VPN zu Lancom1781VA 4G mit Advanced Client funktioniertnicht

[hightower998]

Vor dem Lancom hängt eine Fritzbox hier habe ich testweise alle Ports geöffnet (Exposed Host)
Am Lancom habe ich per eine VPN Verbindung für den Advanced Client Mac eingerichtet!
Habe mein Macbook zum testen mitm iphone verbunden Hotspot (Mit Fritzbox VPN geht das) und da meldet der Client VPN Fehler

Error 4021 IKEphase1 Could not contact Gateway (No response)

Wo liegt hier der Fehler? Geht es nicht wegen dem Mobil Netz? (Wenn ich die Fritzbox interne VPN Funktion nutze geht dies allerdings übers Handy Netz!)
Habe auch schon mal die Firewall im Lancom deaktiviert brachte aber auch nix!

[Dr.Einstein]

Hallo hightower998,

der Lancom hat alles für den Rückweg hinterlegt? Am einfachsten kann man das prüfen, indem man sich via Telnet/SSH auf den Lancom einloggt und ein Ping Richtung Internet schickt.

Ansonsten bedeutet exposed Host bei der FritzBox, dass alle nicht verwendeten Ports weitergeleitet werden. Sobald ein kleiner Schnipsel VPN konfiguriert ist, egal ob aktiviert oder deaktiviert, frisst die Box die IPSec Ports. So zumindest ist meine damalige Erfahrung.

Ich denke, VPN über LTE wird funktionieren, wenn das schon mit deiner Fritte klappt, wieso dann nicht mit dem Lancom.

Gruß Dr.Einstein

[hightower998]

Hi,

Wie geht das mit Telnet,habe davon keine Ahnung,habe Mac und Windows.

Welche Ports muss ich bei der Fritzbox weiterleiten damit IPsec sicher funktioniert?
500 TCP,UDP 4500 UDP 10000 TCP und ESP?

[hightower998]

So?

[MariusP]

Hi,
Zeigt denn der VPN Client im VPN-Status trace irgendwas an?
Kannst du den VPN Router anpingen?
Gruß

[LoUiS]

So?

Kannst Du bitte Deine Screenshots in den Beitraegen so formatieren und die Groesse anpassen, dass es hier nicht die Beitraege sprengt!
Mag ja sein das Du einen Retina MAC hast, der so eine riesen Aufloesung hat, den haben aber leider nicht alle User und der groesste Teil kann dann die Beitraege nicht mehr vernuenftig lesen.


Danke
LoUiS

P.S.: Für Textausgaben muss man keinen Screenshot erstellen, da reicht einfaches "copy und paste".

[hightower998]

Hi,
Zeigt denn der VPN Client im VPN-Status trace irgendwas an?
Kannst du den VPN Router anpingen?
Gruß

Meinst du die Öffentliche Ip? Ja das geht.
Die 192.168.1.1 vom Router geht auch.
Die Fritzbox hat die 192.168.0.1 die geht auch pingen!

Was ist der VPN trace?

[MariusP]

Hi,

Was ist der VPN trace?

Warum fragt eigentlich jeder neue dem ich vorschlage sich Traces anzuschauen, was das ist anstatt sich selber die geringe Mühe zu machen sich eigenständig zu informieren?
Google ist euer Freund in dem Fall und dieser führt sich recht schnell zu den vor Lancom dazu verfassten Beitragen, welche genau für sowas verfasst wurden.
Also mal "lancom trace" und / oder "lancom vpn trace" oder ähnlichen eingeben und auf suchen drücken bitte.
Gruß

[Bernie137]

Warum fragt eigentlich jeder neue dem ich vorschlage sich Traces anzuschauen, was das ist anstatt sich selber die geringe Mühe zu machen sich eigenständig zu informieren?

Berechtigte Frage auf der einen Seite.

Aber jemand, der offenbar nicht so viel Ahnung hat von der Materie, kennt den Begriff Trace gar nicht. Und wenn man nicht weiß wie etwas heißt, kann man schlecht danach googeln.

Bernie

[hightower998]

Bei :trace + vpn-status kommt nur VPN-Status ON

[MariusP]

Hi,
Dann erreicht den Router das IKE Paket nicht oder wird nicht als solches an das VPN weitergeleitet, wobei ersteres wesentlich wahrscheinlicher ist.
Und gilt es herrauszufinden warum es dies nicht erreicht.
Du könntest einen Wireshark Trace auf dem Windows machen um zu sehen wohin das Packet genau geschickt wird.
Also die Destination IP-Adresse achten. im wireshark sind die Pakete als Typ ISAKMP zu erkennen.
Sollte dieses passen könntest du mit einem ETH Trace auf dem Lancom welches du mit "@" auf die WAN-IP-Adresse des Windows beschränkst. Sofern du von dem aus nicht das SSH aufhast(putty oder so), denn sonst tracest du wie du tracest wie du tracest dass du tracest wie du tracest, etc. Oder wie Backslash es forumlieren würde: Paketbeschleuniger

Und wenn man nicht weiß wie etwas heißt, kann man schlecht danach googeln.

Daher gab ich ja vorher das Stichwort.
Gruß

[hightower998]

Ich habe Wireahrk mal laufen lassen!
Habe 4 isakmp Pakete gefunden.

3x Identity Protection Main Mode
1x Informational
Diese gehen von meiner LTE IP zur Öffentlichen IP des VPN.

[hightower998]

Hat keiner noch ne Idee was es sein könnte?

PS: Ich habe eine Feste IPv4 und keine IPv6!

[MariusP]

Hi,

Ich habe Wireahrk mal laufen lassen!
Habe 4 isakmp Pakete gefunden.

3x Identity Protection Main Mode
1x Informational
Diese gehen von meiner LTE IP zur Öffentlichen IP des VPN.

Wenn du ISAKMP Pakete siehst im Wiresharkm, solltest du auch auf dem VPN-Status trace etwas sehen.
Wie hast du denn den Trace aufgezeichnet?

Hat keiner noch ne Idee was es sein könnte?

Ich schreibe an Wochenenden hier nicht, und andere schätze ich mal auch net.
Gruß

[hightower998]

Hi,

Einfach im Telnet trace + vpn-status eingeben.