VPN mit 1781 EW

[stefan_1304]

Hallo zusammen,

ich bin leider recht unerfahren, was VPN anbelangt...
Ich möchte dennoch schnellstmöglich den unsicheren PPTP VPN via Microsoft RAS einstampfen.

Ich habe einen Lancom 1781 EW zur Verfügung. Wie sieht es da kostenmäßig aus mit den VPN Verbindungen? Im Datenblatt lese ich nur etwas von 5 gleichzeitigen Verbindungen. Was kostet da eine Erweiterung auf 25 gleichzeitige Verbindungen bzw. ist das mit diesem Modell überhaupt möglich?

Via Lanconfig habe ich gestern schon versucht etwas einzurichten mit mäßigem Erfolg.

Ich bin nach diesen beiden Links hier vorgegangen:

https://www.shrew.net/support/images/b/ ... ateway.pdf

https://www.shrew.net/support/images/4/ ... client.pdf

Ein großes Problem dabei war, dass mir der Assistent für VPN,RAS unter dem Punkt "Einstellungen für das TCP/IP Protokoll das falsche Subnet angezeigt hat. Wo kann ich dieses ändern, wenn schon nicht über den Assistenten? Hintergrund: Es sind am Router 2 Schnittstellen für 2 Subnetze definiert und ich bräuchte an der Stelle genau das andere.

Ich weiß, viele Fragen auf einmal, aber vielleicht kann mir jemand weiterhelfen.
Wäre echt dankbar.

Danke und schöne Grüße.
Stefan

[GrandDixence]

Genügt die VPN-Performance des 1781EW den Anforderungen?

http://www.lancom-systems.de/download/d ... nce_DE.pdf

[stefan_1304]

Ja sollte passen.
Wichtig wäre mir, wie ich das Intranet umstellen kann bzw. warum mir da das "falsche" intranet beim assistenten vorgeschalgen wird?

[GrandDixence]

Zugegeben, ich habe noch nie einen VPN auf einem LANCOM-Gerät eingerichtet. Aber bei LANCOM-Konfigurationsarbeiten gilt allgemein:

- Referenzhandbuch LCOS studieren (Kapitel 10 -> nur 120 Seiten).
- Bei der LANCOM-Konfiguration die LCOS Menüreferenz zu Hilfe nehmen (VPN-Kapitel > 40 Seiten).
- Finger weg von allen Assistenten!

Will man etwas sauber, zuverlässig und sicher in einem LANCOM-Gerät konfigurieren (z.B. VPN), muss man sich entsprechend viel Zeit nehmen: Sich in die Thematik einlesen, Basiswissen aufbauen, viel testen und ausprobieren.

Ein VPN ist nicht von heute auf morgen sauber, zuverlässig und sicher konfiguriert.

Zum Thema VPN kann ich das Lesen von zwei Heise-Artikeln empfehlen:

http://www.heise.de/security/artikel/VP ... 70796.html

http://www.heise.de/security/artikel/Ei ... 70056.html

[MariusP]

Hi,
5 VPN Verbindungen heißt das du 5 verschiedene VPN Tunnel gleichzeitig laufen lassen kannst.
Solange du nicht mehr als 5 Standorte oder Einwahlclients hast sollte das also keine Einschränkung sein.
Gruß

[stefan_1304]

Ich konnte erfolgreich eine VPN Verbindung mit dem Lancom Advanced Client aufbauen.

Ziel ist aber nach wie vor, dass das Ganze mit dem Shrewsoft Client klappt.
Ich habe die EInstellungen aus dem Config File entsprechend umgemünzt auf den Shrew Client und auch mit verschiedenen Anleitungen gearbeitet.
Ich habe im Shrewclient auch über die Policy ein Netz angegeben, in das geroutet werden soll.
Der Tunnel steht dort so lange auf enable, bis ich z.B. eine IP in diesem Netzwerk anpinge.

Dann steht im Shrew-Client

Code: Alles auswählen

session terminated by gateway
tunnel disabled
detached from key daemon

Eine Verbindung wird auch aufgebaut, ABER im LANmonitor habe ich einen Fehler drinnen.

Code: Alles auswählen

Keine Regel für ID's gefunden - unbekannte Verbindung oder fehlerhafte ID (z.B. IP-Netzwerkdefinition) (Passiver Verbindungsaufbau, IPSec) [0x3201]

Was kann ich machen an der Stelle. Danke.

[MariusP]

Hi,
Anscheinend stimmt die ID die vom Shrewsoft übermittelt wird nicht mit der erwarteten ID des Lancoms überein.
Du könntest einen vpn-ike Trace laufen lassen und dort schauen was in den Übertragenen Paketen steht.
!!!Achtung die Traceausgabe hier NICHT posten!!!
Ein seperater VPN Statustrace kann dir auch weitere Hinweise geben
Gruß

[backslash]

Hi MariusP

Anscheinend stimmt die ID die vom Shrewsoft übermittelt wird nicht mit der erwarteten ID des Lancoms überein.

nein... hier stimmen die Netzbeziehungen nicht, wie es auch schon in der Fehlermeldung steht.


@stefan_1304

du mußt dafür sorgen, daß entweder der Client nur das lokale Netz deines LANCOMs erreichen will ("Split-Tunneling") oder aber du mußt dem LANCOM sagen, daß der Client alle Adressen erreichen darf (dann geht aber auch der "normale" Internet-Traffc des Clients zweimal über deine Leitung)...

Fall 1: Trage im Shrewsoft-Client für die betreffende Verbindung unter "Policy" -> "Remote Network Ressource" das lokale Netz deines LANCOMs ein

Fall 2: erstelle in der LANCOM Firewall eine VPN-Regel, die dem Client erlaubt auf alle Adressen zuzugreifen:

Code: Alles auswählen

Name:     ALLOW-VPN-CLIENT

[ ] diese Regel ist für die Firewall aktiv
[x] diese Regel wird zur Erzeugung von VPN-Regeln herangezogen
...

Aktion:   übertragen
Quelle:   alle Stationen
Ziel:     VPN-Cient-Gegenstelle
Dienste:  alle Dienste

Gruß
Backslash

[stefan_1304]

Hallo,
danke für eure tolle Hilfe.
Ich kann mich aktuell einwählen mit dem Shrew client und Verbindung bleibt auch bestehen.

Ich habe noch zwei Fragen / eigentlich drei:
1.
Bei aktiver Verbindung, wenn ich bei meinem Client ipconfig/all aufrufe, zeigt er mir bei DNS 192.168.11.11 an und beim Gateway 192.168.11.250

Das sollte aber eigentlich 192.168.24.11 und 192.168.24.250 lauten. Wo kann ich das ändern? Es gibt am Lancom 2 konfigurierte Ports und es scheint, dass hier genau die falschen Adressen vergeben werden.

2. Muss ich für jeden VPN User, es sollen 25 werden mit der VPN25 Option, ein eigenes Profil anlegen über den Assistenten?

3. Welche intere IP in meinem Subnet 192.168.24.0 wird meinem VPN Usern zugewiesen, was kann ich da wo definieren?

Danke