VPN Verbindung zwischen 2 Lancom 3550 (hinter NAT?)

hevtig · Beitrag von **hevtig** » 07 Jun 2006, 13:05

Hallo,

wir haben in der Firma 2 Lancom 3550 mit UMTS/VPN Option gekauft.

Gedacht ist, daß die beiden untereinander ein VPN aufbauen sollen.
Als weiterer Schritt ist der Aufbau eines VPNs über UMTS geplant.

Aber fangen wir erstmal klein an

Ein Kollege und ich haben jeweils einen Lancom zum testen mitbekommen. Mit diesen beiden wollen wir die VPN Verbindung zustandebekommen.
Natürlich hatte es im ersten Anlauf nicht geklappt.
Da wir ja beide eigentlich schon beide einen Router haben stellt sich erstmal die Frage:
Kann ich den Lancom hinter meine FritzBox hängen und dennoch das VPN aufbauen? Oder bekomme ich da Probleme mit dem NAT?
Der Lancom wird in der Fritzbox als "Exposed Host" eingetragen, also würden alle nicht anderweitig zugeordneten Ports an den Lancom geleitet.
Was ist da zu beachten, bzw. geht das überhaupt?

Die VPN Verbindung hatten wir nach Anleitung eingerichtet, aber wie gesagt, es lief nicht evtl. wegen des NATs?
Beide Gegenstellen können per DynDNS angesprochen werden.
Clients hinter dem Lancom haben Internetverbindung.
Ein Router wurde als client und einer als Server eingerichtet.
Passwörter IKE stimmen überein.
Es wurde der Agressive Mode eingestellt.

Was ist evtl. noch zu beachten?
Bzw. woran kann es liegen, dass keine Verbindung aufgebaut wird?

Ich habe leider die Router gerade nicht vor Ort, daher kann ich nicht genau auf die Einstellungen schauen, bzw. Fehlermeldungen ablesen...

eddia · Beitrag von **eddia** » 07 Jun 2006, 20:31

Hallo hevtig,

Kann ich den Lancom hinter meine FritzBox hängen und dennoch das VPN aufbauen? Oder bekomme ich da Probleme mit dem NAT?

es ist schon mal prinzipiell keine gute Idee, ein VPN-Gateway hinter ein NAT zu setzen. Zum einen muss der NATende Router IPSec-Passtrough korrekt beherrschen - zum anderen sind bestimmte Verbindungsarten zwischen den Lancoms (z.B. PSK im Main-Mode) prinzipiell gar nicht realisierbar. Das läuft also auf eine manuelle Konfiguration hinaus. Und wenn Du Dich damit nicht auskennst, wirst Du mit den Assistenten ziemlich alt aussehen.

Der Lancom wird in der Fritzbox als "Exposed Host" eingetragen, also würden alle nicht anderweitig zugeordneten Ports an den Lancom geleitet.

Es geht hier nicht um TCP- oder UDP-Ports sondern um ganz andere Protokolle. Exposed Host ist hier einfach witzlos.

Ach ja - UMTS-VPN. Falls Dein Mobilfunkprovider Dir nicht mindestens auf einer Seite eine öffentliche IP bereitstellt (und das ist wohl die Ausnahme), wirst Du hier auf die selben Probleme stossen.

Gruß

Mario

hevtig · Beitrag von **hevtig** » 08 Jun 2006, 00:07

Vielen Dank für den Denkansatz!!

Letztendlich hat es jetzt geklappt.
Am ersten Router mußte ich halt noch ESP an den Lancom freigeben (ich Schussel, aber ich dachte, beim exposed host würde er auch ESP weiterreichen) und PSK im agressive Mode einstellen.
Leider ist die Assistenroutine vom 3550 doch stark unterschiedlich zu der, die in der Anleitung stand... aber egal.
Wichtig war wohl auch das Polling. Das stand leider auch nicht in der Anleitung, aber mit ein wenig Suchen konnte ich es in der Konfiguration finden.
Nun lüppt alles..

Noch ein paar Feineinstellungen....

Und dann geht es weiter mit UMTS