Hallo, nachdem ich hier schon gesucht habe und auch kein Newbie bin was Lancom Router angeht (ok, bin auch kein Crack) habe ich ein paar Probleme:
Wir haben 2 Router 7011 & 16 x den guten alten 1611. Die Router sind direkt mit dem Internet verbunden (7011 an CompanyConnect & Boradnet Mediscape 2MBit SDSL, 1611er jeweils am T-DSL Buisness mit versch. Bandbreiten) . VPN war bis jetzt kein Problem und alles funkt wunderbar. Nun habe ich meinen Zugang bandbreitenmäßig erhöht und laut meiner Infos macht der 1611 ja nur 8Mbit auf der WAN Seite mit. Kein Problem dachte ich und habe eine Fritz 7170 davor gehangen und dachte alles wär ok. Natürlich habe ich den LC auf Plain Ethernet geändert und in der Fritz!Box die Ports und Protokolle auf den LC geforwarded. Komisch war nur das von 5 VPN Tunneln 2 aufgebaut wurden und 3 nicht. Auch durch neueinrichten bzw trace auf dem LC komm ich nicht weiter. Fehler ist immmer Zeitüberschreitung bei IKE....
Ok, laut Handbuch soll man dann auf der Gegenstelle gucken was die Fehlermeldung des 2. Routers sagt, nur an die komm ich gar nicht mit dem Lanmonitor ran. Kriege immer nur "keine Antwort". Ok, auch kein Problem, dachte ich mir, eben den SMNP Port forwarden und fertig. aber auch das funkt nicht.
Auf die HTTP Seite der 7170 und ins Internet kann ich ganz normal surfen, auch Portforwarding zum W2K3 Server funken wunderbar.
NAT-T habe ich auch schon testweise eingeschaltet, sowie Agressive Mode auch. hat aber alles nichts gebracht.
So langsam verzweifel ich....
Irgendjemandeine Ahnung was das sein kann?
weitere Infos:
Internet - AVM 7170 - 1611 - PC´s
x.x.x.x - 172.17.6.1 - 172.17.6.2 (WAN) 172.17.6.3 (LAN) - 172.17.6.51
AUf dem 1611 ist eine Router zum 172.17.6.1 mit Maske 255.255.255.255 eingerichter die über das WAN Interface geht.
Portforwarding auf der 7170:
Bezeichn Prot Port IP Port
VPN_IKE UDP 500 172.17.6.2 500
VPN_GRE GRE 172.17.6.2
VPN_ESP ESP 172.17.6.2
VPN_PPTP TCP 1723 172.17.6.2 1723
VPN_IKE2 UDP 4500 172.17.6.2 4500
Gruß
Christian
DSL/I-1611 hinter 7170 macht teilweise (!) Probleme
Moderator: Lancom-Systems Moderatoren
Hi cgdu
Oder willst du das 1611 nur als VPN-Gateway haben und der normale Internetzugang läuft direkt über die Fritzbox (also nicht mehr durch den 1611)?
Genau so muß der Aggressive-Mode auch auf beiden Seiten konfiguriert sein.
Desweiteren solltest du dafür sorgen, daß das 1611 alle Tunnel aufbaut.
Ebenso geht dynamic VPN über den D- oder B-Kanal nicht mehr hinter einer Maskierung, d.h. die anderen Tunnelendpunkte müssen eine feste IP-Adresse besitzen (dynDNS reicht aus). Dynamic VPN geht über eine maskierte Verbindung außerdem nur, wenn zum Adreßaustausch UDP verwendet wirtd.
Hast du mal versucht die MTU im 1611 fest auf 1492 zu stellen (das hat ja nun eine Plain-Ethernet Verbindung und nimmt dort auch eine MTU von 1500 an)?
Gruß
Backslash
und was soll das bringen? Der 1611 hat einerseits ein 10 MBit WAN-Interface und andereseits kommen die 8 MBit daher, weil das Gerät dann bei 100% CPU Last liegt.Nun habe ich meinen Zugang bandbreitenmäßig erhöht und laut meiner Infos macht der 1611 ja nur 8Mbit auf der WAN Seite mit. Kein Problem dachte ich und habe eine Fritz 7170 davor gehangen und dachte alles wär ok
Oder willst du das 1611 nur als VPN-Gateway haben und der normale Internetzugang läuft direkt über die Fritzbox (also nicht mehr durch den 1611)?
NAT-T muß auf beiden Seiten eingeschaltet sein, sonst funktioniert es nicht.NAT-T habe ich auch schon testweise eingeschaltet, sowie Agressive Mode auch. hat aber alles nichts gebracht.
Genau so muß der Aggressive-Mode auch auf beiden Seiten konfiguriert sein.
Desweiteren solltest du dafür sorgen, daß das 1611 alle Tunnel aufbaut.
Ebenso geht dynamic VPN über den D- oder B-Kanal nicht mehr hinter einer Maskierung, d.h. die anderen Tunnelendpunkte müssen eine feste IP-Adresse besitzen (dynDNS reicht aus). Dynamic VPN geht über eine maskierte Verbindung außerdem nur, wenn zum Adreßaustausch UDP verwendet wirtd.
Hast du mal versucht die MTU im 1611 fest auf 1492 zu stellen (das hat ja nun eine Plain-Ethernet Verbindung und nimmt dort auch eine MTU von 1500 an)?
Gruß
Backslash
genau, nur das wäre der 2. Schritt. Ich wollte den Rechnern zusätzlich noch an die 7170 hängen, also eigentlich in die DMZ und dann kriegn die Rechner per DHCP vom W2K3 Server die Routen für die VPN Netze die auf den 1611 zeigen und die normalen gehen halt direkt zum 7170.und was soll das bringen? Der 1611 hat einerseits ein 10 MBit WAN-Interface und andereseits kommen die 8 MBit daher, weil das Gerät dann bei 100% CPU Last liegt.
Oder willst du das 1611 nur als VPN-Gateway haben und der normale Internetzugang läuft direkt über die Fritzbox (also nicht mehr durch den 1611)?
NAT-T ist auf beiden Seiten eingeschaltet, genau wie der Aggressive Mode. KEIN Dynamic VPN ausgewählt. Die IP des 7011 ist fest (noch nicht mal Dyndns). Der 1611 soll per Polling Table den Tunnel aufbauen, es kommt aber immer der o.g. Fehler "Zeitüberschreitung während IKE- oder IPSEC Verhandlung (Initiator) [0x1106]"NAT-T muß auf beiden Seiten eingeschaltet sein, sonst funktioniert es nicht.
Genau so muß der Aggressive-Mode auch auf beiden Seiten konfiguriert sein.
Desweiteren solltest du dafür sorgen, daß das 1611 alle Tunnel aufbaut.
auf dem 1611 habe ich IKE-CFG auf Client eingestellt im 7011 auf Server.
MTU habe ich jetzt mal auf 1492 eingestellt. Mal gucken ob es was bringt. Auf Anhieb anscheinend nicht, werde aber gleich mal beide LCs neu starten.
Was ich mir überhaupt nicht erklären kann ist dagegen warum ich per Lanmon keine anderen Lancoms mehr überwachen kann, nur noch meinen internen, obwohl ich ja den SNMP Port (161) explizit sogar geforwarded habe....
Gruß
Christian
auch das ist natürlich drin. Das mit der IKE-CFG habe ich ja nur aus lauter Verzweifelung gemacht, weil ich mir nicht mehr zu helfen weiß.u machst doch eine LAN-LAN-Kopplung - dabei kannst du den Config-Mode doch gar nicht verwenden... Stattdessen mußt du auf beiden Seiten die jeweils erreichbaren Netze in der Routing-Tabelle eintragen.
achja, irgendjemand vom Lnacom Suport hatte uns mal den Tipp gegeben das eigene Netz, in dem Fall 172.17.6.0/255.255.255.0 auf den Router 0.0.0.0 zu routen. Das war aber in der FW 4.x so, haben wir bis jetzt immer dringelassen.
Hast du zumindest ne Ahnung wieso ich den 2. LC nicht monitoren kann? Schließlich spreche ich ihn über eine externe IP an....
Zur Not muss ich mal morgen die LC Hotline nerven
Vielleicht spreche ich ja da sogar mit dir? Scheinst ja irgendwie in LC involviert zu sein.Gruß
Christian
so für alle die es interessiert:
die Fritz!Box blockt alle SNMP Verbindungen nach aussen, kann man auch nicht über das Webinterface ausschalten.
Dazu muss man TelnetD auf der Fritz!Box freischalten und mit
nvi /var/flash/ar7.cfg
die Zeile(n) "reject udp any any range 161 162"
überall löschen. Dann klappts auch über die Fritz!Box hinweg mit dem Lanmonitor.
So, 2 VPN Verbindungen (von 4) werden nun vernünftig aufgebaut, bei einer kann ichs nicht genau sagen, da ich noch nicht mal über HTTP Config an den LC komme und bei der wichtigsten (Firma) klappt nichts. Zumindest sehe ich nun das auf dem entferneten LC die Fehlermeldungen sich ändern.
"Dynamic VPN: Zeitüberschreitung während Signalisierung oder Authetifizierung" etc pp.
Was komisch ist: da ist nix von Dynamic VPN eingestellt. Auch versucht das entfernte Gateway die VPN Verbindung über LAN aufzubauen nicht über den konfigurierten Provider am WAN Port.
Ich werd mal weiter basteln....
die Fritz!Box blockt alle SNMP Verbindungen nach aussen, kann man auch nicht über das Webinterface ausschalten.
Dazu muss man TelnetD auf der Fritz!Box freischalten und mit
nvi /var/flash/ar7.cfg
die Zeile(n) "reject udp any any range 161 162"
überall löschen. Dann klappts auch über die Fritz!Box hinweg mit dem Lanmonitor.
So, 2 VPN Verbindungen (von 4) werden nun vernünftig aufgebaut, bei einer kann ichs nicht genau sagen, da ich noch nicht mal über HTTP Config an den LC komme und bei der wichtigsten (Firma) klappt nichts. Zumindest sehe ich nun das auf dem entferneten LC die Fehlermeldungen sich ändern.
"Dynamic VPN: Zeitüberschreitung während Signalisierung oder Authetifizierung" etc pp.
Was komisch ist: da ist nix von Dynamic VPN eingestellt. Auch versucht das entfernte Gateway die VPN Verbindung über LAN aufzubauen nicht über den konfigurierten Provider am WAN Port.
Ich werd mal weiter basteln....