8011 VPN - Draytek 2700 (VPN Verbindung)

Pmeger · Beitrag von **Pmeger** » 27 Nov 2007, 08:51

Wir haben einen Lancom8011VPN und in der Außenstelle einen Draytek 2700.
Jetzt würden wir die beiden Geräte gerne per VPN mit einander vernetzten.
Aber irgendwie wollen sie nicht so richtig.
Wie muss ich im Lancom vorgehen um eine "normale" IPSec Verbindung ohne L2TP zum 8011 zu zulassen?
Der Draytek soll die Verbindung zum Lancom aufbauen zu können.
Ich möchte nur einen IKE-PresharedKey eingeben und sonst nichts

Sicherheitsmethode haben wir uns für "Hoch"(ESP) - DES ohne Autenthifizierung entschieden.
Phase 1: DES-MD5
Phase 2: DES

Geht das so? Oder müssen wir auf ESP verzichten und mit AH arbeiten?
Liegt es vll. am DES?

Danke schonmal vorab!

TheCloud · Beitrag von **TheCloud** » 27 Nov 2007, 12:17

Hallo Pmeger,

in den Default-Proposallisten des LANCOMs ist DES nicht enthalten (nur 3DES).
Du findest in den VPN Verbindungs-Parametern die Zuweisungen, welche Proposal-Listen, PFS-Gruppe für die entsprechende VPN-Gegenstelle genutzt werden.
Ggf. musst Du die Werte entsprechend anpassen...

Gruß

TC

Pmeger · Beitrag von **Pmeger** » 27 Nov 2007, 12:24

OK, danke erstmal!
Wie kann ich denn im Lancom sehen ob er versucht die VPN Verbindung anzunehmen? Bzw. warum er sie ablehnt?
Im Lanmonitor passiert nichts, wenn ich mir die Geräteaktivitäten anzeigen lasse.

Danke!

backslash · Beitrag von **backslash** » 27 Nov 2007, 14:21

Hi Pmeger

gim auf der Konsole/Telnet/SSH trace # vpn-status ein und harre der Dinge die dort passieren...

Gruß
Backslash

Pmeger · Beitrag von **Pmeger** » 27 Nov 2007, 14:54

Hhm, hab ich jetzt eingegeben aber ich sehe trotzdem nichts.
Wenn ich irgendwas an den Regeln oder so ändere, dann kommt zwar nen Comment das es erfolgreich geändert wurde, aber mehr nicht.

TheCloud · Beitrag von **TheCloud** » 27 Nov 2007, 15:20

Hi,

Hhm, hab ich jetzt eingegeben aber ich sehe trotzdem nichts.

Du müsstest hier aber zumindest einen eingehenden connect request von der Gegenseite sehen.
Bist Du sicher, dass Du auf dem Draytek die öffentliche IP des 8011 als VPN-Gegenstelle angegeben hast?

Oder steht zwischen den beiden Routern noch eine Firewall, die ggf. Pakete filtert?

Gruß

TC

Pmeger · Beitrag von **Pmeger** » 27 Nov 2007, 15:29

Ja, ich bin mir ganz sicher

Wenn ich mich via PPTP von einem Windows Rechner einwählen möchte, sehe ich auch nichts.
Aber bekomme in Windows die Meldung Benutzer oder Passwort falsch.

Ist auch keine Firewall. Beide Router hängen direkt an einem eigenen DSL Anschluss.
Firewall im 8011 ist auch aus.

Pmeger · Beitrag von **Pmeger** » 27 Nov 2007, 15:37

wenn ich über das LAN versuche mich via VPN einzuwählen, sehe ich auch keine Meldung

Beitrag von **LoUiS** » 27 Nov 2007, 17:52

Hi,

wenn ich über das LAN versuche mich via VPN einzuwählen, sehe ich auch keine Meldung

Dann hast Du vmtl. im Telnet/SSH auch nicht, wie von Backslash bereits geschrieben, "trace # vpn-st" eingegeben.

Ciao
LoUiS

Pmeger · Beitrag von **Pmeger** » 27 Nov 2007, 19:48

Doch klar!
Ich sehe doch auch, wenn ich eine Regel ändere oder so.
Ausserdem steht dort:
VPN-Status ON

Beitrag von **LoUiS** » 27 Nov 2007, 20:05

Hi,

wenn dann im Trace garnichts angezeigt wird, dann kommt da wohl auch nichts von der Gegenstelle an. Wie "TheCloud" schon schrieb

Du müsstest hier aber zumindest einen eingehenden connect request von der Gegenseite sehen.

Wenn Du nichts siehst, dann muss irgendwo vorher schon was falsch laufen.

Ciao
LoUiS

Pmeger · Beitrag von **Pmeger** » 27 Nov 2007, 22:19

Da muss aber was ankommen. Weil wenn ich mit nem Windows PC versuche eine PPTP Verbindung aufzubauen bekomme ich eine Rückmeldung: Falscher Benutzername oder Passwort
Wenn ich das PPTP Konto lösche, dann kommt: Der VPN Server ist nicht erreichbar.
Also muss ja irgendwas ankommen,..

TheCloud · Beitrag von **TheCloud** » 27 Nov 2007, 22:33

Hallo Pmeger,

Da muss aber was ankommen. Weil wenn ich mit nem Windows PC versuche eine PPTP Verbindung aufzubauen bekomme ich eine Rückmeldung: Falscher Benutzername oder Passwort
Wenn ich das PPTP Konto lösche, dann kommt: Der VPN Server ist nicht erreichbar.

Jetzt verwechselst Du aber Äpfel mit Birnen

Ankommende PPTP-Verbindungen wirst Du im VPN-Status Trace auch nicht sehen, denn auch den Windows das PPTP als VPN bezeichnet, hat dies nicht im Geringsten etwas mit IPsec zu tun.

Im VPN-Status Trace wirst Du nur Meldungen zum VPN via IPsec sehen.

Gruß

TC

Pmeger · Beitrag von **Pmeger** » 27 Nov 2007, 23:59

Ah! Dann ist ja gut!
Also sehe ich nur "richtige" IPSec Verbinden.
Dann probier ich morgen nochmal.

Pmeger · Beitrag von **Pmeger** » 28 Nov 2007, 11:41

Es lag am PPTP, ich bin davon ausgegangen, dass ich diese Meldungen auch mit "trace # vpn-st" sehe ^^

So, habe es jetzt soweit das ich folgende Meldung sehe:

Code: Alles auswählen

[VPN-Status] 1900/01/01 20:45:11,380
IKE info: Phase-1 remote proposal 1 for peer def-aggr-peer matched with local proposal 1

Das sagt mir doch, dass die Verschlüsselung für Phase1 auf beiden Geräten im proposal übereinstimmt?
Nach Dieser Meldung passiert allerdings nicht mehr und mein Draytek versucht erneut eine Verbindung aufzubauen und die selbe Meldung kommt erneut und erneut,..
Also bleibt er irgendwo bei Phase1 hängen?

Danke!