Hallo zusammen!
Ich stehe momentan irgendwie auf dem Schlauch,...
Wir haben bei uns einen DSL-Router stehen mit der IP 192.168.1.1. Dieser
MUSS weiterhin bestehen bleiben. Die Clients nutzen diesen als Gateway fürs Internet. Nun soll ein zusätzlicher LANCOM-Router eingesetzt werden, um unser Netz mit einem fremden Netz per VPN zu verbinden. Das fremde Netz hat die 172.16.112.0/16.
Wäre der LANCOM auch der Internetrouter hätte ich kein Problem mit der Konfiguration. Ihm kurz DSL-Zugangsdaten geben und gut is. Aber wie bringe ich dem LANCOM nun bei, daß er als VPN-Gateway die WAN-Verbindung nicht per DSL aufbauen soll, sondern den bestehenden Router mit der 192.168.1.1 nutzen möchte. UND: er die interne IP 192.168.1.2 hat,... diese soll nämlich für das fremde Netz 172.16.112.0 bei den Clients als neue route eingetragen werden.
Wie gesagt; ich stehe momentan echt auf dem Schlauch und bräuchte dringend hilfe.
Vielen Dank schon vorab,
viele Grüße,
Markus.
VPN mit Lancom-Router und bestehendem Router
Moderator: Lancom-Systems Moderatoren
Hi InTreaTer,
Trivialitäten...
Gruß
Backslash
Trivialitäten...
in dem du im LANCOM die Defaultroute auf die 192.168.1.1 setzt (IP-Router -> Routing -> Routing-Tabelle -> Default-Route... dort als Router die 192.168.1.1 eintragen, OK klicken und die nachfolgende Warnung ignorieren)sondern den bestehenden Router mit der 192.168.1.1 nutzen möchte
In dem du dem LANCOM die Adresse 192.168.1.2 gibst (TCP/IP -> Allgemein -> Intranet-Adresse) und die passende Netzmaske setzt (TCP/IP -> Allgemein -> Intranet-Netzmaske)UND: er die interne IP 192.168.1.2 hat
Gruß
Backslash
Hi backslash,
ich stand wirklich auf dem Schlauch. Danke für die Info. Hat sofort geklappt.
Allerdings spinnt der VPN-Aufbau noch ein wenig. Am Gateway habe ich Port 500 auf den LANCOM weitergeleitet. Nun läuft Phase1 komplett durch, aber hört dann auch. Phase2 wird nicht abgearbeitet.
Hier das Log aus dem Trace:
-------------------------------------------------------------
[VPN-Status] 1900/01/04 05:06:42,810
IKE info: Phase-1 negotiation started for peer VPNNetz2 rule isakmp-peer-VPNNetz2 using AGGRESSIVE mode
[VPN-Status] 1900/01/04 05:06:42,990
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <
-> local No 1 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <
-> local No 2 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <
-> local No 3 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <
-> local No 4 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 1 hash algorithm = SHA <-> local No
5 hash algorithm = MD5
IKE info: Phase-1 remote proposal 1 for peer VPNNetz2 matched with local proposal 6
[VPN-Status] 1900/01/04 05:06:43,700
IKE info: Phase-1 [inititiator] for peer VPNNetz2 between initiator id 192.168.1.2
, responder id "ExtIP_VPN2" done
IKE info: SA ISAKMP for peer VPNNetz2 encryption 3des-cbc authentication sha1
IKE info: life time ( 108000 sec/ 0 kb)
[VPN-Packet] 1900/01/04 05:06:43,710
for send: 192.168.1.2->"IntIP_VPN2" 84 ICMP ECHOREQUEST
[VPN-Packet] 1900/01/04 05:06:43,710
no sa available: give up, should be retransmitted
-------------------------------------------------------------
Ich bin mir nicht sicher, woran es liegt. Port 500 sollte doch eigentlich langen für einen IPSec-Aufbau? Auf der anderen Seite habe ich übrigens eine Fortinet Firewall, die ich mit 3DES / SHA1 anfahre. Eine direkte Verbindung mit den gewählten Parameter (wenn der VPN-Router eine DSL-Verbindung aufbaut) geht einwandfrei. Das habe ich bereits getestet. Demnach müsste es doch ein Ports oder dergleichen liegen,...
Grüße,
Markus.
ich stand wirklich auf dem Schlauch. Danke für die Info. Hat sofort geklappt.
Allerdings spinnt der VPN-Aufbau noch ein wenig. Am Gateway habe ich Port 500 auf den LANCOM weitergeleitet. Nun läuft Phase1 komplett durch, aber hört dann auch. Phase2 wird nicht abgearbeitet.
Hier das Log aus dem Trace:
-------------------------------------------------------------
[VPN-Status] 1900/01/04 05:06:42,810
IKE info: Phase-1 negotiation started for peer VPNNetz2 rule isakmp-peer-VPNNetz2 using AGGRESSIVE mode
[VPN-Status] 1900/01/04 05:06:42,990
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <
-> local No 1 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <
-> local No 2 encryption algorithm = AES_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <
-> local No 3 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = 3DES_CBC <
-> local No 4 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 1 hash algorithm = SHA <-> local No
5 hash algorithm = MD5
IKE info: Phase-1 remote proposal 1 for peer VPNNetz2 matched with local proposal 6
[VPN-Status] 1900/01/04 05:06:43,700
IKE info: Phase-1 [inititiator] for peer VPNNetz2 between initiator id 192.168.1.2
, responder id "ExtIP_VPN2" done
IKE info: SA ISAKMP for peer VPNNetz2 encryption 3des-cbc authentication sha1
IKE info: life time ( 108000 sec/ 0 kb)
[VPN-Packet] 1900/01/04 05:06:43,710
for send: 192.168.1.2->"IntIP_VPN2" 84 ICMP ECHOREQUEST
[VPN-Packet] 1900/01/04 05:06:43,710
no sa available: give up, should be retransmitted
-------------------------------------------------------------
Ich bin mir nicht sicher, woran es liegt. Port 500 sollte doch eigentlich langen für einen IPSec-Aufbau? Auf der anderen Seite habe ich übrigens eine Fortinet Firewall, die ich mit 3DES / SHA1 anfahre. Eine direkte Verbindung mit den gewählten Parameter (wenn der VPN-Router eine DSL-Verbindung aufbaut) geht einwandfrei. Das habe ich bereits getestet. Demnach müsste es doch ein Ports oder dergleichen liegen,...
Grüße,
Markus.
Hallo zusammen!
Also, ich habe nun wirklich noch einiges rumprobiert, komme aber einfach nicht weiter. Sobald ich den LANCOM z.b. per ISDN direkt ans Netz hänge, geht die VPN-Verbindung sofort ohne Probleme. Nur über einen zweiten Router streikts und hakts immer wieder an der Phase-2, soweit ich das interpretiere.
Keiner mehr eine Idee?
Grüße,
Markus.
Also, ich habe nun wirklich noch einiges rumprobiert, komme aber einfach nicht weiter. Sobald ich den LANCOM z.b. per ISDN direkt ans Netz hänge, geht die VPN-Verbindung sofort ohne Probleme. Nur über einen zweiten Router streikts und hakts immer wieder an der Phase-2, soweit ich das interpretiere.
Keiner mehr eine Idee?
Grüße,
Markus.