VPN Probleme zwischen Advanced VPN Client & Lancom 1821

[stille.gedanken]

Hallo,

habe meinen Bintec Router nun durch einen Lancom 1821 ersetzt, nun komme ich leider nicht weiter.

Ich möchte mich unterwegs von meinem Notebook, beispielweise aus der Firma über den AVC auf den 1821 verbinden. Die Konfiguration habe ich mit Hilfe des Assistenten durchgeführt, genau wie in der Knowledgebase beschrieben. Die Verbindung wird auch einwandfrei aufgebaut, nur zeigt der Client an das keine Daten empfangen werden , gesendet wird ab und zu. Folglich erreiche ich das gegenüberliegende Netz nicht.

Habe schon einige Threads gelesen, in denen recht ähnliche Probleme behandelt wurden, die Antworten haben aber auch nicht geholfen.

Zur Konfiguration: Heimnetzwerk : 192.168.2.1 = Lancom 1821
192.168.2.10 = Rechner 1
192.168.2.20 = Rechner 2

Firmennetz: 192.168.0.1 = Fritz Box Fon 7050
192.168.0.50 = Mein Notebook mit AVC

Dem Notebook soll vom 1821 die 192.168.2.2 zugewiesen werden.

Wäre euch für eine Antwort sehr dankbar!

Mfg André

[eddia]

Hallo André,

Die Verbindung wird auch einwandfrei aufgebaut, nur zeigt der Client an das keine Daten empfangen werden Shocked , gesendet wird ab und zu.

wie prüfst Du die Verbindung? Kannst Du die LAN-IP des Lancoms anpingen?

Gruß

Mario

[stille.gedanken]

Nein, kann die Lan IP (192.168.2.1) des Lancoms nicht anpingen, man sieht nur das Daten gesendet werden. Daten RX bleibt aber bei null

[eddia]

Hallo André,

Nein, kann die Lan IP (192.168.2.1) des Lancoms nicht anpingen, man sieht nur das Daten gesendet werden. Daten RX bleibt aber bei null

versuch mal, den AVC direkt über eine DFÜ-Verbindung zu testen. Eventuell macht Deine FritzBox Probleme.

Gruß

Mario

[stille.gedanken]

hinter einem DSL/i-10 Office leider genau das gleiche Phänomen (anderer Standort) muss ich irgendwas Forwarden? Habe auch schon versucht das NB in die DMZ zu legen

[eddia]

Hallo André,

hinter einem DSL/i-10 Office leider genau das gleiche Phänomen (anderer Standort) muss ich irgendwas Forwarden?

nein - ich sitz hier gerade auch hinter diesem Router und hab keine Probleme mit dem AVC. Hast Du den AVC schon mal mit einem anderen PC getestet?

Gruß

Mario

[stille.gedanken]

ja, habe den auf auf einem ganz anderem system installiert, da aber auch das gleiche. Vielleicht ein routing problem? Hatte sowas mal bei nem Bintec Gerät. Da lag es daran das keine virtuelle IP vergeben war.

[stille.gedanken]

hast du da irgendwelche forwardings eingetragen? (in den dsl/10-i office)

[stille.gedanken]

root@Lancom1821:/
> show vpn[5~

VPN SPD and IKE configuration:

# of connections = 1

Connection #1 0.0.0.0/0.0.0.0:0 <-> 192.168.2.2/255.255.255.255:0 any

Name: TESTVPN
Unique Id: ipsec-0-TESTVPN-pr0-l0-r0
Flags: aggressive-mode
Local Network: IPV4_ADDR_SUBNET(any:0, 0.0.0.0/0.0.0.0)
Local Gateway: IPV4_ADDR(any:0, 80.137.95.113)
Remote Gateway: IPV4_ADDR(any:0, 0.0.0.0)
Remote Network: IPV4_ADDR(any:0, 192.168.2.2/255.255.255.255)

[eddia]

Hallo André,

Da lag es daran das keine virtuelle IP vergeben war.

Dann mach einfach mal ein ipconfig /all auf Deinem Client und sieh nach, wie die Konfiguration für den Lancom Adapter aussieht.

hast du da irgendwelche forwardings eingetragen? (in den dsl/10-i office)

Nein - wie schon gesagt, das ist nicht notwendig.

Name: TESTVPN
Unique Id: ipsec-0-TESTVPN-pr0-l0-r0
Flags: aggressive-mode
Local Network: IPV4_ADDR_SUBNET(any:0, 0.0.0.0/0.0.0.0)
Local Gateway: IPV4_ADDR(any:0, 80.137.95.113)
Remote Gateway: IPV4_ADDR(any:0, 0.0.0.0)

Bau die VPN-Verbindung mal auf - dann muss unter Remote Gateway die IP Deines AVC bzw. des Routers zum Internet angegeben werden.

Ansonsten schaltest Du mal den IP-Router trace am Lancom ein und schaust nach, welche Meldungen bei einem ping vom AVC auf eine LAN-IP des Lancoms ausgegeben werden.

Gruß

Mario

[stille.gedanken]

Hier die Ausgaben von ipconfig /all bei bestehender Verbindung

[stille.gedanken]

Keiner eine Idee??

[eddia]

Hallo André,

Keiner eine Idee??

solange Du keine Router-Trace nachreichst - nein.

Gruß

Mario

[stille.gedanken]

[IP-Router] 2005/11/28 19:31:43,670
IP-Router Rx (LAN):
DstIP: 80.137.27.253, SrcIP: 192.168.2.10, Len: 40, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 3389, SrcPort: 1285, Flags: A
Route: WAN Tx Peer: T-ONLINE

[VPN-Status] 2005/11/28 19:31:43,870
IKE info: The remote server 80.137.27.253:500 peer def-aggr-peer id <no_id> supports draft-ietf-ipsec-isakmp-xauth
IKE info: The remote server 80.137.27.253:500 peer def-aggr-peer id <no_id> negotiated rfc-3706-dead-peer-detection
IKE info: The remote client 80.137.27.253:500 peer def-aggr-peer id <no_id> is NCP LANCOM Serial Number Protocol 1.0 with serial number 0


[VPN-Status] 2005/11/28 19:31:43,870
IKE info: phase-1 proposal failed: remote No 1 hash algorithm = SHA <-> local No 1 hash algorithm = MD5
IKE info: Phase-1 remote proposal 1 for peer def-aggr-peer matched with local proposal 2


[IP-Router] 2005/11/28 19:31:44,030
IP-Router Rx (Intern):
DstIP: 80.137.27.253, SrcIP: 80.137.86.146, Len: 382, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 500, SrcPort: 500
Route: WAN Tx Peer: T-ONLINE

[IP-Router] 2005/11/28 19:31:44,050
IP-Router Rx (T-ONLINE):
DstIP: 192.168.2.10, SrcIP: 80.137.27.253, Len: 105, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 1285, SrcPort: 3389, Flags: PA
Route: LAN Tx

[VPN-Status] 2005/11/28 19:31:44,190
IKE info: Phase-1 [responder] got initial contact from peer TESTVPN (80.137.27.253)


[VPN-Status] 2005/11/28 19:31:44,190
IKE info: Phase-1 [responder] for peer TESTVPN between initiator id stille.gedanken@web.de, responder id stille.gedanken@web.de done
IKE info: SA ISAKMP for peer TESTVPN encryption aes-cbc authentication sha1
IKE info: life time ( 28800 sec/ 0 kb)


[IP-Router] 2005/11/28 19:31:44,250
IP-Router Rx (LAN):
DstIP: 80.137.27.253, SrcIP: 192.168.2.10, Len: 40, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 3389, SrcPort: 1285, Flags: A
Route: WAN Tx Peer: T-ONLINE

[IP-Router] 2005/11/28 19:31:44,710
IP-Router Rx (T-ONLINE):
DstIP: 192.168.2.10, SrcIP: 80.137.27.253, Len: 1440, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 1285, SrcPort: 3389, Flags: A
Route: LAN Tx

[IP-Router] 2005/11/28 19:31:44,740
IP-Router Rx (T-ONLINE):
DstIP: 192.168.2.10, SrcIP: 80.137.27.253, Len: 1440, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 1285, SrcPort: 3389, Flags: A
Route: LAN Tx

[IP-Router] 2005/11/28 19:31:44,740
IP-Router Rx (LAN):
DstIP: 80.137.27.253, SrcIP: 192.168.2.10, Len: 40, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 3389, SrcPort: 1285, Flags: A
Route: WAN Tx Peer: T-ONLINE

[IP-Router] 2005/11/28 19:31:44,740
IP-Router Rx (T-ONLINE):
DstIP: 192.168.2.10, SrcIP: 80.137.27.253, Len: 494, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 1285, SrcPort: 3389, Flags: PA
Route: LAN Tx

[IP-Router] 2005/11/28 19:31:44,790
IP-Router Rx (T-ONLINE):
DstIP: 192.168.2.10, SrcIP: 80.137.27.253, Len: 99, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 1285, SrcPort: 3389, Flags: PA
Route: LAN Tx

[IP-Router] 2005/11/28 19:31:44,790
IP-Router Rx (LAN):
DstIP: 80.137.27.253, SrcIP: 192.168.2.10, Len: 40, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 3389, SrcPort: 1285, Flags: A
Route: WAN Tx Peer: T-ONLINE

[VPN-Status] 2005/11/28 19:31:44,980
IKE info: IKE-CFG: Received REQUEST message with id 0 from peer TESTVPN
IKE info: IKE-CFG: Attribute INTERNAL_IP4_ADDRESS len 0 value (none) received
IKE info: IKE-CFG: Attribute INTERNAL_IP4_DNS len 0 value (none) received
IKE info: IKE-CFG: Attribute INTERNAL_IP4_NBNS len 0 value (none) received
IKE info: IKE-CFG: Attribute <Unknown 20002> len 0 is private -> ignore
IKE info: IKE-CFG: Attribute <Unknown 28672> len 0 is private -> ignore
IKE info: IKE-CFG: Attribute <Unknown 28673> len 0 is private -> ignore
IKE info: IKE-CFG: Attribute <Unknown 28674> len 0 is private -> ignore
IKE info: IKE-CFG: Attribute <Unknown 28675> len 0 is private -> ignore
IKE info: IKE-CFG: Attribute <Unknown 28676> len 0 is private -> ignore
IKE info: IKE-CFG: Attribute <Unknown 28677> len 0 is private -> ignore
IKE info: IKE-CFG: Attribute <Unknown 28678> len 0 is private -> ignore
IKE info: IKE-CFG: Attribute <Unknown 28679> len 0 is private -> ignore
IKE info: IKE-CFG: Attribute <Unknown 28681> len 0 is private -> ignore
IKE info: IKE-CFG: Attribute <Unknown 20003> len 0 is private -> ignore
IKE info: IKE-CFG: Attribute <Unknown 20004> len 0 is private -> ignore


[VPN-Status] 2005/11/28 19:31:44,980
IKE info: IKE-CFG: Creating REPLY message with id 0 for peer TESTVPN
IKE info: IKE-CFG: Attribute INTERNAL_IP4_NBNS len 0 skipped
IKE info: IKE-CFG: Attribute INTERNAL_IP4_DNS len 4 value 192.168.2.1 added
IKE info: IKE-CFG: Attribute INTERNAL_IP4_ADDRESS len 4 value 192.168.2.2 added
IKE info: IKE-CFG: Sending message


[IP-Router] 2005/11/28 19:31:44,990
IP-Router Rx (Intern):
DstIP: 80.137.27.253, SrcIP: 80.137.86.146, Len: 104, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 500, SrcPort: 500
Route: WAN Tx Peer: T-ONLINE

[IP-Router] 2005/11/28 19:31:45,050
IP-Router Rx (T-ONLINE):
DstIP: 192.168.2.10, SrcIP: 80.137.27.253, Len: 91, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 1285, SrcPort: 3389, Flags: PA
Route: LAN Tx

[VPN-Status] 2005/11/28 19:31:45,140
IKE info: Phase-2 remote proposal 1 for peer TESTVPN matched with local proposal 1


[IP-Router] 2005/11/28 19:31:45,140
IP-Router Rx (Intern):
DstIP: 80.137.27.253, SrcIP: 80.137.86.146, Len: 344, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 500, SrcPort: 500
Route: WAN Tx Peer: T-ONLINE

[IP-Router] 2005/11/28 19:31:45,250
IP-Router Rx (LAN):
DstIP: 80.137.27.253, SrcIP: 192.168.2.10, Len: 40, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 3389, SrcPort: 1285, Flags: A
Route: WAN Tx Peer: T-ONLINE

[VPN-Status] 2005/11/28 19:31:45,320
IKE info: Phase-2 [responder] done with 2 SAS for peer TESTVPN rule ipsec-0-TESTVPN-pr0-l0-r0
IKE info: rule:' ipsec 192.168.2.0/255.255.255.0 <-> 192.168.2.2/255.255.255.255 '
IKE info: SA ESP [0x460610c7] alg AES keylength 128 +hmac HMAC_MD5 outgoing
IKE info: SA ESP [0x1470e871] alg AES keylength 128 +hmac HMAC_MD5 incoming
IKE info: life soft( 25920 sec/0 kb) hard (28800 sec/0 kb)
IKE info: tunnel between src: 80.137.86.146 dst: 80.137.27.253


[VPN-Status] 2005/11/28 19:31:45,320
VPN: wait for IKE negotiation from TESTVPN (80.137.27.253)

[IP-Router] 2005/11/28 19:31:45,420
IP-Router Rx (T-ONLINE):
DstIP: 192.168.2.10, SrcIP: 80.137.27.253, Len: 58, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 1285, SrcPort: 3389, Flags: PA
Route: LAN Tx

[IP-Router] 2005/11/28 19:31:45,560
IP-Router Rx (LAN):
DstIP: 80.137.27.253, SrcIP: 192.168.2.10, Len: 40, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 3389, SrcPort: 1285, Flags: A
Route: WAN Tx Peer: T-ONLINE

[IP-Router] 2005/11/28 19:31:45,710
IP-Router Rx (T-ONLINE):
DstIP: 192.168.2.10, SrcIP: 80.137.27.253, Len: 1440, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 1285, SrcPort: 3389, Flags: A
Route: LAN Tx

[IP-Router] 2005/11/28 19:31:45,730
IP-Router Rx (T-ONLINE):
DstIP: 192.168.2.10, SrcIP: 80.137.27.253, Len: 1440, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 1285, SrcPort: 3389, Flags: A
Route: LAN Tx

[IP-Router] 2005/11/28 19:31:45,740
IP-Router Rx (LAN):
DstIP: 80.137.27.253, SrcIP: 192.168.2.10, Len: 40, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 3389, SrcPort: 1285, Flags: A
Route: WAN Tx Peer: T-ONLINE

[IP-Router] 2005/11/28 19:31:45,750
IP-Router Rx (T-ONLINE):
DstIP: 192.168.2.10, SrcIP: 80.137.27.253, Len: 1154, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 1285, SrcPort: 3389, Flags: PA
Route: LAN Tx

[IP-Router] 2005/11/28 19:31:45,750
IP-Router Rx (LAN):
DstIP: 80.137.27.253, SrcIP: 192.168.2.10, Len: 40, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 3389, SrcPort: 1285, Flags: A
Route: WAN Tx Peer: T-ONLINE

[IP-Router] 2005/11/28 19:31:45,790
IP-Router Rx (T-ONLINE):
DstIP: 192.168.2.10, SrcIP: 80.137.27.253, Len: 99, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 1285, SrcPort: 3389, Flags: PA
Route: LAN Tx

[IP-Router] 2005/11/28 19:31:45,960
IP-Router Rx (LAN):
DstIP: 80.137.27.253, SrcIP: 192.168.2.10, Len: 40, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 3389, SrcPort: 1285, Flags: A
Route: WAN Tx Peer: T-ONLINE

[IP-Router] 2005/11/28 19:31:46,050
IP-Router Rx (T-ONLINE):
DstIP: 192.168.2.10, SrcIP: 80.137.27.253, Len: 76, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 1285, SrcPort: 3389, Flags: PA
Route: LAN Tx

[IP-Router] 2005/11/28 19:31:46,160
IP-Router Rx (LAN):
DstIP: 80.137.27.253, SrcIP: 192.168.2.10, Len: 40, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 3389, SrcPort: 1285, Flags: A
Route: WAN Tx Peer: T-ONLINE

[VPN-Status] 2005/11/28 19:31:46,350
VPN: TESTVPN (80.137.27.253) connected

[VPN-Packet] 2005/11/28 19:31:46,360
for send: 192.168.2.1->192.168.2.2 78 UDP port 137->137

[VPN-Packet] 2005/11/28 19:31:46,360
encap: 192.168.2.1->192.168.2.2 78 UDP port 137->137

[VPN-Packet] 2005/11/28 19:31:46,380
encrypted: 80.137.86.146->80.137.27.253 136 ESP spi[460610c7]

[VPN-Packet] 2005/11/28 19:31:46,380
for send: 192.168.2.1->255.255.255.255 78 UDP port 137->137

[VPN-Packet] 2005/11/28 19:31:46,380
for send: 192.168.2.1->192.168.2.2 78 UDP port 137->137

[VPN-Packet] 2005/11/28 19:31:46,380
encap: 192.168.2.1->192.168.2.2 78 UDP port 137->137

[VPN-Packet] 2005/11/28 19:31:46,380
encrypted: 80.137.86.146->80.137.27.253 136 ESP spi[460610c7]

[VPN-Packet] 2005/11/28 19:31:46,380
for send: 192.168.2.1->255.255.255.255 78 UDP port 137->137

[IP-Router] 2005/11/28 19:31:46,710
IP-Router Rx (T-ONLINE):
DstIP: 192.168.2.10, SrcIP: 80.137.27.253, Len: 1402, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 1285, SrcPort: 3389, Flags: PA
Route: LAN Tx

[IP-Router] 2005/11/28 19:31:46,860
IP-Router Rx (LAN):
DstIP: 80.137.27.253, SrcIP: 192.168.2.10, Len: 40, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 3389, SrcPort: 1285, Flags: A
Route: WAN Tx Peer: T-ONLINE

[eddia]

Hallo André,

och nee - Du solltest nicht einfach einen Trace über alles einschalten, sondern nur für den IP-Router. Und wenn Du es nicht verhindern kannst, dass parallel noch eine RDP-Sitzung gefahren wird, dann begrenze die Ausgaben auf ein sinnvolles Mass!

trace # ip-router @ icmp

Danach einen ping vom AVC absetzen.

Gruß

Mario