Hallo,
ich versuche mit meinem LC 1821 über das Internet einen VPN-Tunnel/Pass-Through zum Firmennetz aufzubauen. Es klappt nicht. Zum Einsatz kommt der Secure Remote VPN-1 Client von Checkpoint.. Wer hat Erfahrung damit und kann mir helfen? Laut Handbuch brauche ich für Pass-Through nichts am LC 1821 einzustellen.
Gruß
Dietmar
VPN Pass-Through ins Firmennetz (Heimarbeitsplatz)
Moderator: Lancom-Systems Moderatoren
-
froeschi62
- Beiträge: 985
- Registriert: 13 Dez 2004, 10:44
-
Michael008
- Beiträge: 325
- Registriert: 14 Jan 2005, 18:45
- Wohnort: Stuttgart
Hallo froeschi62,
Experte bin ich nicht, nach meinem Verständnis funktionniert ein NAT (was standardmäßig an ist) grundsätzlich nur mit von innen ausgelösten Verbindungen.
Sonst weiß der Router nicht wohin er die zurück/ankommenden Pakete senden soll.
Folglich musst du im Router einstellen an welchen Rechner er die Pakete,die auf Port 1723 PPTP (bitte für Checkpoint überprüfen) ankommen weiterleiten soll.
Das kannst du im Lanconfig einstellen:
IP-Router (Wahlfeld)- Maskierung (Reiter)- Service-Tabelle (Knopf)
Probiers mal und sag bescheid ob es hilft.
Gruß
Michael
Experte bin ich nicht, nach meinem Verständnis funktionniert ein NAT (was standardmäßig an ist) grundsätzlich nur mit von innen ausgelösten Verbindungen.
Sonst weiß der Router nicht wohin er die zurück/ankommenden Pakete senden soll.
Folglich musst du im Router einstellen an welchen Rechner er die Pakete,die auf Port 1723 PPTP (bitte für Checkpoint überprüfen) ankommen weiterleiten soll.
Das kannst du im Lanconfig einstellen:
IP-Router (Wahlfeld)- Maskierung (Reiter)- Service-Tabelle (Knopf)
Probiers mal und sag bescheid ob es hilft.
Gruß
Michael
-
froeschi62
- Beiträge: 985
- Registriert: 13 Dez 2004, 10:44
Hallo Michael,
laut http://www2.lancom.de/kb.nsf/a5ddf48173 ... vpn,German
muß ich am Router nichts einstellen, nur wenn im lokalen Netz ein VPN Server existiert. Dies ist ja nicht der Fall. Nichtsdestotrotz habe ich die im Dokument beschriebenen Einstellungen probiert, die auch deinen Empfehlungen entsprechen. Es funktioniert nicht. Die Firewall am Notebook habe ich vorsichtshalber deaktiviert.
Gruß
Dietmar
laut http://www2.lancom.de/kb.nsf/a5ddf48173 ... vpn,German
muß ich am Router nichts einstellen, nur wenn im lokalen Netz ein VPN Server existiert. Dies ist ja nicht der Fall. Nichtsdestotrotz habe ich die im Dokument beschriebenen Einstellungen probiert, die auch deinen Empfehlungen entsprechen. Es funktioniert nicht. Die Firewall am Notebook habe ich vorsichtshalber deaktiviert.
Gruß
Dietmar
-
Michael008
- Beiträge: 325
- Registriert: 14 Jan 2005, 18:45
- Wohnort: Stuttgart
Hi froeschi62,
also dann schreibe bitte nochmal genau zwischen welchen Geräten du einen Tunnel aufbauen möchtest (incl. Richtung?).
Wichtig ist hierbei wo steht der VPN Server und welche Geräte(meist Router) befinden sich dazwischen auf dem Weg zum Client, der wie ich gelesen habe auf deinem Laptop läuft.
Ist der im 1821 vorhandene VPN Server deaktiviert?
Gruß
Michael
also dann schreibe bitte nochmal genau zwischen welchen Geräten du einen Tunnel aufbauen möchtest (incl. Richtung?).
Wichtig ist hierbei wo steht der VPN Server und welche Geräte(meist Router) befinden sich dazwischen auf dem Weg zum Client, der wie ich gelesen habe auf deinem Laptop läuft.
Ist der im 1821 vorhandene VPN Server deaktiviert?
Gruß
Michael
-
froeschi62
- Beiträge: 985
- Registriert: 13 Dez 2004, 10:44
-
froeschi62
- Beiträge: 985
- Registriert: 13 Dez 2004, 10:44
Hi froeschi62
Es gibt nur eine Sache zu beachten: Wenn der VPN-Server DPD (Dead Peer Detection) macht, dann mußt Du spätestens 10 Sekunden nach dem Aufbau des Tunnels Daten senden, da das LANCOM sonst den Eintrag mit den Cookies aus der IPSec-Maskierungstabelle entfernt und somit das DPD scheitert, mit der Folge, daß der Tunnel vom Server aus wieder abgebaut wird. Das Problem wird mit der nächsten Firmware behoben sein.
Wenn der Server DPD macht hast du momentan zwei Möglichkeiten:
- innerhalb von 10 Sekunden nach dem Aufbau des Tunnels Daten senden oder
- DPD auf dem Server deaktivieren
Gruß
Backslash
Normalerweise ist das überhaupt kein Problem - du brauchst nichts besonderes einzustellen, außer du hast in der Firewall eine Deny-All Regel. In diesem Fall mußt du in der Firewall natürlich UDP Port 500 und ESP (IP-Protokoll 50) erlauben.Problem immer noch nicht gelöst. Wer kann helfen? Ich bin sicherlich nicht der Einzige, der VPN Pass-Through über einen Lancom Router durchführt.
Das Kuriose, sporadisch geht es, meistens aber nicht..
Es gibt nur eine Sache zu beachten: Wenn der VPN-Server DPD (Dead Peer Detection) macht, dann mußt Du spätestens 10 Sekunden nach dem Aufbau des Tunnels Daten senden, da das LANCOM sonst den Eintrag mit den Cookies aus der IPSec-Maskierungstabelle entfernt und somit das DPD scheitert, mit der Folge, daß der Tunnel vom Server aus wieder abgebaut wird. Das Problem wird mit der nächsten Firmware behoben sein.
Wenn der Server DPD macht hast du momentan zwei Möglichkeiten:
- innerhalb von 10 Sekunden nach dem Aufbau des Tunnels Daten senden oder
- DPD auf dem Server deaktivieren
Gruß
Backslash
-
froeschi62
- Beiträge: 985
- Registriert: 13 Dez 2004, 10:44
Hallo Backslash,
erst einmal Danke für deine Hilfe. Ja, ich habe inzwischen die Firewall über die Deny-All Regel konfiguriert. Soweit funktioniert alles bis auf VPN Passthrough.
Ich habe nach deinen Empfehlungen folgende Regeln veruscht:
Port 500 UDP
Allow_UDP
Aktion: sofort übertragen
Quelle: alle Stationen im lokalen Netz
Ziel: 213.xxx.xxx.xxx (die FW, die bei uns in der Firma steht)
Dienst: UDP Quellport 500
Allow_ESP
Aktion: sofort übertragen
Quelle: alle Stationen im lokalen Netz
Ziel: 213.xxx.xxx.xxx (die FW, die bei uns in der Firma steht)
Dienst: TCP Quellport 50
Es funktioniert nicht, auch wenn ich bei Zielstationen "alle" angebe und bei den Protokolldiensten zusätzlich Zielport 500 bzw. 50 angebe.
Wie sieht es mit ICMP aus, das benötigt der Checkpoint VPN Client auch noch? Dann muß noch der Port 2746 (UDP oder TCP?) freigeschaltet werden.
Gruß
Dietmar
Ps: bei den herkömlichen Regeln habe ich vorsichtshalber "virtuelles privates Netzwerk VPN/IPSEC" freigeschaltet.
erst einmal Danke für deine Hilfe. Ja, ich habe inzwischen die Firewall über die Deny-All Regel konfiguriert. Soweit funktioniert alles bis auf VPN Passthrough.
Ich habe nach deinen Empfehlungen folgende Regeln veruscht:
Port 500 UDP
Allow_UDP
Aktion: sofort übertragen
Quelle: alle Stationen im lokalen Netz
Ziel: 213.xxx.xxx.xxx (die FW, die bei uns in der Firma steht)
Dienst: UDP Quellport 500
Allow_ESP
Aktion: sofort übertragen
Quelle: alle Stationen im lokalen Netz
Ziel: 213.xxx.xxx.xxx (die FW, die bei uns in der Firma steht)
Dienst: TCP Quellport 50
Es funktioniert nicht, auch wenn ich bei Zielstationen "alle" angebe und bei den Protokolldiensten zusätzlich Zielport 500 bzw. 50 angebe.
Wie sieht es mit ICMP aus, das benötigt der Checkpoint VPN Client auch noch? Dann muß noch der Port 2746 (UDP oder TCP?) freigeschaltet werden.
Gruß
Dietmar
Ps: bei den herkömlichen Regeln habe ich vorsichtshalber "virtuelles privates Netzwerk VPN/IPSEC" freigeschaltet.
Hi froeschi62,
Es muß Zielport 500 heißen
Gruß
Backslash
fast.Allow_UDP
Aktion: sofort übertragen
Quelle: alle Stationen im lokalen Netz
Ziel: 213.xxx.xxx.xxx (die FW, die bei uns in der Firma steht)
Dienst: UDP Quellport 500
Es muß Zielport 500 heißen
auch das Ist Falsch. Der Dienst muß PROTOKOLL 50 sein (siehe Bild im Attachment)
Allow_ESP
Aktion: sofort übertragen
Quelle: alle Stationen im lokalen Netz
Ziel: 213.xxx.xxx.xxx (die FW, die bei uns in der Firma steht)
Dienst: TCP Quellport 50
äh, wie??? - ich denke der macht IPSec und nichts proprietäres. Ggf. solltest Du mal im Handbuch des Checkpoint Clients nachlesen was der so braucht...Wie sieht es mit ICMP aus, das benötigt der Checkpoint VPN Client auch noch? Dann muß noch der Port 2746 (UDP oder TCP?) freigeschaltet werden.
Gruß
Backslash
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Zuletzt geändert von backslash am 27 Feb 2005, 21:45, insgesamt 1-mal geändert.
hi eddia
Gruß
Backslash
der Wert 0 bedeutet, daß das LANCOM selbst nicht pollt. Auf DPD-Requests der Gegenstelle reagiert es natürlich trotzdemWas besagt eigentlich der Wert 0 in der VPN-Konfiguration? Ausgeschaltet oder irgendein Standardwert?
beide Seiten müssen DPD unterstützen. Das wird aber während der IKE-Verhandlung ausgehandelt. Das LANCOM bietet immer DPD an auch wenn der DPD-Timeout auf 0 gestellt ist. Dieser Wert bedeutet wie bereits gesagt, daß das LANCOM, wenn DPD verhandelt wurde, selbst keine DPD-Requests versendet, was hilfreich ist, wenn der Client hinter einem NAT steht (siehe mein vorletztes posting). Ein Abschalten des aktiven Pollings hat aber den Nachteil, daß ein Verbindungsabbruch nicht mehr erkannt werden kann - außer du hat ein ICMP-Polling konfiguriertUnd ist die DPD nur wirksam, wenn sie auf beiden Seiten aktiviert ist?
Gruß
Backslash
-
froeschi62
- Beiträge: 985
- Registriert: 13 Dez 2004, 10:44
Hallo Backslash,
Gruß
Mario
und was bedeuten von 0 abweichende Werte?der Wert 0 bedeutet, daß das LANCOM selbst nicht pollt.
Was wäre denn sinnvoller? DPD oder ICMP-Polling? Und was wäre bei einer normalen LAN-LAN Kopplung ein sinnvoller Wert für die DPD?Ein Abschalten des aktiven Pollings hat aber den Nachteil, daß ein Verbindungsabbruch nicht mehr erkannt werden kann - außer du hat ein ICMP-Polling konfiguriert
Gruß
Mario
-
froeschi62
- Beiträge: 985
- Registriert: 13 Dez 2004, 10:44
Hallo Backslash,
ich habe mich leider zu früh gefreut. Bin immer noch am kämpfen. Sporadisch funktioniert es, meistens aber nicht. An der Firewall kann ich mich noch authentifizieren, bekomme aber anschließend kein Policyupdate vom Policyserver. Das Zünglein an der Wage scheint der UDP Port 2746 zu sein, den Checkpoint benötigt. Trage ich den als UDP Zielport ein, scheint der Lancom den gar nicht frei zu geben. Mit dem netstat Befehl kann ich sehen welche Ports bei der Verbindung geöffnet werden. Hänge ich ein reines DSL Modem an den Notebook, dann klappt es mit Checkpoint und ich sehe den genutzten Port 2746. Bei Checkpoint wird dieser Port als IKE encapsulated bezeichnet oder so ähnlich.
Gruß
Dietmar
ich habe mich leider zu früh gefreut. Bin immer noch am kämpfen. Sporadisch funktioniert es, meistens aber nicht. An der Firewall kann ich mich noch authentifizieren, bekomme aber anschließend kein Policyupdate vom Policyserver. Das Zünglein an der Wage scheint der UDP Port 2746 zu sein, den Checkpoint benötigt. Trage ich den als UDP Zielport ein, scheint der Lancom den gar nicht frei zu geben. Mit dem netstat Befehl kann ich sehen welche Ports bei der Verbindung geöffnet werden. Hänge ich ein reines DSL Modem an den Notebook, dann klappt es mit Checkpoint und ich sehe den genutzten Port 2746. Bei Checkpoint wird dieser Port als IKE encapsulated bezeichnet oder so ähnlich.
Gruß
Dietmar
Lancom 1823 VOIP
hi eddia
Bei LAN-LAN-Kopplungen kommt es darauf an, wie schnell der Zusammenbruch bemerkt werden soll. Da der Default für das ICMP-Polling 20 Sekunden und 5 Wiederholungen ist, würde ich beim DPD hier auch das Minimum, d.h. 30 Sekunden, verwenden.
Gruß
Backslash
nun ja, das gibt das Poll-Intervall an, wobei das Mindestintervall 30 Sekunden beträgt. Wenn innerhalöb des Intervalls keine Antwort kam, dann wird noch ein paar mal im Sekundentakt wiederholt und letztendlich die Verbindung abgebaut...Hallo Backslash,
Zitat:
der Wert 0 bedeutet, daß das LANCOM selbst nicht pollt.
und was bedeuten von 0 abweichende Werte?
ICMP-Polling ist sinnvoller, da dies das Vorhandensein der Phase-2 SAs prüft und nicht nur die Pahse-1 SA, wie das DPD. Wenn Du allerdings hochgradig paranoid bist, und pings in der Firewall blockst, hast Du vom ICMP-Polling gar nichts und mußt mit DPD vorlieb nehmenZitat:
Ein Abschalten des aktiven Pollings hat aber den Nachteil, daß ein Verbindungsabbruch nicht mehr erkannt werden kann - außer du hat ein ICMP-Polling konfiguriert
Was wäre denn sinnvoller? DPD oder ICMP-Polling?
Wir verwenden bei uns 60 Sekunden bei Client-Einwahlen.Und was wäre bei einer normalen LAN-LAN Kopplung ein sinnvoller Wert für die DPD?
Bei LAN-LAN-Kopplungen kommt es darauf an, wie schnell der Zusammenbruch bemerkt werden soll. Da der Default für das ICMP-Polling 20 Sekunden und 5 Wiederholungen ist, würde ich beim DPD hier auch das Minimum, d.h. 30 Sekunden, verwenden.
Gruß
Backslash