VPN Aufbau funktioniert nicht mit eingetragenem Extranet

hevtig · Beitrag von **hevtig** » 25 Sep 2006, 16:26

Hallo,

ich habe ein Problem mit dem Aufbau eines VPN Tunnels.
Zum Einsatz kommen 2 LANCOM 3550.
Einer davon fungiert momentan als VPN- Server, der andere als Client, der per UMTS sich mit dem Server verbinden soll.
Das klappt soweit ganz gut.
Als Anhang erstmal der Plan, wie das Ganze aussehen soll.

Bild

Es soll also nach dem LANCOM- VPN evtl. noch ein weiteres VPN, z.B. über PPTP aufbebaut werden. Der ISA fungiert als PPTP- VPN Server.

Jetzt habe ich folgendes Problem:
Die Verbinung LANCOM-VPN über UMTS besteht, nur die PPTP Verbindung funktioniert nicht!
Bin ich in dem 10er Netz funktioniert sie aber.
Der ISA verwirft die Pakete, weil für ihn die Pakete auf der falschen Netzwerkkrte ankommen. Er bekommt Pakete von 192.168.1.x auf der externen Karte.

Ansich gibt es für mich da nur 2 Lösungen:

Entweder ich änder etwas am ISA, daß im so etwas egal ist, oder ich sorge dafür, daß das 1. Netz maskiert wird.
Diese Funktion dachte ich mit dem Extranet zu erreichen.
- Ist das richtig?
Trage ich ein Extranet in den 1. Lancom Router ein ommt die VPN Verbindung nicht mehr zusammen:
Meldung:

[VPN-Status] 1900/01/03 01:18:06,820
IKE info: The remote server XXX.XXX.XXX.XXX:500 peer def-aggr-peer id <no_id> is En
igmatec IPSEC version 1.5.1
IKE info: The remote server XXX.XXX.XXX.XXX:500 peer def-aggr-peer id <no_id> suppo
rts NAT-T in mode draft
IKE info: The remote server XXX.XXX.XXX.XXX:500 peer def-aggr-peer id <no_id> suppo
rts NAT-T in mode draft
IKE info: The remote server XXX.XXX.XXX.XXX:500 peer def-aggr-peer id <no_id> suppo
rts NAT-T in mode rfc
IKE info: The remote server XXX.XXX.XXX.XXX:500 peer def-aggr-peer id <no_id> negot
iated rfc-3706-dead-peer-detection

[VPN-Status] 1900/01/03 01:18:06,820
IKE info: Phase-1 remote proposal 1 for peer def-aggr-peer matched with local pr
oposal 1

[VPN-Status] 1900/01/03 01:18:06,820
IKE log: 011806 Default dropped message from XXX.XXX.XXX.XXX port 500 due to notifi
cation type INVALID_ID_INFORMATION

[VPN-Status] 1900/01/03 01:18:06,830
IKE info: dropped message from peer unknown XXX.XXX.XXX.XXX port 500 due to notific
ation type INVALID_ID_INFORMATION

Irgend eine Idee, warum das mit dem Extranet nicht hinhaut?

eddia · Beitrag von **eddia** » 25 Sep 2006, 20:25

Hallo hevtig,

Als Anhang erstmal der Plan, wie das Ganze aussehen soll.

es ist natürlich keine gute Idee, für das LAN am UMTS-Router und dem LAN hinter dem ISA das gleiche IP-Netz zu verwenden. Dein DSL-Router kann gar nicht entscheiden, wohin denn nun ein IP-Paket gehen soll.

Trage ich ein Extranet in den 1. Lancom Router ein ommt die VPN Verbindung nicht mehr zusammen:

Am UMTS-Lancom muss als Extranetadresse eine freie IP aus dem 10er Netz eingetragen werden. Am UMTS-Router muss im IP-Router diese IP mit der Netzmaske 255.255.255.255 auf die VPN-Verbindung verweisen. Eine Route für das Netz 192.168.1 darf nur noch für das LAN hinter dem ISA existieren.

Gruß

Mario

hevtig · Beitrag von **hevtig** » 26 Sep 2006, 10:27

Hallo eddia,

vielen Dank für die Antwort.

es ist natürlich keine gute Idee, für das LAN am UMTS-Router und dem LAN hinter dem ISA das gleiche IP-Netz zu verwenden. Dein DSL-Router kann gar nicht entscheiden, wohin denn nun ein IP-Paket gehen soll.

Ja, ich weiß, daß es nicht besonders "schön" ist. Wenn ich die IP´s ändern könnte hätte ich kein Problem. Das Problem ist aber, daß letztendlich User das VPN nutzen sollen, die normalerweise in dem 192.er Netz arbeiten und nur Hauptbenutzerrechte haben. Allerdings könnte es funktionieren, da ich in der PPTP Verbindung angebe, daß alles an das entfernte Gateway geschickt werden soll.

Am UMTS-Lancom muss als Extranetadresse eine freie IP aus dem 10er Netz eingetragen werden. Am UMTS-Router muss im IP-Router diese IP mit der Netzmaske 255.255.255.255 auf die VPN-Verbindung verweisen. Eine Route für das Netz 192.168.1 darf nur noch für das LAN hinter dem ISA existieren.

Das Problem ist leider, daß die VPN (Lancom/Lancom) nicht mehr zustande kommt, wenn ich die Extrantadresse eintrage. Ich bekomme da immer, wenn ich

Code: Alles auswählen

trace # vpn-status

eingebe die oben geschriebenen Meldungen. Invalid ID Information.

Grüße

Gerrit

eddia · Beitrag von **eddia** » 26 Sep 2006, 18:54

Hallo Gerrit,

Das Problem ist leider, daß die VPN (Lancom/Lancom) nicht mehr zustande kommt, wenn ich die Extrantadresse eintrage.

die erforderliche Änderung in der Routingtabelle am anderen Lancom hast Du ebenfalls vorgenommen?

Gruß

Mario

hevtig · Beitrag von **hevtig** » 26 Sep 2006, 22:55

Hallo eddia,

ich habe um UMTS Router eine IP aus dem 10er Kreis als Extranet eingegeben. Dann, ebenfalls am UMTS-Router, habe ich im IP Router wie oben beschrieben diese IP mit Subnet 255.255.255.255 konfiguriert. Seitdem kommt keine VPN verbindung mehr zustande.

Muß etwas am DSL Router eingestellt werden?

Vielen Dank

eddia · Beitrag von **eddia** » 27 Sep 2006, 18:13

Hallo Gerrit,

Dann, ebenfalls am UMTS-Router, habe ich im IP Router wie oben beschrieben diese IP mit Subnet 255.255.255.255 konfiguriert.

sorry - vertippt. Diese Route muss natürlich am DSL-Router eingerichtet werden.

Gruß

Mario