Site-to-Site Dynamic VPN mit 2 Lancom Routern

[Lasso]

Hallo liebe Community,
wir haben ein Problem, welches ich kurz erläutere:
Wir wollen einen VPN Tunnel zwischen einem Lancom VPN 7100 und einem Lancom 1781EF+ hochziehen. Das haben wir ausführlich bei uns mit einer zweiten Leitung (Feste IP) getestet und das hat auch alles funktioniert. Beim Kunden (Lancom 1781EF+) ist jetzt aber die Netzinfrastrukur deutlich anders, der Kunde hat einen Telekom IP-Anschluss und somit auch eine Dynamische IP. Dynamic VPN ist aber nicht das Problem. Der Router steht dort hinter einem Speedport W921V im Netz.
Jetzt zum eigentlichen Problem:
Der Tunnel wird ohne Fehlermeldung aufgebaut und wird auch als verbunden angezeigt, jedoch bekommen wir keine Verbindung in das Netz hinter dem 1781EF+. Das heißt, es kommen zum Beispiel keine Echos von dem Netz zurück. Das ICMP-Paket geht aus dem 7100 durch den Tunnel raus.

Das komische ist jedoch, dass am Tag des Aufbaus des Routers (1781EF+) beim Kunden, Pings einwandfrei funktioniert haben. (Ping Kundennetz -> Unser Netz)

Mein verdacht ist jetzt, dass an dem Speedport noch einstellungen durchgeführt werden müssen.
Hat da jemand Erfahrungen sammeln können?

Ich bin nächste Woche beim Kunden vorort um den Tunnel richtig zum laufen zu bekommen.
Meine ersten herangehensweisen währen somit:
- Port 4500/UDP freigeben
- wenn möglich Protokoll 50/ESP freigeben (hab aber gelesen,dass das mit dem Speedport nicht funktioniert)
- Port-Forwarding auf den 1781 konfigurieren (Port 50, 500, 4500)

Habt ihr noch weitere Tipps?
EDIT: Wie siehts mit Polling von Kunden-Seite aus ?

Danke im Voraus,
Lasso

[LoUiS]

Hi,

kennen denn die Clients im Kundennetz die Rueckrouten in den VPN-Tunnel, oder schicken die alles an ihr Standard-Gateway, welches das dann verwirft?


Ciao
LoUiS

[Lasso]

Hi,

kennen denn die Clients im Kundennetz die Rueckrouten in den VPN-Tunnel, oder schicken die alles an ihr Standard-Gateway, welches das dann verwirft?


Ciao
LoUiS

Hallo,
in dem 1781 ist die Route eingetragen. Unser LAN wird vom 7100 Maskiert. Wie gesagt, hat ein Ping vom Kundennetz auf die Maskierungsadresse ohne Probleme funktioniert. Ein Routing Problem schließe ich daher aus.

Gruß,
Lasso

[LoUiS]

Hi,

dann musst Du einen "ip-router" Trace auf dem 1781EF+ anwerfen und schauen, ob Pakete dort aus dem VPN raus ins LAN gerouted werden und ob dazu dann auch die Antworten des Client wieder am LANCOM ankommen und wieder in den Tunnel gesteckt werden. "trace # ip-router @ <IP des angepingten Client>"


Ciao
LoUiS

[Lasso]

Hi,

dann musst Du einen "ip-router" Trace auf dem 1781EF+ anwerfen und schauen, ob Pakete dort aus dem VPN raus ins LAN gerouted werden und ob dazu dann auch die Antworten des Client wieder am LANCOM ankommen und wieder in den Tunnel gesteckt werden. "trace # ip-router @ <IP des angepingten Client>"


Ciao
LoUiS

So sieht ein Teil meines Plans für nächste Woche aus
Schauen ob die ICMP-Pakete am 1781 ankommen, wenn ja, dann schauen wo die Echos hin gehen.

Dachte vielleicht hat jemand schon Erfahrungen gemacht und kann mir heiße Tipps geben

Hatte ja alles (Ohne den Speedport) einwandfrei funktioniert.

Gruß,
Lasso

[Bernie137]

Hi,

Hatte ja alles (Ohne den Speedport) einwandfrei funktioniert.

Und jetzt macht das Ding den Internetzugang für das Netz und ist Standardgateway für die Clients? Fehlt dort die Rückroute?

Gruß Bernie

[Lasso]

Hi,

Hatte ja alles (Ohne den Speedport) einwandfrei funktioniert.

Und jetzt macht das Ding den Internetzugang für das Netz und ist Standardgateway für die Clients? Fehlt dort die Rückroute?

Gruß Bernie

Hallo,
Die Clients haben den 1781 als Default-Route eingetragen. Der 1781 ist über den WAN-Port im Netz des Speedports. Als ich vor ort war und den Tunnel hochgezogen habe, konnte ich mit einem Client unsere maskierte Adresse anpingen.
Dann musste ich den 1781 vom Strom trennen und dann wieder einstecken. Darauf hin kam erstmal der Tunnel nicht mehr hoch (Wohl wegen dem Polling vom 7100). Sprich dass Netz war nach Stromtrennung nicht mehr erreichbar. Das habe ich aber natürlich nicht mehr getestet.

Es hat jedoch, auch hinter dem Modem, bis zur Stromtrennung alles so funktioniert wie es sollte.

Gruß,
Lasso

[Bernie137]

Der 1781 ist über den WAN-Port im Netz des Speedports.

Warum ist da noch ein Netz davor? Wäre es nicht besser den EF+ die Einwahl machen zu lassen?

Gruß Bernie

[Lasso]

Der 1781 ist über den WAN-Port im Netz des Speedports.

Warum ist da noch ein Netz davor? Wäre es nicht besser den EF+ die Einwahl machen zu lassen?

Gruß Bernie

Wenn ich den Speedport als Modem-Only einrichte, dürfte aber das (Analog-)Telefon nicht mehr funktionieren.
Von daher muss ich mit dem Transportnetz zwischen Speedport und Lancom zurechtkommen.

Gruß,
Lasso