Hallöchen mal wieder,
habe noch schnell mal eine Frage zum Thema Ports. Zur Situation:
Filiale 1 -> 1711+ über UM-Kabelmodem in Netz (funzt super)
Filiale 2 -> 1611+ über ein Speedport 300 in Netz
Um jetzt einen VPN-Tunnel aufzubauen muss ich ja im Speedport Portsfreischalten. Wenn mich mein Wissen nicht täuscht müssten doch die Ports UDP 500 (IKE) und UDP 4500 (NAT-T) reichen oder?
Danke schon mal im Voraus
grüße Haliel
1611+ mit 1711+ über Speedport
Moderator: Lancom-Systems Moderatoren
Ja das sollte reichen.
Bau die Verbindung am besten auch von 1611 zum 1711 auf .
Da die Öffendliche IP nicht am 1611 direkt anliegt solltest Du auch Dynamic-VPN per UDP nehmen . Mußt Du auf beiden Seiten einstellen
So gehts wenn Du ISDN zur verfügung hast
http://www2.lancom.de/kb.nsf/1275/051F0 ... enDocument
und so ohne ISDN (das mit UMTS musst Du Dir wegdenken) sonst gleiche Einstellungen
http://www2.lancom.de/kb.nsf/1275/7CD45 ... enDocument
Viel Spaß
Bau die Verbindung am besten auch von 1611 zum 1711 auf .
Da die Öffendliche IP nicht am 1611 direkt anliegt solltest Du auch Dynamic-VPN per UDP nehmen . Mußt Du auf beiden Seiten einstellen
So gehts wenn Du ISDN zur verfügung hast
http://www2.lancom.de/kb.nsf/1275/051F0 ... enDocument
und so ohne ISDN (das mit UMTS musst Du Dir wegdenken) sonst gleiche Einstellungen
http://www2.lancom.de/kb.nsf/1275/7CD45 ... enDocument
Viel Spaß
Hy,
also eingerichtet habe ich jetzt die Verbindung so wie in der zweiten Anleitung, ohne ISDN. Bei der Gegenstelle habe ich die Konfig auch eingetragen aber so richtig funzt das noch nicht.
Der 1611+er gibt folgenden fehler aus:
4 06.07.2010 16:44:10 LOCAL0 Fehler VPN: Error for peer VPN-Filiale1: IFC-I-Name-resolution-failed
5 06.07.2010 16:44:22 LOCAL0 Fehler VPN: Disconnect info for peer VPN-Filiale1: physical-disconnected
6 06.07.2010 16:44:22 AUTH Hinweis logged out from peer VPN-Filiale1
8 06.07.2010 16:44:37 LOCAL0 Fehler VPN: Disconnect info for peer VPN-Filiale1: physical-disconnected
9 06.07.2010 16:44:37 AUTH Hinweis logged out from peer VPN-Filiale1
10 06.07.2010 16:45:08 LOCAL0 Fehler VPN: Error for peer VPN-Filiale1: IFC-I-Connection-timeout-dynamic
11 06.07.2010 16:45:39 LOCAL0 Fehler VPN: Error for peer VPN-Filiale1: IFC-I-Connection-timeout-dynamic
12 06.07.2010 16:45:43 LOCAL0 Fehler VPN: Disconnect info for peer VPN-Filiale1: physical-disconnected
13 06.07.2010 16:45:43 AUTH Hinweis logged out from peer VPN-Filiale1
16 06.07.2010 16:46:14 LOCAL0 Fehler VPN: Error for peer VPN-Filiale1: IFC-I-Connection-timeout-dynamic
17 06.07.2010 16:46:37 LOCAL0 Fehler VPN: Disconnect info for peer VPN-Filiale1: physical-disconnected
18 06.07.2010 16:46:37 AUTH Hinweis logged out from peer VPN-Filiale1
Der 1711er gibt im Protokoll garnichts aus. Kannst du was damit anfangen?
also eingerichtet habe ich jetzt die Verbindung so wie in der zweiten Anleitung, ohne ISDN. Bei der Gegenstelle habe ich die Konfig auch eingetragen aber so richtig funzt das noch nicht.
Der 1611+er gibt folgenden fehler aus:
4 06.07.2010 16:44:10 LOCAL0 Fehler VPN: Error for peer VPN-Filiale1: IFC-I-Name-resolution-failed
5 06.07.2010 16:44:22 LOCAL0 Fehler VPN: Disconnect info for peer VPN-Filiale1: physical-disconnected
6 06.07.2010 16:44:22 AUTH Hinweis logged out from peer VPN-Filiale1
8 06.07.2010 16:44:37 LOCAL0 Fehler VPN: Disconnect info for peer VPN-Filiale1: physical-disconnected
9 06.07.2010 16:44:37 AUTH Hinweis logged out from peer VPN-Filiale1
10 06.07.2010 16:45:08 LOCAL0 Fehler VPN: Error for peer VPN-Filiale1: IFC-I-Connection-timeout-dynamic
11 06.07.2010 16:45:39 LOCAL0 Fehler VPN: Error for peer VPN-Filiale1: IFC-I-Connection-timeout-dynamic
12 06.07.2010 16:45:43 LOCAL0 Fehler VPN: Disconnect info for peer VPN-Filiale1: physical-disconnected
13 06.07.2010 16:45:43 AUTH Hinweis logged out from peer VPN-Filiale1
16 06.07.2010 16:46:14 LOCAL0 Fehler VPN: Error for peer VPN-Filiale1: IFC-I-Connection-timeout-dynamic
17 06.07.2010 16:46:37 LOCAL0 Fehler VPN: Disconnect info for peer VPN-Filiale1: physical-disconnected
18 06.07.2010 16:46:37 AUTH Hinweis logged out from peer VPN-Filiale1
Der 1711er gibt im Protokoll garnichts aus. Kannst du was damit anfangen?
Hy,
also beide Lancom Router sind über DynDns erreichbar (Ports 80 Frei).
Der 1711+ in der Filiale 1 ist über den WANPort mit dem Kabelmodem von Unitymedia verbunden (DHCPOE) ins I-Net (siehe anderen Beitrag von mir).
Der 1611+ in der Filiale 2 ist über sein WANPort mit dem Speedport 300 verbunden (Feste IP) ins I-Net.
Das ist der Derzeitige stand, denn zwischen Drin habe ich die neue Firmware gesehen und die mal aufgespielt und dank eines tollen zufalls habe ich dann den 1611+ reseten müssen.
Jetzt habe ich den 1611+ so konfiguriert wie in deinem Link beschrieben.
Hier die Zusammenfassung:
(Config für den 1611+)
Name der Verbindung: VPN-Filiale1
Haltezeit: 9.999 Sek
Dead Peer Detection: 60
Extranet-Adresse: 0.0.0.0
Entferntes Gateway: filiale1.dyndns.org
Verbindungsparameter: VPN-Filiale1
Regelerzeugung: Auto
Dyn VPN: (UDP)
IKE: (Grau, aber MainMode)
IKE-CFG: Aus
XAuth: Aus
SSL-IPSEC: aus
Routing-Tag: 0
(Config für den 1711+)
Name der Verbindung: VPN-Filiale2
Haltezeit: 9.999 Sek
Dead Peer Detection: 60
Extranet-Adresse: 0.0.0.0
Entferntes Gateway: 0.0.0.0
Verbindungsparameter: VPN-Filiale2
Regelerzeugung: Auto
Dyn VPN: Kein
IKE: MainMode
IKE-CFG: Aus
XAuth: Aus
SSL-IPSEC: aus
Routing-Tag: 0
Das Passwort und der Key sind identisch!
NAT-T ist bei beiden Aktiv. Wenn noch was fehlt sag bescheid
also beide Lancom Router sind über DynDns erreichbar (Ports 80 Frei).
Der 1711+ in der Filiale 1 ist über den WANPort mit dem Kabelmodem von Unitymedia verbunden (DHCPOE) ins I-Net (siehe anderen Beitrag von mir).
Der 1611+ in der Filiale 2 ist über sein WANPort mit dem Speedport 300 verbunden (Feste IP) ins I-Net.
Das ist der Derzeitige stand, denn zwischen Drin habe ich die neue Firmware gesehen und die mal aufgespielt und dank eines tollen zufalls habe ich dann den 1611+ reseten müssen.
Jetzt habe ich den 1611+ so konfiguriert wie in deinem Link beschrieben.
Hier die Zusammenfassung:
(Config für den 1611+)
Name der Verbindung: VPN-Filiale1
Haltezeit: 9.999 Sek
Dead Peer Detection: 60
Extranet-Adresse: 0.0.0.0
Entferntes Gateway: filiale1.dyndns.org
Verbindungsparameter: VPN-Filiale1
Regelerzeugung: Auto
Dyn VPN: (UDP)
IKE: (Grau, aber MainMode)
IKE-CFG: Aus
XAuth: Aus
SSL-IPSEC: aus
Routing-Tag: 0
(Config für den 1711+)
Name der Verbindung: VPN-Filiale2
Haltezeit: 9.999 Sek
Dead Peer Detection: 60
Extranet-Adresse: 0.0.0.0
Entferntes Gateway: 0.0.0.0
Verbindungsparameter: VPN-Filiale2
Regelerzeugung: Auto
Dyn VPN: Kein
IKE: MainMode
IKE-CFG: Aus
XAuth: Aus
SSL-IPSEC: aus
Routing-Tag: 0
Das Passwort und der Key sind identisch!
NAT-T ist bei beiden Aktiv. Wenn noch was fehlt sag bescheid
Nim mal bei dem 1711 die Haltezeit raus auf 0 stellen und es wäre wichtig was der trace im 1711 sagt vpn-status
Es ist alles interresant ab dem ersten Error
Ist am 1611 bei VPN Gemeinsam für KeepAlive eingestellt und am 1711 nicht ?
Beim 1611 wie hast Du die IP Adressen vergeben je Router einen anderen Kreis, damit das Routing funktioniert.
Als der SpeedPort hat z.B. 192.168.212.0 und der 1611 die 192.168.2.1
(Speedport hat also nur eine Transport-Netz funktion!)
Es ist alles interresant ab dem ersten Error
Ist am 1611 bei VPN Gemeinsam für KeepAlive eingestellt und am 1711 nicht ?
Beim 1611 wie hast Du die IP Adressen vergeben je Router einen anderen Kreis, damit das Routing funktioniert.
Als der SpeedPort hat z.B. 192.168.212.0 und der 1611 die 192.168.2.1
(Speedport hat also nur eine Transport-Netz funktion!)
gnarf sag ich mal. Hab den Beitrag gerade geschrieben neben der neukonfig der beiden und bin dann mal schnell in die küche gegangen und was sehen meine Augen beim zurückkommen???
(1711+)
23 06.07.2010 19:30:40 AUTH Hinweis User Filiale2 successfully logged in
24 06.07.2010 19:31:55 LOCAL0 Fehler line polling to peer Filiale2 failed
25 06.07.2010 19:31:55 LOCAL0 Fehler VPN: Error for peer Filiale2: IFC-X-Line-polling-failed
26 06.07.2010 19:31:55 LOCAL0 Fehler last message repeated 1 time
27 06.07.2010 19:31:55 AUTH Hinweis User Filiale2 logged out
Das macht der jetzt ca alle 70 Sek das Spiel und der 1611+ erzählt:
40 06.07.2010 19:30:40 AUTH Hinweis Successfull logged in to peer Filiale1
41 06.07.2010 19:30:46 LOCAL0 Fehler VPN: Disconnect info for peer Filiale1: physical-disconnected
42 06.07.2010 19:30:46 AUTH Hinweis logged out from peer Filiale1
43 06.07.2010 19:31:05 LOCAL0 Fehler VPN: Disconnect info for peer Filiale1: physical-disconnected
44 06.07.2010 19:31:05 AUTH Hinweis logged out from peer Filiale1
45 06.07.2010 19:31:14 LOCAL0 Fehler VPN: Disconnect info for peer Filiale1: physical-disconnected
46 06.07.2010 19:31:14 AUTH Hinweis logged out from peer Filiale1
47 06.07.2010 19:31:35 LOCAL0 Fehler VPN: Disconnect info for peer Filiale1: physical-disconnected
48 06.07.2010 19:31:35 AUTH Hinweis logged out from peer Filiale1
49 06.07.2010 19:31:39 LOCAL0 Fehler VPN: Disconnect info for peer Filiale1: physical-disconnected
50 06.07.2010 19:31:39 AUTH Hinweis logged out from peer Filiale1
51 06.07.2010 19:31:44 LOCAL0 Fehler VPN: Disconnect info for peer Filiale1: physical-disconnected
52 06.07.2010 19:31:44 AUTH Hinweis logged out from peer Filiale1
53 06.07.2010 19:31:50 LOCAL3 Alarm Dst: 192.168.2.152 {Filiale2}, Src: 81.210.167.25 (ESP): connection refused
54 06.07.2010 19:31:54 LOCAL3 Alarm last message repeated 4 times
55 06.07.2010 19:31:57 AUTH Hinweis Successfull logged in to peer Filiale1
ist zwar eine neue situ aber zu deinen Fragen,
Wo kan ich den Trace machen? Aus windows heraus bring das ja nichts.
Gemeinsam für KeepAlive ist bei beiden an.
(1711+)
23 06.07.2010 19:30:40 AUTH Hinweis User Filiale2 successfully logged in
24 06.07.2010 19:31:55 LOCAL0 Fehler line polling to peer Filiale2 failed
25 06.07.2010 19:31:55 LOCAL0 Fehler VPN: Error for peer Filiale2: IFC-X-Line-polling-failed
26 06.07.2010 19:31:55 LOCAL0 Fehler last message repeated 1 time
27 06.07.2010 19:31:55 AUTH Hinweis User Filiale2 logged out
Das macht der jetzt ca alle 70 Sek das Spiel und der 1611+ erzählt:
40 06.07.2010 19:30:40 AUTH Hinweis Successfull logged in to peer Filiale1
41 06.07.2010 19:30:46 LOCAL0 Fehler VPN: Disconnect info for peer Filiale1: physical-disconnected
42 06.07.2010 19:30:46 AUTH Hinweis logged out from peer Filiale1
43 06.07.2010 19:31:05 LOCAL0 Fehler VPN: Disconnect info for peer Filiale1: physical-disconnected
44 06.07.2010 19:31:05 AUTH Hinweis logged out from peer Filiale1
45 06.07.2010 19:31:14 LOCAL0 Fehler VPN: Disconnect info for peer Filiale1: physical-disconnected
46 06.07.2010 19:31:14 AUTH Hinweis logged out from peer Filiale1
47 06.07.2010 19:31:35 LOCAL0 Fehler VPN: Disconnect info for peer Filiale1: physical-disconnected
48 06.07.2010 19:31:35 AUTH Hinweis logged out from peer Filiale1
49 06.07.2010 19:31:39 LOCAL0 Fehler VPN: Disconnect info for peer Filiale1: physical-disconnected
50 06.07.2010 19:31:39 AUTH Hinweis logged out from peer Filiale1
51 06.07.2010 19:31:44 LOCAL0 Fehler VPN: Disconnect info for peer Filiale1: physical-disconnected
52 06.07.2010 19:31:44 AUTH Hinweis logged out from peer Filiale1
53 06.07.2010 19:31:50 LOCAL3 Alarm Dst: 192.168.2.152 {Filiale2}, Src: 81.210.167.25 (ESP): connection refused
54 06.07.2010 19:31:54 LOCAL3 Alarm last message repeated 4 times
55 06.07.2010 19:31:57 AUTH Hinweis Successfull logged in to peer Filiale1
ist zwar eine neue situ aber zu deinen Fragen,
Wo kan ich den Trace machen? Aus windows heraus bring das ja nichts.
Gemeinsam für KeepAlive ist bei beiden an.
Nein beide im selben Netzt, da der Speedport noch das Netz drum herum betreut, wird aber alles bald auf den Lancom umgesetzt, Netze sollen aber so bleiben. (Filiale 1 192.168.1.0, Filiale 2 192.168.2.0) Oder soll ich zwischen Speedport und Lancom nen anderes Netz setzten?ft2002 hat geschrieben: Beim 1611 wie hast Du die IP Adressen vergeben je Router einen anderen Kreis, damit das Routing funktioniert.
Als der SpeedPort hat z.B. 192.168.212.0 und der 1611 die 192.168.2.1
(Speedport hat also nur eine Transport-Netz funktion!)
Wenn Du in den 1611 was reinsteckst kannst Du dann überhaupt surfen.
Ich würde den 1611 als Verwalter und Gateway für das Netz nehmen und den Speedport nur wie ein Modem nutzen ebend nur mit IPoE an der WAN.
Du bekommst sonnst Probleme mit dem Routing weil Du zwei Gateways hast und dann muesstest Du ein paar Einstellungen anpassen auch am Speedport.
Ich sag ma das es einfacher ist den Lancom als Gateway und den Speedport als Modem.
Dann sollte es auch funktionieren...
Ich würde den 1611 als Verwalter und Gateway für das Netz nehmen und den Speedport nur wie ein Modem nutzen ebend nur mit IPoE an der WAN.
Du bekommst sonnst Probleme mit dem Routing weil Du zwei Gateways hast und dann muesstest Du ein paar Einstellungen anpassen auch am Speedport.
Ich sag ma das es einfacher ist den Lancom als Gateway und den Speedport als Modem.
Dann sollte es auch funktionieren...
ja KeepAlive ist nur im aufbauenden einzustellen.
Es ersetzt das Polling ob die Leitung steht, Wenn nichts passiert auf der Leitung wird darüber der Verbindungszustand überwacht und die Leitung aktiv gehalten.
Achso Tracen kanst Du auf verschieden arten: (Immer auf dem zu Empfangenen Gerät!)
Per Telnet Strg + T im ConfigManager auf das Gerät und nach der Passworteingabe direkt
Show VPN für SA Aushandlung oder
Trace # VPN Status für den Status bei der Aushandlung
am einfachsten ist es im LanMonitor (aktives LanMonitor Fenster) oben auf das Gerät , es markieren und dann die Lupe . (oder rechte MAus auf das Gerät und Trace)
Dort suchst Du nach VPN-Status
Was Du auch noch kontrollieren kannst , obwohl bei einer Verbindung und alles automatisch eingerichtet sollte es eigendlich klappen........
Im Trace Feld im Baum oben auf Show klicken und dort VPN dann einmal auslesen die SA verhandlung . Sollte in beiden Geräten Deine Netze auftauchen
Viel Erfolg
Es ersetzt das Polling ob die Leitung steht, Wenn nichts passiert auf der Leitung wird darüber der Verbindungszustand überwacht und die Leitung aktiv gehalten.
Achso Tracen kanst Du auf verschieden arten: (Immer auf dem zu Empfangenen Gerät!)
Per Telnet Strg + T im ConfigManager auf das Gerät und nach der Passworteingabe direkt
Show VPN für SA Aushandlung oder
Trace # VPN Status für den Status bei der Aushandlung
am einfachsten ist es im LanMonitor (aktives LanMonitor Fenster) oben auf das Gerät , es markieren und dann die Lupe . (oder rechte MAus auf das Gerät und Trace)
Dort suchst Du nach VPN-Status
Was Du auch noch kontrollieren kannst , obwohl bei einer Verbindung und alles automatisch eingerichtet sollte es eigendlich klappen........
Im Trace Feld im Baum oben auf Show klicken und dort VPN dann einmal auslesen die SA verhandlung . Sollte in beiden Geräten Deine Netze auftauchen
Viel Erfolg
schön wärs wenn ich schon so weit wäre. Das Protokoll des 1611+ wirft mir jetzt das hier aus:
Fehler error for peer INTERNET: DSL layer 1
Dummerweise kann ich im Speddport 300 nur die letzten 2 Oktete ändern.
Hab schon gelesen, wenn ich ein Transfernetz nutze mit einem Privaten Adressbereich muss ich eine neue IP-Router festlegen oder die bockierende löschen. Macht es sinn die blockierende zu löschen oder soll ich lieber einen neue Router schreiben?
Das Netz, was der Speedport jetzt nutzt lautet 192.168.36.0/24.
Die Route dazu müste dann so aussehen oder?
IP-Adresse: 192.168.36.0
Netzmaske: 255.255.255.0
Routing-Tag: 0
Schaltzustand: An, sticky für RIP
Router: INTERNET
Distanz: 0
Mask.: aus
oder hab ich da einen Denkfehler?
Fehler error for peer INTERNET: DSL layer 1
Dummerweise kann ich im Speddport 300 nur die letzten 2 Oktete ändern.
Hab schon gelesen, wenn ich ein Transfernetz nutze mit einem Privaten Adressbereich muss ich eine neue IP-Router festlegen oder die bockierende löschen. Macht es sinn die blockierende zu löschen oder soll ich lieber einen neue Router schreiben?
Das Netz, was der Speedport jetzt nutzt lautet 192.168.36.0/24.
Die Route dazu müste dann so aussehen oder?
IP-Adresse: 192.168.36.0
Netzmaske: 255.255.255.0
Routing-Tag: 0
Schaltzustand: An, sticky für RIP
Router: INTERNET
Distanz: 0
Mask.: aus
oder hab ich da einen Denkfehler?
Nein, nein , nein
Du richtest den 1611 von mir aus auch uber den Assi, ein DSL ein aber ebend per IPoE ohne Benutzerdaten und im Routing ist die default-Router auf den SpeedPort
255.255.255.0 0.0.0.0 Maskierung AN Tag 0
Der 1611 denkt das am WAN internet ist und leitet alle anfragen die er nicht auflösen kann an den WAN Port dort trifft er auf den Speedport und da der auch nichts damit anfangen kann leittet er ins jetz echte Internet
Dein IP Kreis muß im SpeedPort nur anders als im 1611 sein
Ganz einfach
Du richtest den 1611 von mir aus auch uber den Assi, ein DSL ein aber ebend per IPoE ohne Benutzerdaten und im Routing ist die default-Router auf den SpeedPort
255.255.255.0 0.0.0.0 Maskierung AN Tag 0
Der 1611 denkt das am WAN internet ist und leitet alle anfragen die er nicht auflösen kann an den WAN Port dort trifft er auf den Speedport und da der auch nichts damit anfangen kann leittet er ins jetz echte Internet
Dein IP Kreis muß im SpeedPort nur anders als im 1611 sein
Ganz einfach
also 1611 total reset, wan-verbindung als ipoe eingerichtet. jetzt taucht zwar im protokoll kein fehler mehr auf, aber die verbindung bricht laufend ab.
Im Protokoll steht nur alle 20 sekunden das er für den wanport ne neue ip und ein gateway hat. kabel ist in ordnung. liegt das vielleich am speedport?
auth hinweis local IP adress for INTERNET is 192.168.36.30, Gateway adress ist 192.168.36.150
der lanmonitor gibt mir noch folgenden fehleR raus: Protocol negotiation with INTERNET
Im Protokoll steht nur alle 20 sekunden das er für den wanport ne neue ip und ein gateway hat. kabel ist in ordnung. liegt das vielleich am speedport?
auth hinweis local IP adress for INTERNET is 192.168.36.30, Gateway adress ist 192.168.36.150
der lanmonitor gibt mir noch folgenden fehleR raus: Protocol negotiation with INTERNET
Vergebe mal eine Festeip mit allen Einträgen und mach mal ein Neustart auf Lancom und Speedport.
Danach solltest Du eigendlich hinter dem Lancom surfen können....
Editiert:
Einstellung unter Schnittstellen/WAN fest auf 10MBit Vollduplex stellen, die aushandlung zum Speedport funzt nicht !!!
Danach solltest Du eigendlich hinter dem Lancom surfen können....
Editiert:
Einstellung unter Schnittstellen/WAN fest auf 10MBit Vollduplex stellen, die aushandlung zum Speedport funzt nicht !!!
Zuletzt geändert von ft2002 am 08 Jul 2010, 00:58, insgesamt 1-mal geändert.