Hallo,
ich habe 2 LANs mittels VPN gekoppelt.(Geräte: 1611+1811)
Das funktioniert soweit ganz gut.
Wie kann ich denn verhindern, das die Verbindung aus dem Netz des 1611 initiiert wird?
Es soll nur eine Verbindung aufgebaut werden, wenn eine Anfrage aus dem 1811 (192.168.2.1/24) Netz ins 1611 (192.168.1.1/24) Netz geht.
Danke schonmal
Michael
VPN Netzverbindung nur einseitig initiieren
Moderator: Lancom-Systems Moderatoren
-
Michael008
- Beiträge: 325
- Registriert: 14 Jan 2005, 18:45
- Wohnort: Stuttgart
-
Michael008
- Beiträge: 325
- Registriert: 14 Jan 2005, 18:45
- Wohnort: Stuttgart
Hi eddia,
das funktionniert.
Vielen Dank
Komisch ist allerdings, das ich mit eingetragenem GW keine Verbindung mit dem AVC auf das 1611er Netz bekomme.
OK die ist jetzt aus dem 1811er LAN ein wenig überflüssig geworden, aber die AVC-Verbindung ging davor.
Der Trace # vpn-s am 1611 sagt:
Lösche ich den GW-Eintrag am 1611, funktionniert eine Verbindung mit dem AVC wieder ganz normal, auch parallel, wie man sieht.
Ich hoffe das ich hierbei was falsch mache.
Ich hoffe mal nicht das ich mich zwischen AVC und LAN-LAN entscheiden muss, da ich mich auch weiterhin per AVC von anderswo einwählen können möchte.
Habt ihr Ideen wie ich den AVC auch weiterhin benutzen kann?
Danke Michael
das funktionniert.
Vielen Dank
Komisch ist allerdings, das ich mit eingetragenem GW keine Verbindung mit dem AVC auf das 1611er Netz bekomme.
OK die ist jetzt aus dem 1811er LAN ein wenig überflüssig geworden, aber die AVC-Verbindung ging davor.
Der Trace # vpn-s am 1611 sagt:
Code: Alles auswählen
IKE info: Phase-1 failed for peer LC1811VPN: remote side has AGGRESSIVE mode, local side has MAIN mode
IKE log: 163159 Default exchange_setup_p1: expected exchange type MAIN got AGGRESSIVEIch hoffe das ich hierbei was falsch mache.
Ich hoffe mal nicht das ich mich zwischen AVC und LAN-LAN entscheiden muss, da ich mich auch weiterhin per AVC von anderswo einwählen können möchte.
Habt ihr Ideen wie ich den AVC auch weiterhin benutzen kann?
Danke Michael
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
-
Michael008
- Beiträge: 325
- Registriert: 14 Jan 2005, 18:45
- Wohnort: Stuttgart
@ eddia,
tut mir leid wenn ich mich unklar ausgedrückt habe, ich werde es nochmal versuchen.
Situation:
Es sind 2 LANs, eines mit einem 1811 und eines mit einem 1611 als Router.
Bisher habe ich mich in beide Netzt mit dem AVC eingewählt, das hat
Ich habe mit dem Assi eine LAN(1811)-LAN(1611) Kopplung eingerichtet.
Diese funktioniert super.
Problem:
Die AVC-Einwahl ins 1611-LAN von innerhalb des 1811-LAN geht nichtmehr. Von extern habe ich es noch nicht versucht.
Der Trace # vpn-s am 1611 sagt:
Was mir aufgefallen ist:
Zufällig wollte ich noch eine Initiierung der VPN-Strecke durch das 1611-LAN vermeiden. (Manche PCs bauen ständig eine Verbindung auf)
Hierzu habe ich diesen Tip umgesetzt.
Das ist OK, bis ich die PCs im 1611-LAN zähmen kann.
Nach dieser Änderung (Löschung des GW in der 1611 nach 1811 VPN-Strecke) hat die Einwahl mit dem AVC aus dem 1811-LAN haraus ins 1611-LAN wieder geklappt.
Vermutung:
Die Pakete
vom 1611(192.168.1.1)
hin zum 1811(192.168.2.1)
könnten auf der falschen Route zurück wollen. Nämlich auf der LAN-LAN-Verbindung und nicht auf der AVC Verbindung.
Frage:
Wie kann ich auch weiterhin den AVC benutzen, ohne auf die LAN-LAN Kopplung zu verzichten?
Ich würde mich gerne wie bisher mit dem AVC von innerhalb des 1611-LANs ins 1811-LAN einwählen können.
Von Extern wäre ein Zugriff mit dem AVC in beide LANs wünschenswert.
Falls ich noch was verdeutlichen soll, bitte kurz nachhaken.
Danke für die Hilfe
Michael
tut mir leid wenn ich mich unklar ausgedrückt habe, ich werde es nochmal versuchen.
Situation:
Es sind 2 LANs, eines mit einem 1811 und eines mit einem 1611 als Router.
Bisher habe ich mich in beide Netzt mit dem AVC eingewählt, das hat
- vom 1811 ins 1611
vom 1611 ins 1811 und
von außerhalb in beide LANs funktioniert.
Ich habe mit dem Assi eine LAN(1811)-LAN(1611) Kopplung eingerichtet.
Diese funktioniert super.
Problem:
Die AVC-Einwahl ins 1611-LAN von innerhalb des 1811-LAN geht nichtmehr. Von extern habe ich es noch nicht versucht.
Der Trace # vpn-s am 1611 sagt:
Code: Alles auswählen
IKE info: Phase-1 failed for peer LC1811VPN: remote side has AGGRESSIVE mode, local side has MAIN mode
IKE log: 163159 Default exchange_setup_p1: expected exchange type MAIN got AGGRESSIVEZufällig wollte ich noch eine Initiierung der VPN-Strecke durch das 1611-LAN vermeiden. (Manche PCs bauen ständig eine Verbindung auf)
Hierzu habe ich diesen Tip umgesetzt.
Das hat super funktioniert, die LAN-LAN Kopplung kann nur noch aus dem 1811-LAN aufgebaut werden.eddia hat geschrieben:Setze einfach den Gateway Eintrag auf dem 1611 für diese VPN-Verbindung auf 0.0.0.0.
Das ist OK, bis ich die PCs im 1611-LAN zähmen kann.
Nach dieser Änderung (Löschung des GW in der 1611 nach 1811 VPN-Strecke) hat die Einwahl mit dem AVC aus dem 1811-LAN haraus ins 1611-LAN wieder geklappt.
Vermutung:
Die Pakete
vom 1611(192.168.1.1)
hin zum 1811(192.168.2.1)
könnten auf der falschen Route zurück wollen. Nämlich auf der LAN-LAN-Verbindung und nicht auf der AVC Verbindung.
Frage:
Wie kann ich auch weiterhin den AVC benutzen, ohne auf die LAN-LAN Kopplung zu verzichten?
Ich würde mich gerne wie bisher mit dem AVC von innerhalb des 1611-LANs ins 1811-LAN einwählen können.
Von Extern wäre ein Zugriff mit dem AVC in beide LANs wünschenswert.
Falls ich noch was verdeutlichen soll, bitte kurz nachhaken.
Danke für die Hilfe
Michael
Hi Michael008
also entweder du wählst dich mit dem AVC ein oder du verwendest eine LAN-LAN-Kopplung. Das Problem liegt darin, daß der 1611 in beiden (!) Fällen nur die WAN-Adresse des 1811 sieht. Bei der LAN-LAN-Kopplung ist wird der 1811 anhand dieser Adresse identifiziert und es wird Main-Mode aktiviert. Der AVC verwendet jedoch den Aggressive-Mode - was nunmal nicht gleichzeitig funktionieren kann und vom 1611 abgelehnt wird:
Du hast nun zwei Möglichkeiten, daß beides wieder funktioniert:
1. Du verwendest bei der LAN-LAN-Kopplung auch den Aggressive-Mode
2. Du stellst die AVC-Verbindung auf Zertifikate um und verwendest dort den Main-Mode
Aus Sicherheitsaspekten ist von Variante 1 abzuraten, da der Aggressive-Mode angreifbar ist.
Gruß
Backslash
also entweder du wählst dich mit dem AVC ein oder du verwendest eine LAN-LAN-Kopplung. Das Problem liegt darin, daß der 1611 in beiden (!) Fällen nur die WAN-Adresse des 1811 sieht. Bei der LAN-LAN-Kopplung ist wird der 1811 anhand dieser Adresse identifiziert und es wird Main-Mode aktiviert. Der AVC verwendet jedoch den Aggressive-Mode - was nunmal nicht gleichzeitig funktionieren kann und vom 1611 abgelehnt wird:
Code: Alles auswählen
IKE info: Phase-1 failed for peer LC1811VPN: remote side has AGGRESSIVE mode, local side has MAIN mode 1. Du verwendest bei der LAN-LAN-Kopplung auch den Aggressive-Mode
2. Du stellst die AVC-Verbindung auf Zertifikate um und verwendest dort den Main-Mode
Aus Sicherheitsaspekten ist von Variante 1 abzuraten, da der Aggressive-Mode angreifbar ist.
Gruß
Backslash