site-to-site VPN einseitig hinter NAT

jo2k · Beitrag von **jo2k** » 18 Aug 2011, 18:25

Hallo,

ich habe ein Problem beim verbinden zweier 1821n per IPsec VPN.

Folgende Situation:

1821n CZ     Provider                    1821n DE
     WAN --- LAN  WAN --- <Internet> --- WAN  LAN --- ...
     (a)          (b)                    (c)

a hat eine RFC 1597 Adresse, b und c sind feste öffentliche Adressen. Der Router des Providers leitet sämtlichen IPsec-Traffic an den Router in CZ weiter. Leider kann ich den LANCOM Router dort nicht direkt anschließen, da der Provider nicht mitspielt. Ein anderer Provider kommt leider auch nicht in Frage.

Ich habe bereits SSL-encapsulation aktiviert, jedoch wird der Tunnel aus mir unerklärlichen Gründen manchmal aufgebaut und manchmal nicht.

Der Fehler auf meiner (DE) Seite wenn's nicht klappt:
Line polling to remote gateway failed [0x1307]

Und auf der anderen (CZ) Seite:
IKE or IPsec establishment timeout (Initiator) [0x1106]

Was übersehe ich bzw. wo kann ich ansetzen?

backslash · Beitrag von **backslash** » 19 Aug 2011, 12:14

Hi jo2k

eigentlich mußt du nur dafür sorgen, daß der Tunnel immer nur von a nach c aufgebaut wird und auf beiden Seiten NAT-T aktiviert ist, denn dann muß der Provider nicht "mitspielen". Auf die SSL-Encapsulation solltest du verzichten, denn das ist nur ein Notanker für den Fall, daß der Provider IPSec blockiert...

Die Frage ist natürlich: wie gut ist die Strecke zwischen a und c? Hast du mal dauerhaft ein Ping laufen lassen und geprüft, ob es auf der Strecke vielleicht massiv Paketverluste oder Delays gibt?

Gruß
Backslash

jo2k · Beitrag von **jo2k** » 19 Aug 2011, 17:09

Erstmal vielen Dank für deine Hilfe.

SSL habe ich jetzt deaktiviert und NAT-Traversal ist auf beiden Seiten aktiv. Ich habe dafür gesorgt, dass a die Verbindung nach c automatisch aufbaut, jedoch weiß ich noch nicht genau wie ich strikt verhindern kann, dass c die Verbindung initiiert. Das scheint aber kein großes Problem zu sein.

Momentan habe ich die short hold time an a auf 9999 und an c auf 0 gesetzt. Nach einem Neustart des Routers in DE versucht er erst eine Verbindung von c nach a, was fehlschlägt. Daraufhin wird die Verbindung andersherum aufgebaut und steht stabil.

Danke.

PS: Wie stabil die Verbindung ist, wird sich zeigen. Bisher hat in CZ niemand geklagt.