VPN Tunnel von Lancom 1711 zu Zyxel P-661H-D

markusmattes · Beitrag von **markusmattes** » 29 Mär 2007, 12:02

Hallo,

muss einen VPN Tunnel zwischen einem Lancom 1711 und einem Zyxel P-661H-D aufbauen was aber nicht funktioniert.

Beim Lancom bin ich mit dem Assistenten vorgegangen und habe alles soweit einegerichtet. Da der Zyxel keinen Assistenen hat habe ich hier einen Screen der settings.

Wenn ich das Lancom Gerät überwache bekomme ich die Meldung "Kein Übertragungs Kanal Verfügbar (Initator) [0x1102]" Was heist das ?!

Vielen dank für eure Hilfe im vorraus

backslash · Beitrag von **backslash** » 29 Mär 2007, 17:43

Hi markusmattes

unabhängig von der Fehlermeldung: Selbst wenn die nicht käme, käme mit den im Screenshot aufgeführten Einstellungen keine Verbindung zustande.

Folgendes mußt du in jedem Fall ändern:

Local und Remote:

Adress Type: Network
End/Subnet Mask: 255.255.255.0

ebenso braucht der Zyxel eine Dyndns-Adresse (z.B. xxx.dyndns.org - diese verwende ich ab hier). Diese muß in den Adress-Informationen ebenso eingetragen werden wie für den Peer, also

Local ID type: DNS
Content: xxx.dyndns.org
My IP Address: xxx.dyndns.org

Im LANCOM mußt du folgende Einstellungen ändern

VPN -> Allgemein -> VPN-Verbindungsliste -> Verbindung

entferntes Gateway: xxx.dyndns.org

VPN -> IKE-Auth -> IKE-Schlüssel und Identitäten -> Verbindung

Lokaler Identitätstyp: Domänen-Name (FQDN)
Lokale Identität: eickemeyer.dyndns.org

Entfernter Identitätstyp: Domänen-Name (FQDN)
Entfernte Identität: xxx.dyndns.org

und nun zu der Fehlermeldung:

Wenn ich das Lancom Gerät überwache bekomme ich die Meldung "Kein Übertragungs Kanal Verfügbar (Initator) [0x1102]" Was heist das ?!

Die kommt, wenn das LANCOM die Verbindung aufbauen will, diese aber entweder nicht korrekt konfiguriert ist oder aber wenn die Internetverbindung nicht verfügbar ist.

Was gibt ein "show vpn" auf dem LANCOM aus

Gruß
Backslash

markusmattes · Beitrag von **markusmattes** » 30 Mär 2007, 17:36

So habe alle einstellungen soweit gemacht nur komme ich nun nicht mehr auf das Zyxel gerät. Ich kann es nicht mehr anpingen etc. komisch jedoch ist das verbindungen von skype etc. noch funktionieren?! Da muss dan wohl ein Techniker in Italien vor ort einen reset machen.

Nun kommt zumindest ein Tiemout beim Verhadeln der Protokolle das liegt aber sicherlich daran das die Dyndns IP nicht richtig aktualiesiert wird und das das Anpingen des gerätes nicht mehr möglich ist....

Folgendes hat show VPN ausgegeben... Komischerweise 4x die Verbindung mit dem Zyxel gerät ?!

backslash · Beitrag von **backslash** » 30 Mär 2007, 18:06

Hi markusmattes

So habe alle einstellungen soweit gemacht nur komme ich nun nicht mehr auf das Zyxel gerät. Ich kann es nicht mehr anpingen etc.

Das ist aber unabhängig von den Änderungen, denn die betreffen ja nur den VPN-Tunnel und nicht die Internetanbindung...

Folgendes hat show VPN ausgegeben

das ist doch einfacher Text, warum postest du ihn nicht als solchen?

Komischerweise 4x die Verbindung mit dem Zyxel gerät ?!

Hier sind in jedem Fall 3 überflüssige Regeln drin (lokales Netz -> lokales Netz, remotes Netz -> remotes Netz, remotes Netz -> lokales Netz)

Da stellt sich natürlich die Frage, wie du das konfiguriert hast. Denn wenn du es wirklich nur mit dem Wizard gemacht hast, würde das nicht passieren.

Es muß ja einerseits eine Route vorhanden sein, die das lokale Netz an den VPN-Tunnel heftet (sonst gäbe es nicht die lokales Netz -> lokales Netz Regel). Desweiteren mußt du zuätzlich noch manuell VPN-Regeln angelegt haben (sonst gäbe es nicht die "umgedrehte" Regel - remotes Netz -> lokales Netz sowie die remotes Netz -> remotes Netz Regel)

Gruß
Backslash

markusmattes · Beitrag von **markusmattes** » 03 Apr 2007, 08:40

So ich bin gestern wieder etwas weiter gekommen habe alles nocheinmal von vorne gemacht und habe nun auch nur eine VPN regel für VPNITAL.

Leider funktioniert es noch immer nicht so ganz erhalte nun folgenden fehler.....

Keine Regel für ID´s gefunden - unbekannte verbindung oder fehlerhafte ID (z.b. IP-Netzwerkdefinition) Responder, IPSEC

Habe zu diesem Fehler hier im Forum schon einiges gefunden aber leider hat mir nichts weitergeholfen....

backslash · Beitrag von **backslash** » 03 Apr 2007, 12:06

Hi markusmattes

dann poste doch nochmal die Ausgabe von "show vpn" - aber bitte als Text...

Gruß
Backslash

markusmattes · Beitrag von **markusmattes** » 03 Apr 2007, 13:01

Das kam dabei raus...

Code: Alles auswählen

VPN SPD and IKE configuration:

  # of connections = 11

  Connection #1                 192.168.0.0/255.255.255.0:0 <-> 255.255.255.254/255.255.255.255:0 any

    Name:                       VPNITAL
    Unique Id:                  ipsec-10-VPNITAL-pr0-l0-r0
    Flags:                      main-mode
    Local  Network:             IPV4_ADDR_SUBNET(any:0, 192.168.0.0/255.255.255.0)
    Local  Gateway:             IPV4_ADDR(any:0, 84.158.178.186)
    Remote Gateway:             IPV4_ADDR(any:0, 217.133.181.243)
    Remote Network:             IPV4_ADDR(any:0, 255.255.255.254/255.255.255.255)

**EDIT**

ich glaube ich habe nach dem Posten einen fehler selbst gefunden denn
Remote Network: IPV4_ADDR(any:0, 255.255.255.254/255.255.255.255)
müsste doch Remote Network: IPV4_ADDR(any:0, 192.168.1.0/255.255.255.255) sein oder ?

***EDIT2****

Funktioniert

backslash · Beitrag von **backslash** » 03 Apr 2007, 14:46

Hi markusmattes

Remote Network: IPV4_ADDR(any:0, 255.255.255.254/255.255.255.255)
müsste doch Remote Network: IPV4_ADDR(any:0, 192.168.1.0/255.255.255.255) sein oder ?

richtig - dir fehlt die Route zur VPN-Gegenstelle, also folgender Eintrag in der Routing-Tabelle:

Code: Alles auswählen

IP-Adresse:  192.168.1.0
Netzmaske:   255.255.255.0
Routing-Tag: 0
Router:      VPNITAL

Ohne die Route nimmt der Router an, daß es eine Clientverbindung ist, der dynamisch eine IP-Adresse zugewiesen wird - daher die Pseudoe-IP 255.255.255.254

Gruß
Backslash