VPN Standortvernetzung zwischen 883 und 1722

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
Burak
Beiträge: 19
Registriert: 04 Mär 2014, 12:31

VPN Standortvernetzung zwischen 883 und 1722

Beitrag von Burak »

Hallo,

ich müsste eine VPN Verbindung zwischen zwei Standorten einrichten.
Am zentralen Standort ist ein älterer LANCOM Router 1772 VoIP Annex B. Dieser hat LCOS Version 9.0 RU3. Es sind schon einige VPN Verbindung eingerichtet für Clients, welche ohne Probleme funktionieren. Eine feste IP-Adresse und DNS-Name ist vorhanden.

Am zweiten Standort ist ein neuer LANCOM Router 883 VoIP Router, welchen ich gestern angeschlossen und eingerichtet habe. Dabei habe ich die Assistenten verwenden und DSL, VoIP usw. eingerichtet.

Ich hatte vorab schon alles mir angeschaut und vorbereitet und dachte, VPN Verbindung wird ohne Probleme einzurichten sein. Leider hat es trotz des Assistenten nicht geklappt. Zu dem war ich unter Stress und musste es nach einigen Versuchen abbrechen, was ich auf jeden Fall gesehen habe, war die Fehlermeldung:
Keine Regel für ID's gefunden - unbekannte Verbindung oder fehlerhafte ID (z.B. IP-Netzwerkdefinition) (Passiver Verbindungsaufbau, IPSec) [0x3201]
Im Router 1722 am zentralen Standort.

Jetzt wäre meine erste Frage: Gibt es Einschränkungen oder wichtige Punkte, die ich zwischen einem aktuellen Router und des älteren Modell beachten muss? Da der 1722 IKEv2 nicht unterstützt, habe ich auch IKEv1 eingerichtet. Sind ggf. die Standard Proposaleinträge nicht kompatibel?

Wäre die folgende Vorgehensweise richtig?

Zentraler Standort:
IP-Netz 192.168.1.0/24 und 192.168.100.0/24 (beide Netze müssen erreichbar sein)
Über Assistenten habe ich zwei lokale Netze verbunden:
Name der Gegenstelle: RT-NEBENSTELLE
IKE- und PFS-Gruppe 14
Dieses Gerät soll die VPN-Verbindung annehmen (Responder) (oder sollte der zentrale Router der Initiator sein?)
Gateway: Feste IP Adresse der Nebenstelle
Adresse: 192.168.2.0
Netzmaske: 255.255.255.0
DNS-Weiterleitung: *.nebenstelle
Extranet VPN nicht aktiviert
NetBIOS über IP Routing nicht aktiviert


Nebenstelle:
IP-Netz 192.168.2.0/24
Name der Gegenstelle: RT-ZENTRALE
IKE- und PFS-Gruppe 14
Dieses Gerät soll die VPN-Verbindung aufbauen (Initiator)
Gateway: DNS Name der Gegenstelle (zeigt auf feste IP-Adresse, der Name wird auch verwendet bei den Clients)
Adresse: 192.168.1.0
Netzmaske: 255.255.255.0
DNS-Weiterleitung: *.domain.local
Extranet VPN nicht aktiviert
NetBIOS über IP Routing nicht aktiviert
Zusätzlich unter Routing noch manuell das 192.168.100.0/24 Netz hinzugefügt, damit dies auch erreichbar ist
Es gibt ein zweites Netz unter 192.168.3.0/24, was aber ein anderes Schnittstellen Tag hat und als WLAN Gast Netzwerk eingesetzt wird. Dieses soll natürlich keinen Zugriff auf den zentralen Standort haben.


Muss ich manuell Firewall-Regeln hinzufügen, damit die Verbindung erlaubt wird? Wenn ja, bei beiden Routern oder nur auf einem?
Bei den VPN-Verbindungslisten steht unter dem VPN Eintrag Regelerzeugung auf "Automatisch". Heißt diese Option, dass Firewall Regeln für die VPN Verbindung automatisch erstellt werden bei Einwahl?

Wäre sehr erfreut über Hilfe und Tipps! Dankeschön!

VG
Burak
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: VPN Standortvernetzung zwischen 883 und 1722

Beitrag von GrandDixence »

Der Lancom 1722 ist im September 2019 "End-of-Life".

https://www.lancom-systems.de/produkte/ ... anagement/

https://www.lancom-systems.de/produkte/ ... ttabellen/

Und ein Produkt, welches keine allfälligen Sicherheitsupdates erhält, sollte nicht als VPN-Endpunkt eingesetzt werden! Auch auf den Einsatz von IKEv1 sollte aus Sicherheitsgründen verzichtet werden.

VPN-Anleitungen für IKEv2/IPSec findet man unter:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: VPN Standortvernetzung zwischen 883 und 1722

Beitrag von backslash »

Hi Burak
Jetzt wäre meine erste Frage: Gibt es Einschränkungen oder wichtige Punkte, die ich zwischen einem aktuellen Router und des älteren Modell beachten muss?
bis auf den Punkt, da0 der 1722 kein IKEv2 kann - nein...
Dieses Gerät soll die VPN-Verbindung annehmen (Responder) (oder sollte der zentrale Router der Initiator sein?)
Die Zentrale sollte die Verbindungen annehmen, weil i.A. die Zentrale eine feste IP-Adresse hat, während die Filialen dynamische Adressen haben. Also ist der Aufbau soweit schon mal korrekt...

Aber genau bei den Adressen beginnt das Problem... IKEv1 kann mit dynamischen Adressen nur im Agressive-Mode (mit PSK) oder unter Verwendung von Zertifikaten umgehen. Der Agressive-Mode sollte tunlichst vermieden werden, weil er "offline" angreifbar ist. (Das gilt i.Ü. auch für die Clients, die sich bereits in der Zentrale einwählen).
Im IKEv1 gibt es zwischen LANCOMs noch die Möglichkleit des "dynamic VPN", bei der scih die einwählende Filiale durch eine proprietäre Vorverhandlung bei der Zentrale bekannt macht, so daß dann der (sichere) Main-Mode mit PSK genutzt werden kann.

was ist in der Zentrake mit
Adresse: 192.168.2.0
Netzmaske: 255.255.255.0
bzw, in der Filiale mit
Adresse: 192.168.1.0
Netzmaske: 255.255.255.0
gemeint? Wenn das die Routen auf die jeweiligen VPN-Tunnel sind: OK...
Zusätzlich unter Routing noch manuell das 192.168.100.0/24 Netz hinzugefügt, damit dies auch erreichbar ist
In der Zentrale brauchst du ggf. auch noch eine Firewall-VPN-Regel, die den Zugriff auf das Netz von der Filiale aus erlaubt:

Code: Alles auswählen

[ ]    diese Regel ist für die Firewall aktiv
[x]    diese Regel wird zum Erzeugen von VPN-Netzbeziehungen verwendet

Aktion:    übertragen
Quelle:    192.168.100.0/24
Ziel:      VPN-Gegenstelle Filiale
Dienste:   alle Diensten
DNS-Weiterleitung: *.domain.local
ich hoffe deine Domain in der Zentrale endet nicht wirklich auf ".local", denn das beisst sich mit Bonjour und macht oftmals echte Probleme. Das solltest du überdenken

Ansonsten kann ich GrandDixence nur recht geben: Am besten den Zentralrouter austauschen und alle Verbindungen auf IKEv2 umstellen

Gruß
Backslash
Antworten