Hallo allerseits,
folgendes Problem:
Aufbau einer VPN-Verbindung zu einem externen Router, folgende Angeben zu den IPSEC-Parametern
.............................................................................
IKE Phase 1 – IPSec-Parameter
- Main mode
- AES128
- sha
- Diffie Hellmann Group 2 (1024 bits)
- pre-shared secret
- Default: SA lifetime of 28800 seconds (eight hours) with no kbytes rekeying ................................................................................................................IKE Phase 2 – IPSec-Parameter
- AES128- sha
- ESP tunnel mode
- Diffie Hellmann Group 2 (1024 bits)
- (PFS on) Perfect forward secrecy for rekeying
- Default: SA lifetime of 3600 seconds (one hour) with no kbytes rekeying
diese habe ich mit Hilfe des Handbuchs umgesetzt, habe aber jetzt das Problem, dass auf der Gegenseite eine festgelegte IP-Adresse erwartet wird, mit der die Verbindung aufgebaut wird. nach der Einstellung der IP in der N:N-Tabelle war der Lancom 1721 vom hausinternen Netz nicht mehr erreichbar, konnte das ganze erst nach Reset und Rückspielen der gesicherten Konfiguration zum Laufen bringen.
Meine Frage:
Wie muss die N:N_Nat-Tabelle aussehen, um so etwas zu vermeiden?
Einstellungen, die im ersten Versuch gesetzt wurden
ZielGegenstelle VPN-Router des Kommunikationspartners
QuellIP hausinterne IP 192.168.10.12 (Server, von dem aus die VPN-Verbindung aufgebaut werden soll)
Netzmaske 255.255.255.255
umges. QuellIP: von der Gegenstelle erwartete IP-Adresse
hat jemand eine Idee?
Vielen Dank
WFA
VPN-Verbindung zu einem externen Router über NAT-Adresse
Moderator: Lancom-Systems Moderatoren
Hi wolf64
Im ersten Fall kannst du nichts daran ändern daß es nicht funktioniert und wirst es auch nicht hinbekommen, da das LANCOM ja vom Provider eine andere IP zugewiesen bekommen hat und somit unter der irgendwie gemappten Adresse gar nicht erreichbar ist...
Im zweiten Fall ist N:N-NAT der falsche Ansatz. Hierfür ist die Extranet-Adresse in der VPN-Verbindungsliste gedacht. Dabei maskiert das LANCOM alles im VPN-Tunnel hinter genau dieser Adresse.
Wenn du auf den VPN-Server mit beliebigen Adressen zugreifen willst, dann mußt du entweder auf den Aggressive-Mode wechseln oder mit Zertifikaten arbeiten
Gruß
Backslash
Wer muß eine feste IP haben? Das LANCOM auf seiner Internetverbindung oder die "VPN-Verbindung" als solche.habe aber jetzt das Problem, dass auf der Gegenseite eine festgelegte IP-Adresse erwartet wird, mit der die Verbindung aufgebaut wird.
Im ersten Fall kannst du nichts daran ändern daß es nicht funktioniert und wirst es auch nicht hinbekommen, da das LANCOM ja vom Provider eine andere IP zugewiesen bekommen hat und somit unter der irgendwie gemappten Adresse gar nicht erreichbar ist...
Im zweiten Fall ist N:N-NAT der falsche Ansatz. Hierfür ist die Extranet-Adresse in der VPN-Verbindungsliste gedacht. Dabei maskiert das LANCOM alles im VPN-Tunnel hinter genau dieser Adresse.
Wenn du auf den VPN-Server mit beliebigen Adressen zugreifen willst, dann mußt du entweder auf den Aggressive-Mode wechseln oder mit Zertifikaten arbeiten
Gruß
Backslash
Hallo!
Mir geht es genau so, die Gegenseite hat mir ein privates Netz zugewiesen, unter dem ich mich anmelden kann, entsprechend ist auch die Firewall und das Routing in deren Cisco konfiguriert.
Ich würde also gerne unseren 1721 mit einer IP-Adresse aus dem mir zugewiesenen Netz dort anmelden und mein lokales Netz hinter dieser Adresse maskieren, da zwar ich zu ihm will, aber er nicht zu uns soll (Fernwartung)
Bist du mit der Extranet-Adresse weitergekommen?
Grüße,
Roger
Mir geht es genau so, die Gegenseite hat mir ein privates Netz zugewiesen, unter dem ich mich anmelden kann, entsprechend ist auch die Firewall und das Routing in deren Cisco konfiguriert.
Ich würde also gerne unseren 1721 mit einer IP-Adresse aus dem mir zugewiesenen Netz dort anmelden und mein lokales Netz hinter dieser Adresse maskieren, da zwar ich zu ihm will, aber er nicht zu uns soll (Fernwartung)
Bist du mit der Extranet-Adresse weitergekommen?
Grüße,
Roger