Hallo zusammen:-)!
Ich habe folgendes Problem, wir haben den LANCOM Router 1621 im Einsatz und möchten 3 VPN Verbindungen aufbauen. Sprich, es sollen sich 3 Mitarbeiter von daheim aus in Firmennetzwerk einloggen können, über eine DSL Leitung. Am besten direkt auf ihre Rechner an denen sie hier im Betreib arbeiten.
Leider kenne ich ich mit diesem Thema nicht gut genug aus.
Wie muss ich vorgehen?
Gibt es irgendwo eine detalierte Anleitung?
Im Einsatz:
-S-DSL
-Router 1621
-Windows 2003 Server
-Clients Windows XP
-feste IP vorhanden
Ich wäre um jede Hilfe dankbar:-)
Einen ruhigen Montag wünsche ich!
VPN einrichten mit 1621 [erledigt]
Moderator: Lancom-Systems Moderatoren
VPN einrichten mit 1621 [erledigt]
Zuletzt geändert von zadmin am 22 Aug 2005, 23:24, insgesamt 1-mal geändert.
Hallo,
wo hängt es denn, eher bei der VPN-Verbindung oder dem darüber vorgesehenen Fernzugriff?
Auf dem Router wird erstmal (per Assistent) für jeden Fernbenutzer eine VPN-Gegenstelle eingerichtet. Die Gegenstellen erhalten jeweils eine IP-Adresse aus dem lokalen Netz des Routers. Nach Einwahl mit einem VPN-Client hängen die Heimnutzer dann auf IP-Ebene logisch im Unternehmens-LAN.
Der Fernzugriff kann dann im einfachen Fall mit einer Remotedesktopverbindung auf den eigenen Arbeitsrechner erfolgen.
Gruß
omd
wo hängt es denn, eher bei der VPN-Verbindung oder dem darüber vorgesehenen Fernzugriff?
Auf dem Router wird erstmal (per Assistent) für jeden Fernbenutzer eine VPN-Gegenstelle eingerichtet. Die Gegenstellen erhalten jeweils eine IP-Adresse aus dem lokalen Netz des Routers. Nach Einwahl mit einem VPN-Client hängen die Heimnutzer dann auf IP-Ebene logisch im Unternehmens-LAN.
Der Fernzugriff kann dann im einfachen Fall mit einer Remotedesktopverbindung auf den eigenen Arbeitsrechner erfolgen.
Gruß
omd
LC 1811 / LCOS 5.08
Hi,
danke erstmal für deine Antwort!
Ich habe mit dem Assistent (Lanconfig) eine VPN Gegenstellte eingerichtet,
ich beschreibe mal wie ich genau vorgegangen bin:
-Zugang bereitstellen (RAS, VPN, PCsec ...) ,ausgewählt
-VPN Verbindung über das Internet ,ausgewählt
-LANCOM Advanced VPN Client ,ausgewählt
-Name VPN, Namen gegeben
-Full Qualified User Name, eingetragen (mit dem muss ich mich am Client einloggen, right?
-Preshared Key, vergeben
-IP für lokales Netz vergeben (die muss ich auch im Client dann eintragen, right?)
-Alle IP Adressen für den VPN Client erlauben, ,ausgewählt
-NET Bios über IP Routing aktiviert (??)
Das ist doch soweit i.o. oder? Kann ich statt den LANCOM Client das auch einfach über Windows realisieren? Wäre natürlich besser...!
lg
edit:
wenn ich mich so versuche über einen außenstehenden PC per VPN zu verbinden, bekomme ich immer die Fehlermeldung das Userdaten nicht stimmen, Fehler 691 (WIN).
Eingerichtet hatte ich an dem PC, Netzwerkverbindungen, VPN, ...
Ich weis nict was ich falsch mache?!
danke erstmal für deine Antwort!
Ich habe mit dem Assistent (Lanconfig) eine VPN Gegenstellte eingerichtet,
ich beschreibe mal wie ich genau vorgegangen bin:
-Zugang bereitstellen (RAS, VPN, PCsec ...) ,ausgewählt
-VPN Verbindung über das Internet ,ausgewählt
-LANCOM Advanced VPN Client ,ausgewählt
-Name VPN, Namen gegeben
-Full Qualified User Name, eingetragen (mit dem muss ich mich am Client einloggen, right?
-Preshared Key, vergeben
-IP für lokales Netz vergeben (die muss ich auch im Client dann eintragen, right?)
-Alle IP Adressen für den VPN Client erlauben, ,ausgewählt
-NET Bios über IP Routing aktiviert (??)
Das ist doch soweit i.o. oder? Kann ich statt den LANCOM Client das auch einfach über Windows realisieren? Wäre natürlich besser...!
lg
edit:
wenn ich mich so versuche über einen außenstehenden PC per VPN zu verbinden, bekomme ich immer die Fehlermeldung das Userdaten nicht stimmen, Fehler 691 (WIN).
Eingerichtet hatte ich an dem PC, Netzwerkverbindungen, VPN, ...
Ich weis nict was ich falsch mache?!
Hallo,
>-Full Qualified User Name, eingetragen (mit dem muss ich mich am Client einloggen, right?
Jepp.
>-IP für lokales Netz vergeben (die muss ich auch im Client dann eintragen, right?)
Jepp. Kann man mit Advanced Client aber glaube auch automatisch über IKE-Config(?) konfigurieren lassen, muss aber nicht.
>-Alle IP Adressen für den VPN Client erlauben, ,ausgewählt
Falls auf Unternehmensseite alle Rechner im gleichen Netzwerk sind, wäre es evtl. zweckmässig, erstmal nur dieses anzugeben. (Weiß nicht, was clientseitig mit der Internetverbindung/default route passiert, wenn der gesamte Verkehr über das VPN laufen soll.) Wichtig ist aber, dass es im Client genauso angegeben wird, sonst scheitert beim Verbindungsversuch glaube das Aushandeln einer Security Association.
>-NET Bios über IP Routing aktiviert (??)
Falls das Windows Netzwerk (d.h. Freigaben) über das VPN verwendet werden soll, ist dies wohl angezeigt, um die Broadcasts zu behandeln und weiterzuleiten. Hab' es bisher noch nicht probiert.
>Das ist doch soweit i.o. oder? Kann ich statt den LANCOM Client das auch einfach über Windows realisieren? Wäre natürlich besser...!
Mit Windows -- vermutlich geht es IRGENDWIE (im Forum ist eine Konfigurationsanleitung für Windows 2000 hinterlegt). Zum Einstieg macht man sich damit aber bestimmt keinen Gefallen.
Die Demo-Version des Advanced Client ist da angemessener, man kann dort den Verbindungsstatus auch gut nachvollziehen.
Falls Du eine DENY-ALL Firewallregel verwendest wäre noch darauf zu achten, den Datenverkehr zwischen VPN-Gegenstelle und LAN freizugeben. Der Assistent legt dafür keine Regel an, sondern erstmal nur eine VPN-Regel (Häkchen an anderer Stelle im Firewall-Dialog).
Hast Du schon getestet, ob die VPN-Verbindung zustande kommt? Unverzichtbar sind Client-Log bzw. VPN-Trace auf der Router-Konsole. Bei mir lag der "Teufel im Detail" und es hat ewig gedauert, bis das VPN lief.
Gruß
omd
>-Full Qualified User Name, eingetragen (mit dem muss ich mich am Client einloggen, right?
Jepp.
>-IP für lokales Netz vergeben (die muss ich auch im Client dann eintragen, right?)
Jepp. Kann man mit Advanced Client aber glaube auch automatisch über IKE-Config(?) konfigurieren lassen, muss aber nicht.
>-Alle IP Adressen für den VPN Client erlauben, ,ausgewählt
Falls auf Unternehmensseite alle Rechner im gleichen Netzwerk sind, wäre es evtl. zweckmässig, erstmal nur dieses anzugeben. (Weiß nicht, was clientseitig mit der Internetverbindung/default route passiert, wenn der gesamte Verkehr über das VPN laufen soll.) Wichtig ist aber, dass es im Client genauso angegeben wird, sonst scheitert beim Verbindungsversuch glaube das Aushandeln einer Security Association.
>-NET Bios über IP Routing aktiviert (??)
Falls das Windows Netzwerk (d.h. Freigaben) über das VPN verwendet werden soll, ist dies wohl angezeigt, um die Broadcasts zu behandeln und weiterzuleiten. Hab' es bisher noch nicht probiert.
>Das ist doch soweit i.o. oder? Kann ich statt den LANCOM Client das auch einfach über Windows realisieren? Wäre natürlich besser...!
Mit Windows -- vermutlich geht es IRGENDWIE (im Forum ist eine Konfigurationsanleitung für Windows 2000 hinterlegt). Zum Einstieg macht man sich damit aber bestimmt keinen Gefallen.
Die Demo-Version des Advanced Client ist da angemessener, man kann dort den Verbindungsstatus auch gut nachvollziehen.Falls Du eine DENY-ALL Firewallregel verwendest wäre noch darauf zu achten, den Datenverkehr zwischen VPN-Gegenstelle und LAN freizugeben. Der Assistent legt dafür keine Regel an, sondern erstmal nur eine VPN-Regel (Häkchen an anderer Stelle im Firewall-Dialog).
Hast Du schon getestet, ob die VPN-Verbindung zustande kommt? Unverzichtbar sind Client-Log bzw. VPN-Trace auf der Router-Konsole. Bei mir lag der "Teufel im Detail" und es hat ewig gedauert, bis das VPN lief.
Gruß
omd
LC 1811 / LCOS 5.08
omd hat geschrieben:Hallo,
>-Full Qualified User Name, eingetragen (mit dem muss ich mich am Client einloggen, right?
Jepp.
-> ok
>-IP für lokales Netz vergeben (die muss ich auch im Client dann eintragen, right?)
Jepp. Kann man mit Advanced Client aber glaube auch automatisch über IKE-Config(?) konfigurieren lassen, muss aber nicht.
-> ok, da probier ich mal rum
>-Alle IP Adressen für den VPN Client erlauben, ,ausgewählt
Falls auf Unternehmensseite alle Rechner im gleichen Netzwerk sind, wäre es evtl. zweckmässig, erstmal nur dieses anzugeben. (Weiß nicht, was clientseitig mit der Internetverbindung/default route passiert, wenn der gesamte Verkehr über das VPN laufen soll.) Wichtig ist aber, dass es im Client genauso angegeben wird, sonst scheitert beim Verbindungsversuch glaube das Aushandeln einer Security Association.
-> das sollte so passen
>-NET Bios über IP Routing aktiviert (??)
Falls das Windows Netzwerk (d.h. Freigaben) über das VPN verwendet werden soll, ist dies wohl angezeigt, um die Broadcasts zu behandeln und weiterzuleiten. Hab' es bisher noch nicht probiert.
-> ok
>Das ist doch soweit i.o. oder? Kann ich statt den LANCOM Client das auch einfach über Windows realisieren? Wäre natürlich besser...!
Mit Windows -- vermutlich geht es IRGENDWIE (im Forum ist eine Konfigurationsanleitung für Windows 2000 hinterlegt). Zum Einstieg macht man sich damit aber bestimmt keinen Gefallen.
->ok, dann mach ichs mal mit dem Client;)
Falls Du eine DENY-ALL Firewallregel verwendest wäre noch darauf zu achten, den Datenverkehr zwischen VPN-Gegenstelle und LAN freizugeben. Der Assistent legt dafür keine Regel an, sondern erstmal nur eine VPN-Regel (Häkchen an anderer Stelle im Firewall-Dialog).
Hast Du schon getestet, ob die VPN-Verbindung zustande kommt? Unverzichtbar sind Client-Log bzw. VPN-Trace auf der Router-Konsole. Bei mir lag der "Teufel im Detail" und es hat ewig gedauert, bis das VPN lief.
Gruß
omd
Hm, soweit sollte das ganze jetzt eigtl. passen, das passwort is dann der Preshared Key oder muss ich das wo anders noch festlegen, denn komme einfach nicht drauf :-/
Wobei tritt dieser Fehler genau auf?zadmin hat geschrieben: edit:
wenn ich mich so versuche über einen außenstehenden PC per VPN zu verbinden, bekomme ich immer die Fehlermeldung das Userdaten nicht stimmen, Fehler 691 (WIN).
Eingerichtet hatte ich an dem PC, Netzwerkverbindungen, VPN, ...
Ich weis nict was ich falsch mache?!
LC 1811 / LCOS 5.08
Im LANCOM Advanced Client?
Die Meldung kenne ich nicht, habe gerade auch keinen Advanced Client zur Hand. Würde aber unbedingt mal ein Log vom Adv. Client und dem Router selbst ausgeben lassen, das sollte aufschlussreicher sein.
EDIT:
Zum Passwort - das Geheimnis ist der Presharedkey. Denke aber doch, dass der im Advanced Client auch als PSK abgefragt wird und nicht unter der Bezeichnung "Passwort".
Die Meldung kenne ich nicht, habe gerade auch keinen Advanced Client zur Hand. Würde aber unbedingt mal ein Log vom Adv. Client und dem Router selbst ausgeben lassen, das sollte aufschlussreicher sein.
EDIT:
Zum Passwort - das Geheimnis ist der Presharedkey. Denke aber doch, dass der im Advanced Client auch als PSK abgefragt wird und nicht unter der Bezeichnung "Passwort".
LC 1811 / LCOS 5.08
das war mit Windoof...
Hier die Konfiguration des LANCOM Clients:
-Verbindung zum Firmennetzwerk über IPsec
-Profilnamen vergeben
-Dann kommt Verbindungsart, da bin ich mir jetzt nicht sicher was ich nehmen soll, a)LAN over IP oder b) DSL PPPoE ...der Rechner besitzt ja ne eigene DSL Leitung...also eigtl. LAN oder?
Hier die Konfiguration des LANCOM Clients:
-Verbindung zum Firmennetzwerk über IPsec
-Profilnamen vergeben
-Dann kommt Verbindungsart, da bin ich mir jetzt nicht sicher was ich nehmen soll, a)LAN over IP oder b) DSL PPPoE ...der Rechner besitzt ja ne eigene DSL Leitung...also eigtl. LAN oder?
Hier die Konfiguration des LANCOM Clients:
-Verbindung zum Firmennetzwerk über IPsec
-Profilnamen vergeben
-Verbindungsart, LAN over IP
-Gateway ist die IP nach außen, gell?
-dann kommt exchange Modus, Aggresive oder Main?
-PFS Gruppe: DH 1024
-shared key, da kommt dann der Preshared Key rein den ich im router eingetragen habe, right?
-Lokale Identität?
-IP Adresse manuel vergeben, die die ich vorher im Router eingebebn habe oder?
aber geht so nix, hier der LOG:
22.08.2005 16:42:46 Protecting RAS adapter - 0
22.08.2005 16:42:48 IPSDIALCHAN::start building connection
22.08.2005 16:42:48 NCPIKE-phase1:name(name) - outgoing connect request - aggressive mode.
22.08.2005 16:42:48 XMIT_MSG1_AGGRESSIVE - name
22.08.2005 16:42:48 NCPIKE-phase1:name() - incoming connect request.
22.08.2005 16:42:48 RECV_MSG1_AGGRESSIVE -
22.08.2005 16:42:48 NCPIKE-phase1:name() - error - ATTRIBUTES_NOT_SUPPORTED
22.08.2005 16:43:06 NCPIKE-phase1:name(name) - error - retry timeout - max retries
22.08.2005 16:43:06 NCPIKE-phase2:name(name) - error - cleared by phase1
22.08.2005 16:43:06 IPSDIAL - disconnected from name on channel 1.
-Verbindung zum Firmennetzwerk über IPsec
-Profilnamen vergeben
-Verbindungsart, LAN over IP
-Gateway ist die IP nach außen, gell?
-dann kommt exchange Modus, Aggresive oder Main?
-PFS Gruppe: DH 1024
-shared key, da kommt dann der Preshared Key rein den ich im router eingetragen habe, right?
-Lokale Identität?
-IP Adresse manuel vergeben, die die ich vorher im Router eingebebn habe oder?
aber geht so nix, hier der LOG:
22.08.2005 16:42:46 Protecting RAS adapter - 0
22.08.2005 16:42:48 IPSDIALCHAN::start building connection
22.08.2005 16:42:48 NCPIKE-phase1:name(name) - outgoing connect request - aggressive mode.
22.08.2005 16:42:48 XMIT_MSG1_AGGRESSIVE - name
22.08.2005 16:42:48 NCPIKE-phase1:name() - incoming connect request.
22.08.2005 16:42:48 RECV_MSG1_AGGRESSIVE -
22.08.2005 16:42:48 NCPIKE-phase1:name() - error - ATTRIBUTES_NOT_SUPPORTED
22.08.2005 16:43:06 NCPIKE-phase1:name(name) - error - retry timeout - max retries
22.08.2005 16:43:06 NCPIKE-phase2:name(name) - error - cleared by phase1
22.08.2005 16:43:06 IPSDIAL - disconnected from name on channel 1.
>-Gateway ist die IP nach außen, gell?
Jepp, die öffentliche IP des Routers, scheint zu stimmen.
>-dann kommt exchange Modus, Aggresive oder Main?
Für PSK richtet der Assistent wohl den Aggressive Mode ein, sollte auch stimmen.
>-shared key, da kommt dann der Preshared Key rein den ich im router eingetragen habe, right?
Vermutlich
>-Lokale Identität?
s.u.
>-IP Adresse manuel vergeben, die die ich vorher im Router eingebebn habe oder?
Jo, oder als IKE-Config Client
>22.08.2005 16:42:48 NCPIKE-phase1:name() - error - >ATTRIBUTES_NOT_SUPPORTED
>22.08.2005 16:43:06 NCPIKE-phase1:name(name) - error - retry timeout - max retries
Ich vermute, dass Deine im Client konfigurierte Identität nicht stimmt. Hast Du als Typ E-Mail-Adresse bzw. Full Qualified irgendwas ausgewählt?
Jepp, die öffentliche IP des Routers, scheint zu stimmen.
>-dann kommt exchange Modus, Aggresive oder Main?
Für PSK richtet der Assistent wohl den Aggressive Mode ein, sollte auch stimmen.
>-shared key, da kommt dann der Preshared Key rein den ich im router eingetragen habe, right?
Vermutlich
>-Lokale Identität?
s.u.
>-IP Adresse manuel vergeben, die die ich vorher im Router eingebebn habe oder?
Jo, oder als IKE-Config Client
>22.08.2005 16:42:48 NCPIKE-phase1:name() - error - >ATTRIBUTES_NOT_SUPPORTED
>22.08.2005 16:43:06 NCPIKE-phase1:name(name) - error - retry timeout - max retries
Ich vermute, dass Deine im Client konfigurierte Identität nicht stimmt. Hast Du als Typ E-Mail-Adresse bzw. Full Qualified irgendwas ausgewählt?
LC 1811 / LCOS 5.08
