Hallo,
ich habe eine ganze Weile hier im Forum gesucht und irgendwie nicht das Richtige gefunden,
zumindest bekomme ich es nicht ans Laufen und hoffen, dass ihr mir den entscheidenden Tipp geben könnt.
Wir haben einen Glasfaseranschluss, der keine öffentliche IPv4 bietet, nur eine öffentliche IPv6.
Die IPv6 WAN Adresse des LANCOM 883 VoIP habe ich bei dynv6.com registriert, und kann den Router auch von
Extern über die xyz.dynv6.net Adresse erreichen.
Nun möchte ich eine VPN Verbindung aufbauen und habe mit dem Assistenen einen Externen Zungang als ikev2 angelegt,
das Profil als Datei gespeichert undin den VPN Client eingelesen. Anschließend noch in den Einstellungen den Tunnel auf ipv6 geändert.
In den Firewallregeln zu IPv6 ist die ALLOW-IPSEC Regel aktiviert.
Wenn ich versuche mich mit dem VPN Client auf den Router aufzuschalten bekomme ich nach einer Zeit die Nachricht: "VPN Gateway antwortet nicht"
Was mache ich falsch?
VPN über IPv6 mit Advanced VPN Client
Moderator: Lancom-Systems Moderatoren
Re: VPN über IPv6 mit Advanced VPN Client
Hier das Protokoll des VPN Clients:
26.06.2023 09:15:37 - System: DNSHandling=0
26.06.2023 09:15:37 - IPSec: Start building connection
26.06.2023 09:15:37 - Found default route,NextHop=10.1.1.98,Metric=55,Ifindex=9
26.06.2023 09:15:37 - IpsDial: connection time interface choice,LocIpa=10.1.1.36,AdapterIndex=203,OsIndex=9
26.06.2023 09:15:37 - IPSec: DNSREQ: resolving GW=<xyz.DYNV6.NET> over lan:
26.06.2023 09:15:37 - IPSec: DNSREQ resolved vpn ipadr=0.0.0.0,ipadr6=xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx (IPv6 Adresse unkentlich gemacht)
26.06.2023 09:15:37 - ipsdial: resolved at least one remote tunnel endpoint.
26.06.2023 09:15:37 - IpsDial: connection time interface choice,LocIpa=10.1.1.36,AdapterIndex=203,OsIndex=9
26.06.2023 09:15:37 - Ikev2: Opening connection in PATHFINDER mode : LC-Router-MOBIL
26.06.2023 09:15:37 - Ikev2: Outgoing connect request IKEv2 mode - gateway=xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx : LC-Router-MOBIL
26.06.2023 09:15:37 - Ikev2: ConRef=3, XMIT_MSG1_INIT, name=LC-Router-MOBIL, vpngw=xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxx
26.06.2023 09:15:40 - Isakmp: re-sending packet to=xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxx,size=556
26.06.2023 09:15:44 - Ike: Ike -> resend - switching to gateway=0.0.0.0 : LC-Router-MOBIL
26.06.2023 09:15:44 - Isakmp: re-sending packet to=0.0.0.0:500,size=556
26.06.2023 09:15:48 - Isakmp: re-sending packet to=0.0.0.0:500,size=556
26.06.2023 09:15:52 - IKEv2(INIT): Switching to TCP ENCAPSULATION in PATHFINDER_1 : LC-Router-MOBIL
26.06.2023 09:15:52 - Ike: Opening PATHFINDER1 connection: LC-Router-MOBIL
26.06.2023 09:15:52 - Ikev2: Pathfinder-Outgoing connect request : LC-Router-MOBIL
26.06.2023 09:15:52 - Ikev2: ConRef=3, XMIT_MSG1_INIT, name=LC-Router-MOBIL, vpngw=xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxx
26.06.2023 09:15:52 - TcpConnectionBase: connect_request, locadr=0000:0000:0000:0000:0000:0000:0000:0000:9500, remadr=xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxx
26.06.2023 09:15:56 - TcpConnectionBase: connect_request, locadr=0000:0000:0000:0000:0000:0000:0000:0000:9500, remadr=xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxx
26.06.2023 09:15:56 - Isakmp: re-sending packet to=xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxx,size=504
26.06.2023 09:16:00 - Ike: Ike -> resend - switching to gateway=0.0.0.0 : LC-Router-MOBIL
26.06.2023 09:16:00 - TcpConnectionBase: connect_request, locadr=0.0.0.0:9500, remadr=0.0.0.0:443
26.06.2023 09:16:00 - Isakmp: re-sending packet to=0.0.0.0:443,size=504
26.06.2023 09:16:05 - TcpConnectionBase: connect_request, locadr=0.0.0.0:9500, remadr=0.0.0.0:443
26.06.2023 09:16:05 - Isakmp: re-sending packet to=0.0.0.0:443,size=504
26.06.2023 09:16:09 - Ikev2(INIT): Switching to TCP ENCAPSULATION in PATHFINDER_2 : LC-Router-MOBIL
26.06.2023 09:16:09 - Ike: Opening PATHFINDER2 connection: LC-Router-MOBIL
26.06.2023 09:16:09 - Ikev2: Pathfinder-Outgoing connect request : LC-Router-MOBIL
26.06.2023 09:16:09 - Ikev2: ConRef=3, XMIT_MSG1_INIT, name=LC-Router-MOBIL, vpngw=xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxx
26.06.2023 09:16:09 - Sockif: PF2 - PathFinder: SSL handshake failed
26.06.2023 09:16:09 - Sockif: PF2 - PathFinder: TLS/SSL Alert: 70 - protocol version
26.06.2023 09:16:13 - Isakmp: re-sending packet to=xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxx,size=504
26.06.2023 09:16:13 - Sockif: PF2 - PathFinder: SSL handshake failed
26.06.2023 09:16:13 - Sockif: PF2 - PathFinder: TLS/SSL Alert: 70 - protocol version
26.06.2023 09:16:17 - Ike: Ike -> resend - switching to gateway=0.0.0.0 : LC-Router-MOBIL
26.06.2023 09:16:17 - Isakmp: re-sending packet to=0.0.0.0:443,size=504
26.06.2023 09:16:17 - Sockif: PF2 - PathFinder: TCP connect to 0.0.0.0 failed
26.06.2023 09:16:21 - Isakmp: re-sending packet to=0.0.0.0:443,size=504
26.06.2023 09:16:21 - Sockif: PF2 - PathFinder: TCP connect to 0.0.0.0 failed
26.06.2023 09:16:25 - ERROR - 4021: IKEv2(INIT) - Could not contact Gateway. Please check your internet connection.
26.06.2023 09:16:25 - Ikev2: phase1:name(LC-Router-MOBIL) - ConRef=3,ERROR - retry timeout - max retries
26.06.2023 09:16:25 - IPSec: Disconnected from LC-Router-MOBIL on channel 1.
26.06.2023 09:16:25 - INFO - MONITOR: Disconnected
26.06.2023 09:16:25 - INFO - MONITOR: Media=Wi-Fi, Tx=0 Byte, Rx=0 Byte
Für mich auffällig sind die folgenden Zeilen:
TcpConnectionBase: connect_request, locadr=0000:0000:0000:0000:0000:0000:0000:0000:9500,
Sockif: PF2 - PathFinder: TLS/SSL Alert: 70 - protocol version
26.06.2023 09:15:37 - System: DNSHandling=0
26.06.2023 09:15:37 - IPSec: Start building connection
26.06.2023 09:15:37 - Found default route,NextHop=10.1.1.98,Metric=55,Ifindex=9
26.06.2023 09:15:37 - IpsDial: connection time interface choice,LocIpa=10.1.1.36,AdapterIndex=203,OsIndex=9
26.06.2023 09:15:37 - IPSec: DNSREQ: resolving GW=<xyz.DYNV6.NET> over lan:
26.06.2023 09:15:37 - IPSec: DNSREQ resolved vpn ipadr=0.0.0.0,ipadr6=xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx (IPv6 Adresse unkentlich gemacht)
26.06.2023 09:15:37 - ipsdial: resolved at least one remote tunnel endpoint.
26.06.2023 09:15:37 - IpsDial: connection time interface choice,LocIpa=10.1.1.36,AdapterIndex=203,OsIndex=9
26.06.2023 09:15:37 - Ikev2: Opening connection in PATHFINDER mode : LC-Router-MOBIL
26.06.2023 09:15:37 - Ikev2: Outgoing connect request IKEv2 mode - gateway=xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx : LC-Router-MOBIL
26.06.2023 09:15:37 - Ikev2: ConRef=3, XMIT_MSG1_INIT, name=LC-Router-MOBIL, vpngw=xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxx
26.06.2023 09:15:40 - Isakmp: re-sending packet to=xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxx,size=556
26.06.2023 09:15:44 - Ike: Ike -> resend - switching to gateway=0.0.0.0 : LC-Router-MOBIL
26.06.2023 09:15:44 - Isakmp: re-sending packet to=0.0.0.0:500,size=556
26.06.2023 09:15:48 - Isakmp: re-sending packet to=0.0.0.0:500,size=556
26.06.2023 09:15:52 - IKEv2(INIT): Switching to TCP ENCAPSULATION in PATHFINDER_1 : LC-Router-MOBIL
26.06.2023 09:15:52 - Ike: Opening PATHFINDER1 connection: LC-Router-MOBIL
26.06.2023 09:15:52 - Ikev2: Pathfinder-Outgoing connect request : LC-Router-MOBIL
26.06.2023 09:15:52 - Ikev2: ConRef=3, XMIT_MSG1_INIT, name=LC-Router-MOBIL, vpngw=xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxx
26.06.2023 09:15:52 - TcpConnectionBase: connect_request, locadr=0000:0000:0000:0000:0000:0000:0000:0000:9500, remadr=xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxx
26.06.2023 09:15:56 - TcpConnectionBase: connect_request, locadr=0000:0000:0000:0000:0000:0000:0000:0000:9500, remadr=xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxx
26.06.2023 09:15:56 - Isakmp: re-sending packet to=xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxx,size=504
26.06.2023 09:16:00 - Ike: Ike -> resend - switching to gateway=0.0.0.0 : LC-Router-MOBIL
26.06.2023 09:16:00 - TcpConnectionBase: connect_request, locadr=0.0.0.0:9500, remadr=0.0.0.0:443
26.06.2023 09:16:00 - Isakmp: re-sending packet to=0.0.0.0:443,size=504
26.06.2023 09:16:05 - TcpConnectionBase: connect_request, locadr=0.0.0.0:9500, remadr=0.0.0.0:443
26.06.2023 09:16:05 - Isakmp: re-sending packet to=0.0.0.0:443,size=504
26.06.2023 09:16:09 - Ikev2(INIT): Switching to TCP ENCAPSULATION in PATHFINDER_2 : LC-Router-MOBIL
26.06.2023 09:16:09 - Ike: Opening PATHFINDER2 connection: LC-Router-MOBIL
26.06.2023 09:16:09 - Ikev2: Pathfinder-Outgoing connect request : LC-Router-MOBIL
26.06.2023 09:16:09 - Ikev2: ConRef=3, XMIT_MSG1_INIT, name=LC-Router-MOBIL, vpngw=xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxx
26.06.2023 09:16:09 - Sockif: PF2 - PathFinder: SSL handshake failed
26.06.2023 09:16:09 - Sockif: PF2 - PathFinder: TLS/SSL Alert: 70 - protocol version
26.06.2023 09:16:13 - Isakmp: re-sending packet to=xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxx,size=504
26.06.2023 09:16:13 - Sockif: PF2 - PathFinder: SSL handshake failed
26.06.2023 09:16:13 - Sockif: PF2 - PathFinder: TLS/SSL Alert: 70 - protocol version
26.06.2023 09:16:17 - Ike: Ike -> resend - switching to gateway=0.0.0.0 : LC-Router-MOBIL
26.06.2023 09:16:17 - Isakmp: re-sending packet to=0.0.0.0:443,size=504
26.06.2023 09:16:17 - Sockif: PF2 - PathFinder: TCP connect to 0.0.0.0 failed
26.06.2023 09:16:21 - Isakmp: re-sending packet to=0.0.0.0:443,size=504
26.06.2023 09:16:21 - Sockif: PF2 - PathFinder: TCP connect to 0.0.0.0 failed
26.06.2023 09:16:25 - ERROR - 4021: IKEv2(INIT) - Could not contact Gateway. Please check your internet connection.
26.06.2023 09:16:25 - Ikev2: phase1:name(LC-Router-MOBIL) - ConRef=3,ERROR - retry timeout - max retries
26.06.2023 09:16:25 - IPSec: Disconnected from LC-Router-MOBIL on channel 1.
26.06.2023 09:16:25 - INFO - MONITOR: Disconnected
26.06.2023 09:16:25 - INFO - MONITOR: Media=Wi-Fi, Tx=0 Byte, Rx=0 Byte
Für mich auffällig sind die folgenden Zeilen:
TcpConnectionBase: connect_request, locadr=0000:0000:0000:0000:0000:0000:0000:0000:9500,
Sockif: PF2 - PathFinder: TLS/SSL Alert: 70 - protocol version
Re: VPN über IPv6 mit Advanced VPN Client
So ... jetzt habe ich den Assistenten mit IKEv1 durchlaufen lassen und im VPN Client eingelesen.
Mit den gleichen Angaben!
IKEv1 funktionierte sofort.
Liegt der Fehler bei Lancom?
Mit den gleichen Angaben!
IKEv1 funktionierte sofort.
Liegt der Fehler bei Lancom?
-
GrandDixence
- Beiträge: 1061
- Registriert: 19 Aug 2014, 22:41
Re: VPN über IPv6 mit Advanced VPN Client
Nein, der Fehler liegt beim Netzwerktechniker, welcher den VPN-Client und VPN-Server konfiguriert hat.
Hier wurde offenbar der Einsatz eines SSL-VPN konfiguriert. Zum Thema "SSL-VPN" bitte meinen Beitrag unter:
fragen-zum-thema-vpn-f14/problem-mit-vp ... tml#p86848
aufmerksam durchlesen.
Für SSL-VPN sind die Empfehlungen im BSI TR-02102-2 einzuhalten. Für VPN-Tunneln mit IKE(v2)/IPSec sind die Empfehlungen im BSI TR-02102-3 einzuhalten. Beide BSI TR's sind regelmässig, mindestens 1x pro Jahr zu konsultieren und allenfalls die Verschlüsselungskonfiguration den neusten Empfehlungen vom BSI anzupassen.
https://www.bsi.bund.de/DE/Themen/Unter ... _node.html
Hier wurde offenbar der Einsatz eines SSL-VPN konfiguriert. Zum Thema "SSL-VPN" bitte meinen Beitrag unter:
fragen-zum-thema-vpn-f14/problem-mit-vp ... tml#p86848
aufmerksam durchlesen.
Gemäss der Fehlermeldung wurde entweder im VPN-Client oder im VPN-Server für diesen SSL-VPN eine hoffnungslos veraltete und unsichere Version des Verschlüsselungsprotokoll (SSL/TLS) konfiguriert.26.06.2023 09:16:09 - Sockif: PF2 - PathFinder: SSL handshake failed
26.06.2023 09:16:09 - Sockif: PF2 - PathFinder: TLS/SSL Alert: 70 - protocol version
Für SSL-VPN sind die Empfehlungen im BSI TR-02102-2 einzuhalten. Für VPN-Tunneln mit IKE(v2)/IPSec sind die Empfehlungen im BSI TR-02102-3 einzuhalten. Beide BSI TR's sind regelmässig, mindestens 1x pro Jahr zu konsultieren und allenfalls die Verschlüsselungskonfiguration den neusten Empfehlungen vom BSI anzupassen.
https://www.bsi.bund.de/DE/Themen/Unter ... _node.html
Re: VPN über IPv6 mit Advanced VPN Client
Hallo GrandDixence,
vielen Dank für die Antwort.
Die VPN über https Option habe ich beim mehrfachen probieren wohl aktiert, ist aber nicht das eigentliche Problem.
Ich benutze den Assistenten vom Lanconfig, der nicht viele Eingaben fordert.
Mich wundert: Wenn ich den Assistenten mit IKEv1 durchlaufen lasse funtioniert die Verbindung danach sofort.
Der gleiche Versuch mit dem Assistenten mit IKEv2 scheitert, da der VPN Client angeblich die Gestenstelle nicht findet (diese wohl nicht antwortet).
Was kann da schief laufen?
Viele Grüße und nochmals vielen Dank.
vielen Dank für die Antwort.
Die VPN über https Option habe ich beim mehrfachen probieren wohl aktiert, ist aber nicht das eigentliche Problem.
Ich benutze den Assistenten vom Lanconfig, der nicht viele Eingaben fordert.
Mich wundert: Wenn ich den Assistenten mit IKEv1 durchlaufen lasse funtioniert die Verbindung danach sofort.
Der gleiche Versuch mit dem Assistenten mit IKEv2 scheitert, da der VPN Client angeblich die Gestenstelle nicht findet (diese wohl nicht antwortet).
Was kann da schief laufen?
Viele Grüße und nochmals vielen Dank.
-
GrandDixence
- Beiträge: 1061
- Registriert: 19 Aug 2014, 22:41
Re: VPN über IPv6 mit Advanced VPN Client
Ein guter Netzwerktechniker verwendet keinen Assistenten.
Re: VPN über IPv6 mit Advanced VPN Client
Kannst du mir denn wenigstens einen Tipp geben, was fehlen kann, wenn die offizielle Anleitung von Lancom:
https://support.lancom-systems.com/know ... v6-Adresse
nicht funktioniert?
https://support.lancom-systems.com/know ... v6-Adresse
nicht funktioniert?
Re: VPN über IPv6 mit Advanced VPN Client
So, das Problem ist anscheined gelöst:
Die "Default" Verbindung war abgeschaltet.
fragen-zum-thema-vpn-f14/ikev2-fragment ... ml#p106085
Danke für den Eintrag von damals.
Grüße
Die "Default" Verbindung war abgeschaltet.
fragen-zum-thema-vpn-f14/ikev2-fragment ... ml#p106085
Danke für den Eintrag von damals.
Grüße
Re: VPN über IPv6 mit Advanced VPN Client
Hallo, ich möchte jetzt keinen neuen Thread eröffnen. Ich habe einen VPN Client miz IKEv2 ufgebaut und als Gateway eine IPv4 Adresse eingegeben. Das funktiniert auch soweit von zuhause, Wenn ich nun eine IPv6 Adresse einegebe, kriege ich keine Connection. Wenn ich aber über ein Hotspot über mein Handy einsteige über mit der IPv6 Adresse, dann klappt es wiederum. Hat einer eine Idee, wo der Fehler liegen könnte?
Re: VPN über IPv6 mit Advanced VPN Client
Ist zwar schon älter, aber wenn jemand danach sucht:
Am wahrscheinlichsten ist es,dass dein Internet/Netzwerk kein IPV6 aktiviert hat.
Das Mobilfunknetz unterstützt ingegen oft kein IPV4 mehr.
Hier muss im Router und ggf auch auf dem Rechner IPV6 aktiviert werden.
Am wahrscheinlichsten ist es,dass dein Internet/Netzwerk kein IPV6 aktiviert hat.
Das Mobilfunknetz unterstützt ingegen oft kein IPV4 mehr.
Hier muss im Router und ggf auch auf dem Rechner IPV6 aktiviert werden.