mittlerweile bin ich schon wesentlich weiter als bei meinem letzten thread.
ich konnte bereits zwieschen beiden 1721 eine vpn verbidung aufbauen, allerdings nur per pre-shared key.
beim erzeugen der zertifikate mit openssl für windows bekam ich beim kommando "x509 -extfile openssl.cnf -req -in device.req -CAkey ca.key -CA ca.crt -CAcreateserial -days 90 -out device.crt" immer eine fehlermedung. nun habe ich ich es irgendwie mit debian geschafft auch bei diesem kommando keine fehlermeldung mehr zu bekommen ( ich habe die openssl.cnf mit absoluten pfad angegeben). wenn ich ich nun aber bei beiden routern die lan lan koppplung auf zertifikate umstelle (natürlich habe ich die pkcs12 pakete auf beide router hochgeladen) un mich mit dem advanced vpn client verbiden will, steht folgendes in der log datei:
okay ich merke schon anscheinend kann mir keiner helfen. eine (hofentlich) einfachere frage habe ich noch: wenn man einer pkcs12 datei in den advanced vpn client lädt, sollte dadurch direkt ein neuer eintrag in der "CA-Zertifikate anzeigen"- Tabelle? weil bei mir is dies nicht der fall..
es sieht so aus, als wäre dein Zertifikat zu groß. Ab einer bestimmten größe müssen Zertifikate fragmentiert werden und viele Router haben damit Ihre Probleme. Wie gesagt, dies ist nur eine Vermutung, da dieses Fehlerbild dieses Problem wiedergibt.
Zu deiner zweiten Frage. Das ist nicht der Fall. Unter dem Punkt CA-Zertifikate erscheinen nur die Root-Zertifikate, die in das Verzeichnis "CaCerts" unter dem Installations-Verzeichnis des AVC kopiert werden.
danke für die antwort. eine frage hätte ich noch: wenn man eine LAN-LAN Kopplung macht braucht man dann den advanced vpn client wenn beide router eine feste ip haben? wie findet man heraus ob die kopplung erfolgreich war? kann man dann die rechner des anderen netzwerks anpingen?
vielen dank im voraus
danke für die antwort. eine frage hätte ich noch: wenn man eine LAN-LAN Kopplung macht braucht man dann den advanced vpn client wenn beide router eine feste ip haben?
wenn du eine LAN-LAN-Kopplung mit zwei Routern machst, dann brauchst du überhaupt keinen zusätzlichen Client
findet man heraus ob die kopplung erfolgreich war? kann man dann die rechner des anderen netzwerks anpingen?
wenn du ping nirgendwo blockiert hast und die Rechner ihr Gateway kennen - ja...
es sieht so aus, als wäre dein Zertifikat zu groß. Ab einer bestimmten größe müssen Zertifikate fragmentiert werden und viele Router haben damit Ihre Probleme.
Sorry - aber das ist absoluter Blödsinn.
Zu deiner zweiten Frage. Das ist nicht der Fall. Unter dem Punkt CA-Zertifikate erscheinen nur die Root-Zertifikate, die in das Verzeichnis "CaCerts" unter dem Installations-Verzeichnis des AVC kopiert werden.
Auch das ist falsch. Falls in der PKCS#12 Datei das Zertifikat der CA enthalten ist, muss es nicht explizit im CaCerts hinterlegt werden.
ich hoffe dies ist das letzte mal dass ich mit meinen fragen bekästigen muss.
okay da ich für die LAN-LAN kopplung den client nicht brauche habe ich mich ich mir noch einmal die eingellugen angekukkt diese sind wie folgt:
router bei mir zu hause(filiale)
ip:91.0.79.208
intranet-ip des routers (laut lanconfig): 172.23.56.254
router bei nem kumpel (zentrale)
ip:81.173.135.210
intranet ip des routers (laut lanconfig): 172.23.55.1
ich habe die kopplung genau nach knowlledgebase durchgeführt (ohne NETBios) und zawr mit folgenden werten
filiale:
-beide ips statisch (sind natürlich keine festen ips aber ich stelle die immer per hand um)
zertifikate: ahbe die test zertifikate von lancom benutzt und die lokale und entfernte identität aus der knowledge-base übernommen
-optimierter aufbau
-wiederverbinden bei trennung.
-so als gateway habe ich nun die ip der zenrtrale genommen:81.173.135.210
-ip des netzwerks: 172.23.55.0
maske: 255.255.255.0
extranet VPN nicht angemacht. netbios auch ned.
das gleiche spiel mit zentrale. mit folgenden TCP/IP einstellungngen:
gateway: 91.0.79.208
ip des netzwerks: 172.23.56.0
maske: 255.255.255.0
eintrag in die polling tabelle von Filiale:
gegenstelle: Zentrale
ip:172.23.56.16 (einziger rechner im netzwerk von zentrale)
lanmonitor sagt:
zeitüberschreitung während IKE oder IPSec-verhandlung (initiator) [0x1106]
ich bin für jede noch so kleine hilfe höxt dankbar.
die Fehlermeldung sagt doch schon, was dem LANCOM nicht passt...
Hast du die VPN-Verbindung zur Zentrale auch ZENTRALE genannt (so wie du es in der Polling-Tabelle eingetragen hast)?
Ich hoffe, du hast in der Zentrale kein Keep-Alive ("wiederverbinden bei trennung") konfiguriert...
ja die verbindung heißt ZENTRALE und ich hatte keep-alive an. das is nun aus aber die fehlermeldung ist leider noch immer die selbe. hast du noch ieine andere idee?
vielen dank im voraus
MFG Malte_Hommes
das is nun aus aber die fehlermeldung ist leider noch immer die selbe
irgendwie kann ich das nicht glauben, denn die Meldung kommt eigentlich nur, wenn auch wirklich Keep-Alive konfiguriert ist. Hast du schonmal versucht den Schalter für den SA-Aufbau auf "Immer alle gemeinsam" zu stellen?
