Hallo Forum,
Für einen Kunden möchte ich eine VPN-Verbindung aufbauen, als solches kein Problem. Jedoch ist der Lancom Router auf der WAN-Seite mit einem VLAN verbunden.
ext. öffentliche IP -> VLAN (172.16.1.x) -> WAN -> LAN (172.16.2.x)
Ich kann über diese Verbindung den Router konfigurieren, jedoch bekomme ich keine VPN-Verbindung zu Stande.
Was muss bei dieser Gegebenheit beachtet werden?
Danke im Vorraus für eure Unterstützung
Martin
VPN Verbindung über VLAN
Moderator: Lancom-Systems Moderatoren
VPN Verbindung über VLAN
Bitte nicht verwechseln mit BackSlash, der weiss viel mehr als ich ...
Hi baxlash
Für VPN müssen die UDP-Ports 500 und 4500 an das LANCOM weitergereicht wernden. Im LANCOM selbst mußt du zusätzlich NAT-Traversal aktivieren (unter VPN -> Allgemein)...
Gruß
Backslash
Daß du den den Router über diese Strecke konfigurieren, sprich mit LANconfig, WEBconfig oder Telnet erreichen, kannst, heißt noch lange nicht, daß du einen Tunnel dahin aufbauen kannst, denn vor dem LANCOM steht ja noch ein Router der NAT macht (172.16.1.x ist schließlich eine private Adresse). Daher müssen in dem Router auch passende Portforwardings eingerichtet werden:Ich kann über diese Verbindung den Router konfigurieren, jedoch bekomme ich keine VPN-Verbindung zu Stande.
Für VPN müssen die UDP-Ports 500 und 4500 an das LANCOM weitergereicht wernden. Im LANCOM selbst mußt du zusätzlich NAT-Traversal aktivieren (unter VPN -> Allgemein)...
Das VPN weiss nichts davon, ob im LAN bzw. hier auf dem WAN ein VLAN existiert. Daher ist aus dieser Sicht nichts zu beachten. Es gibt natürlich weiterhin die üblichen Fallstricke der VPN-Konfiguration: Main-Mode/Aggressive-Mode, preshared Key, Verschlüssellungs- und Hash-Algorhitmen, Netzbeziehungen, etc.Was muss bei dieser Gegebenheit beachtet werden?
Gruß
Backslash
Hallo Backslash,
erstmal vielen Dank für die Antwort.
NAT-Traversal habe ich eingeschaltet, hat leider noch nicht den gewünschten Erfolg gebracht.
Mit dem Administrator im entfernten Haus habe ich auch schon gesprochen, jedoch ist er der festen Meinung, dass dort keine Firewall aktiviert ist.
Somit werden alle Ports von der öffentlichen IP durch das VLAN (mit privater IP)
auf unseren Lancom 1711 weitergeleitet werden.
Ich habe schon ne Menge VPN-Zugänge mit Lancom Routern realisiert.
Das ist das 1. Mal dass ich auf solche Probleme treffe.
Den Zugang habe ich, wie sonst auch, mit dem Assistenten angelegt.
Hast Du noch eine Idee dazu?
Das einzige was mir noch einfällt, die gesamte Router Konfiguration zu löschen und nochmal ganz von vorn anfangen.
Gruss Martin
erstmal vielen Dank für die Antwort.
NAT-Traversal habe ich eingeschaltet, hat leider noch nicht den gewünschten Erfolg gebracht.
Mit dem Administrator im entfernten Haus habe ich auch schon gesprochen, jedoch ist er der festen Meinung, dass dort keine Firewall aktiviert ist.
Somit werden alle Ports von der öffentlichen IP durch das VLAN (mit privater IP)
auf unseren Lancom 1711 weitergeleitet werden.
Ich habe schon ne Menge VPN-Zugänge mit Lancom Routern realisiert.
Das ist das 1. Mal dass ich auf solche Probleme treffe.
Den Zugang habe ich, wie sonst auch, mit dem Assistenten angelegt.
Hast Du noch eine Idee dazu?
Das einzige was mir noch einfällt, die gesamte Router Konfiguration zu löschen und nochmal ganz von vorn anfangen.
Gruss Martin
Bitte nicht verwechseln mit BackSlash, der weiss viel mehr als ich ...
Stand der Dinge: es läuft noch immer nicht.
Selbst wenn ich von dem Router im VLAN eine Verbindung zu einem anderen Router aufbauen will, gelingt das nicht.
Ich glaube dass in der Konfiguratuion des VLAN, also irgendwo zwischen der öffentlichen IP-Adresse und unserem Lancom ein Knoten ist, welche die entsprechenden Paket nicht weiterleitet.
MIST!
Die externe IP direkt auf den Lancom zu legen ist dort auch nicht möglich.
Das einzige was scheinbar im Hause geht ist VPN ohne "schnick-schnack" über Port 1723 (Microsoft etc.).
Gibt es die Möglichkeit zwei Lancom Router nur über diesen Port zu verbinden?
Ja ich weiss, das ist nicht die sicherste Verbindung ... aber irgendwie muss ich das hinbekommen.
immernoch danke.
Martin
Selbst wenn ich von dem Router im VLAN eine Verbindung zu einem anderen Router aufbauen will, gelingt das nicht.
Ich glaube dass in der Konfiguratuion des VLAN, also irgendwo zwischen der öffentlichen IP-Adresse und unserem Lancom ein Knoten ist, welche die entsprechenden Paket nicht weiterleitet.
MIST!
Die externe IP direkt auf den Lancom zu legen ist dort auch nicht möglich.
Das einzige was scheinbar im Hause geht ist VPN ohne "schnick-schnack" über Port 1723 (Microsoft etc.).
Gibt es die Möglichkeit zwei Lancom Router nur über diesen Port zu verbinden?
Ja ich weiss, das ist nicht die sicherste Verbindung ... aber irgendwie muss ich das hinbekommen.
immernoch danke.
Martin
Bitte nicht verwechseln mit BackSlash, der weiss viel mehr als ich ...
Hallo baxlash,
1723 wäre PPTP, das kann ein Lancom aber:
Dann hier:
http://www2.lancom.de/kb.nsf/0/1f3a4eb3 ... enDocument
Mal eine andere Frage:
Ist denn eine Datenübertragung über die UDP-Ports 500 und 4500 wirklich nicht möglich? Also ich meine jetzt kein IPSEC über NAT-T sondern einfach nur irgendeine ggf. "verbogene" Datenübertragung.
Das solltest Du erst einmal prüfen, dann kann man ggf. der nicht existenten Firewall auf die Finger hauen.
Gruß Fully
1723 wäre PPTP, das kann ein Lancom aber:
nun ja, es ist beim Lancom halt ohne Verschlüsselung, will man das?das ist nicht die sicherste Verbindung
Dann hier:
http://www2.lancom.de/kb.nsf/0/1f3a4eb3 ... enDocument
Mal eine andere Frage:
Ist denn eine Datenübertragung über die UDP-Ports 500 und 4500 wirklich nicht möglich? Also ich meine jetzt kein IPSEC über NAT-T sondern einfach nur irgendeine ggf. "verbogene" Datenübertragung.
Das solltest Du erst einmal prüfen, dann kann man ggf. der nicht existenten Firewall auf die Finger hauen.
Gruß Fully
Und die Tage ziehen ins Land ...
Problem ist leider noch immer nicht gelöst.
per TCP kann ich die Ports 500 und 4500 erreichen, UDP habe ich noch nicht
probiert.
Die Techniker in der entfernten Stelle sind erstmal dran.
Vielleicht noch der Hinweis, extern ist das Haus in der Ferne mit Versatel an das Internet angebunden, intern hat Siemens die Hände im Spiel.
Was ich jetzt nochmal getestet habe, auf einem PC hinter unserem Lancom im entfernten Netz ein Adv. VPN Client installiert und eine Verbindung mit einer anderen Gegenstelle aufzubauen.
Verbindung geht, aber kein Routing, sprich ich kann Stationen weder erreichen noch anpingen.
Gruss Martin
Problem ist leider noch immer nicht gelöst.
per TCP kann ich die Ports 500 und 4500 erreichen, UDP habe ich noch nicht
probiert.
Die Techniker in der entfernten Stelle sind erstmal dran.
Vielleicht noch der Hinweis, extern ist das Haus in der Ferne mit Versatel an das Internet angebunden, intern hat Siemens die Hände im Spiel.
Was ich jetzt nochmal getestet habe, auf einem PC hinter unserem Lancom im entfernten Netz ein Adv. VPN Client installiert und eine Verbindung mit einer anderen Gegenstelle aufzubauen.
Verbindung geht, aber kein Routing, sprich ich kann Stationen weder erreichen noch anpingen.
Gruss Martin
Bitte nicht verwechseln mit BackSlash, der weiss viel mehr als ich ...
Hallo Fully,
Selbstverständlich möchte ich eine gesicherte Verbindung, sonst könnte ich ja auch einen Wald- und Wiesen Router einsetzten mit OpenVPN.
Leider mahlen die Mühlen in der Ferne etwas langsamer.
Ich warte noch auf einen Rückruf der Techniker dort.
Sollte das alles nicht klappen, werden wir uns wohl einen eigenen DSL-Anschluss dort hinlegen lassen.
Danke für Deine Antwort.
Martin
Selbstverständlich möchte ich eine gesicherte Verbindung, sonst könnte ich ja auch einen Wald- und Wiesen Router einsetzten mit OpenVPN.
Leider mahlen die Mühlen in der Ferne etwas langsamer.
Ich warte noch auf einen Rückruf der Techniker dort.
Sollte das alles nicht klappen, werden wir uns wohl einen eigenen DSL-Anschluss dort hinlegen lassen.
Danke für Deine Antwort.
Martin
Bitte nicht verwechseln mit BackSlash, der weiss viel mehr als ich ...