Hallo,
ich habe ein Problem.
Zuerst folgende Umgebung:
Zentrale: LANCOM 8011.
Mit diesem Router baue ich eine DSL-Verbindung zu einem Kunden auf. Das funktioniert wunderbar. Aus meinem lokalen Netz kann ich die Rechner im Kundennetz erreichen. Die Verbindung wird maskiert.
Weiter baue ich mit diesem Router eine VPN-Verbindung zu einer Filiale auf.
Filiale: LANCOM 1711.
Alle Rechner in der Filiale können alle Rechner in der Zentrale erreichen.
Nun mein Problem:
Jetzt möchte ich, daß die Rechner in der Filiale die Rechner beim Kunden erreichen können. Das funktioniert leider nicht.
Die Einstellungen habe ich von hier: http://www2.lancom.de/kb.nsf/a5ddf48173 ... vpn,German
übernommen und angepasst.
In der Zentrale kommt immer folgende Meldung:
[VPN-Status] 2006/10/10 14:35:10,820 IKE info: Phase-2 failed for peer FILIALE: no rule matches the phase-2 ids 192.168.6.0/255.255.255.0 <-> 10.10.0.0/255.255.0.0
IKE log: 143510 Default message_negotiate_sa: no compatible proposal und
IKE log: 143510 Default dropped message from X.X.X.X port 500 due to notifcation type NO_PROPOSAL_CHOSEN
IKE info: dropped message from peer FILIALE X.X.X.X port 500 due to notification type NO_PROPOSAL_CHOSEN
Vielleicht kann mir ja jemand helfen. Ich habe leider noch nicht so viel Erfahrung mit VPN-Verbindungen.
Gruss,
Zerphod
Tunneln eines weiteren Netzes durch eine VPN Verbindung
Moderator: Lancom-Systems Moderatoren
Hi zerphod
Leider kenne ich die Netze nicht, aber ich nehme mal an, daß die Zentrale das 10.10.x.x Netz hat und in der Filiale ein Subnetz daraus genommen wird. Der Kunde hat vermutlich das Netz 192.168.6.x
Dann mußt du in der Filiale die Route zum Kundennetz auf den VPN-Tunnel legen und in der Zentrale eine passende VPN-Regel in die Firewall aufnehmen:
Bei der Erstellung der Regeln muß man sich immer vergegenwärtigen, was aus VPN-sicht lokal und was remote ist. Für den Tunnel zur Filiale ist halt das Filialnetz remote (Ziel) und ALLES andere (insbesondere das Kundennetz) lokal (Quelle)
In Richtung Kundennetz brauchst du keine zusätzliche Regel anzugeben, da in diese Richtung ja maskiert wird (für diesen Tunnel ist das Kundennetz remote und NUR die Adresse hinter der maskiert wird lokal).
Gruß
Backslash
Leider kenne ich die Netze nicht, aber ich nehme mal an, daß die Zentrale das 10.10.x.x Netz hat und in der Filiale ein Subnetz daraus genommen wird. Der Kunde hat vermutlich das Netz 192.168.6.x
Dann mußt du in der Filiale die Route zum Kundennetz auf den VPN-Tunnel legen und in der Zentrale eine passende VPN-Regel in die Firewall aufnehmen:
Code: Alles auswählen
Quelle: 192.168.6.0/255.255.255.0 (Netz des Kunden)
Ziel: Netz der Filiale oder einfach "Gegenstelle FILIALE"
Aktion: Übertragen
[ ] Diese Regel ist für die Firewall aktiv
[ ] Weitere Regeln beachten, nachdem diese regel zutrifft
[x] Diese Regel wird zur Erzeugung von VPN-Regeln herangezogenIn Richtung Kundennetz brauchst du keine zusätzliche Regel anzugeben, da in diese Richtung ja maskiert wird (für diesen Tunnel ist das Kundennetz remote und NUR die Adresse hinter der maskiert wird lokal).
Gruß
Backslash