Hi,
ich sitze hier gerade vor einem LANCOM 1621 ADSL/ISDN und möchte den VPN Zugang einrichten. Ich habe mich exakt an die Anleitung gehalten, leider quittiert das Gerät meinen Verbindungsversuch mit einem Abbruch in der IKE Phase 1.
Ich teste die VPN Verbindung allerdings aus dem LAN heraus, da ich momentan keinen Rechner ausserhalb zur Verfügung habe, dass sollte doch Theoretisch klappen, oder gibt es da Probleme?
Thx im Voraus!
VPN Test mit dem Lancom Advanced VPN Client
Moderator: Lancom-Systems Moderatoren
Hi ralzun
Ach ja, du mußt das LANCOM natürlich unter seiner WAN-Adresse ansprechen...
Gruß
Backslash
das sollte funktionieren - vorausgesetzt, du sperrst nichts in der Firewall und bist nicht in dem Netz, das hinter dem Tunnel sein soll (d.h. wenn du das Intranet erreichen willst, mußt du im LANCOM ein DMZ-Netz einrichten und den Rechner, mit dem du testen willst, in die DMZ hängen...).Ich teste die VPN Verbindung allerdings aus dem LAN heraus, da ich momentan keinen Rechner ausserhalb zur Verfügung habe, dass sollte doch Theoretisch klappen, oder gibt es da Probleme?
Ach ja, du mußt das LANCOM natürlich unter seiner WAN-Adresse ansprechen...
Gruß
Backslash
Hi,
danke für die sehr schnelle Antwort! Ich habe im Laufe des Tages doch noch die Möglichkeit gehabt, einen "wirklichen" Remote Rechner zu nutzen und dort hat es auf anhieb geklappt!
Ich hätte noch eine Frage bezüglich des Klienten, kann man auch andere VPN Klienten verwenden, oder ist man auf den Lancom Klienten beschränkt?
Gruß!
danke für die sehr schnelle Antwort! Ich habe im Laufe des Tages doch noch die Möglichkeit gehabt, einen "wirklichen" Remote Rechner zu nutzen und dort hat es auf anhieb geklappt!
Ich hätte noch eine Frage bezüglich des Klienten, kann man auch andere VPN Klienten verwenden, oder ist man auf den Lancom Klienten beschränkt?
Gruß!
Hi,ralzun hat geschrieben:Hi,
Ich hätte noch eine Frage bezüglich des Klienten, kann man auch andere VPN Klienten verwenden, oder ist man auf den Lancom Klienten beschränkt?
Gruß!
man kann auch andere Clients benutzen. Bei Lancom gibts z.B. eine Anleitung für den Sentinel CLient :
http://www2.lancom.de/kb.nsf/a5ddf48173 ... nel,German
Genaue Spezifikationen und Protokolle die von Lancom unterstützt werden, findest Du auch in dem Datenblatt zur VPN Option.
Gruss
Dominik
-
Michael008
- Beiträge: 325
- Registriert: 14 Jan 2005, 18:45
- Wohnort: Stuttgart
@backslash
Warum kann er nicht aus dem Netz mit seiner WAN-IP angesprochen werden?
Bei einer PPTP-Verbindung oder FTP auf die WAN-IP geht das problemlos.
Hintergrund ist hier, das ich mich per AVC auf den Router zwar aus dem LAN verbinden kann, aber nur wenn ich die interne IP des Routers angebe.
Ich vermute mal das man hier noch etws am Routing drehen muss, aber was?
FirewallVPN-Regel?
IDS?
Gruß Michael
Was genau mag denn der AVPN-Client nicht, wenn er im gleichen Netz ist wie der VPN-Router? Oder liegt es am Router?bist nicht in dem Netz, das hinter dem Tunnel sein soll (d.h. wenn du das Intranet erreichen willst, mußt du im LANCOM ein DMZ-Netz einrichten und den Rechner, mit dem du testen willst, in die DMZ hängen...).
Ach ja, du mußt das LANCOM natürlich unter seiner WAN-Adresse ansprechen...
Warum kann er nicht aus dem Netz mit seiner WAN-IP angesprochen werden?
Bei einer PPTP-Verbindung oder FTP auf die WAN-IP geht das problemlos.
Hintergrund ist hier, das ich mich per AVC auf den Router zwar aus dem LAN verbinden kann, aber nur wenn ich die interne IP des Routers angebe.
Ich vermute mal das man hier noch etws am Routing drehen muss, aber was?
FirewallVPN-Regel?
IDS?
Gruß Michael
Hi,
warum eine VPN Verbindung aus dem Lokalen Netz über die externe IP des Routers nicht funktioniert, ist mir auch nicht ganz klar.
Liegt wohl eher speziell an diesem Produkt, als an grundsätzlichen Problemen. Das du die Verbindung mit der internen Adresse des Routers aufbauen konntest ist interessant, darauf bin ich gar nicht gekommen!
warum eine VPN Verbindung aus dem Lokalen Netz über die externe IP des Routers nicht funktioniert, ist mir auch nicht ganz klar.
Liegt wohl eher speziell an diesem Produkt, als an grundsätzlichen Problemen. Das du die Verbindung mit der internen Adresse des Routers aufbauen konntest ist interessant, darauf bin ich gar nicht gekommen!
Hi,
nur mal so fuer mich zum Verstaendnis, was macht denn eine VPN Verbindung aus dem eigenen lokalen Netz ueber die WAN Adresse des Routers zurueck in das eigene lokale Netz fuer einen Sinn?
Ciao
LoUiS
nur mal so fuer mich zum Verstaendnis, was macht denn eine VPN Verbindung aus dem eigenen lokalen Netz ueber die WAN Adresse des Routers zurueck in das eigene lokale Netz fuer einen Sinn?
Ciao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
Ganz einfach, die bösen Kollegen können nicht mithören! 
Nee, Spaß beiseite ich wollte nur die generelle VPN Verbindungsoption testen und da ich halt nur Rechner im eigenen Netz zur Verfügung hatte, musste ich es auf diesem Wege probieren.
Natürlich geht es uns primär darum VPN Verbindungen von außen zu ermöglichen.
Cu!
Nee, Spaß beiseite ich wollte nur die generelle VPN Verbindungsoption testen und da ich halt nur Rechner im eigenen Netz zur Verfügung hatte, musste ich es auf diesem Wege probieren.
Natürlich geht es uns primär darum VPN Verbindungen von außen zu ermöglichen.
Cu!
-
Michael008
- Beiträge: 325
- Registriert: 14 Jan 2005, 18:45
- Wohnort: Stuttgart
@LoUiS,
Umgebungsbeschreibung:
Ich habe einen 1811, an dem ist der DSL-Anschluss.
L-11 über Lankabel abgeschlossen macht mit einem L-2 eine 11MBit Funkbrücke mit WEP zum Nachbar. Über den L-2 sind dann meißt 2 Geräte online.
Zur Absicherung macht der L-11 (192.168.5.1)Routing über die (192.168.2.250) in das LAN, bzw. vielmehr zum 1811 (192.168.2.1). Alle restliche Kommunikation ins LAN ist per Firewall beschränkt.
BLOCKLAN macht deny für alles auf 192.168.2.2-192.168.2.255.
Soweit mal in kürze zur Konfiguration, falls ich da noch mehr erklären soll, bitte nachfragen.
Der erste Anwendungsfall
Wenn ich bei meinem Nachbarn bin kann ich folglich nicht auf mein LAN zugreifen. Da benutze ich dann die Einwahl mit AVPNClient. Nur weiß ich nicht warum ich hierzu immer die LAN IP des 1811 eingeben muss. Somit muss ich immer zwischen LAN und WAN IP wechseln.
Mit PPTP Einwahl am 1811 geht das auch mit der WAN-IP (FQDN) durch. Nur wegen der WEP-Verschlüsselung möchte ich eben eine verschlüsselte Verbindung.
Der zweite Anwendungsfall ist, dass ich lieber im LAN, als vor Ort teste, um nicht erst an der Außenstelle einen kleinen Fehler bemerken zu müssen.
Kann man am 1811 etwas einstellen, dass auch die VPN Einwahl von innerhalb des LANs über die WAN-IP(FQDN) erlaubt wird.
Bei FTP beispielsweise kann ich per WAN-IP(FQDN) aus dem LAN aus zugreifen, der 1811 kapiert dass er nicht übers DSL raus muss und leitet die Verbindung auf den FTP-Server weiter.
Gruß
Michael
gute, berechtigte Frage:nur mal so fuer mich zum Verstaendnis, was macht denn eine VPN Verbindung aus dem eigenen lokalen Netz ueber die WAN Adresse des Routers zurueck in das eigene lokale Netz fuer einen Sinn?
Umgebungsbeschreibung:
Ich habe einen 1811, an dem ist der DSL-Anschluss.
L-11 über Lankabel abgeschlossen macht mit einem L-2 eine 11MBit Funkbrücke mit WEP zum Nachbar. Über den L-2 sind dann meißt 2 Geräte online.
Zur Absicherung macht der L-11 (192.168.5.1)Routing über die (192.168.2.250) in das LAN, bzw. vielmehr zum 1811 (192.168.2.1). Alle restliche Kommunikation ins LAN ist per Firewall beschränkt.
BLOCKLAN macht deny für alles auf 192.168.2.2-192.168.2.255.
Soweit mal in kürze zur Konfiguration, falls ich da noch mehr erklären soll, bitte nachfragen.
Der erste Anwendungsfall
Wenn ich bei meinem Nachbarn bin kann ich folglich nicht auf mein LAN zugreifen. Da benutze ich dann die Einwahl mit AVPNClient. Nur weiß ich nicht warum ich hierzu immer die LAN IP des 1811 eingeben muss. Somit muss ich immer zwischen LAN und WAN IP wechseln.
Mit PPTP Einwahl am 1811 geht das auch mit der WAN-IP (FQDN) durch. Nur wegen der WEP-Verschlüsselung möchte ich eben eine verschlüsselte Verbindung.
Der zweite Anwendungsfall ist, dass ich lieber im LAN, als vor Ort teste, um nicht erst an der Außenstelle einen kleinen Fehler bemerken zu müssen.
Kann man am 1811 etwas einstellen, dass auch die VPN Einwahl von innerhalb des LANs über die WAN-IP(FQDN) erlaubt wird.
Bei FTP beispielsweise kann ich per WAN-IP(FQDN) aus dem LAN aus zugreifen, der 1811 kapiert dass er nicht übers DSL raus muss und leitet die Verbindung auf den FTP-Server weiter.
Gruß
Michael
Hi Michael008
Das Problem ist einfach, daß der Client das gar nicht aushandelt bzw. aushandeln kann:
Nehmen wir an, dein LAN hat die Adresse 192.168.0.0/24, das LANCOM hat die Adresse 192.168.0.1 und der PC mit dem Client die 192.168.0.100. Im Client ist eingetragen, daß das entfernte Netz das Netz 192.168.0.0/24 ist und die öffentliche Adresse des LANCOMs als remoter VPN-Server.
Nun hat der Client ein Problem: Er will die Verbindung zur öffentlichen Adresse aufbauen, dazu muß er die Pakete an sein Defaultgateway senden. Das ist das LANCOM mit der Adresse 192.168.0.1. Im Client ist nun aber eingetragen, daß das Netz 192.168.0.0/24 über den VPN-Tunnel zu erreichen ist - und somit auch das Gateway. Folge: es passiert gar nichts....
Wie ich bereits weiter oben erwähnt habe, funktioniert es, wenn du den PC mit dem Client in die DMZ stellt. Dazu gibst du dem LANCOM z.B. die DMZ-Adresse 172.16.1.1 (Netzmaske 255.255.255.0) und dem PC die 172.16.1.100 und natürlich als Default-Gateway die DMZ-Adresse des LANCOMs. Und schon funktioniert alles bestens:
Der Client baut auf und schickt seine Pakete an die öffentliche Adresse des LANCOMs. Diese ist über das Gateway 172.16.1.1 zu erreichen (was nun nicht mehr "hinter" dem Tunnel ist) und voila - die Verbindung steht...
Gruß
Backslash
Nein, weil es kein Problem des LANCOMs sondern des Clients ist. Es funktioniert, wenn sich der Rechner auf dem der Client läuft, in einem anderen Netz befindet, als das Netz, das über den Client erreicht werden soll.Kann man am 1811 etwas einstellen, dass auch die VPN Einwahl von innerhalb des LANs über die WAN-IP(FQDN) erlaubt wird.
Das Problem ist einfach, daß der Client das gar nicht aushandelt bzw. aushandeln kann:
Nehmen wir an, dein LAN hat die Adresse 192.168.0.0/24, das LANCOM hat die Adresse 192.168.0.1 und der PC mit dem Client die 192.168.0.100. Im Client ist eingetragen, daß das entfernte Netz das Netz 192.168.0.0/24 ist und die öffentliche Adresse des LANCOMs als remoter VPN-Server.
Nun hat der Client ein Problem: Er will die Verbindung zur öffentlichen Adresse aufbauen, dazu muß er die Pakete an sein Defaultgateway senden. Das ist das LANCOM mit der Adresse 192.168.0.1. Im Client ist nun aber eingetragen, daß das Netz 192.168.0.0/24 über den VPN-Tunnel zu erreichen ist - und somit auch das Gateway. Folge: es passiert gar nichts....
Wie ich bereits weiter oben erwähnt habe, funktioniert es, wenn du den PC mit dem Client in die DMZ stellt. Dazu gibst du dem LANCOM z.B. die DMZ-Adresse 172.16.1.1 (Netzmaske 255.255.255.0) und dem PC die 172.16.1.100 und natürlich als Default-Gateway die DMZ-Adresse des LANCOMs. Und schon funktioniert alles bestens:
Der Client baut auf und schickt seine Pakete an die öffentliche Adresse des LANCOMs. Diese ist über das Gateway 172.16.1.1 zu erreichen (was nun nicht mehr "hinter" dem Tunnel ist) und voila - die Verbindung steht...
Gruß
Backslash