Company Connect und VPN (UMTS Clients)
ADMClients (Acer Notebooks) werden via T-Mobile web 'n walk über VPN an unser Haus angebunden
Bis gestern hatten wir einen SDSL Anschluss auf den die ADMs sich via VPN in unser Haus einloggen konnten.
Gestern haben wir unseren Company Connect der T-Com in Betrieb genommen. Internetzugang des Hauses funktioniert tadellos.
Nur ab diesem Zeitpunkt ist es nicht mehr möglich sich via VPN auf der Firewall einzuloggen. Fehler auf den Clients "unbekannter Fehler".
Die Clients kommen auf der Firewall an. Ich poste mal das FW-Log. (Watchguard x700)
11/16/09 16:15 tunneld[126]: connected to 88.128.12.230:1083
11/16/09 16:15 tunneld[126]: 156 bytes received from socket 10
11/16/09 16:15 tunneld[126]: recv start-control-connection-request from 88.128.12.230
11/16/09 16:15 tunneld[126]: sent start-control-connection-reply
11/16/09 16:15 tunneld[126]: 168 bytes received from socket 10
11/16/09 16:15 tunneld[126]: recv outgoing-call-request from 88.128.12.230
11/16/09 16:15 tunneld[126]: gre rule added for 88.128.12.230
11/16/09 16:15 tunneld[126]: spawned PPTPD with process id #4289
11/16/09 16:15 tunneld[126]: sent outgoing-call-reply
11/16/09 16:15 tunneld[4289]: starting PPTPD server
11/16/09 16:15 tunneld[4289]: pptpd
11/16/09 16:15 tunneld[4289]: silent
11/16/09 16:15 tunneld[4289]: 192.168.1.7:192.168.1.195
11/16/09 16:15 tunneld[4289]: -vj
11/16/09 16:15 tunneld[4289]: remotename
11/16/09 16:15 tunneld[4289]: 88.128.12.230
11/16/09 16:15 tunneld[4289]: gre
11/16/09 16:15 tunneld[4289]: 0:0
11/16/09 16:15 tunneld[4289]: channel
11/16/09 16:15 tunneld[4289]: 0
11/16/09 16:15 tunneld[4289]: +chap
11/16/09 16:15 tunneld[4289]: dns-addr
11/16/09 16:15 tunneld[4289]: *.*:*.*
11/16/09 16:15 tunneld[4289]: dns-addr
11/16/09 16:15 tunneld[4289]: 192.168.*.*
11/16/09 16:15 tunneld[4289]: nbns-addr
11/16/09 16:15 tunneld[4289]: 192.168.0.1
11/16/09 16:15 tunneld[4289]: nbns-addr
11/16/09 16:15 tunneld[4289]: 192.168.0.2
11/16/09 16:15 tunneld[4289]: debug
11/16/09 16:15 tunneld[4289]: required_group
11/16/09 16:15 tunneld[4289]: pptp_users
11/16/09 16:15 tunneld[4289]: ccp-max-reset
11/16/09 16:15 tunneld[4289]: 257
11/16/09 16:15 tunneld[4289]: mppecomp
11/16/09 16:15 tunneld[4289]: nodrop
11/16/09 16:15 tunneld[4289]: nocomp
11/16/09 16:15 tunneld[4289]: stateless
11/16/09 16:15 tunneld[4289]: proxyarp
11/16/09 16:15 tunneld[4289]: setpptpmtu
11/16/09 16:15 tunneld[4289]: 1436
11/16/09 16:15 tunneld[126]: rcvd SIGCHLD--ignoring
11/16/09 16:15 tunneld[126]: child pid 4289 died
11/16/09 16:15 tunneld[126]: child pid 4289 died without us killing it
11/16/09 16:15 tunneld[126]: killing tunnel from 88.128.12.230
11/16/09 16:15 tunneld[126]: killing child pid 4289
11/16/09 16:15 tunneld[126]: setting channel 192.168.1.7:192.168.1.195 to be re-used
Anfangs hatten wir ähliche Einträge als auf dem UMTS Karten noch der Standard APN eingetragen war. Aber ich habe auf dem CompanyConnect Endgerät ja keine Möglichkeit etwas zu konfigurieren.
Der T-Com Techniker mit dem ich gestern sprach konnte mir glaub ich nicht folgen was ich überhaupt von ihm will und warum ich ihn vom Feierabend abhalte.
Muss man dazu irgendwelche Voraussetzungen schafen? Hat jemand Erfahrung mit diesem Produkt. Vorschläge? Wäre sehr dringend!
Danke schon mal!
Bis gestern hatten wir einen SDSL Anschluss auf den die ADMs sich via VPN in unser Haus einloggen konnten.
Gestern haben wir unseren Company Connect der T-Com in Betrieb genommen. Internetzugang des Hauses funktioniert tadellos.
Nur ab diesem Zeitpunkt ist es nicht mehr möglich sich via VPN auf der Firewall einzuloggen. Fehler auf den Clients "unbekannter Fehler".
Die Clients kommen auf der Firewall an. Ich poste mal das FW-Log. (Watchguard x700)
11/16/09 16:15 tunneld[126]: connected to 88.128.12.230:1083
11/16/09 16:15 tunneld[126]: 156 bytes received from socket 10
11/16/09 16:15 tunneld[126]: recv start-control-connection-request from 88.128.12.230
11/16/09 16:15 tunneld[126]: sent start-control-connection-reply
11/16/09 16:15 tunneld[126]: 168 bytes received from socket 10
11/16/09 16:15 tunneld[126]: recv outgoing-call-request from 88.128.12.230
11/16/09 16:15 tunneld[126]: gre rule added for 88.128.12.230
11/16/09 16:15 tunneld[126]: spawned PPTPD with process id #4289
11/16/09 16:15 tunneld[126]: sent outgoing-call-reply
11/16/09 16:15 tunneld[4289]: starting PPTPD server
11/16/09 16:15 tunneld[4289]: pptpd
11/16/09 16:15 tunneld[4289]: silent
11/16/09 16:15 tunneld[4289]: 192.168.1.7:192.168.1.195
11/16/09 16:15 tunneld[4289]: -vj
11/16/09 16:15 tunneld[4289]: remotename
11/16/09 16:15 tunneld[4289]: 88.128.12.230
11/16/09 16:15 tunneld[4289]: gre
11/16/09 16:15 tunneld[4289]: 0:0
11/16/09 16:15 tunneld[4289]: channel
11/16/09 16:15 tunneld[4289]: 0
11/16/09 16:15 tunneld[4289]: +chap
11/16/09 16:15 tunneld[4289]: dns-addr
11/16/09 16:15 tunneld[4289]: *.*:*.*
11/16/09 16:15 tunneld[4289]: dns-addr
11/16/09 16:15 tunneld[4289]: 192.168.*.*
11/16/09 16:15 tunneld[4289]: nbns-addr
11/16/09 16:15 tunneld[4289]: 192.168.0.1
11/16/09 16:15 tunneld[4289]: nbns-addr
11/16/09 16:15 tunneld[4289]: 192.168.0.2
11/16/09 16:15 tunneld[4289]: debug
11/16/09 16:15 tunneld[4289]: required_group
11/16/09 16:15 tunneld[4289]: pptp_users
11/16/09 16:15 tunneld[4289]: ccp-max-reset
11/16/09 16:15 tunneld[4289]: 257
11/16/09 16:15 tunneld[4289]: mppecomp
11/16/09 16:15 tunneld[4289]: nodrop
11/16/09 16:15 tunneld[4289]: nocomp
11/16/09 16:15 tunneld[4289]: stateless
11/16/09 16:15 tunneld[4289]: proxyarp
11/16/09 16:15 tunneld[4289]: setpptpmtu
11/16/09 16:15 tunneld[4289]: 1436
11/16/09 16:15 tunneld[126]: rcvd SIGCHLD--ignoring
11/16/09 16:15 tunneld[126]: child pid 4289 died
11/16/09 16:15 tunneld[126]: child pid 4289 died without us killing it
11/16/09 16:15 tunneld[126]: killing tunnel from 88.128.12.230
11/16/09 16:15 tunneld[126]: killing child pid 4289
11/16/09 16:15 tunneld[126]: setting channel 192.168.1.7:192.168.1.195 to be re-used
Anfangs hatten wir ähliche Einträge als auf dem UMTS Karten noch der Standard APN eingetragen war. Aber ich habe auf dem CompanyConnect Endgerät ja keine Möglichkeit etwas zu konfigurieren.
Der T-Com Techniker mit dem ich gestern sprach konnte mir glaub ich nicht folgen was ich überhaupt von ihm will und warum ich ihn vom Feierabend abhalte.
Muss man dazu irgendwelche Voraussetzungen schafen? Hat jemand Erfahrung mit diesem Produkt. Vorschläge? Wäre sehr dringend!
Danke schon mal!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 129523
Url: https://administrator.de/forum/company-connect-und-vpn-umts-clients-129523.html
Ausgedruckt am: 22.12.2024 um 22:12 Uhr
22 Kommentare
Neuester Kommentar
Da DAS vermutlich nicht dein Problem ist bleibt folgendes:
Leider bist du sehr oberflächlich in der Beschreibung des VPNs und auch des Anschlussszenarios.
Nach der Fehlermeldung sieht es nach einem MTU Problem aus....das kann man aber nur raten. Das VPN Protokoll ist nach der Logmeldung PPTP.
Wenn ihr einen neuen Router für den Company Connect Anschluss bekommen habt und der NAT macht muss dort logischerweise natürlich ein Port Forwarding für PPTP (TCP 1723 und GRE) eingetragen sein auf die IP der FW !!
VPNs einrichten mit PPTP
Macht die FW weiterhin das NAT muss das nicht sein. Leider wird das aus deiner Beschreibung nicht klar.
Der PPTP Prozess stirbt nach Setzen der MTU auf 1436. Vermutlich ist dieser Wert für den PPTP Tunnel bei deiner FW noch zu groß, deshalb solltest du den mal verkleinern.... Ist aber jetzt aufgrund fehlender Details nur geraten...
Leider bist du sehr oberflächlich in der Beschreibung des VPNs und auch des Anschlussszenarios.
Nach der Fehlermeldung sieht es nach einem MTU Problem aus....das kann man aber nur raten. Das VPN Protokoll ist nach der Logmeldung PPTP.
Wenn ihr einen neuen Router für den Company Connect Anschluss bekommen habt und der NAT macht muss dort logischerweise natürlich ein Port Forwarding für PPTP (TCP 1723 und GRE) eingetragen sein auf die IP der FW !!
VPNs einrichten mit PPTP
Macht die FW weiterhin das NAT muss das nicht sein. Leider wird das aus deiner Beschreibung nicht klar.
Der PPTP Prozess stirbt nach Setzen der MTU auf 1436. Vermutlich ist dieser Wert für den PPTP Tunnel bei deiner FW noch zu groß, deshalb solltest du den mal verkleinern.... Ist aber jetzt aufgrund fehlender Details nur geraten...
hallo sandro
ich kann es dir im moment leider nicht sagen,
habe mit umts anbindungen keine erfahrungen
jedoch denke ich, das du bei aqui an der richtigen adresse bist,
wenn du ihn nochmals höflich und nett bittest
hilft er dir gerne bestimmt weiter
info:
ich würde den externen login erstmal über einen standard pc an standard DSL ausprobieren
danach würde ich weiterhin erstmal auf umts verzichten und es mit dem 02 oder ähnlichem
stick, (gibt es probeweise), versuchen.
wenn dass alles funktioniert, dann wäre ich mir sicher, es liegt an deinem umts.
wenn ja, austauschen oder zähne ausbeissen bis es funktioniert.
für mich ist ein support auf dieser ebene immer schwierig, wenn ich es
nicht vor mich liegen habe.
dennoch kann ich nachempfinden.
viel glück noch
lg
ich kann es dir im moment leider nicht sagen,
habe mit umts anbindungen keine erfahrungen
jedoch denke ich, das du bei aqui an der richtigen adresse bist,
wenn du ihn nochmals höflich und nett bittest
hilft er dir gerne bestimmt weiter
info:
ich würde den externen login erstmal über einen standard pc an standard DSL ausprobieren
danach würde ich weiterhin erstmal auf umts verzichten und es mit dem 02 oder ähnlichem
stick, (gibt es probeweise), versuchen.
wenn dass alles funktioniert, dann wäre ich mir sicher, es liegt an deinem umts.
wenn ja, austauschen oder zähne ausbeissen bis es funktioniert.
für mich ist ein support auf dieser ebene immer schwierig, wenn ich es
nicht vor mich liegen habe.
dennoch kann ich nachempfinden.
viel glück noch
lg
OK ob der Router NAT macht oder nicht, siehst du ja auch daran ob du an der FW eine öffentliche IP Adresse hast. Vermutlich routet der CC Router also nur ein kleines Subnetz auf euch.
Dann solltest du weiter in Richtung MTU suchen. Mach von der FW mal ein paar MTU ping Versuche was die max. MTU ist die die neue Verbindung übertragen kann. Ggf. solltest du dann die FW Konfig nochmal anpassen.
Denn du kannst ja sehen das der PPTP Daemon auf der FW stirbt mit einem SIGCHLD--ignoring wenn er den MTU Wert von 1436 setzt. Da stimmt also was an der Konfig nicht !
Ggf. ist das aber auch ein Firmware Bug in der FW. Hast du da die neueste Firmware geflasht ??
Dann solltest du weiter in Richtung MTU suchen. Mach von der FW mal ein paar MTU ping Versuche was die max. MTU ist die die neue Verbindung übertragen kann. Ggf. solltest du dann die FW Konfig nochmal anpassen.
Denn du kannst ja sehen das der PPTP Daemon auf der FW stirbt mit einem SIGCHLD--ignoring wenn er den MTU Wert von 1436 setzt. Da stimmt also was an der Konfig nicht !
Ggf. ist das aber auch ein Firmware Bug in der FW. Hast du da die neueste Firmware geflasht ??
So so..von der Telekom vorgeschlagen d.h. ihr wart nicht in der Lage euch aus eurem zugewiesenen Subnetz selber eine korrekte IP auszusuchen.... Mmmmhhh, wenns an solchen Basics schon scheitert..
OK, variier mal die MTU Größe. Ggf. hilft das.
Ansonsten kannst du nur einen Wireshark Sniffer oder MS NetMonitor nehmen am Client und den PPTP Sessionaufbau mal mitsniffern. Da siehst du dann sofort wo der Hase im Pfeffer liegt !
OK, variier mal die MTU Größe. Ggf. hilft das.
Ansonsten kannst du nur einen Wireshark Sniffer oder MS NetMonitor nehmen am Client und den PPTP Sessionaufbau mal mitsniffern. Da siehst du dann sofort wo der Hase im Pfeffer liegt !
Nein, denn vermutlich verstehst du nichts von IP Subnetting...sorry. Ist ja logisch das das so abgeht.
Beispiel:
Angenommen du bekommst die 85.10.1.0 als öffentliches CC Netzwerk mit einer 29 Bit Maske (255.255.255.248), was dann genau deiner Beschreibung entspricht.
Theoretisch hätte man dann die Host IP Adressen von .0 bis .7 allerdings fallen die .0 und auch die .7 weg denn die dürfen nicht vergeben werden da Netz selber bzw. Broadcast Adresse dieses Netzes. (Alle Hostbits 0 bzw. 1)
Bleibt also die 85.10.1.1 bis 85.10.1.6 übrig (6 Adressen) !
Tunlichst legt die Telekom die Router IP selber entweder ganz ans unterste Ende oder ganz nach oben also entweder .1 oder .6 im Beispiel.
Den Rest der 5 IP Adressen darf man sich dann selbst vergeben nach Gusto.
Selber wählt man bei einem sauberen IP Design dann das andere (freie) Ende für seinen Router und den Rest der Adressen für Server oder was auch immer.
Dafür muss man die Telekom nicht fragen und sich auch nix zuweisen lassen !
So, und nicht anders ist das bei einem Company Connect. Wenn doch, hast du dich als Netzwerk Dummie von der T-Com gängeln lassen !!
Letztlich aber völlig egal, denn DAS hat mit deinem PPTP Problem rein gar nix zu tun !
Beispiel:
Angenommen du bekommst die 85.10.1.0 als öffentliches CC Netzwerk mit einer 29 Bit Maske (255.255.255.248), was dann genau deiner Beschreibung entspricht.
Theoretisch hätte man dann die Host IP Adressen von .0 bis .7 allerdings fallen die .0 und auch die .7 weg denn die dürfen nicht vergeben werden da Netz selber bzw. Broadcast Adresse dieses Netzes. (Alle Hostbits 0 bzw. 1)
Bleibt also die 85.10.1.1 bis 85.10.1.6 übrig (6 Adressen) !
Tunlichst legt die Telekom die Router IP selber entweder ganz ans unterste Ende oder ganz nach oben also entweder .1 oder .6 im Beispiel.
Den Rest der 5 IP Adressen darf man sich dann selbst vergeben nach Gusto.
Selber wählt man bei einem sauberen IP Design dann das andere (freie) Ende für seinen Router und den Rest der Adressen für Server oder was auch immer.
Dafür muss man die Telekom nicht fragen und sich auch nix zuweisen lassen !
So, und nicht anders ist das bei einem Company Connect. Wenn doch, hast du dich als Netzwerk Dummie von der T-Com gängeln lassen !!
Letztlich aber völlig egal, denn DAS hat mit deinem PPTP Problem rein gar nix zu tun !
hallo sandro
bei der company connect ist es wichtig die ip adressen einzuhalten.
1.) = Match
2.) = Gateway
3.) = Broadcast
4.-5.) = frei verfügbar
es ist auch möglich, das du die gateway nicht eingetragen hast
ansonsten schreibst du bitte
rafiki
oder
dani
an. die wissen eigentlich alles.
und immer höflich bleiben, cool bleiben.
bei der company connect ist es wichtig die ip adressen einzuhalten.
1.) = Match
2.) = Gateway
3.) = Broadcast
4.-5.) = frei verfügbar
es ist auch möglich, das du die gateway nicht eingetragen hast
ansonsten schreibst du bitte
rafiki
oder
dani
an. die wissen eigentlich alles.
und immer höflich bleiben, cool bleiben.
Hallo Stay,
TOS-Bit mitgeschickt wird mit dem die Vermittlungsstelle nichts anfangen kann.
das kann so wohl nicht sein. Es gibt TOS 2 Low Delay und TOS 7->für Low Loss . 7 benutzen wir für abgehende Verbindungen.
es wird so lange gesendet bis alle Pakete angekommen sind und der Empfänger quittiert hat.
damit wird das TOS Bit bis zum Empfänger übertragen. Es kann demnach wohl nicht bei der Vermittlungsstelle verloren gehen.
palmiii
TOS-Bit mitgeschickt wird mit dem die Vermittlungsstelle nichts anfangen kann.
das kann so wohl nicht sein. Es gibt TOS 2 Low Delay und TOS 7->für Low Loss . 7 benutzen wir für abgehende Verbindungen.
es wird so lange gesendet bis alle Pakete angekommen sind und der Empfänger quittiert hat.
damit wird das TOS Bit bis zum Empfänger übertragen. Es kann demnach wohl nicht bei der Vermittlungsstelle verloren gehen.
palmiii