Windows 10 mit IKEv2 VLAN

[at0m]

Hallo,

der 1906va hängt in einem getaggten Netz und soll die Remote-Einwahl in unterschiedliche Netze ermöglichen (Mitarbeiter und Kunden). Ich habe gemäß der Anleitung erfolgreich die Verbindung von Windows 10 an den 1906va (10.32) mit Zertifkaten konfiguriert. Das einzige, was ich nicht hinbekomme, das die Verbindungen getaggt sind. Im Beispiel sollte das ja für VPN_NATEL 10 sein. Bei mir ist das immer 0. Es sieht auch so aus, als ob die DHCP Request nicht mit IPs aus der Tabelle in /Setup/IP-Router/Tag-Tabelle, sondern aus /Setup/VPN/IKEv2/IKE-CFG/IPv4 beantwortet werden.

Viele,
at0m

[at0m]

Wenn ich jetzt einen Client mit dem Routing Tag 10 in /Setup/IP-Router/IP-Routing-Tabelle eintrage, dann bekommen die Pakete auch das richtige Tag.
Ich hatte gedacht, dass ich das bei DHCP nicht brauche ...

Nachtrag:
Ich kann jetzt, wenn ich DHCP nutzen will, entweder jeden neuen Client in der Routingtabelle eintragen oder jeden Client in der WAN-Tag-Tabelle eintragen.
Gibt es vielleicht noch einen besseren Weg mehrere Clients mit demselben Tag zu versehen ?

[GrandDixence]

Bei VPN-Einwahlverbindungen (RAS) wird kein DHCP benötigt. Diese Funktion übernimmt IKE-Config. Entsprechende VPN-Anleitung unter:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
verwenden.

[at0m]

Ich habe mich an diese Anleitung gehalten. Der Ausdruck DHCP ist in diesem Zusammenhang nicht korrekt, aber das Prinzip ist ja ähnlich.

[at0m]

Vielleicht habe ich das mit der Beziehung zwischen VPN-Client und Zertifikat nicht richtig verstanden. Ich bin davon ausgegangen, dass sich jeder User mit einem eigenen Zertifikat einwählt. Deshalb lege ich für jeden User einen Eintrag in /Setup/VPN/IKEv2/Auth/Parameter (CN=USER1, CN=USER2 usw).
Dann lege ich in /Setup/VPN/IKEv2/Gegenstellen für jeden User eine Gegenstelle an (Gegenstelle=USER1 Authentifizierung=USER1, Gegenstelle=USER2 Authentifizierung=USER2 usw.). Anschließend muss ich /Setup/IP-Router/Tag-Tabelle für jede Gegenstelle einen Eintrag machen.

Code: Alles auswählen

> 
ls /Setup/IP-Router/Tag-Table/

Gegenstelle      Rtg-tag  Start-WAN-Pool   End-WAN-Pool     DNS-Default      DNS-Backup       NBNS-Default     NBNS-Backup
==================-------------------------------------------------------------------------------------------------------------
USER1             10       192.168.10.2     192.168.10.254   192.168.10.1     0.0.0.0          0.0.0.0          0.0.0.0
USER2             10       192.168.10.2     192.168.10.254   192.168.10.1     0.0.0.0          0.0.0.0          0.0.0.0
USER3             10       192.168.10.2     192.168.10.254   192.168.10.1     0.0.0.0          0.0.0.0          0.0.0.0
USER4             10       192.168.10.2     192.168.10.254   192.168.10.1     0.0.0.0          0.0.0.0          0.0.0.0
USER5             10       192.168.10.2     192.168.10.254   192.168.10.1     0.0.0.0          0.0.0.0          0.0.0.0
USER6             10       192.168.10.2     192.168.10.254   192.168.10.1     0.0.0.0          0.0.0.0          0.0.0.0
USER7             10       192.168.10.2     192.168.10.254   192.168.10.1     0.0.0.0          0.0.0.0          0.0.0.0
USER8             10       192.168.10.2     192.168.10.254   192.168.10.1     0.0.0.0          0.0.0.0          0.0.0.0
USER9             10       192.168.10.2     192.168.10.254   192.168.10.1     0.0.0.0          0.0.0.0          0.0.0.0

Alternativ könnte ich auf IKE-CFG auch verzichten und einfach jeden Client in der /Setup/IP-Router/IP-Routing-Tabelle mit fester IP eintragen.
Habe ich das soweit richtig verstanden ?

[GrandDixence]

Vielleicht habe ich das mit der Beziehung zwischen VPN-Client und Zertifikat nicht richtig verstanden. Ich bin davon ausgegangen, dass sich jeder User mit einem eigenen Zertifikat einwählt.

Nicht der User wählt sich mit einem Zertifikat ein (=> Benutzerzertifikat), sondern das Gerät (=> Maschinenzertifikat). Siehe dazu:
fragen-zum-thema-vpn-f14/vpn-ikev2-mit- ... 17833.html

alles-zum-lancom-wlc-4100-wlc-4025-wlc- ... tml#p98379

Der Netzwerkzutritt in ein Computernetzwerk wird in der Regel über ein Maschinenzertifikat gesteuert. Für den Serverzugriff wird dann üblicherweise ein auf einem HSM gespeichertes Benutzerzertifikat verwendet (oder bei geringen Sicherheitsanforderungen: Benutzername+Benutzerpasswort).

Deshalb lege ich für jeden User einen Eintrag in /Setup/VPN/IKEv2/Auth/Parameter (CN=USER1, CN=USER2 usw).

Ja, korrekt.

Dann lege ich in /Setup/VPN/IKEv2/Gegenstellen für jeden User eine Gegenstelle an (Gegenstelle=USER1 Authentifizierung=USER1, Gegenstelle=USER2 Authentifizierung=USER2 usw.).

Nein, die gleiche Gegenstelle kann für mehrere Einwahlverbindungen (RAS) verwendet werden, solange nicht das Routing-Tag ("Rtg-tag") ändert. Also:
Gegenstelle=VPN_NATEL Authentifizierung=USER1+USER2+USER3+USER4+usw. Die "USER-Liste" wird mit:

/Setup/VPN/IKEv2/Auth/Addit.-Remote-ID-List/
/Setup/VPN/IKEv2/Auth/Addit.-Remote-IDs

geführt. Pro Gegenstelle ist eine "USER-Liste" oder präziser "MACHINE-Liste" zu führen.

Anschließend muss ich /Setup/IP-Router/Tag-Tabelle für jede Gegenstelle einen Eintrag machen.

Nein, in der Anleitung ist VPN_NATEL für einen Addressbereich definiert: 192.168.10.2 bis 192.168.10.254 Das Beispiel "VPN_NATEL" in der Anleitung ist also für > 250 Einwahlgeräte ausgelegt. Das erste einwählende Mobilgerät erhält die IPv4-Adresse 192.168.10.2, das zweite 192.168.10.3, das nächste 192.168.10.4 und so weiter.

Alternativ könnte ich auf IKE-CFG auch verzichten und einfach jeden Client in der /Setup/IP-Router/IP-Routing-Tabelle mit fester IP eintragen.

Ja, aber das ist ein überflüssiger Mehraufwand. Und zusätzlich muss beim Verzicht auf IKE-CFG bei den einzuwählenden Geräten die generelle Netzwerkkonfiguration wie IP-Adresse, Subnetzmaske, Routeradresse (Gateway) und DNS-Serveradresse von Hand erfolgen.

[at0m]

Diese Information, wie man mehrere Geräte mit einer Gegenstelle verknüpft, hat mir gefehlt.
Vielen Dank GrandDixence.

[at0m]

Leider war es das noch nicht so ganz.

Ich habe jetzt mehrere Maschinenzertifikate mit unterschiedlichem CN= erzeugt und auf verschiedenen Clients installiert.
Wenn sich der zweite Client anmeldet, dann ist die Verbindungen des ersten Client nicht mehr benutzbar.
Dabei ist es unerheblich, ob der zweite Client aus dem selben Netz kommt oder aus einem anderen.

Ich weiß nicht, ob ich an der richtigen Stelle suche. Ich habe die IP des Lancom auf 9.9.9.9, des erstes Rechners (USER2) auf 1.1.1.1 und des zweiten Rechners auf 2.2.2.2 (USER1) geändert.
Hier mal der IKE_AUTH-REQUEST des ersten Client (USER2):

Code: Alles auswählen

[VPN-Debug] 2020/01/16 13:11:08,790  Devicetime: 2020/01/16 13:11:06,900
Peer DEFAULT [responder]: Received an IKE_AUTH-REQUEST of 3015 bytes
Gateways: 9.9.9.9:4500<--1.1.1.1:4500
SPIs: 0x5CDC8A28CBAEF157B020DBA6BFF8C2C8, Message-ID 1
Payloads: IDI, CERT(X509), CERTREQ, AUTH(RSA:SHA1), NOTIFY(STATUS_MOBIKE_SUPPORTED), CP(REQUEST), SA, TSI, TSR
+IKE_SA found and assigned
+Exchange created (flags: 0x00000050)
VPN_NATEL: ADD MODE(7) OUTBOUND ESP 0.0.0.0/0 port(0) protocol(0)---9.9.9.9===1.1.1.1---0.0.0.0/32 port(0) protocol(0)
VPN_NATEL: ADD MODE(7) INBOUND ESP 0.0.0.0/32 port(0) protocol(0)---1.1.1.1===9.9.9.9---0.0.0.0/0 port(0) protocol(0)
Looking for payload IDI (35)...Found 1 payload.
  Compare: -Received-ID CN=USER2:DER_ASN1_DN != Expected-ID CN=USER1:DER_ASN1_DN
  +Received-ID CN=USER2:DER_ASN1_DN matches the Expected-ID CN=USER2:DER_ASN1_DN
  +Config   ENCR  transform(s): AES-CBC-256
  +Received ENCR  transform(s): AES-CBC-256
  +Best intersection: AES-CBC-256
  +Config   PRF   transform(s): PRF-HMAC-SHA-384
  +Received PRF   transform(s): PRF-HMAC-SHA-384
  +Best intersection: PRF-HMAC-SHA-384
  +Config   INTEG transform(s): HMAC-SHA-384
  +Received INTEG transform(s): HMAC-SHA-384
  +Best intersection: HMAC-SHA-384
  +Config   DH    transform(s): 14
  +Received DH    transform(s): 14
  +Best intersection: 14
Looking for payload CERT(X509) (37)...Found 1 payload.
  Subject: CN=USER2
  Issuer : CN=LANCOM CA,O=LANCOM,C=DE
VPN_NATEL: DELETE MODE(7) OUTBOUND ESP 0.0.0.0/0 port(0) protocol(0)---9.9.9.9===1.1.1.1---0.0.0.0/32 port(0) protocol(0)
VPN_NATEL: DELETE MODE(7) INBOUND ESP 0.0.0.0/32 port(0) protocol(0)---1.1.1.1===9.9.9.9---0.0.0.0/0 port(0) protocol(0)
VPN_NATEL: ADD MODE(7) OUTBOUND ESP 0.0.0.0/0 port(0) protocol(0)---9.9.9.9===1.1.1.1---192.168.10.2/32 port(0) protocol(0)
VPN_NATEL: ADD MODE(7) INBOUND ESP 192.168.10.2/32 port(0) protocol(0)---1.1.1.1===9.9.9.9---0.0.0.0/0 port(0) protocol(0)
Looking for payload TSI (44)...Found 1 payload.
  Looking for a connection...
  Trying connection 0: ipsec-0-VPN_NATEL-pr0-l0-r0
  Determining best intersection for TSi
  Expected TS :(  0,     0-65535,   192.168.10.2-192.168.10.2  )
  Received TS :(  0,     0-65535,         0.0.0.0-255.255.255.255)
  Intersection:(  0,     0-65535,   192.168.10.2-192.168.10.2  )
  Determining best intersection for TSi
  Expected TS :(  0,     0-65535,   192.168.10.2-192.168.10.2  )
  Received TS :(  0,     0-65535,                                      ::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff)
  -No intersection
  Best        :(  0,     0-65535,   192.168.10.2-192.168.10.2  )
  +Valid intersection found
  TSi: (  0,     0-65535,   192.168.10.2-192.168.10.2  )
  TSr: (  0,     0-65535,         0.0.0.0-255.255.255.255)
  +TSi OK.
Looking for payload TSR (45)...Found 1 payload.
  Determining best intersection for TSr
  Expected TS :(  0,     0-65535,         0.0.0.0-255.255.255.255)
  Received TS :(  0,     0-65535,         0.0.0.0-255.255.255.255)
  Intersection:(  0,     0-65535,         0.0.0.0-255.255.255.255)
  Determining best intersection for TSr
  Expected TS :(  0,     0-65535,         0.0.0.0-255.255.255.255)
  Received TS :(  0,     0-65535,                                      ::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff)
  -No intersection
  Best        :(  0,     0-65535,         0.0.0.0-255.255.255.255)
  +TSr OK.
Looking for payload CHILD_SA (33)...Found 1 payload.
  +Config   ENCR  transform(s): AES-GCM-16-256
  +Received ENCR  transform(s): AES-GCM-16-256
  +Best intersection: AES-GCM-16-256
  +Config   ESN   transform(s): NONE
  +Received ESN   transform(s): NONE
  +Best intersection: NONE

Und hier der Request des zweiten Clients ( User1):

Code: Alles auswählen

[VPN-Debug] 2020/01/16 13:12:38,614  Devicetime: 2020/01/16 13:12:36,689
Peer DEFAULT [responder]: Received an IKE_AUTH-REQUEST of 2197 bytes
Gateways: 9.9.9.9:4500<--2.2.2.2:4500
SPIs: 0xC862FF00015AC5C6CDBAF5218B8F321B, Message-ID 1
Payloads: IDI, CERT(X509), NOTIFY(STATUS_INITIAL_CONTACT), CERTREQ, IDR, AUTH(DIGITAL SIGNATURE), CP(REQUEST), SA, TSI, TSR, NOTIFY(STATUS_MOBIKE_SUPPORTED), NOTIFY(STATUS_ADDITIONAL_IP4_ADDRESS), NOTIFY(STATUS_EAP_ONLY_AUTHENTICATION), NOTIFY(STATUS_IKEV2_MESSAGE_ID_SYNC_SUPPORTED)
+IKE_SA found and assigned
+Exchange created (flags: 0x00000050)
VPN_NATEL: ADD MODE(7) OUTBOUND ESP 0.0.0.0/0 port(0) protocol(0)---9.9.9.9===2.2.2.2---192.168.10.2/32 port(0) protocol(0)
VPN_NATEL: ADD MODE(7) INBOUND ESP 192.168.10.2/32 port(0) protocol(0)---2.2.2.2===9.9.9.9---0.0.0.0/0 port(0) protocol(0)
Looking for payload IDI (35)...Found 1 payload.
  +Received-ID CN=USER1:DER_ASN1_DN matches the Expected-ID CN=USER1:DER_ASN1_DN
  +Config   ENCR  transform(s): AES-CBC-256
  +Received ENCR  transform(s): AES-CBC-256
  +Best intersection: AES-CBC-256
  +Config   PRF   transform(s): PRF-HMAC-SHA-384
  +Received PRF   transform(s): PRF-HMAC-SHA-384
  +Best intersection: PRF-HMAC-SHA-384
  +Config   INTEG transform(s): HMAC-SHA-384
  +Received INTEG transform(s): HMAC-SHA-384
  +Best intersection: HMAC-SHA-384
  +Config   DH    transform(s): 14
  +Received DH    transform(s): 14
  +Best intersection: 14
Looking for payload CERT(X509) (37)...Found 1 payload.
  Subject: CN=USER1
  Issuer : CN=LANCOM CA,O=LANCOM,C=DE
VPN_NATEL: Trying to disable an outgoing flow
VPN_NATEL: DELETE MODE(0) OUTBOUND ESP 0.0.0.0/0 port(0) protocol(0)---1.1.1.1===9.9.9.9---192.168.10.2/32 port(0) protocol(0)
KEY-PARSE: Received SADB_X_SPDDELETE/SADB_SATYPE_UNSPEC
KEY-SPDDELETE: VPN_NATEL  OUTBOUND  PROTOCOL_ANY  0.0.0.0/0<->192.168.10.2/32
IPSEC-SEND-UP
VPN_NATEL: Constructing SADB_MSG(SADB_DELETE ESP) outgoing
  EXT_SA: SPI 0xAA6B140E (0x00040001AA6B140E000000000000000000000000000000000000000000000000)
  EXT_SA2: (0x00020013000000000000000000000000)
  EXT_ADDRESS_SRC: 9.9.9.9:4500 port 0 (0x00030005000000000002000057BFB0650000000000000000)
  EXT_ADDRESS_DST: 1.1.1.1:64775 port 0 (0x00030006000000000002000025C92EBF0000000000000000)
  X_EXT_NAME: VPN_NATEL (0x0004001A4455535F4C414E000000000000000000000000000000000000000000)
KEY-PARSE: Received SADB_DELETE/SADB_SATYPE_ESP
KEY-SA-STATE-CHANGE: MATURE->DEAD
KEY-DELSA: Freeing SA outgoing UDP-SPI 0xAA6B140E
IPSEC-SEND-UP
VPN_NATEL: Trying to disable an incoming flow
VPN_NATEL: DELETE MODE(0) INBOUND ESP 192.168.10.2/32 port(0) protocol(0)---1.1.1.1===9.9.9.9---0.0.0.0/0 port(0) protocol(0)
KEY-PARSE: Received SADB_X_SPDDELETE/SADB_SATYPE_UNSPEC
KEY-SPDDELETE: VPN_NATEL  INBOUND  PROTOCOL_ANY  192.168.10.2/32<->0.0.0.0/0
IPSEC-SEND-UP
VPN_NATEL: Constructing SADB_MSG(SADB_DELETE ESP) incoming
  EXT_SA: SPI 0x7BC5977F (0x000400017BC5977F000000000000000000000000000000000000000000000000)
  EXT_SA2: (0x00020013000000000000000000000000)
  EXT_ADDRESS_SRC: 1.1.1.1:64775 port 0 (0x00030005000000000002000025C92EBF0000000000000000)
  EXT_ADDRESS_DST: 9.9.9.9:4500 port 0 (0x00030006000000000002000057BFB0650000000000000000)
  X_EXT_NAME: VPN_NATEL (0x0004001A4455535F4C414E000000000000000000000000000000000000000000)
KEY-PARSE: Received SADB_DELETE/SADB_SATYPE_ESP
KEY-SA-STATE-CHANGE: MATURE->DEAD
SA-RELEASE: refcnt 2
KEY-DELSA: Freeing SA incoming UDP-SPI 0x7BC5977F
IPSEC-SEND-UP
IKE-TRANSPORT freed
VPN_NATEL: DELETE MODE(7) OUTBOUND ESP 0.0.0.0/0 port(0) protocol(0)---9.9.9.9===2.2.2.2---192.168.10.2/32 port(0) protocol(0)
VPN_NATEL: DELETE MODE(7) INBOUND ESP 192.168.10.2/32 port(0) protocol(0)---2.2.2.2===9.9.9.9---0.0.0.0/0 port(0) protocol(0)
VPN_NATEL: ADD MODE(7) OUTBOUND ESP 0.0.0.0/0 port(0) protocol(0)---9.9.9.9===2.2.2.2---192.168.10.2/32 port(0) protocol(0)
VPN_NATEL: ADD MODE(7) INBOUND ESP 192.168.10.2/32 port(0) protocol(0)---2.2.2.2===9.9.9.9---0.0.0.0/0 port(0) protocol(0)
Looking for payload TSI (44)...Found 1 payload.
  Looking for a connection...
  Trying connection 0: ipsec-0-VPN_NATEL-pr0-l0-r0
  Determining best intersection for TSi
  Expected TS :(  0,     0-65535,   192.168.10.2-192.168.10.2  )
  Received TS :(  0,     0-65535,         0.0.0.0-255.255.255.255)
  Intersection:(  0,     0-65535,   192.168.10.2-192.168.10.2  )
  Best        :(  0,     0-65535,   192.168.10.2-192.168.10.2  )
  +Valid intersection found
  TSi: (  0,     0-65535,   192.168.10.2-192.168.10.2  )
  TSr: (  0,     0-65535,   192.168.10.0-192.168.10.255)
  +TSi OK.
Looking for payload TSR (45)...Found 1 payload.
  Determining best intersection for TSr
  Expected TS :(  0,     0-65535,         0.0.0.0-255.255.255.255)
  Received TS :(  0,     0-65535,   192.168.10.0-192.168.10.255)
  Intersection:(  0,     0-65535,   192.168.10.0-192.168.10.255)
  Determining best intersection for TSr
  Expected TS :(  0,     0-65535,         0.0.0.0-255.255.255.255)
  Received TS :(  0,     0-65535,     192.168.10.0-192.168.10.255  )
  Intersection:(  0,     0-65535,     192.168.10.0-192.168.10.255  )
  Best        :(  0,     0-65535,   192.168.10.0-192.168.10.255)
  +TSr OK.
Looking for payload CHILD_SA (33)...Found 1 payload.
  +Config   ENCR  transform(s): AES-GCM-16-256
  +Received ENCR  transform(s): AES-GCM-16-256
  +Best intersection: AES-GCM-16-256
  +Config   ESN   transform(s): NONE
  +Received ESN   transform(s): NONE
  +Best intersection: NONE

[GrandDixence]

Vermutlich ist die DEFAULT-Gegenstelle unter:
/Setup/VPN/IKEv2/Gegenstellen/
nicht korrekt konfiguriert. Die DEFAULT-Zeile darf keinen Eintrag in der Spalte: IPv4-CFG-Pool und IPv4-Regeln aufweisen!

Weiter sollte unter LCOS-Menübaum/Status/VPN geprüft werden, ob die Trennung des VPN-Tunnels durch DPD (Dead Peer Detection) korrekt erkannt wird.

[at0m]

So sieht die DEFAULT-Zeile aus:

Code: Alles auswählen

> ls /Setup/VPN/IKEv2/Peers

Peer                  Active   SH-Time     Remote-Gateway                                                    Rtg-tag     Encryption            Authentication        General               Lifetimes             IKE-CFG     IPv4-CFG-Pool     IPv6-CFG-Pool     Split-DNS-Profile  Rule-creation  IPv4-Rules                                                       IPv6-Rules                                                       Routing                          RADIUS-Authorization             RADIUS-Accounting                IPv6              Comment
======================---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
DEFAULT               Yes      0                                                                             0           WINDOWS               DEFAULT               DEFAULT               WINDOWS               Off                                                                manually    

So sieht die /Status/VPN/Connections mit der ersten Verbindung aus:

Code: Alles auswählen

> ls

Peer              IKE-Type  State             Last-Error                                 Mode     SH-Time  phys.-Conn.       B1-DT    Remote-Gw                                Nat-Detection     SSL-Encaps.   Crypt-Alg       Crypt-Length    Hash-Alg        Hash-Length     Hmac-Alg        Hmac-Length     Compr-Alg       Client-SN        Conn.-time            Rx-Bytes     Tx-Bytes     Encapsulation
==================-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
VPN_NATEL           IKEv2     Connection        (none)                                     Passive  0        T-ADSL            9999     1.1.1.1                            nat-remote        No            AES_GCM         256                             0               (none)          0               (none)          not-available    0:00:27               8618         0            UDP

Und so wenn die zweite Verbindung sich verbunden hat:

Code: Alles auswählen

> ls

Peer              IKE-Type  State             Last-Error                                 Mode     SH-Time  phys.-Conn.       B1-DT    Remote-Gw                                Nat-Detection     SSL-Encaps.   Crypt-Alg       Crypt-Length    Hash-Alg        Hash-Length     Hmac-Alg        Hmac-Length     Compr-Alg       Client-SN        Conn.-time            Rx-Bytes     Tx-Bytes     Encapsulation
==================-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
VPN_NATEL           IKEv2     Connection        (none)                                     Passive  0        T-ADSL            0        2.2.2.2                           nat-remote        No            AES_GCM         256                             0               (none)          0               (none)          not-available    0:01:50               8933         0            UDP

Im syslog tauchen nach der ersten Einwahl zwei Einträge auf. Danach nichts mehr.

Code: Alles auswählen

2020-01-16 20:19:54;0;7;DHCP: Rx (WAN, VPN_NATEL): (bad interface) => Discard;
2020-01-16 20:19:52;0;7;DHCP: Rx (WAN, VPN_NATEL): (bad interface) => Discard;
2020-01-16 20:19:51;4;5;User VPN_NATEL successfully logged in;

[GrandDixence]

Als Reaktion auf das IKE_AUTH-REQUEST von User1 wird der VPN-Tunnel zu User2 getrennt. Weshalb ist mir unklar.

Was mir auch nicht klar ist: Alle drei IP-Adressen sind öffentliche IP-Adressen (1.1.1.1; 2.2.2.2; 9.9.9.9), dennoch wird auf der VPN-Clientseite ein NAT-Router (Nat-Detection: nat-remote) erkannt und NAT-Traversal eingesetzt (Encapsulation: UDP => VPN-Tunnel über UDP)?

Werden hier die tatsächlich eingesetzten IP-Adressen verheimlicht? Wenn ja, der LANCOM-Router kommt nicht klar mit der Situation, wenn zwei VPN-Client mit der gleichen öffentlichen IPv4-Adresse einen VPN-Tunnel zum LANCOM-Router realisieren möchten. Sprich beide VPN-Clients befinden sich hinter dem gleichen NAT-Router.

Ich empfehle den Test der VPN-Clients über das Mobilfunknetz mit "echten", öffentlichen (und unterschiedlichen) IPv4-Adressen durchzuführen (WLAN Tethering).

[at0m]

Bei diesem Trace waren beide Clients und der Router in komplett anderen Netzen unterwegs, aber es muss ja auch funktionieren, wenn beide Clients z.B. am Flughafen im selben WLAN angemeldet sind.
Es sieht für mich so aus, als ob das Problem ist, dass der Client1 sich mit der Gegenstelle VPN_NATEL verbindet und der Client2 dann ebenfalls mit der Gegenstelle VPN_NATEL und dann einfach alles überschreibt. Was mich auch stört ist, dass ich im LANmonitor nur sehe, dass sich VPN_NATEL angemeldet hat, aber nicht welcher User (bzw. CN).

[GrandDixence]

Bei diesem Trace waren beide Clients und der Router in komplett anderen Netzen unterwegs, aber es muss ja auch funktionieren, wenn beide Clients z.B. am Flughafen im selben WLAN angemeldet sind.

Ja, einverstanden. Nur war dies bei meinen Tests im Jahr 2016 mit einer älteren LCOS-Version (10.xy) nicht der Fall! Ob dieser technische Mangel in der Zwischenzeit behoben wurde und die aktuelle, stabile LCOS-Version (10.32 RU5) dieses Fehlverhalten nicht mehr zeigt, ist mir nicht bekannt.

Ich persönlich habe dieses Bedürfnis nicht, dass sich zwei VPN-Clients gleichzeitig hinter dem gleichen NAT-Router im VPN-Server des LANCOM-Routers einwählen können. Deshalb habe ich diesen technischen Mangel im LCOS nicht weiterverfolgt.

[GrandDixence]

Was mich auch stört ist, dass ich im LANmonitor nur sehe, dass sich VPN_NATEL angemeldet hat, aber nicht welcher User (bzw. CN).

Ja, und welcher VPN-Client, welche vom IKE-CFG dynamisch zugewiesene IP-Adresse verwendet, ist auch nicht ersichtlich:
fragen-zum-thema-vpn-f14/vpn-clients-lo ... 17624.html

Bitte gemäss dem Beitrag:
fragen-zum-thema-vpn-f14/vpn-clients-lo ... tml#p99958
die Einträge in der Routingtabelle kontrollieren. Für die vom IKE-CFG dynamisch zugewiesenen IP-Adressen dürfen keine von Hand erstellten Einträge (statisch/static) in der Routingtabelle vorhanden sein! Da für diese von IKE-CFG dynamisch zugewiesenen IP-Adressen vollautomatisch dynamische Einträge in der Routingtabelle erstellt werden.

[GrandDixence]

Es sieht für mich so aus, als ob das Problem ist, dass der Client1 sich mit der Gegenstelle VPN_NATEL verbindet und der Client2 dann ebenfalls mit der Gegenstelle VPN_NATEL und dann einfach alles überschreibt.

Bleibt die Frage offen, ob dieses Verhalten so von LANCOM bewusst erwünscht ist, und deshalb:

a) meine Aussage vom "15 Jan 2020, 17:35" falsch ist und tatsächlich bei gleichzeitigen Einwahlverbindungen (RAS) für jeden VPN-Client eine eigene Gegenstelle konfiguriert werden muss (was dem Schema: Gegenstelle=USER1 Authentifizierung=USER1, Gegenstelle=USER2 Authentifizierung=USER2 usw. entspricht).

oder ob:

b) Eine Fehlkonfiguration des LANCOM-Routers vorliegt (=> eine oder mehrere Abweichungen gegenüber der genannten VPN-Anleitung vorhanden ist/sind)
c) ein Fehlverhalten in der verwendeten LCOS-Version vorliegt

Da dies die erste Meldung ist, dass gleichzeitige Einwahlen bei der Konfiguration nach der genannten, über 3 jährigen VPN-Anleitung nicht möglich sind, gehe ich von Punkt b) oder c) aus.

Bitte bei den Tests mit den gleichzeitigen VPN-Tunnels auch das Thema "VPN-Lizenzen" im Hinterkopf behalten:
fragen-zum-thema-vpn-f14/vpn-lizenz-erl ... 17891.html

https://www.lancom-systems.de/produkte/ ... pn-option/