Hallo,
folgendes Szenario.
Im Flüchtlingsheim soll ein Hotspot eingerichtet werden. Die Mitarbeiter des DRK haben ein Verwaltungsbüro mit einem Internetzugang (DSL-Light) für die Büroarbeiten. Dieses Netz soll komplett vom Hotspot getrennt sein. Die Einrichtung des Hotspots und Betreuung erfolgt durch uns (Stadtverwaltung). Um die Bandbreite zu erhöhen, wurde der Tarif auf Hybrid umgestellt. Der WLC erhält seinen Internetzugang über den Speedport Hybrid per Plain Ethernet(iPoE). Netzwerk Hybrid 192.168.1.0/255.255.255.0. WLC Netzwerk 192.168.190.0/255.255.255.240. Hotspot 172.16.17.0/255.255.255.0
VPN-Verbindung WLC dynamisch. Gegenstelle bei uns feste IP.
Probestellung alter Light-Anschluss: Alles klappt wunderbar. Hotspot funktioniert. Access-Points wurden vom WLC gefunden und mit dem Profil versehen. VPN-Verbindung zu uns steht auch. Und im Büro kann gearbeitet werden.
Stellen wir nun aber auf den Hybrid-Router um, bricht die VPN-Verbindung ab. Alles andere funktioniert weiter. Wir vermuten, dass es an der Firewall im Hybrid-Router liegt, die sich aber leider weder konfigurieren noch abschalten lässt. Hat jemand eine Idee.
Vielen Dank
Immo
WLC-4006 Hotspot/Internet/VPN mit Speedport Hybrid.
Moderator: Lancom-Systems Moderatoren
Re: WLC-4006 Hotspot/Internet/VPN mit Speedport Hybrid.
Hi Immo,
der Hybrid-Router macht ja ein NAT und da gibt's beim VPN ein paar Dinge zu beachten....
1. NAT-T aktivieren
2. IKEv1 funktioniert durch ein NAT erstmal entweder nur mit Zertifikaten oder im (angreifbaren = unsicheren) aggressive-Mode
Die beste Lösung wäre auf IKEv2 umzustellen (ab LCOS 9.20)... und eine Umstellung auf Zertifikate lohnt sich auch immer...
Wenn man aber partout bei IKEv1 und preshared key bleiben will, dann muß entweder auf den (angreifbaren = unsicheren) aggressive-Mode umgestellt werden oder das LANCOM eigene "dynmaic VPN" über UDP verwendet werden.
Falls es wider erwarten doch die Firewall des Hybrid-Routers sein sollte: Hier müssen die UDP-Ports 500 und 4500 abgehend freigegeben werden. Soll dynamic VPN genutzt werden, zuätzlich noch der UDP-Port 89... Falls die Firewall nicht geändert werden kann, bleibt nur noch, "IPSec over HTTPS" zu nutzen, was aber u.U massive Performanceprobleme mit sich ziehen kann. Daher wäre das höchstens die allerletzte Möglichkeit, die man in Betracht ziehen sollte...
Gruß
Backslash
der Hybrid-Router macht ja ein NAT und da gibt's beim VPN ein paar Dinge zu beachten....
1. NAT-T aktivieren
2. IKEv1 funktioniert durch ein NAT erstmal entweder nur mit Zertifikaten oder im (angreifbaren = unsicheren) aggressive-Mode
Die beste Lösung wäre auf IKEv2 umzustellen (ab LCOS 9.20)... und eine Umstellung auf Zertifikate lohnt sich auch immer...
Wenn man aber partout bei IKEv1 und preshared key bleiben will, dann muß entweder auf den (angreifbaren = unsicheren) aggressive-Mode umgestellt werden oder das LANCOM eigene "dynmaic VPN" über UDP verwendet werden.
Falls es wider erwarten doch die Firewall des Hybrid-Routers sein sollte: Hier müssen die UDP-Ports 500 und 4500 abgehend freigegeben werden. Soll dynamic VPN genutzt werden, zuätzlich noch der UDP-Port 89... Falls die Firewall nicht geändert werden kann, bleibt nur noch, "IPSec over HTTPS" zu nutzen, was aber u.U massive Performanceprobleme mit sich ziehen kann. Daher wäre das höchstens die allerletzte Möglichkeit, die man in Betracht ziehen sollte...
Gruß
Backslash
Re: WLC-4006 Hotspot/Internet/VPN mit Speedport Hybrid.
Hallo
hatte schon den Fall das bei einem Hybrid Anschluss (privat Tarif) IPsec vom Provider gesperrt war.
Evtl. auch mal mit dem Provider sprechen.
Gruß
Alex
hatte schon den Fall das bei einem Hybrid Anschluss (privat Tarif) IPsec vom Provider gesperrt war.
Evtl. auch mal mit dem Provider sprechen.
Gruß
Alex
Re: WLC-4006 Hotspot/Internet/VPN mit Speedport Hybrid.
Hallo,
auch wenn ich jetzt Gefahr laufe, dass ich mich blamiere....
Ist eine IKEv2 Verbindung auch zwischen zwei Routern möglich, wenn nur bei einem eine feste öffentliche IP besteht. Ich habe nur ein Tutorial von Lancom gefunden für eine Situation mit festen Ip auf beiden Gegenstellen.
Bei IKEv1 geht das ja immer schön einfach über den Assistenten und da wird man brav gefragt
LG
Immo
auch wenn ich jetzt Gefahr laufe, dass ich mich blamiere....
Ist eine IKEv2 Verbindung auch zwischen zwei Routern möglich, wenn nur bei einem eine feste öffentliche IP besteht. Ich habe nur ein Tutorial von Lancom gefunden für eine Situation mit festen Ip auf beiden Gegenstellen.
Bei IKEv1 geht das ja immer schön einfach über den Assistenten und da wird man brav gefragt
LG
Immo
Re: WLC-4006 Hotspot/Internet/VPN mit Speedport Hybrid.
Hi Immo,
aber das hab ich ja schon in meiner ersten Antwort geschrieben:
Backslash
ja - sogar mit identity-Protection bei preshared Key, also (im Gegensatz zum aggressive-Mode des IKEv1) auch sicher - zumindest solange der preshared key "sicher" ist...Ist eine IKEv2 Verbindung auch zwischen zwei Routern möglich, wenn nur bei einem eine feste öffentliche IP besteht.
aber das hab ich ja schon in meiner ersten Antwort geschrieben:
GrußDie beste Lösung wäre auf IKEv2 umzustellen (ab LCOS 9.20
Backslash
Re: WLC-4006 Hotspot/Internet/VPN mit Speedport Hybrid.
Vielen Dank.
Dann werde ich mich mal daran versuchen.
Dann werde ich mich mal daran versuchen.
Re: WLC-4006 Hotspot/Internet/VPN mit Speedport Hybrid.
Das Problem ist gelöst. Nachdem eine neue Firmware auf dem Speedport eingespielt worden ist, haben sich die VPN Router verbunden. Es musste also in diesem Fall nicht auf IKEv2 umgestellt werden.
Dennoch danke @all für die wertvollen Tipps.
Dennoch danke @all für die wertvollen Tipps.