, dass Dir die Verbindung als aktiv angezeigt wird; ich habe es bislang immer nur so gesehen, dass die Phase 2 erst bei Datenübertragungen aufgebaut wird.
Wo hast Du im LANCOM das Netz 192.168.0.0 angegeben? Hier gibt's doch eingetlich nicht die Möglichkeit dazu?! Hast Du vll den Lan-Lan Assistenten genutzt? Du musst den für den NCP-Client nutzen.
Und nimm unbedingt eine 2er Version des Shrew-Soft-Clients, bei den 1er stürzt der LANCOM bei Rekeying ab.
Gruß
Florian
Hallo FBdtx,
danke für Deine Hinweise.
Wenn ich unter Policies nicht neben dem Firmennetzwerk zusätzlich das Heimnetzwerk in Shrew eintrage, bekomme ich bei mir keine Verbindung zum Lancom-Router, das habe ich gerade noch mal ausprobiert. Die 2-er Version ist installiert.
Was meinst Du denn mit NCP-Client-Verbindung? Liegt das an der Lancom Version? Ich habe die Version Lanconfig 6.22.0002, da kann ich keine zu erstellende NCP-Client nicht sehen, deswegen habe ich standardmäßig Advanced Lancom-VPN-Client-Verbindung gewäht. Brauche ich eine andere Lanconfig-Version?
Die Routing-Tabelle habe ich im Lancom entdeckt. Dort steht z.B. ganz oben die virtuelle IP, die ich selbst vergeben habe. Was muß ich denn da eintragen bei RoutingTag und IP-Maskierung? Hast Du vielleicht einen Screenshot (wäre sehr nett)?
Aber was mich am meisten interessieren würde:
Wie kannst Du denn die bestehende Verbindung praktisch ausnutzen?
Wenn bei Dir "Tunnel enabled" steht, kannst Du dann den LancomRouter oder den Server direkt anpingen oder Dich per Remotedesktop direkt mit der Firmennetz-IP einloggen, so wie das z.B. im Lancom Advanced VPN Client der Fall ist? Sobald ich nämlich entweder Remotedesktop starte und die Server-IP eingebe oder versuche, die Firmen-Server oder den Lancom-Router anzupingen, stoppt die Verbindung so als wenn der Computer mir sagt "Du hast jetzt zwar Deine VPN-Verbindung, kommst aber nicht rein!"....
Gruß
danke für Deine Hinweise.
Wenn ich unter Policies nicht neben dem Firmennetzwerk zusätzlich das Heimnetzwerk in Shrew eintrage, bekomme ich bei mir keine Verbindung zum Lancom-Router, das habe ich gerade noch mal ausprobiert. Die 2-er Version ist installiert.
Was meinst Du denn mit NCP-Client-Verbindung? Liegt das an der Lancom Version? Ich habe die Version Lanconfig 6.22.0002, da kann ich keine zu erstellende NCP-Client nicht sehen, deswegen habe ich standardmäßig Advanced Lancom-VPN-Client-Verbindung gewäht. Brauche ich eine andere Lanconfig-Version?
Die Routing-Tabelle habe ich im Lancom entdeckt. Dort steht z.B. ganz oben die virtuelle IP, die ich selbst vergeben habe. Was muß ich denn da eintragen bei RoutingTag und IP-Maskierung? Hast Du vielleicht einen Screenshot (wäre sehr nett)?
Aber was mich am meisten interessieren würde:
Wie kannst Du denn die bestehende Verbindung praktisch ausnutzen?
Wenn bei Dir "Tunnel enabled" steht, kannst Du dann den LancomRouter oder den Server direkt anpingen oder Dich per Remotedesktop direkt mit der Firmennetz-IP einloggen, so wie das z.B. im Lancom Advanced VPN Client der Fall ist? Sobald ich nämlich entweder Remotedesktop starte und die Server-IP eingebe oder versuche, die Firmen-Server oder den Lancom-Router anzupingen, stoppt die Verbindung so als wenn der Computer mir sagt "Du hast jetzt zwar Deine VPN-Verbindung, kommst aber nicht rein!"....
Gruß
Hi,
wenn der Shrewsoft-Client "Tunnel enabled" schreibt, steht -glaube ich- lediglich Phase 1. Im LanMonitor wird dann noch nichts angezeigt. Noch können keine Nutzdaten übertragen werden. Ein ping oder eine RDP-Sitzung ist aber geeignet, die Phase 2 aufzubauen. Dann sollte die Verbindung auch im LanMonitor unter VPN-Verbindungen angezeigt werden.
Wenn das so ist, kannst Du in Dein Firmen-Netz oder auf den entfernten LANCOM pingen.
Hast Du Firewall Regeln, die diese Verbindung blockieren? Oder bei FW-Regeln für VPN Anpassungen vorgenommen?
Soweit ich mich erinnere, muss nur der Assistent für den LANCOM-Advanced-VPN-Client ausgeführt werden, danach im Shrewsoft im wesentlichen unter General der Remote Host (IP des entfernten LC), unter local Host die virtuelle IP-Adresse eingetragen werden (Netzmaske 255.255.255.255); obtain autom. aus; unter authentication zunächst mutual psk, dann local+remote identity jeweils auf "user fully qualified domain name" und als ufqdn-string die im LC-Assistenten eingegebene Mail-Adresse; unter credentials der psk; phase1: cipher auf aes (vll geht's auch mit den default werten, habe ich nie versucht...) hash auf md5; Phase 2: Transform-alg auf esp-aes, hmac md5, pfs group2, und unter policy das häkchen weg und dann nur das entfernte netz als include eintragen. Das sollte passen.
LCOS 6.22 muss damit funktionieren.
Gruß
Florian
wenn der Shrewsoft-Client "Tunnel enabled" schreibt, steht -glaube ich- lediglich Phase 1. Im LanMonitor wird dann noch nichts angezeigt. Noch können keine Nutzdaten übertragen werden. Ein ping oder eine RDP-Sitzung ist aber geeignet, die Phase 2 aufzubauen. Dann sollte die Verbindung auch im LanMonitor unter VPN-Verbindungen angezeigt werden.
Wenn das so ist, kannst Du in Dein Firmen-Netz oder auf den entfernten LANCOM pingen.
Hast Du Firewall Regeln, die diese Verbindung blockieren? Oder bei FW-Regeln für VPN Anpassungen vorgenommen?
Soweit ich mich erinnere, muss nur der Assistent für den LANCOM-Advanced-VPN-Client ausgeführt werden, danach im Shrewsoft im wesentlichen unter General der Remote Host (IP des entfernten LC), unter local Host die virtuelle IP-Adresse eingetragen werden (Netzmaske 255.255.255.255); obtain autom. aus; unter authentication zunächst mutual psk, dann local+remote identity jeweils auf "user fully qualified domain name" und als ufqdn-string die im LC-Assistenten eingegebene Mail-Adresse; unter credentials der psk; phase1: cipher auf aes (vll geht's auch mit den default werten, habe ich nie versucht...) hash auf md5; Phase 2: Transform-alg auf esp-aes, hmac md5, pfs group2, und unter policy das häkchen weg und dann nur das entfernte netz als include eintragen. Das sollte passen.
LCOS 6.22 muss damit funktionieren.
Gruß
Florian
Hallo FBdtx,
sooo...Shrew funktioniert jetzt mit meinem 1611+
Aber nur mit einer Einschränkung: Wenn ich meine Client-Fritzbox als Modem statt als Router einsetze (das kann man im Router so einstellen), dann geht es.
Wenn ich ein Speedport W500-Router einsetze, geht es auch im Routerbetrieb.
Warum die Fritzbox als Router bei Shrew Probleme macht, muß ich noch rausfinden. Beim LANCOM Advanced Client geht es mit der Fritzbox als Router einwandfrei. Auch wenn ich alle Ports "forward" stelle, geht es aber trotzdem nicht. Irgendwie komisch...
Gruß
sooo...Shrew funktioniert jetzt mit meinem 1611+
Aber nur mit einer Einschränkung: Wenn ich meine Client-Fritzbox als Modem statt als Router einsetze (das kann man im Router so einstellen), dann geht es.
Wenn ich ein Speedport W500-Router einsetze, geht es auch im Routerbetrieb.
Warum die Fritzbox als Router bei Shrew Probleme macht, muß ich noch rausfinden. Beim LANCOM Advanced Client geht es mit der Fritzbox als Router einwandfrei. Auch wenn ich alle Ports "forward" stelle, geht es aber trotzdem nicht. Irgendwie komisch...
Gruß
Shrew + 1611+
Hallo hornigunn,
ich bin Frischling mit Shrew und VPN.
Könntest du nochmal die Details der jeweiligen Einstellungen für Shrew und
den 1611+ durchgeben.
Einen Tunnelaufbau hatte ich auch schon mal realisiert, das wars dann aber
leider.
Danke und Gruß
ich bin Frischling mit Shrew und VPN.
Könntest du nochmal die Details der jeweiligen Einstellungen für Shrew und
den 1611+ durchgeben.
Einen Tunnelaufbau hatte ich auch schon mal realisiert, das wars dann aber
leider.
Danke und Gruß