Hallo!
Ich versuche mit Windows 2000 Bordmitteln eine VPN-RAS-Einwahl auf den LANCOM 1721 hinzubekommen. Jemand hier im Forum hat behauptet, es ginge nur mit Zertifikaten (was ich inzwischen anzweifel, denn im FAQ-Bereich gibt es eine 30-Seiten lange Erklärung, wie es mit Preshared-Key funktioniert). Aber das soll hier nicht das Thema sein.
Tatsache ist ja, dass es nicht über L2TP funktioniert und daher zunächst eine Sicherheitspolicy aufgebaut werden muss. Da mag es verschiedene Methoden geben: IPSEC-Werkzeug von e.bootis, manuelle Erstellung und der alte Default VPN Client von LANCOM macht ja augenscheinlich auch nichts anderes. Ich habe mich für die manuelle variante entschieden, wie sie im Dokument unter FAQ gezeigt wird.
Leider funktioniert's nicht ganz. Die PPTP Verbindung zum LANCOM wird zwar einwandfrei aufgebaut, der Client bekommt auch die von mir vergebene, feste IP-Adresse zugewiesen, er lässt sich sogar aus meinem Netzwerk hinter dem Router pingen, wenn den Verbindungsnamen der VPN-Client Liste verfälsche, also ohne IP-Sec nur über PPTP kommuniziert wird.
Im "Normalfall", also mit eingeschaltetem VPN, startet das VPN-Modul nach Herstellung der PPTP Verbindung mit der IKE-Verhandlung:
-----------------------------------------------------------------------------------
[VPN-Status] 2006/04/14 20:56:38,900
VPN: installing ruleset for MBOEHM (192.168.100.1)
[VPN-Status] 2006/04/14 20:56:38,920
VPN: ruleset installed for MBOEHM (192.168.100.1)
[VPN-Status] 2006/04/14 20:56:38,920
VPN: start IKE negotiation for MBOEHM (192.168.100.1)
[VPN-Status] 2006/04/14 20:57:08,940
VPN: connection for MBOEHM (192.168.100.1) timed out: no response
[VPN-Status] 2006/04/14 20:57:08,940
VPN: Error: IFC-I-Connection-timeout-IKE-IPSEC (0x1106) for MBOEHM (192.168.100.1)
[VPN-Status] 2006/04/14 20:57:08,940
VPN: disconnecting MBOEHM (192.168.100.1)
[VPN-Status] 2006/04/14 20:57:08,950
VPN: MBOEHM (192.168.100.1) disconnected
[VPN-Status] 2006/04/14 20:57:08,970
VPN: selecting next remote gateway using strategy eFirst for MBOEHM
=> no remote gateway selected
[VPN-Status] 2006/04/14 20:57:08,970
VPN: selecting first remote gateway using strategy eFirst for MBOEHM
=> CurrIdx=0, IpStr=>192.168.100.1<, IpAddr=192.168.100.1, IpTtl=0s
[VPN-Status] 2006/04/14 20:57:08,970
VPN: installing ruleset for MBOEHM (192.168.100.1)
-----------------------------------------------------------------------------------
Danach wird die PPTP Verbindung abgehängt.
Meine Frage:
* Was bedeutet der Fehlercode 0x1106 ?
* Was bedeutet der Fehlercode 0x1206 ?
* Wie komme ich aus diesem Schlamassel heraus?
Best Regards
und frohe Ostern
Michael
Windows 2000 IPSEC-Client und LANCOM 1721
Moderator: Lancom-Systems Moderatoren
Hallo Michael,
Die Anleitung, auf die Du dich beziehst, stellt aber zuerst eine PPTP-Verbindung her und baut in diesem Tunnel eine IPSec-Verbindung auf. Hier wird die Authentifizierung also bereits durch das PPTP durchgeführt.
Gruß
Mario
Du bringst da etwas durcheinander. Das Windows IPSec kann nur Main-Mode Verbindungen aufbauen. Damit eine Authentifizierung möglich ist, muss entweder der Client eine feste öffentliche IP-Adresse besitzen oder eben über ein Zertifikat verfügen. Und VPN-Clients, die eine feste öffentliche IP besitzen, dürften eher selten sein. Falls diese Voraussetzung aber gegeben ist, kann man auch mit dem Windows IPSec eine VPN-Verbindung ohne Zertifikat zu einem Lancom aufbauen.Ich versuche mit Windows 2000 Bordmitteln eine VPN-RAS-Einwahl auf den LANCOM 1721 hinzubekommen. Jemand hier im Forum hat behauptet, es ginge nur mit Zertifikaten (was ich inzwischen anzweifel, denn im FAQ-Bereich gibt es eine 30-Seiten lange Erklärung, wie es mit Preshared-Key funktioniert).
Die Anleitung, auf die Du dich beziehst, stellt aber zuerst eine PPTP-Verbindung her und baut in diesem Tunnel eine IPSec-Verbindung auf. Hier wird die Authentifizierung also bereits durch das PPTP durchgeführt.
Gruß
Mario
Hallo Eddia,
als ich deine Antwort das erste Mal las, dachte ich: Gut, das mag sein - war aber eigentlich nicht meine Frage. Auf die unterliegende PPTP-Verbindung hatte ich mich ja schon eingelassen.
Als ich dann noch einmal darüber nachdachte wurde mir klar, dass man für deine Lösung außer der Verbindung zum Provider gar keine VPN-Verbindung über Windows benötigt, sondern mit IPSec nur die Policy an die jeweils aktuellen Bedingungen anpasst. -- GENIAL.
Vielen Dank.
Michael
PS: Trotzdem wüsste ich natürlich gern, warum es mit der anderen Variante (Internetprovider und PPTP-Tunnel) nicht funktioniert hat.
als ich deine Antwort das erste Mal las, dachte ich: Gut, das mag sein - war aber eigentlich nicht meine Frage. Auf die unterliegende PPTP-Verbindung hatte ich mich ja schon eingelassen.
Als ich dann noch einmal darüber nachdachte wurde mir klar, dass man für deine Lösung außer der Verbindung zum Provider gar keine VPN-Verbindung über Windows benötigt, sondern mit IPSec nur die Policy an die jeweils aktuellen Bedingungen anpasst. -- GENIAL.
Vielen Dank.
Michael
PS: Trotzdem wüsste ich natürlich gern, warum es mit der anderen Variante (Internetprovider und PPTP-Tunnel) nicht funktioniert hat.
Hallo Michael,
Ach ja - eine feste öffentliche IP ist nicht zwangsläufig bei PSKs notwendig. Es funktioniert auch mit dyndns.
Gruß
Mario
na ja - die Idee ist nicht von mir. Mich hat es nur gereizt, das mal auch gegen einen Lancom zu probieren.Als ich dann noch einmal darüber nachdachte wurde mir klar, dass man für deine Lösung außer der Verbindung zum Provider gar keine VPN-Verbindung über Windows benötigt, sondern mit IPSec nur die Policy an die jeweils aktuellen Bedingungen anpasst.
Ach ja - eine feste öffentliche IP ist nicht zwangsläufig bei PSKs notwendig. Es funktioniert auch mit dyndns.
Gruß
Mario