1und1-DSL, pap-nak und anderes ...

[pal]

Hallo Leute,

ich habe seit letzter Woche, zusätzlich zum CompanyConnect, einen 1und1-Komplettanschluss. Die Geschwindigkeit von dem ist eher mau (3456kb/430kb) aber das ist eine andere Geschichte.
Auf jeden Fall will ich, dass sich mein Lancom 1711 über den LAN-2 Port, mit der FritzBox also Modem, zu 1und1 verbindet. Die FritzBox kann sich brav verbinden, wenn man diese als Router einstellt. Das Lancom bringt allerdings immer einen pap-nak Fehler - also falscher User oder Passwort. Hab ich hier im Forum ja auch schon gesehen, allerdings hab ich keine Lösung gesehen. Ausprobiert hab ich alles mögliche: Über den Assistenten eingerichtet, mit 'D' vorm '1und1/xxxxxx@online.de', ohne pre- oder postfix, das Ergebnis ist immer das Gleiche. Der Support bei 1und1 hat behauptet, dass die richtigen Daten für die Anmeldung ankommen, aber Sie nur Support für die Fritzbox geben und mir daher nicht weiter helfen könnten.
Die Anmeldedaten funktionieren bei der FritzBox auch einwandfrei - nur eben mit dem Lancom nicht . Ich hoffe jemand weiß was dazu.

Einen ganz anderen Punkt bei dem ich Hilfe bräuchte hab ich auch noch. Und zwar kann man ja seinen Netzwerken Tags vergeben, damit man das Routing besser steuern kann. Also Intranet1 Tag 1 zuweißen und dann in den Routing-Regeln angeben, dass dieses Netz über die 1und1 Verbindung ins Internet gelangt. Allerdings kann ich dann wenn ich noch ein Intranet2 hab auf dieses vom Intranet1 nicht mehr zugreifen. Ich dachte ich könnte dann eine Route für Tag1 Netze zum Intranet2 einrichten. Maskieren könnte ich dann auch gleich noch (wär mir eh recht). Funktioniert aber irgendwie nicht. Muss ich etwa das dann in den Firewall-Regeln und den Netzwerktag dort angeben?

Zu den Netzwerktags les ich einfach nochmal - da lässt sich ja sicher auch was finden.
Die andere Sache mit dem 1und1 ist mir eigentlich wichtiger.
Vielen Dank schonmal fürs lesen und die Antoworten (hoffentlich).

Gruß,
Johannes

[backslash]

Hi pal,

Die Anmeldedaten funktionieren bei der FritzBox auch einwandfrei - nur eben mit dem Lancom nicht . Ich hoffe jemand weiß was dazu.

Ein PAP-NAK wird vom Provider auch gesendet, wenn du mit der Kennung bereits eingewählt bist. Mach mal einen PPP-Trace (per Telnet auf das Gerät gehen und trace # ppp eingeben) und schau dir die "embedded Message" im PAP-NAK an. Ggf. ist die Fritzbox immer noch eingewählt, obwohl du sie in den Bridgebetrieb geschaltet hast.

Einen ganz anderen Punkt bei dem ich Hilfe bräuchte hab ich auch noch. Und zwar kann man ja seinen Netzwerken Tags vergeben, damit man das Routing besser steuern kann. Also Intranet1 Tag 1 zuweißen und dann in den Routing-Regeln angeben, dass dieses Netz über die 1und1 Verbindung ins Internet gelangt. Allerdings kann ich dann wenn ich noch ein Intranet2 hab auf dieses vom Intranet1 nicht mehr zugreifen. Ich dachte ich könnte dann eine Route für Tag1 Netze zum Intranet2 einrichten. Maskieren könnte ich dann auch gleich noch (wär mir eh recht). Funktioniert aber irgendwie nicht. Muss ich etwa das dann in den Firewall-Regeln und den Netzwerktag dort angeben?

ARF-Netze mit unterschiedlichen Tags sind erstmal untereinander unsichtbar (das ist ja der Sinn des Tagging). Du kannst die Sichtbarkeit über die Firewall erzwingen, indem du bei Verbindungen von Netz 1 nach Netz 2 die Verwendung des Tags von Netz 2 vorgibst - und umgekehrt:

Code: Alles auswählen

Aktion:  übertragen
Quelle:  lokales Netz INTRANET1
Ziel:    lokales Netz INTRANET2
Dienste: alle Dienste
Rtg-Tag: Tag von INTRANET2

Das kannst du natürlich auch auf bestimmte Adressen oder Dienste einschränken.

Eine Maskierung hingegen ist auf dem LAN nicht möglich und normalerweise auch nicht gewollt, denn was hilft es dir, wenn in einem Serverlog bei einem Zugriff aus Intranet2 die Adresse des LANCOMs in Intranet1 steht...

Gruß
Backslash

[pal]

Hey backslash. Vielen Danke für Deine Antwort.

Einen ppp trace hab ich auch schonmal gemacht, da ich irgendwo auch schon gelesen hab, dass man das machen soll. An was ich mich noch erinnern kann, war dass 'authentication failed' da stand bevor die Verbindung getrennt wurde. Ich werde nachher nochmal genau nach sehen.

Zu dem anderen Punkt. Ich hab mir schon gedacht, dass ich das über die Firewall Regeln regeln muss. Werd ich dann wohl so machen. Maskierung würde in meinem Fall jedoch tatsächlich Sinn machen glaub ich. Die Rechner im zweiten Netz stellen nämlich VPN-Verbindungen her und wenn diese aktiv sind werden die Routen dieser Rechner verstellt. Wenn man nun per RemoteDesktop auf einen solchen Rechner zugreifen will kann es sein, dass keine Rückroute mehr vorhanden ist und diese somit manuell für jeden Rechner einmal eingetragen werden muss. Eine Maskierung würde das dann ja lösen. Aber eigentlich nicht so wild ... trag ich halt bei den VPN-Rechnern immer die Rückrouten ein und gut ists.

Gruß,
Johannes

[pal]

Die FritzBox hatte tatsächlich weiterhin eine aktive DSL-Verbindung, obwohl es anders eingestellt war. Nun hat die FritzBox selbst keine Verbindung mehr aktiv, aber es geht trotzdem nicht.


Ich hab hier mal einen PPP-Trace:

Code: Alles auswählen

[PPP] 2008/08/25 21:33:24,390

Received PADO frame from peer 00:1a:4f:51:d3:91 for session 0000
Service: (any), accepted
Host-ID: 6e 5b 59 ee 37 2d ac f7, accepted
AC-Name: MUNC03-10k, accepted
Cookie:  41 f6 8d c3 bf 0c 93 55 1f ef 15 9e 2d 77 36 5f, accepted

[PPP] 2008/08/25 21:33:24,390

Transmit PADR frame to peer 00:1a:4f:51:d3:91 for session 0000
Service: (any)
Host-ID: 6e 5b 59 ee 37 2d ac f7
Cookie:  41 f6 8d c3 bf 0c 93 55 1f ef 15 9e 2d 77 36 5f

[PPP] 2008/08/25 21:33:24,430

Received PADS frame from peer 00:1a:4f:51:d3:91 for session 6e92
Service: (any), accepted
Host-ID: 6e 5b 59 ee 37 2d ac f7, accepted
Cookie:  41 f6 8d c3 bf 0c 93 55 1f ef 15 9e 2d 77 36 5f, accepted

[PPP] 2008/08/25 21:33:24,430
Change phase to ESTABLISH
Lower-Layer-Up event for LCP
Initializing LCP restart timer to 3000 milliseconds
Waiting up to 200ms for connection
Starting LCP restart timer with 200 milliseconds

[PPP] 2008/08/25 21:33:24,630
Positive Restart-Timeout event for LCP
Stop waiting for connection
Initializing LCP restart timer to 3000 milliseconds
Generating LCP configure-request for peer 1UND1
Inserting local MRU 1492
Inserting local magic number f62e555b
Sending LCP configure-request with ID 00 and length 14 to peer 1UND1 (channel 2)
Starting LCP restart timer with 3000 milliseconds

[PPP] 2008/08/25 21:33:24,670

Received LCP frame from peer 1UND1 (channel 2)
Evaluate configure-request with ID 01 and size 18
Peer MRU 1492 accepted
Peer requests authentication protocol PAP, accepted
Peer magic number f3ada19a accepted
Positive Configure-Request-Received event for LCP
Sending LCP configure-ack with ID 01 and length 20 to peer 1UND1 (channel 2)

[PPP] 2008/08/25 21:33:24,670

Received LCP frame from peer 1UND1 (channel 2)
Evaluate configure-ack with ID 00 and size 14
Configure-Ack-Received event for LCP
Initializing LCP restart timer to 3000 milliseconds
This-Layer-Up action for LCP
Change phase to AUTHENTICATE
Generating PAP-request for peer 1UND1
Resolved peer as 1UND1 in PPP table

Sending PAP-request with ID 62, size 40 and peer-id 1und1/xxxxxx-xxx@online.de to peer 1UND1 (channel 2)
Stopping LCP restart timer

[PPP] 2008/08/25 21:33:24,750

Received PAP frame from peer 1UND1 (channel 2)
Evaluate PAP nak with ID 62 and size 26
Embedded message: Authentication failed
Administrativ-Close event for LCP
This-Layer-Down action for LCP
Lower-Layer-Down event for BACP
Lower-Layer-Down event for CCP
Lower-Layer-Down event for IPCP
Lower-Layer-Down event for IPXCP
Initializing LCP restart timer to 3000 milliseconds
Change phase to TERMINATE
Sending LCP terminate-request with ID 02 and length 4 to peer 1UND1 (channel 2)
Starting LCP restart timer with 3000 milliseconds

[PPP] 2008/08/25 21:33:24,750

Received LCP frame from peer 1UND1 (channel 2)
Terminate-Request-Received event for LCP
Sending LCP terminate-ack with ID 02 and length 4 to peer 1UND1 (channel 2)

[PPP] 2008/08/25 21:33:24,790

Received LCP frame from peer 1UND1 (channel 2)
Terminate-Ack-Received event for LCP
Stopping LCP restart timer
This-Layer-Finish action for LCP
Disconnecting because LCP was finished

[PPP] 2008/08/25 21:33:24,790
Change phase to DEAD
Stopping LCP restart timer
Stopping IPXCP restart timer
Stopping IPCP restart timer
Stopping CCP restart timer
Stopping BACP restart timer

[pal]

Irgendwie komm ich nicht weiter.
Ich wollte jetzt die FritzBox als Router hernehmen, da sich das LANCOM partout nicht einwählen will (pap-nak was immer ich auch versuch). Abgesehen davon, dass die FritzBox als Router eine etwas unschöne Lösung (SPI muss ja dann auch die FritzBox machen), funktionierts auch einfach nicht. Ich glaub die FritzBox routet nur aus dem eigenen Adressbereich ins Internet. Anders kann ich mir nicht erklären, dass ich keine Verbindung bekomme. Die LANCOM-Firewall ist auf jeden Fall ruhig.

Nun ist halt die Frage, was mach ich nun? Ich hab jetzt mindestens 2 Jahre DSL bei 1und1 und kanns nicht nutzen ... das ist doch ... doof! ( h e l p )

Gruß,
Johannes

[REPTILE]

ein DSL modem kaufen ?

[pal]

Meinst du das hilft? Die FritzBox synchronisiert ja eigentlich richtig.
Aber versuchen kann ichs mal und dann rühr ich mich wieder.

[pal]

Also ... ich hab jetzt wieder ein bisschen rumprobiert und telefoniert und bin ein bisschen schlauer geworden.
Ich hab mal die Zugangsdaten von meinem privaten DSL-Anschluss getestet und (flupp!) schon war ich drin. Anscheinend wird bei dem 1und1-Komplettanschluss-Login, auf irgend eine Art der Name vom Router überprüft und die Verbindung abgelehnt, wenn er sich nicht als FritzBox meldet.
Lt. einem 1und1 Mitarbeiter wird sowas i.d.A. wie 'ungültiges Gerät' (oder so) angezeigt.
Gibt es bei den LANCOM Geräten eine Möglichkeit solche Daten anzugeben? Dann müsste ich nur noch rausfinden mit was sich die FritzBox anmeldet und das dann dem 1711er verklickern.

Gruß,
Johannes

[alf29]

Moin,

Ist die F-Box eine vom Provider gestellte? Dann hat der Provider bei sich evtl. die
WAN-MAC-Adresse der F-Box gespeichert und weist PPPoE-Connects von anderen
MAC-Adressen zurück. Die MAC-Adresse für eine WAN-Verbindung kann man im
LANCOM unter Setup->WAN->DSL-Breitband-Verbindungen einstellen. Dazu
den MAC-Typ auf benutzerdefiniert setzen und daneben die MAC-Adresse eintragen.
Ich weiß aber nicht, wie man die MAC-Adresse auf der WAN-Seite bei einer F-Box
herausfindet - bei ADSL kann man ja nicht so einfach einen Hub zum Mitsniffen
dazwischenschalten...

Gruß Alfred

[pal]

Novice aus dem ip-phone-forum hat den Vorschlag gemacht die FritzBox normal verbinden und routen zu lassen und den LANCOM-Router die Verbindung über den WAN-Port zur FritzBox herstellen zu lassen.
Also hab ich nun bei Gegenstelle einfach als Layer DHCPOE verwendet und schon klappts. Hier werden dann ja auch alle Adressen brav maskiert und ich kann alles am LANCOM konfigurieren.
Auf diese Art müsste man doch dann auch eine Maskierung zwischen zwei internen Netzen basteln können. Ist aber wohl etwas umständlich.

Achja und @Alf:
Ich bin per Telnet auf die Fritzbox gegangen und da wird beim Verbinden dann die WAN-MAC-Adresse angezeigt. Aber auch damit konnte ich mich mit dem LANCOM nicht zu 1und1 verbinden.


Ich denke damit ist mein Problem jetzt so weit gelöst. Ist ein passabler workaround

Gruß und Danke für alles,
Johannes

[konus]

Ich habe offenbar das gleiche Problem. Gibt es inzwischen neuere Erkenntnisse dazu?

1und1 hat die Fritzbox 7550 VDSL geliefert. Ich habe diese als Modem konfiguriert und im Lancom 1621 Router Passwort und Benutzername hinterlegt, aber es kommt stets die Fehlermeldung "Fehler aufgetreten auf DSLOL Line: PPP Anmeldung - Gegenstelle hat Einwahl abgelehnt (PAP-NAK empfangen) [0x8014]".

Meine Versuche, im Lancom die richtige MAC-Adresse anzugeben waren bisher ebenfalls nicht erfolgreich, allerdings kann es sein, dass ich nicht die Richtige WAN-MAC gefunden habe.

Da wir im Lancom Router mehrere Dynamische VPNs laufen haben, würde ich schon gern diesen weiter als alleinigen Router verwenden....

Gruß Konus

[konus]

Nachtrag: Wan-Mac ist geprüft, daran liegt es nicht.
Ich habe außerdem festgestellt, dass mein Router (1621) nicht VLAN fähig ist, diese Funktion aber für VDSL benötigt wird.

[sysachim]

Setzt mal ein W statt ein D vor die Benutzerkennung.

[langewiesche]

das mit dem w ist aber eine kacke da muss man erst mal drauf kommen.
ich hab das erst mit einen dsl mitschnitt rausbekommen. Doku ist alles 1und1 .. vielleicht was fuer den Servicepast bei den laden