Verbindungsproblem Lancom 1711 <-> D-Link DI604 Phase

-Xeno- · Beitrag von **-Xeno-** » 17 Mär 2006, 17:38

Hallo,

ich habe folgendes Problem:
Ich versuche von einem Home-Office eine VPN Verbindung in das Firmennetz herzustellen.

Auf der Home-Office Seite steht ein Laptop mit WIn XP und Lancom Advanced VPN Client und dem Router D-Link DI 604. In der Firma steht ein 1711.

Die VPN Verbindung klappt ohne den D-Link Router. Sobald ich über den Router ins Internet gehe funktioniert es nicht mehr. Im Router habe ich alle Filter deaktiviert.

Im log des Clients steht folgendes:

Code: Alles auswählen

15.03.2006 19:05:48  IPSDIALCHAN::start building connection
15.03.2006 19:05:48  IPSDIAL::DNSREQ: resolving dnserver over lan: kleeblatt-consult.dyndns.org
15.03.2006 19:05:49  IPSDIAL->DNSREQ: resolved ipadr: 084.162.118.069
15.03.2006 19:05:49  NCPIKE-phase1:name(Kleeblatt Consult) - outgoing connect request - aggressive mode.
15.03.2006 19:05:49  XMIT_MSG1_AGGRESSIVE - Kleeblatt Consult
15.03.2006 19:05:49  RECV_MSG2_AGGRESSIVE - Kleeblatt Consult
15.03.2006 19:05:49  IPSDIAL->FINAL_TUNNEL_ENDPOINT:084.162.118.069
15.03.2006 19:05:49  IKE phase I: Setting LifeTime to 28800 seconds
15.03.2006 19:05:49  XMIT_MSG3_AGGRESSIVE - Kleeblatt Consult
15.03.2006 19:05:49  Turning on DPD mode - Kleeblatt Consult
15.03.2006 19:05:49  NCPIKE-phase1:name(Kleeblatt Consult) - connected
15.03.2006 19:05:50  XMIT_IKECFG_REQUEST - Kleeblatt Consult
15.03.2006 19:05:50  RECV_IKECFG_REPLY - Kleeblatt Consult
15.03.2006 19:05:50  NCPIKE-xauth:name(Kleeblat) - IkeCfg: enter state open
15.03.2006 19:05:50  XMIT_MSG1_QUICK - Kleeblatt Consult
15.03.2006 19:05:58  NOTIFY : Kleeblatt Consult : RECEIVED : NOTIFY_MSG_R_U_HERE
15.03.2006 19:05:58  NOTIFY : Kleeblatt Consult : SENT : NOTIFY_MSG_R_U_HERE_ACK
15.03.2006 19:06:02  NCPIKE-phase2:name(Kleeblatt Consult) - error - retry timeout - max retries
15.03.2006 19:06:02  IPSDIAL  - disconnected from Kleeblatt Consult on channel 1.
15.03.2006 19:06:07  WmPowerBroadCast:  WParam =  10

Hat jemand eine Idee warum er bei der 2. Phase einen error bekommt?

eddia · Beitrag von **eddia** » 19 Mär 2006, 11:40

Hallo -Xeno-,

Die VPN Verbindung klappt ohne den D-Link Router. Sobald ich über den Router ins Internet gehe funktioniert es nicht mehr.

sieht so aus, als ob der D-Link kein IPSec-Passtrough beherrscht. Versuchs mal mit NAT-Traversal im Lancom VPN.

Gruß

Mario

-Xeno- · Beitrag von **-Xeno-** » 20 Mär 2006, 00:07

Meiner Meinung nach müsste das funktionieren.
Im Manual steht folgendes:

Unterstützt VPN Pass-Through
Unterstützt mehrere Pass-Through PPTP-Sitzungen. Außerdem können VPN-Server und VPNClients
eingerichtet werden.

Einführung in VPNs
Virtuelle Private Netzwerke (VPN) benutzen ein öffentliches Netzwerk (meist das Internet), um
zwei verschiedene Netzwerke zu einem zu vereinen. Zum Beispiel kann ein Mitarbeiter auf das
Firmennetzwerk von zu Hause aus zugreifen, Dokumente bearbeiten oder drucken. Mehrere
Realisierungen des VPN:
Point-to-Point Tunneling Protocol (PPTP)
PPTP benutzt proprietäre Funktionen, um zwei private Netzwerke über das Internet zu
verbinden. PPTP sichert die zwischen Netzwerken ausgetauschten Informationen, indem es die
Daten innerhalb eines Datenpakets verschlüsselt.
IP-Sicherheit (IPSec)
IPSec bietet einen wirksameren Schutz der Kommunikation zwischen Netzwerken über das
Internet oder ein WAN. IPSec verschlüsselt die gesamte Kommunikation zwischen Client und
Server, während PPTP nur auf Datenpaketebene verschlüsselt.
Da es keinen Standard für VPN-Serversoftware gibt, werden beide VPN-Implementationen
genutzt Daher ist die Kommunikation von Netzwerken unterschiedlicher Unternehmen oder
ISPs mit je eigenen VPN-Lösungen nicht immer einfach zu realisieren.

tunichtgut · Beitrag von **tunichtgut** » 20 Mär 2006, 07:51

-Xeno- hat geschrieben:Meiner Meinung nach müsste das funktionieren.
Im Manual steht folgendes:

??? Na dann bring Deinem D-Link mal bei deiner Meinung nach zu funktionieren, oder probiers mit NAT-T...

-Xeno- · Beitrag von **-Xeno-** » 20 Mär 2006, 11:32

Wo kann ich das am Lancom Router aktivieren?

Beim D-Link gibt es keine NAT Funktion in der Konfiguration.

tunichtgut · Beitrag von **tunichtgut** » 20 Mär 2006, 11:51

-Xeno- hat geschrieben:Wo kann ich das am Lancom Router aktivieren?

Unter dem Reiter VPN, das Häkchen bei NAT-Traversal setzen.

-Xeno- · Beitrag von **-Xeno-** » 20 Mär 2006, 11:57

Unter dem Reiter VPN gibt es diesen Eintrag nicht. Konnte es auch nicht in einem Untermenü von VPN finden. wird das erst ab einer bestimmten Firmware unterstützt?

tunichtgut · Beitrag von **tunichtgut** » 20 Mär 2006, 12:01

Pardon

, ich gehe scheinbar immer wie selbstverständlich davon aus, das eine halbwegs aktuelle Firmware installiert ist ... NAT Traversal kam mit der 5.20 rein.

-Xeno- · Beitrag von **-Xeno-** » 20 Mär 2006, 13:36

Ok ich update mal die Firmware. Kannst du mir auch sagen was genau Nat-T in zusammenhang mit VPN bringt. Nur zum Verständnis wie das dann funktioniert.

tunichtgut · Beitrag von **tunichtgut** » 20 Mär 2006, 13:39

Bei NAT-Traversal wird der IPSec-Traffic in ein UDP-Paket (Port 4500) gepackt.
Diese Art des UDP-Tunnelns erlaubt es, daß Quellport und -adresse durch das NAT-Gerät geändert werden und keine Änderungen am ESP-Paket durchgeführt werden müssen. Wenn ein solches Paket nun am VPN Server ankommt, wird der UDP-Header entfernt und das IPSec-Paket kann ganz normal bearbeitet werden.

-Xeno- · Beitrag von **-Xeno-** » 20 Mär 2006, 16:02

ok, hab im Referenz Handbuch auch was dazu gelesen und ist verständlich. Ich habe die Firmware jetzt auf den neusten Stand gebracht und und NAT-T aktiviert. Jetzt muss ich nur nochmal versuchen ob es klappt.