Hi,
ich habe zwei Standort mit A-DSL-Zugängen in Deutschland, deren Netzt mit einander per VPN verbunden werden sollen.
Dafür stehen in beiden Standorten je ein LANCOM 1721 zur Verfügung.
Ich habe mir auch das LANCOM Referenz-Handbuch gekauft.
Beide Router hängen hinter telefonmäßig hinter einer ISDN-TK-Anlage der professionelleren Klasse. Die Dynamischen IPs der DSL-Zugänge soll dem jeweiligen Gegenüber per ISDN mitgeteilt werden.
Ich habe mit dem Tool LANconfig beide Geräte konfiguriert, indem ich den Setup-Assistenten "Zwei lokale Netzte verbinden (VPN)" auf beiden Geräten durchlaufen habe.
Jetzt sind die beiden Router in die beiden Städte ausgeliefert worden und ich kann nicht von einem PC aus dem Netz A auf einen PC des Netztes B zugreifen.
Wo könnte das Problem liegen?
Was ist besonderes zu beachten was der Wizzard nicht abfragt?
Danke für jeden Tipp.
(Bilder der Einstellungen folgen gleich noch)
LANCOM 1721 Zwei Netze mit DSL per www mit VPN verbinden
Moderator: Lancom-Systems Moderatoren
Hi WLAN-LAN
hier fallen mir als erstes MSNs und CLIPs ein...
Hast du unter Kommunikation -> Allgemein -> Router-Interfaces->ISDN jeweils die korrekte MSN des Anschlusses eingetragen, an dem das jeweilige Gerät hängt?
Achtung: Bei TK-Anlagen muß dort die interne Nummer des Anschlusses stehen.
Hast du die Rufannamhe auf dem Router-Interface aktiviert (unter Kommunikation -> Allgemein -> Router-Interfaces->ISDN muß bei Rufannahme "alle" stehen)
Hast du darauf geachtet, daß du die MSN nicht auch noch als Fernkonfigurations-MSN (Management -> Admin -> Rufnummer) oder als LANCAPI-MSN (LANCAPI -> Allgemein -> LANCAPI-Interfaces -> ISDN) eingetragen hast?
Hast du auf der Gegenseite in der Nummernliste (Kommunikation -> Rufverwaltung -> Nummernliste) die korrekte externe Rufnummer des Anschlusses (mit Vorwahl, aber ohne führende 0) eingetragen?
Was sagen ein VPN-Status- und Display-Trace auf beiden Seiten bei einem Einwahlversuch (per Telnet auf die beiden Geräte gehen und trace # vpn-status display eingeben)?
Gruß
Backslash
hier fallen mir als erstes MSNs und CLIPs ein...
Hast du unter Kommunikation -> Allgemein -> Router-Interfaces->ISDN jeweils die korrekte MSN des Anschlusses eingetragen, an dem das jeweilige Gerät hängt?
Achtung: Bei TK-Anlagen muß dort die interne Nummer des Anschlusses stehen.
Hast du die Rufannamhe auf dem Router-Interface aktiviert (unter Kommunikation -> Allgemein -> Router-Interfaces->ISDN muß bei Rufannahme "alle" stehen)
Hast du darauf geachtet, daß du die MSN nicht auch noch als Fernkonfigurations-MSN (Management -> Admin -> Rufnummer) oder als LANCAPI-MSN (LANCAPI -> Allgemein -> LANCAPI-Interfaces -> ISDN) eingetragen hast?
Hast du auf der Gegenseite in der Nummernliste (Kommunikation -> Rufverwaltung -> Nummernliste) die korrekte externe Rufnummer des Anschlusses (mit Vorwahl, aber ohne führende 0) eingetragen?
Was sagen ein VPN-Status- und Display-Trace auf beiden Seiten bei einem Einwahlversuch (per Telnet auf die beiden Geräte gehen und trace # vpn-status display eingeben)?
Gruß
Backslash
Hi,
vielen Dank für die vielen nützlichen Hinweise!
Ich werde das mir alles mal ansehen.
Frage zu ssh auf LANCOM von außerhalb:
Leider komme ich von Außen nicht per Putty auf die Router drauf, obwohl ich mir eigentlich sicher war ssh nicht mit dem Sicherheits-Setup-Assistenten deaktiviert zu haben. Muss ich da einen speziellen Port einstellen bei den LANCOM-Modellen?
Frage zu VPN-Lizensen:
Beim Recherchieren im www bin ich über einen Artikel zur VPN-Lizenzpolitik von LANCOM gestoßen, der jetzt folgende Frage aufgeworfen hat: Wenn ich die zwei Router gekauft habe und dann konfiguriert und den VPN-Wizzard durchlaufen habe und dann die Router an den zwei DSL-Anschlüßen verbaut habe, muss ich dann noch bei LANCOM anrufen und mir Freischaltschlüssel für das VPN geben lassen? Oder wie ist das mit der VPN- Lizenzpolitik von LANCOM? Ich ging davon aus das 5 Lizenzen bei den Geräten dabei wären. Sprich pro Gerät geht eine Lizenz dafür drauf das ich die beiden Standorte mit VPN-Netz zu Netz verbinde. Und dann noch jeweils 4 VPN-Lizenzen pro Gerät habe, um so 4 User einzurichten die mit dem LANCOM-SoftWare-VPN-Client sich dann mobil aus dem www ins Firmennetz einwählen können. Ist das so richtig oder muss ich die 5 (1+4) VPN-Lizenzen erst noch durch einen Freischaltcode von LANCOM aktivieren?
Frage zu Setup-Assistenten "Zwei lokale Netzte verbinden (VPN)":
Reicht es nicht aus diesen Setup-Assistenten komplett zu durchlaufen, um ein VPN zwischen den zwei LANCOM 1721 von Fiale zu Zentrale aufzubauen?
Danke für die Tipps.
PS:
Wie viele Bilder kann ich pro Post anhängen?
Wenn ich die der Reihe nach hoch lade dreht sich die Sortierung um, warum?
vielen Dank für die vielen nützlichen Hinweise!
Ich werde das mir alles mal ansehen.
Frage zu ssh auf LANCOM von außerhalb:
Leider komme ich von Außen nicht per Putty auf die Router drauf, obwohl ich mir eigentlich sicher war ssh nicht mit dem Sicherheits-Setup-Assistenten deaktiviert zu haben. Muss ich da einen speziellen Port einstellen bei den LANCOM-Modellen?
Frage zu VPN-Lizensen:
Beim Recherchieren im www bin ich über einen Artikel zur VPN-Lizenzpolitik von LANCOM gestoßen, der jetzt folgende Frage aufgeworfen hat: Wenn ich die zwei Router gekauft habe und dann konfiguriert und den VPN-Wizzard durchlaufen habe und dann die Router an den zwei DSL-Anschlüßen verbaut habe, muss ich dann noch bei LANCOM anrufen und mir Freischaltschlüssel für das VPN geben lassen? Oder wie ist das mit der VPN- Lizenzpolitik von LANCOM? Ich ging davon aus das 5 Lizenzen bei den Geräten dabei wären. Sprich pro Gerät geht eine Lizenz dafür drauf das ich die beiden Standorte mit VPN-Netz zu Netz verbinde. Und dann noch jeweils 4 VPN-Lizenzen pro Gerät habe, um so 4 User einzurichten die mit dem LANCOM-SoftWare-VPN-Client sich dann mobil aus dem www ins Firmennetz einwählen können. Ist das so richtig oder muss ich die 5 (1+4) VPN-Lizenzen erst noch durch einen Freischaltcode von LANCOM aktivieren?
Frage zu Setup-Assistenten "Zwei lokale Netzte verbinden (VPN)":
Reicht es nicht aus diesen Setup-Assistenten komplett zu durchlaufen, um ein VPN zwischen den zwei LANCOM 1721 von Fiale zu Zentrale aufzubauen?
Danke für die Tipps.
PS:
Wie viele Bilder kann ich pro Post anhängen?
Wenn ich die der Reihe nach hoch lade dreht sich die Sortierung um, warum?
Hi WLAN-LAN
Ach ja: du mußt dem Gerät natürlich ein Paßwort geben, sonst ist der Zugriff vom WAN aus in jedem Fall blockiert.
Etwas anders sieht es mit dem dynamic VPN über den D-Kanal aus. Hier ist eine Registrierung aus patentrechtlichen Gründen notwendig. Es läuft zwar auch ohne die Registrierung, nur weist LANconfig hartnäckig darauf hin, daß eine Registrierung notwendig ist...
Gruß
Backslash
Der Grundeinstellungs-Wizard deaktiviert Zugriffe vom WAN. Schau unter Management -> Admin -> Zugriffsrechte -> von entfernten Netzen nach, ob der Zugang über SSH erlaubt ist.Leider komme ich von Außen nicht per Putty auf die Router drauf, obwohl ich mir eigentlich sicher war ssh nicht mit dem Sicherheits-Setup-Assistenten deaktiviert zu haben. Muss ich da einen speziellen Port einstellen bei den LANCOM-Modellen?
Ach ja: du mußt dem Gerät natürlich ein Paßwort geben, sonst ist der Zugriff vom WAN aus in jedem Fall blockiert.
das ist korrekt, d.h es sind 5 Lizenzen im Gerät und du mußt nichts aktivieren.Ist das so richtig oder muss ich die 5 (1+4) VPN-Lizenzen erst noch durch einen Freischaltcode von LANCOM aktivieren?
Etwas anders sieht es mit dem dynamic VPN über den D-Kanal aus. Hier ist eine Registrierung aus patentrechtlichen Gründen notwendig. Es läuft zwar auch ohne die Registrierung, nur weist LANconfig hartnäckig darauf hin, daß eine Registrierung notwendig ist...
das ist ja der Sinn des Assistenten...Reicht es nicht aus diesen Setup-Assistenten komplett zu durchlaufen, um ein VPN zwischen den zwei LANCOM 1721 von Fiale zu Zentrale aufzubauen?
Gruß
Backslash
Hi,
so habe den IP-Austausch jetzt von ISDN auf DynDNS umgestgellt => und siehe da es funktioniert. Vermutlich hat die ISDN-TK-Anlage vor dem LANCOM probleme verursacht. Dies muß später ergründet werden.
Jetzt habe ich ein neues Problem:
Ein Ping von Netz C zu Netz P funktioniert durch das VPN.
Ein Ping von Netz P zu Netz C funktionert aber nicht durch das VPN.
Woran könnte das liegen das die VPN-Verbindung nur ein eine Richtung zu gehen scheint?
Habe beides mit dem Setup-Assistenten für das Verbinden der zwei Netzte gemacht.
Wo könne bei dem Setup-Assistenten mir eine Feherl unterlaufen sein?
Oder ist das normal?
Wo könnte ich in der Konfig das sonnst noch ändern das C zu P und P zu C sich sehen können?
Oder ist das eine Routing-Problem?
Netz C ist 192.168.0.0/24.
Netz P ist 192.168.1.0/24.
Dir LANCOM 1721 sind jeweils die
192.168.0.100 (Netz C) und
192.168.1.100 (Netz P).
Danke!
so habe den IP-Austausch jetzt von ISDN auf DynDNS umgestgellt => und siehe da es funktioniert. Vermutlich hat die ISDN-TK-Anlage vor dem LANCOM probleme verursacht. Dies muß später ergründet werden.
Jetzt habe ich ein neues Problem:
Ein Ping von Netz C zu Netz P funktioniert durch das VPN.
Ein Ping von Netz P zu Netz C funktionert aber nicht durch das VPN.
Woran könnte das liegen das die VPN-Verbindung nur ein eine Richtung zu gehen scheint?
Habe beides mit dem Setup-Assistenten für das Verbinden der zwei Netzte gemacht.
Wo könne bei dem Setup-Assistenten mir eine Feherl unterlaufen sein?
Oder ist das normal?
Wo könnte ich in der Konfig das sonnst noch ändern das C zu P und P zu C sich sehen können?
Oder ist das eine Routing-Problem?
Netz C ist 192.168.0.0/24.
Netz P ist 192.168.1.0/24.
Dir LANCOM 1721 sind jeweils die
192.168.0.100 (Netz C) und
192.168.1.100 (Netz P).
Danke!
-
froeschi62
- Beiträge: 985
- Registriert: 13 Dez 2004, 10:44
Hi,
kontrolliere beim Lancom (Netz P) die Routingeinträge und VPN Regel der Firewall für das dahinterliegende Netz der VPN Gegenstelle (Lancom Netz C).
Einen kleinen Anhaltspunkt, was aber nicht ganz deinem Szenario entspricht, könnte Dir dieses Dokument geben. Zumindest kannst Du einiges davon ableiten.
http://www2.lancom.de/kb.nsf/a5ddf48173 ... enDocument
Viele Grüße
Dietmar
Ps: Eigentlich sollte das der Assistent bei richtiger Verwendung aber schon korrekt konfiguriert haben.
kontrolliere beim Lancom (Netz P) die Routingeinträge und VPN Regel der Firewall für das dahinterliegende Netz der VPN Gegenstelle (Lancom Netz C).
Einen kleinen Anhaltspunkt, was aber nicht ganz deinem Szenario entspricht, könnte Dir dieses Dokument geben. Zumindest kannst Du einiges davon ableiten.
http://www2.lancom.de/kb.nsf/a5ddf48173 ... enDocument
Viele Grüße
Dietmar
Ps: Eigentlich sollte das der Assistent bei richtiger Verwendung aber schon korrekt konfiguriert haben.
Lancom 1823 VOIP
Hallo,
dyn DNS auf beiden Seiten ist öfter mal nicht stabil. Der Internet Provider führt ja einmal in 24h eine Zwangstrennung durch und vergibt dann oft eine neue IP. Wenn der Router nicht nachregelt ist das VPN weg. Sollen es wirklich stabile Verbindungen werden sehe ich da nur die Variante feste IP vom ServiceProvider geben lassen.
Gruß
Thomas
dyn DNS auf beiden Seiten ist öfter mal nicht stabil. Der Internet Provider führt ja einmal in 24h eine Zwangstrennung durch und vergibt dann oft eine neue IP. Wenn der Router nicht nachregelt ist das VPN weg. Sollen es wirklich stabile Verbindungen werden sehe ich da nur die Variante feste IP vom ServiceProvider geben lassen.
Gruß
Thomas