Hallo,
ich möchte eine VPN-Verbindung mit zwei 1711 aufbauen. Das ist ja nicht sonderlich schwer.
Beide Router hängen aber hinter einer Firewall. Die eine Seite hinter einem 821 und der Andere hinter einer Fritz-Box (nicht lachen). Aus beiden Firewall-Systemen habe ich den Port 500 und Port 1723 auf die jeweiligen 1711er geleitet. Bei der Fritzbox zusätzlich ESP.
Die VPN-Konfiguration habe ich erstmal ganz simpel über den Assistenten mit Shared-Key ausgeführt.
Wenn ich jetzt versuche eine VPN-Verbindng aufzubauen, dann bekomme ich egal auf welcher Seite eine Zeitüberschrietung der IKE oder IPSEC-Verhandlung.
Nun bin ich mit meinem Latein am ende.
Vielleicht hat ja jemand anderes eine Idee.
VPN hinter Firewall
Moderator: Lancom-Systems Moderatoren
-
Muffeljupp
- Beiträge: 7
- Registriert: 13 Jan 2006, 20:36
Hallo Goermet,
habe mich bereits an deinem Problem orientiert und hänge natürlich auch
Die Systeme sind folgendermassen aufgebaut
Standort 1:
Lokal 192.168.253.0/24 -> (VPN Router) -> (DMZ) 192.168.254.0/24 -> (821) -> Internet
Standort 2:
Lokal 192.168.244.0/24 -> (VPN Router) -> (DMZ) 192.168.0.0/24 -> (FritzBox) -> Internet
Ich hoffe das ist so verständlich. Die VPN Router sind so eingerichtet, das sie eine (Internet) Verbindung über Plain Ethernet herstellen.
Die Routing Tabellen habe ich so angebasst, das die privaten Einträge für das 192er Netz nicht geblockt werden.
Was ich nicht weiß, ist ob der Provider die Verbindung nicht zulässt. Auf der einen Seite habe ich T-Business mit T-Business-Zugang.
Auf der andern T-Business mit 1und1 Zugang.
habe mich bereits an deinem Problem orientiert und hänge natürlich auch
Die Systeme sind folgendermassen aufgebaut
Standort 1:
Lokal 192.168.253.0/24 -> (VPN Router) -> (DMZ) 192.168.254.0/24 -> (821) -> Internet
Standort 2:
Lokal 192.168.244.0/24 -> (VPN Router) -> (DMZ) 192.168.0.0/24 -> (FritzBox) -> Internet
Ich hoffe das ist so verständlich. Die VPN Router sind so eingerichtet, das sie eine (Internet) Verbindung über Plain Ethernet herstellen.
Die Routing Tabellen habe ich so angebasst, das die privaten Einträge für das 192er Netz nicht geblockt werden.
Was ich nicht weiß, ist ob der Provider die Verbindung nicht zulässt. Auf der einen Seite habe ich T-Business mit T-Business-Zugang.
Auf der andern T-Business mit 1und1 Zugang.
Hi Muffeljupp
das ganze kann letztendlich nur unter folgenden Rahmenbedingungen funktionieren:
a) wenn du mit Preshared Keys arbeiten willst, dann mußt du auch Aggressive-Mode machen.
b) wenn du aus Sicherheitsgründen aber den Main-Mode verwenden willst, dann mußt du auch Zertifikate verwenden.
Ab Firmware 5.20 funktioniert auch dynamic VPN (dynamische Adressen mit Main-Mode und preshared Key) über ein NAT, wenn du zur Adressübermittlung UDP verwendest. Dafür mußt du in den Firewalls zusätzlich noch den Port 87 forwarden...
Gruß
Backslash
das ganze kann letztendlich nur unter folgenden Rahmenbedingungen funktionieren:
a) wenn du mit Preshared Keys arbeiten willst, dann mußt du auch Aggressive-Mode machen.
b) wenn du aus Sicherheitsgründen aber den Main-Mode verwenden willst, dann mußt du auch Zertifikate verwenden.
Ab Firmware 5.20 funktioniert auch dynamic VPN (dynamische Adressen mit Main-Mode und preshared Key) über ein NAT, wenn du zur Adressübermittlung UDP verwendest. Dafür mußt du in den Firewalls zusätzlich noch den Port 87 forwarden...
Gruß
Backslash
-
Muffeljupp
- Beiträge: 7
- Registriert: 13 Jan 2006, 20:36
Hallo Backslash,
ich habe die Einrichtung mit dem Setup-Assistenten gemacht und der konfiguriert ja den Main-Mode.
Reicht es den Aggressive Mode einzuschalten oder muss dafür noch mehr konfiguriert werden. Denn, den einfach umschalten habe ich ausprobiert.
Ich muss dazu sagen, das ich eine VPN nicht von Hand konfigurieren könnte, da ich dafür zu wenig Ahnung von VPN habe.
Ich denke aber, ich werde versuchen mit Zertifikaten zu arbeiten, da ich die Einwahl in unsere Kundennetzte damit plane.
Erstmal möchte ich allerdings eine Verbindung hinbekommen, und da würde ich es im Aggressive-Mode testen.
ich habe die Einrichtung mit dem Setup-Assistenten gemacht und der konfiguriert ja den Main-Mode.
Reicht es den Aggressive Mode einzuschalten oder muss dafür noch mehr konfiguriert werden. Denn, den einfach umschalten habe ich ausprobiert.
Ich muss dazu sagen, das ich eine VPN nicht von Hand konfigurieren könnte, da ich dafür zu wenig Ahnung von VPN habe.
Ich denke aber, ich werde versuchen mit Zertifikaten zu arbeiten, da ich die Einwahl in unsere Kundennetzte damit plane.
Erstmal möchte ich allerdings eine Verbindung hinbekommen, und da würde ich es im Aggressive-Mode testen.
Hi Muffeljupp
Gruß
Backslash
Du mußt zusätzlich noch die Identitäten korrekt setzen (unter VPN -> IKE-Param -> IKE-Schlüssel), da der Aggressive-Mode die Verbindungen nicht anhand der IP-Adressen, sondern anhand der Identitäten auseinanderhält. Achte dabei darauf, daß lokale und remote Identität jeweils überkreuz eingetragen werden müssen...Reicht es den Aggressive Mode einzuschalten oder muss dafür noch mehr konfiguriert werden. Denn, den einfach umschalten habe ich ausprobiert.
Gruß
Backslash
-
Muffeljupp
- Beiträge: 7
- Registriert: 13 Jan 2006, 20:36
Tipps.. ja: Falls Du zum ersten Mal Zertifikate erstellst, und das mit openssl, am besten erstmal die umständliche Vorgehensweise aus dem LANCOM-Handbuch mit diversen Ordnern und einer separaten Konfigurationsdatei ignorieren. Einfach irgendwo einen leeren Ordner anlegen und daraus openssl aufrufen... dann funktioniert es auch. 
Gruß
omd
Gruß
omd
LC 1811 / LCOS 5.08
-
Muffeljupp
- Beiträge: 7
- Registriert: 13 Jan 2006, 20:36
So....
habe die Zertifikate mit openssl erstellt. Das war zwar aufwändiger, aber das funktionierte wenigstens (mein 2003 SBS wollte nicht so wie ich das wollte).
Leider habe ich dein Statement 'OMD' zu spät gelsen, dann hätte ich mir die Fehlersuche gespart. Die Angabe der open.cnf funktioniert nicht. Aber...einfach loslegen und schon klappt es.
Auch die Beschreibung im Handbuch ist genau das richtige für mich.
Alle Änderungen so durchgeführt und schon geht die VPN-Verbindung mit Zertifikaten.
Vielen Dank an alle die sich mit mir Gedanken gemacht haben.!!!
habe die Zertifikate mit openssl erstellt. Das war zwar aufwändiger, aber das funktionierte wenigstens (mein 2003 SBS wollte nicht so wie ich das wollte).
Leider habe ich dein Statement 'OMD' zu spät gelsen, dann hätte ich mir die Fehlersuche gespart. Die Angabe der open.cnf funktioniert nicht. Aber...einfach loslegen und schon klappt es.
Auch die Beschreibung im Handbuch ist genau das richtige für mich.
Alle Änderungen so durchgeführt und schon geht die VPN-Verbindung mit Zertifikaten.
Vielen Dank an alle die sich mit mir Gedanken gemacht haben.!!!