Hallo, mir steht gerade einer auf dem Schlips. Ich will mir eine Teststellung aufbauen. Internet steht über ein 1780 EWG (LTE) zur Verfügung. Dieser Router hat das Netz 192.168.200.0 (DHCP ist aktiviert) und ist in keinem weiteren Netz eingebunden (das Gerät ist also autark). Nun habe ich einen 1781 VPN, der später als VPN-Router in einer Außenstelle eingesetzt werden soll.
Ich sitze in der Hauptzentrale und möchte den 1781er entsprechend konfigurieren. Später wird der Internetzugang zwar über das eingebaute Modem des Routers realisiert, für die Testkonfiguration möchte ich aber in Ermangelung eines anderen Internetzugangs auf den Internetzugang des 1780 EWG zugreifen (quasi als Modemersatz) und dann mit dem 1781 eine VPN Verbindung zur Zentrale herstellen. Das Netz der Zentrale hat die 192.168.192.0 und das zukünftige Netz der Außenstelle 192.168.192.96/224. Ich befinde mich also bewusst nicht im IP-Kreis des 1780er.
Die Internetverbindung für den 1781 habe ich per Assistenten über Plain Ethernet (ETH4) hergestellt. Internet funktioniert. Dann habe ich per Assistenten die VPN-Verbindung sowohl auf dem Gateway der Zentrale als auf dem 1781 konfiguriert. Leider klappt dieses nicht. Fehler lautet "Zeitüberschreitung während der Signalisierung oder Authentifizierung...).
Bei einem Tracert ins Internet läuft die Route über den 1781 und den 1780 ins Ziel. Starte ich einen Tracert in die Hauptzentrale komme ich nur bis zum 1781. Die Firewall dürfte nicht das Problem sein, da diese trotz eingestellter Benachrichtigung nichts logt.
Ich hatte vor zwei Jahren schon einmal so ein ähnliches Konzept mit einem vorgelagerten Vodafone-Router. Da hatte ich es hinbekommen...weiß aber leider nicht mehr wie. Wäre toll, wenn einer einen hilfreichen Tipp hätte. Eine google-Suche nach einem entsprechenden Lancom Szenario war leider erfolglos.
VPN über Plain Ethernet in Verbund mit 2 x Lancom Routern
Moderator: Lancom-Systems Moderatoren
VPN über Plain Ethernet in Verbund mit 2 x Lancom Routern
Zuletzt geändert von Immo am 11 Feb 2016, 16:38, insgesamt 1-mal geändert.
Re: VPN über Plain Ethernet in Verbund mit 2 x Lancom Router
Hi,
Bitte editier deinen Text, sodass es mehr als einen bewussten Zeilenumbruch gibt.
Gruß
Bitte editier deinen Text, sodass es mehr als einen bewussten Zeilenumbruch gibt.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
-
Dr.Einstein
- Beiträge: 3226
- Registriert: 12 Jan 2010, 14:10
Re: VPN über Plain Ethernet in Verbund mit 2 x Lancom Router
Hey Immo,
gibt leider eine Vielzahl an Ursachen, mögliche:
- NAT-T nicht eingeschaltet (testweise Portweiterleitung 500+4500 UDP vom LTE Router auf Lancom "WAN" Adresse
- Mobilfunkprovider unterstützt kein IPSec->SSL Kapselung
- Verbindung kommt nicht hoch, wenn du über den Assistent Versand mit UDP Paket angewählt (evtl blockt Provider UDP Port für dyn.VPN -> Umstellung auf aggr. Mode mit local/remote IDs oder Zertifikate
Mein erster Ansatz wäre NAT-T. Wenns danach nicht hochkommt, VPN-Status + PPP Trace, ob überhaupt drüben was ankommt. Danach weiter überlegen
Viel Erfolg, gruß Dr.Einstein
gibt leider eine Vielzahl an Ursachen, mögliche:
- NAT-T nicht eingeschaltet (testweise Portweiterleitung 500+4500 UDP vom LTE Router auf Lancom "WAN" Adresse
- Mobilfunkprovider unterstützt kein IPSec->SSL Kapselung
- Verbindung kommt nicht hoch, wenn du über den Assistent Versand mit UDP Paket angewählt (evtl blockt Provider UDP Port für dyn.VPN -> Umstellung auf aggr. Mode mit local/remote IDs oder Zertifikate
Mein erster Ansatz wäre NAT-T. Wenns danach nicht hochkommt, VPN-Status + PPP Trace, ob überhaupt drüben was ankommt. Danach weiter überlegen
Viel Erfolg, gruß Dr.Einstein
Re: VPN über Plain Ethernet in Verbund mit 2 x Lancom Router
Nein, daran liegt es leider nicht. Wenn ich eine VPN-Verbindung zwischen LTE-Router und der Hauptzentrale per Assistenten konfiguriere, funktioniert die Verbindung zwischen diesen beiden Geräte sauber. Die Hauptzentrale hat eine feste IP.
Ich glaube, dass der Fehler viel banaler ist. Wenn ich mir über den 1781er im Wlan-Monitor das Netzwerkprotokoll zur Wan-Verbindung anschaue, erscheint dort als iPv4 Gateway die interne IP des LTE-Routers (also nicht die, es Providers). Der 1781er bekommt auch aus diesem Netz seine IP (per DHCP vom LTE-Router) und den DNS-Server zugewiesen.
Müsste ich aber dann nicht eigentlich den LTE-Router aus dem Netz des 1781er anpingen können? Das klappt nämlich nicht...und somit ist es eigentlich klar, dass die VPN-Verbindung nicht funktioniert...wenn ich noch nicht einmal zum LTE-Router komme. Eigenartigerweise funktioniert aber der Internetzugang aus dem 1781er Netz einwandfrei. Fehlt vielleicht einfach nur ein simpler Routingeintrag? Die Default-Route ist auf die Internetverbindung, die ich über Pain Ethernet realisiert habe, gesetzt. Die VPN-Route ist auf den Router der Hauptverwaltung gesetzt. Muss vielleicht noch eine Route ins Netz des LTE-Routers gesetzt werden?
Ich glaube, dass der Fehler viel banaler ist. Wenn ich mir über den 1781er im Wlan-Monitor das Netzwerkprotokoll zur Wan-Verbindung anschaue, erscheint dort als iPv4 Gateway die interne IP des LTE-Routers (also nicht die, es Providers). Der 1781er bekommt auch aus diesem Netz seine IP (per DHCP vom LTE-Router) und den DNS-Server zugewiesen.
Müsste ich aber dann nicht eigentlich den LTE-Router aus dem Netz des 1781er anpingen können? Das klappt nämlich nicht...und somit ist es eigentlich klar, dass die VPN-Verbindung nicht funktioniert...wenn ich noch nicht einmal zum LTE-Router komme. Eigenartigerweise funktioniert aber der Internetzugang aus dem 1781er Netz einwandfrei. Fehlt vielleicht einfach nur ein simpler Routingeintrag? Die Default-Route ist auf die Internetverbindung, die ich über Pain Ethernet realisiert habe, gesetzt. Die VPN-Route ist auf den Router der Hauptverwaltung gesetzt. Muss vielleicht noch eine Route ins Netz des LTE-Routers gesetzt werden?
-
Dr.Einstein
- Beiträge: 3226
- Registriert: 12 Jan 2010, 14:10
Re: VPN über Plain Ethernet in Verbund mit 2 x Lancom Router
Hallo Immo,
der Ping auf den vorgeschalteten Router funktioniert wahrscheinlich wegen der Blockroute 192.168.0.0/16 nicht. Davon ist aber die Internetverbindung, und auch der eigentliche Aufbau des Tunnels nicht behindert. Du kannst auch testweise von der CLI des Routers aus ins inet pingen, wirst aber den gleichen Erfolg haben, wie bei deinem PC dahinter.
Gruß Dr.Einstein
der Ping auf den vorgeschalteten Router funktioniert wahrscheinlich wegen der Blockroute 192.168.0.0/16 nicht. Davon ist aber die Internetverbindung, und auch der eigentliche Aufbau des Tunnels nicht behindert. Du kannst auch testweise von der CLI des Routers aus ins inet pingen, wirst aber den gleichen Erfolg haben, wie bei deinem PC dahinter.
Gruß Dr.Einstein
Re: VPN über Plain Ethernet in Verbund mit 2 x Lancom Router
was so ein kleiner Tippfehler bei der VPN-Verbindungsliste ausmacht...Jetzt geht es.
Sorry für die Mühe