Hallo Lancom Forum
ich habe eine VPN Problem mit einem kleinen Netzwerk.
Ich versuche eine VPN Verbindung zwischen Lancom1721+VPN und Shrew VPN Client zu bekommen.
Die Verbindung wird aufgebaut, jedoch ist es mir nicht möglich RDP oder Ping auf meinem Domain Controller zu machen.
Ich weiss aber aus Erfahrung, dass eine gute Problembeschreibung enorm zu Lösung beitragen kann. Daher eine etwas genauere Beschreibung und die Konfigurationspunkte die ich durchgemacht habe.
Mein kleines Netzwerk:
Ich habe einen Server IP 192.168.33.11. Dieser ist Domain Controller, DNS und DHCP Server für meine 5 Clients. Diese Clients holen sich die IP Adresse beim DHCP Server (Domain Controller).Der Router hat die IP Adresse 192.168.33.1. Ich kann vom Client den Server Pingen und eine RDP aufbauen.
Ich habe eine Lancom 1721+VPN Router. Diesen habe ich in der folgenden Reihenfolge konfiguriert:
- Die neuste Firmware eingespielt (LCOS 8.00RU2 Stand 11.10.2010)
- Router zurückgesetzt – Hardware Reset (roter Knopf)
- folgende Assistenten:
- Konfigurationsassistent: (IP 192.168.33.1), Passwort usw.
- „Internet Zugang Einrichten“ Assistent
Hier habe ich meine T-Online Daten eingegeben und ein ISDB Backup eingerichtet
Test: Internet funktioniert.
- „Dynamic DNS Konfigurieren“ Assistent
Mein NO-IP.org Account eingerichtet.
Test: IP wird bei No-IP.org abgelegt
- „Einwahl-Zugang Bereitstellen (RAS,VPN)“ hier habe ich mich an die Anleitung vom
http://www.shrew.net/support/wiki/HowtoLancom „1611+ Gateway Configuration guide“ gehalten,
natürlich habe ich eigene „Preshared Key“, „Entfernte Identität“ und IP 192.168.33.151 genommen.
- Auf meinem Windows 7 X64 Notebook, welches über eine UMTS Karte mit dem Internet verbunden ist,
habe ich die folgenden Installationsschritte durchgeführt:
- Shrew VPN Client V.2.1.7 von 08.Okt.2010 heruntergeladen und installiert.
- Die Client Konfiguration, wie in der Anleitung von http://www.shrew.net/support/wiki/HowtoLancom
„1611+ Shrew Soft Client Configuration guide“ beschrieben konfiguriert und mit den oberen beschriebenen Informationen gefüllt.
Auf dem Client kann ich nun die Verbindung zum Router über die UMTS Karte herstellen die Verbindung scheint auch stabil zu sein. Der Client bekommt auch die konfigurierte IP Adresse 192.168.33.151 mit der entsprechenden Subnet Maske 255.255.255.0. Aber kein Standard Gateway!! So wie ich das verstanden habe, braucht der Client diesen nicht, da er von Lancom direkt ins LAN verbunden wird.
Meine Frage ist nun: Wenn das so ist wie beschrieben, wieso geht ein Ping und RDP dann nicht. Fehlen noch irgendwelche Konfigurationen in den Roulls der Firewall oder in der Routing Tabelle?
Was muss ich noch konfigurieren damit Ping und RDP möglich sind?
Folgendes habe ich bereits getestet:
- „Entfernte Stationen mit Proxy-ARP einbinden“=> mit "ein" und "aus" dasselbe Ergebnis
- „NAT Traversal“ auf dem Router und Client, alle Konstellationen ohne Erfolg.
Danke im Voraus
Gruss
Brauschi
RDP und Ping Problem (Lancom1721+VPN <=> Shrew VPN Cli
Moderator: Lancom-Systems Moderatoren
Hi brauschi
kannst du denn den Router durch den Tunnel anpingen?
Mach auf dem LANCOM mal einen VPN-Status-Trace (im Telnet trace # vpn-st eingeben) von der Einwahl. Und wenn du versuchst den Server zu pingen, einen VPN-Paket- und einen IP-Router-Trace (trace # vpn-pa ip-ro). Aber achte darauf, daß zu der Zeit kein weiterer Traffic läuft, denn sonst siehst du den Wald vor lauter Bäumen nicht...
Gruß
Backslash
kannst du denn den Router durch den Tunnel anpingen?
das muß hier "Ein" sein, denn der Client bekommt ja eine adresse aus deinem LAN (192.168.33.x)- „Entfernte Stationen mit Proxy-ARP einbinden“=> mit "ein" und "aus" dasselbe Ergebnis
das wäre mein nächster Tip gewesen...- „NAT Traversal“ auf dem Router und Client, alle Konstellationen ohne Erfolg.
Mach auf dem LANCOM mal einen VPN-Status-Trace (im Telnet trace # vpn-st eingeben) von der Einwahl. Und wenn du versuchst den Server zu pingen, einen VPN-Paket- und einen IP-Router-Trace (trace # vpn-pa ip-ro). Aber achte darauf, daß zu der Zeit kein weiterer Traffic läuft, denn sonst siehst du den Wald vor lauter Bäumen nicht...
Gruß
Backslash
Hallo Lancom Forum
Erstmals danke an Backslash. Ich habe die Anweisungen befolgt und habe wieder „Entfernte Stationen mit Proxy-ARP einbinden“ und „NAT Traversal“ aktiviert.
Ich habe dann jeweils die „trace“ durchgeführt.
Beim „trace # vpn-st“ ist mir etwas aufgefallen: die Zeile „IKE info: rule:' ipsec 0.0.0.0/0.0.0.0 <-> 192.168.33.181/255.255.255.255 '“. Ich bin mir nicht sicher, ob das so okay ist.
Bei „trace # vpn-pa ip-ro“ passiert etwas- aber das ist zeitlich unabhängig vom Ping.
Ich habe die Logs anbei eingefügt (Siehe LancomLOGs.zip).
Bin für weitere Hilfestellung wirklich sehr dankbar
Gruss
Brauschi
Erstmals danke an Backslash. Ich habe die Anweisungen befolgt und habe wieder „Entfernte Stationen mit Proxy-ARP einbinden“ und „NAT Traversal“ aktiviert.
Ich habe dann jeweils die „trace“ durchgeführt.
Beim „trace # vpn-st“ ist mir etwas aufgefallen: die Zeile „IKE info: rule:' ipsec 0.0.0.0/0.0.0.0 <-> 192.168.33.181/255.255.255.255 '“. Ich bin mir nicht sicher, ob das so okay ist.
Bei „trace # vpn-pa ip-ro“ passiert etwas- aber das ist zeitlich unabhängig vom Ping.
Ich habe die Logs anbei eingefügt (Siehe LancomLOGs.zip).
Bin für weitere Hilfestellung wirklich sehr dankbar
Gruss
Brauschi
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Hi brauschi
Im IP-Router-Trace sind nur Pakete an den UDP-Port 500 zu sehen, was bedeutet, daß kein NAT-T gemacht wird, denn sonst müßten irgendwann Pakete an den Port 4500 zu sehen sein. Hier könnte acuh schon das Problem sein... Im VPN-Status-Trace ist dann zu sehen, daß der Client gar kein NAT-T anbietet, nur DPD:
Wenn der Client NAT-T machen würde, dann müßte im Trace folgendes stehen:
Schau mal, ob du den Client dazu bringen kannst NAT-T anzubieten.
Gruß
Backslash
doch das ist korrekt, denn das LANCOM weist dem Client ja genau diese Adresse zu:Beim „trace # vpn-st“ ist mir etwas aufgefallen: die Zeile „IKE info: rule:' ipsec 0.0.0.0/0.0.0.0 <-> 192.168.33.181/255.255.255.255 '“. Ich bin mir nicht sicher, ob das so okay ist.
Code: Alles auswählen
IKE info: IKE-CFG: Attribute INTERNAL_IP4_ADDRESS len 4 value 192.168.33.181 addedHier sieht man nur die Pakete, die das LANCOM für die IKE-Verhandlung an den Client schickt. Da im VPN-Packet-Trace rein gar nichts zu sehen ist, kommen die Ping-Pakete schon gar nicht beim LANCOM an und das Problem liegt auf der Seite des Clients.Bei „trace # vpn-pa ip-ro“ passiert etwas- aber das ist zeitlich unabhängig vom Ping.
Im IP-Router-Trace sind nur Pakete an den UDP-Port 500 zu sehen, was bedeutet, daß kein NAT-T gemacht wird, denn sonst müßten irgendwann Pakete an den Port 4500 zu sehen sein. Hier könnte acuh schon das Problem sein... Im VPN-Status-Trace ist dann zu sehen, daß der Client gar kein NAT-T anbietet, nur DPD:
Code: Alles auswählen
[VPN-Status] 2010/12/07 21:34:29,190
IKE info: The remote server 213.188.255.28:95 (UDP) peer def-aggr-peer id <no_id> negotiated rfc-3706-dead-peer-detection
[VPN-Status] 2010/12/07 21:34:29,190
IKE info: Phase-1 remote proposal 1 for peer def-aggr-peer matched with local proposal 1
(...)[VPN-Status] 2010/12/08 11:10:39,550
IKE info: The remote peer def-aggr-peer supports NAT-T in draft mode
IKE info: The remote peer def-aggr-peer supports NAT-T in draft mode
IKE info: The remote peer def-aggr-peer supports NAT-T in RFC mode
IKE info: The remote server 213.188.255.28:95 (UDP) peer def-aggr-peer id <no_id> negotiated rfc-3706-dead-peer-detection
Schau mal, ob du den Client dazu bringen kannst NAT-T anzubieten.
Gruß
Backslash
Lancom 1721 + VPN <=> Shrew VPN Client
Hallo Forum
Ich möchte mich bei euch für eure Hilfe bedanken. Ich habe nun mit den Tipps von euch und nach langer Suche das Problem beheben können.
Folgende Punkte habe ich gemacht:
Lancom 1721 + VPN
• konfiguriert nach den Anleitungen: „1611+ Shrew Soft Client Configuration guide“
• „Entfernte Stationen mit Proxy-ARP einbinden“ aktiviert
• „NAT Traversal“ aktiviert
Shrew VPN Client
• konfiguriert nach den Anleitungen „1611+ Gateway Configuration guide“
• „NAT Traversal“ aktiviert
Das Problem war, dass noch die Netzwerkkarte über welche die VPN Verbindung hergestellt wird, entsprechend in den „Netzwerkkarten und Bindungen“konfiguriert werden muss . In meinem Fall habe ich die „RAS Verbindung“ entspricht der „UMTS Karte“ an die erste Stelle verschoben.
Wie man das macht kann man in dem Artikel „Meine LANCOM Advanced VPN Clientverbindung funktioniert nicht!“ im Supportportal auf der Lancom Seite nachlesen.
Nochmals besten Dank für eure Hilfe.
Gruss
Brauschi
Ich möchte mich bei euch für eure Hilfe bedanken. Ich habe nun mit den Tipps von euch und nach langer Suche das Problem beheben können.
Folgende Punkte habe ich gemacht:
Lancom 1721 + VPN
• konfiguriert nach den Anleitungen: „1611+ Shrew Soft Client Configuration guide“
• „Entfernte Stationen mit Proxy-ARP einbinden“ aktiviert
• „NAT Traversal“ aktiviert
Shrew VPN Client
• konfiguriert nach den Anleitungen „1611+ Gateway Configuration guide“
• „NAT Traversal“ aktiviert
Das Problem war, dass noch die Netzwerkkarte über welche die VPN Verbindung hergestellt wird, entsprechend in den „Netzwerkkarten und Bindungen“konfiguriert werden muss . In meinem Fall habe ich die „RAS Verbindung“ entspricht der „UMTS Karte“ an die erste Stelle verschoben.
Wie man das macht kann man in dem Artikel „Meine LANCOM Advanced VPN Clientverbindung funktioniert nicht!“ im Supportportal auf der Lancom Seite nachlesen.
Nochmals besten Dank für eure Hilfe.
Gruss
Brauschi