VPN mit 883VoIP geht nicht mehr seit Update auf 10.72

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
Erni65
Beiträge: 2
Registriert: 19 Dez 2022, 09:48

VPN mit 883VoIP geht nicht mehr seit Update auf 10.72

Beitrag von Erni65 »

Moin Leute,

ich hoffe Ihr könnt mir helfen, bin leider kein IT-Fachmann. Folgendes Setup:
DSL-Zugang mit einem LC 883 VoIP Router. Davor in Reihenschaltung eine UF-260. Diese ist dann auch Standardgateway für alle Rechner im internen LAN 192.168.115.0/24
Lancom-Config.png
Zwischen der UF-260 und dem 883 ist ein Transfernetzwerk 172.22.56.0/24 eingerichtet, wie es in den Anleitungen zur UF-260 beschrieben ist. Das hatte ein Techniker von Lancom im Rahmen der mitgebuchten Schulung damals so eingerichtet, als die UF-260 neu gekommen ist.

Ein externer Mitarbeiter wählt sich per Shrewsoft-Client in den 883 ein; entsprechende Routen waren im 883 und in der UF-260 eingerichtet worden; das hatte alles funktioniert.

Letzte Woche habe ich mit dem 883 das Update von LCOS 10.50 auf 10.72 gemacht. Seitdem baut der Shrewsoft-Client keinen Tunnel mehr zum 883 auf. Nun gut, da der Shrewsoft-Client seit 2013 nicht mehr supported wird, und um weiteren Problemen aus dem Weg zu gehen, sind wir auf den Lancom Advanced Client umgestiegen.

Per Wizard habe ich auf dem 883 eine neue RAS/VPN Verbindung (IKEv2) eingerichtet, und die entsprechende Config-Datei in den Advanced Client importiert. Das funktionierte alles auf Anhieb, der Tunnel wird aufgebaut. Die Verbindung heißt VPN_0001, und der Client bekommt die 172.23.56.2 zugewiesen, das ist außerhalb vom Transfernetzwerk und außerhalb vom LAN.

Leider bekomme ich aber keine Verbindung ins interne LAN. Wie es aussieht, funktioniert die Übertragung nur in eine Richtung. Der Advanced Client hat ja die beiden Datenzähler Tx und RX. Der Tx Zähler läuft ständig hoch, während der Rx Zähler bei Null stehen bleibt. Das heißt, es gehen Daten in den Tunnel rein, aber es kommt nichts raus.

Wenn ich vom externen Client her die Station 192.168.115.2 im internen LAN anpinge, sehe ich folgendes im Router-Trace des 883:

Code: Alles auswählen

[IP-Router] 2022/12/19 11:55:14,229
IP-Router Rx (VPN_0001, RtgTag: 0):
DstIP: 192.168.115.2, SrcIP: 172.23.56.2, Len: 60, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: ICMP (1), echo request, id: 0x0001, seq: 0x00a9
Route: 172.22.56.1, LAN-1 Tx (INTRANET)

[IP-Router] 2022/12/19 11:55:14,230
IP-Router Rx (LAN-1, INTRANET.1, RtgTag: 0):
DstIP: 172.23.56.2, SrcIP: 192.168.115.2, Len: 60, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: ICMP (1), echo reply, id: 0x0001, seq: 0x00a9
Network unreachable (no route) => Discard
Das heißt ja, das Paket vom Client 172.23.56.2 auf die 172.22.56.1 (Transfernetzwerk) geroutet wird. Die Station 192.168.115.2 antwortet auch und schickt das Paket zurück an den Client. Nur dafür ist keine Route da. Damit ist zunächst auch mal die UF-260 außen vor, da funktioniert ja alles nach wie vor.

Die Routing-Tabelle sieht so aus:
Routing-Tabelle.png
Die Zeilen 2 bis 5 sind offensichtlich für den normalen Internetverkehr ins LAN und raus, der ja wie gewohnt funktioniert.
Die Zeile 1 müßte für den VPN-Client sein (die war auch vorher schon da), nur den Router "VPN_0001" hab ich da geändert, das ist ja der Name von der neuen Verbindung für den Advanced Client. Also "alles was zu 172.23.56.2 soll, schicke über VPN_0001". Das ist die Richtung, die nicht funktioniert. Was übersehe ich da?

"show vpn" liefert mir

Code: Alles auswählen

VPN SPD and IKE configuration:

  # of rules = 5

  Rule #1          ikev2
    Name:                       DEFAULT

  Rule #2          ikev2        172.22.56.0/24 ANY ANY <-> 0.0.0.0/32 ANY ANY
    Name:                       IKEV2C_0001
    Unique Id:                  IPSEC-0-IKEV2C_0001-PR0-L0-R0
    Flags:                      config-server

  Rule #3          ikev2        0.0.0.0/0 ANY ANY <-> 0.0.0.0/32 ANY ANY
    Name:                       VPN_0001
    Unique Id:                  IPSEC-0-VPN_0001-PR0-L0-R0
    Flags:                      config-server
    Local  Gateway:             IPV4_ADDR(any:0, 172.21.15.1)
    Remote Gateway:             IPV4_ADDR(any:0, 79.202.71.247)

  Rule #4          ikev2        0.0.0.0/0 ANY ANY <-> 0.0.0.0/32 ANY ANY
    Name:                       VPN_0002
    Unique Id:                  IPSEC-0-VPN_0002-PR0-L0-R0
    Flags:                      config-server

  Rule #5          ikev2        0.0.0.0/0 ANY ANY <-> 0.0.0.0/32 ANY ANY
    Name:                       VPN_0003
    Unique Id:                  IPSEC-0-VPN_0003-PR0-L0-R0
    Flags:                      config-server
Danke schon mal für Eure Hinweise.
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Dr.Einstein
Beiträge: 2952
Registriert: 12 Jan 2010, 14:10

Re: VPN mit 883VoIP geht nicht mehr seit Update auf 10.72

Beitrag von Dr.Einstein »

Erni65 hat geschrieben: 19 Dez 2022, 15:40 Leider bekomme ich aber keine Verbindung ins interne LAN. Wie es aussieht, funktioniert die Übertragung nur in eine Richtung. Der Advanced Client hat ja die beiden Datenzähler Tx und RX. Der Tx Zähler läuft ständig hoch, während der Rx Zähler bei Null stehen bleibt. Das heißt, es gehen Daten in den Tunnel rein, aber es kommt nichts raus.
Ich kenne den Fehler als Softwareproblem in dem Lancom Advanced Client. Dies passiert in der Regel, wenn ein 2. VPN Client auf dem PC installiert ist und die Netzwerkkartenreihenfolge durcheinanderbringt. Shrewclient noch installiert? Beide Clients deinstallieren, neustarten, VPN Client mit rechtsklick als Administrator ausführen installieren.

Unabhängig vom Routing im Lancom empfängst du nämlich immer irgendwelche Pakete, Rx steht nie auf 0 nach einem erfolgreichen Connect.
backslash
Moderator
Moderator
Beiträge: 7017
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: VPN mit 883VoIP geht nicht mehr seit Update auf 10.72

Beitrag von backslash »

Hi Erni65,

es gibt da wohl ein Problem mit deinen LAN-Interfaces. Das Paket, das vom Client kommt, wird an das Netz "INTRANET" gesendet, die Antwort kommt aber auf dem Netz "INTRANET.1" rein.
Es könnte sein, daß da die Firewall im LANCOM nicht mitmacht. Mach doch parallel zum Router-Trace auch einen Firewall-Trace...

Gruß
Backslash
Erni65
Beiträge: 2
Registriert: 19 Dez 2022, 09:48

Re: VPN mit 883VoIP geht nicht mehr seit Update auf 10.72

Beitrag von Erni65 »

Hallo Dr. Einstein,
den Shrewsoft Client hatte ich vorher deinstalliert. Hab gerade nochmal Festplatte und Registry durchsucht, da ist nichts mehr. Auch bei den Netwerkkarten nicht, dafür ist da jetzt der LAncom Secure Client Virtual Adapter.

Bevor ich nun auf backslash eingehe, noch mal eine weitere Beobachtung:
Der Lancom Client zeigt mir nach Verbindungsaufbau eine schöne grüne Linie zwischen Laptop und Router, mit der Meldung "Verbindung ist hergestellt"; sowie drei schöne grüne Buttons mit den Symbolen
- Einwahl erfolgreich durchgeführt
- Authentisierung erfolgreich durchgeführt
- Verschlüsselung aktiviert

Schaue ich gleichzeitig mit LANMonitor auf meinen Router, steht da (in der Tabelle VPN-Verbindungen) zunächst Status: Protokollverhandlung, und dann "Nicht verbunden" sowie unter Fehler: Zeitüberschreitung während IKE- oder IPSEC-Verhandlung (Passiver Verbindungsaufbau)

Und im Trace unter anderem:

Code: Alles auswählen

[VPN-Status] 2022/12/20 08:50:50,311
VPN: connection for DEFAULT (93.202.169.###) IKEv1 timed out: no response

[VPN-Status] 2022/12/20 08:50:50,311
VPN: disconnecting DEFAULT (0.0.0.0) IKEv1

[VPN-Status] 2022/12/20 08:50:50,311
VPN: Error: IFC-R-Connection-timeout-IKE-IPSEC (0x1206) for DEFAULT (0.0.0.0) IKEv1

[VPN-Status] 2022/12/20 08:50:50,319
Disconnect Request for peer DEFAULT (ikev1)

[VPN-Status] 2022/12/20 08:50:50,320
DEFAULT: DISCONNECT-RESPONSE sent for handle 22

[VPN-Status] 2022/12/20 08:50:50,320
vpn-maps[22], remote: DEFAULT, idle, dns-name, static-name

[VPN-Status] 2022/12/20 08:50:50,329
VPN: installing ruleset for DEFAULT (0.0.0.0) IKEv1

[VPN-Status] 2022/12/20 08:50:50,329
VPN: WAN state changed to WanDisconnect for DEFAULT (0.0.0.0) IKEv1[BT] 01f5ecac 01f62288 02599344 036f7ddc 0259d5d0
So kommt da also gar keine Verbindung zustande?

Nun zu backslash. Das ist mir auch schon aufgefallen, daß ich da INTRANET und INTRANET.1 habe. Definiert sind die beiden unter IPv4 / Allgemein / IP-Netzwerke:
INTRANET.1 = 172.22.56.240 / 255.255.255.0, das ist die Router-Adresse im Transfernetzwerk
INTRANET = 172.21.15.1 / 255.255.255.0, das hatte der Lancom-Techniker aus irgendeinem Grund auch eingerichtet.

Da muß ich erst mal weiter nachforschen wozu das gebraucht wird. Firewall ist auch ein guter Tip.
Danke
Antworten