Upgrade 9100+ auf VRouter, IKEv2 über IPSEC-HTTPS timeout

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
Tourist1
Beiträge: 1
Registriert: 13 Nov 2019, 13:56

Upgrade 9100+ auf VRouter, IKEv2 über IPSEC-HTTPS timeout

Beitrag von Tourist1 »

9100+ mit Firmware 10.12 IKEv2 Parameter mit IPSEC-HTTPS
Bild

nach upgrade auf VRouter mit Firmware 10.30 sieht das Feld so aus
Bild

Die Router mit IKEv2 wählen sich nicht mehr ein.
Also im neuen Vrouter die Encapsulation auf SSL Port 443 und auch 500 gestellt und leider blieb der Erfolg aus
Habe auch SSL ohne Port getestet oder ganz ohne Encapsulation oder mit UDP. Leider keine Einwahl der Router

Ich würde die Router ja auch einzeln anpassen, leider handelt es sich hier um ca. 400 Router die sich nicht einwählen. Also muss ich auf dem Gateway einen Parameter anpassen, das die Router sich wieder einwählen. Habe auch einen Trace darauf gemacht -> Timeout.

Stelle ich im Router und im Gateway IPSEC-HTTPS aus, funktioniert alles. Die Router haben jedoch alle IPSEC-HTTPS aktiv
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Upgrade 9100+ auf VRouter, IKEv2 über IPSEC-HTTPS timeout

Beitrag von backslash »

Hi Tourist1,

"encapsulation SSL" = "IPSec-HTTPS ein". Das wurde gheändert, weil weitere Varianten hinzugekommen sind...
"encapsulation UDP" erwingt ein einpacken der ESP-Pakete in UDP-Pakete (als ob NAT-T ausgehandelt wurde)
"encapsulation keine" sorgt dafür, daß die ESP Pakete nackt übertragen werden (wenn kein NAT-T ausgehandelt wird)

Der SSL-Server-Port muß dabei auf 443 blieben - zumindest für eingehende Verbindungen. für ausgehende Verbindungen - und daß ist das, was du dort einstellst - ist der SSL-Server-Port egal.

Eigentlich sollte das einfach so weiter funktionieren, ohne daß du irgendetwas änderst - da du aber von einer 10.30 sprichst: spiel doch erstmal eine aktuelle Firmware ein (10.32 RU2)

Gruß
Backslash
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Upgrade 9100+ auf VRouter, IKEv2 über IPSEC-HTTPS timeout

Beitrag von GrandDixence »

Vor dem Einsatz eines vRouter ist die:

- Zeitsynchronisation
- Hardwarebeschleunigte Verschlüsselung und Entschlüsselung der VPN-Datenpakete
- Hardware-Zufallszahlengenerator

des Gastsystems (hier: vRouter) abzuklären. Siehe auch:
aktuelle-lancom-router-serie-f41/vroute ... 6-s15.html

Zu beachten sind die emulierten Netzwerkkomponenten: Befindet sich der vRouter hinter einer emulierten NAT-Netzwerkkomponente, ist "Feierabend" mit Serverdiensten à la "VPN-Server" auf dem vRouter.

Der Einsatz von "encapsulation SSL" (IPSec-HTTPS) ist nur für VPN-Clients in schlecht administrierten, fremden Netzwerken (zum Beispiel: Hotel WLAN/WiFi) sinnvoll. Aus Performancegründen sollte möglichst auf den Einsatz von "encapsulation SSL" (IPSec-HTTPS) verzichtet werden. Siehe auch:
viewtopic.php?f=14&t=17335&p=98471&hili ... tel#p98471

Allgemein sei auf die VPN-Anleitung unter:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
verwiesen.
Antworten