fc2011
Goto Top

DS-Lite - VPN (Einrichtung LANCOM Router)

Hi zusammen,

bedingt durch die aktuelle Situation haben auch wir einige Mitarbeiter ins Home Office verbannt.
Die meisten besitzen einen Laptop und loggen sich von dort aus per VPN aufs Netzwerk.
Für die Einwahl wird die Windows integrierte Verbindung genutzt.

Bei zwei der Kollegen funktioniert der VPN Zugriff nicht, sofern sie mit ihrem Heim W-LAN verbunden sind. Per UMTS-Stick kein Problem.
Beide haben eine Fritz Box & sind bei 1&1 und die stellen wohl nach und nach alle Kunden auf DS-Lite um.
https://www.borncity.com/blog/2019/09/17/11-dsl-kundschaft-wird-auf-dual ...
Ich gehe mal davon aus ein Anruf beim Provider mit Bitte um Umstellung auf IPv4 wird in dem Fall nicht möglich sein!?

Mit IPv6 hatten wir uns bisher nicht beschäftigt. War am Router (Lancom R883VAW) sogar deaktiviert.
Im Router habe ich folgende Konfigurationsmöglichkeiten gefunden:

vpn1

vpn2

IPv6 am Router wurde aktiviert und versucht, diverse Tunneleinstellungen hinzuzufügen. Allerdings bisher ohne Erfolg.
Die feste IPv6 Adresse einer der Mitarbeiter habe ich inzwischen erhalten. Wurde als Gateway-Adresse bzw. Remote IPv6-Adresse am Lancom hinterlegt.
Als IPv4 Gateway Adresse hatte ich die öffentliche IP unseres Netzwerk eingetragen.

Ich bin mir zum einen nicht sicher, welche Variante (DS-Lite Tunnel / 6in4-Tunnel?) ich nutzen muss und welche Eintragungen dort genau gemacht werden müssen?
Schnittstellen-TAG? IPv4-Routing-Tag? Delegiertes IPv6-Präfix??

Und falls die Variante und die Einstellungen an dieser Stelle korrekt wären, gibt es noch weitere Themen die man berücksichtigen und konfigurieren muss?

Beste Grüße
fc2011

Content-ID: 561387

Url: https://administrator.de/contentid/561387

Ausgedruckt am: 22.11.2024 um 16:11 Uhr

tikayevent
tikayevent 27.03.2020 aktualisiert um 16:32:22 Uhr
Goto Top
Die Kollegen haben einen Router bei sich zuhause stehen oder haben die den VPN-Client drauf?

Wenn die mit dem VPN-Client arbeiten, schau mal, ob auf beiden Seiten NAT-Traversal aktiv ist.

Du brauchst auf der Firmenseite nichts ändern, auch nicht Richtung IPv6. Wäre gut, aber definitiv jetzt nicht notwendig. Ist ein Fall für das nächste Wartungsfenster und dann bitte nativ, kein Tunnel.

Edit: Gerade gesehen, dass du mit dem Windows-Client arbeitest. Über welches Protokoll?
hildefeuer
hildefeuer 27.03.2020 um 19:57:11 Uhr
Goto Top
"Beide haben eine Fritz Box & sind bei 1&1 und die stellen wohl nach und nach alle Kunden auf DS-Lite um.
https://www.borncity.com/blog/2019/09/17/11-dsl-kundschaft-wird-auf-dual ...
Ich gehe mal davon aus ein Anruf beim Provider mit Bitte um Umstellung auf IPv4 wird in dem Fall nicht möglich sein!?"
Bin auch bei 1&1. Hast Du mal versucht auf den Fritzboxen den Haken für ipv6 Unterstützung rauszunehmen?
Bei mir habe ich dann eine ipv4 Adresse bekommen.
fc2011
fc2011 30.03.2020 um 11:26:31 Uhr
Goto Top
Danke euch Beiden schon mal!

Was ich vergessen habe zu erwähnen.. beide Kollegen haben eine Freundin, die ebenfalls im Home-Office arbeiten und dort gibt es keine Problem mit der VPN Verbindung. Also aus demselben WLAN heraus.
Ich bin auch nicht mehr sicher, ob wirklich kein IPv4 aktiv ist.

vpn2
über http://test-ipv6.com/ wird sowohl eine IPv4 also auch v6 Adresse angezeigt.

Wir nutzen PPTP und folgende Standardeinstellungen
vpn

NAT-Transversal hatte ich an unserem Lancom Router aktiviert. Allerdings brachte das keinen Unterschied.
tikayevent
tikayevent 30.03.2020 um 12:48:35 Uhr
Goto Top
NAT-Traversal wird bei IPSec benötigt.

Ich glaube, dass Problem ist hier PPTP. Das besteht aus zwei Komponenten und eine Komponente davon macht arge Probleme in Verbindung mit NAT. Das ist der zwingend notwendige GRE-Tunnel, durch den die Daten bei PPTP laufen.
Bei IPSec gibt es was ähnliches, dafür wurde NAT-Traversal entwickelt, welches einfach den ganzen Spaß nochmal einkapselt, damit es NAT-fähig wird.

Du kannst da nichts ändern, außer du stellst die Kollegen auf IPSec-VPN um.

PPTP sollte man eh nicht mehr benutzen, da selbst der Urheber des PPTP-VPN, also Microsoft, es als Sicherheitsrisiko eingestuft hat.
fc2011
fc2011 30.03.2020 um 16:43:56 Uhr
Goto Top
IPSec hatten wir bisher nur für eine dauerhafte VPN Verbindung zu einem Webserver eingerichtet.
Habe eben versucht eine weitere Verbindung einzurichten für den Kollegen.
Bekomme allerdings keine Verbindung hergestellt mit meinem Testlaptop

Folgendes Vorgehen:
IKE/IPSec Konfiguration [Router]
- NAT-Tranversal aktiviert (IPSec-over-HTTPS ist deaktiviert)
- IPSec-Proposal-Listeneintrag wurde erstellt (TN-AES256-SHA)
- IKE-Schlüssel erstellt (Pre-shared-Key)
- neuer IKE-Proposal-Listeneintrag (PSK-AES256-SHA)
- neuer Verbindungsparameter (16 (MODP-4096) -> Zuordnung IKE-Schlüssel + IKE-Proposal + IPSec-Proposal)
- neue Verbinung erstellt -> Zuordnung Verbindungsparameter

Protokolle - PPP-Liste [Router]
- Zuordnung Gegenstelle (IPSec-Verbindung)
- Festlegung Benutzername / Passwort

Windows VPN Verbindung [Laptop]
- Eintragung feste IP
- Auswahl VPN Typ: L2TP/IPSec mit vorinstalliertem Schlüssel
- Eintragung vorinstallierter Schlüssel (IKE-Schlüssel)
- Anmeldeinformationstyp: "Benutzername und Kennwort" -> hier trage ich die Daten aus der PPP-Liste ein.

Bricht immer mit folgender Meldung ab:
"Der L2TP-Verbindungsversuch ist fehlgeschlagen, da ein Verarbeitungsfehler während der ersten Sicherheitsaushandlung mit dem Remotecomputer aufgetreten ist."

Habe ich etwas falsch gemacht? Den Weg über IPSec find ich auf jeden Fall sinvoll.
Bevor ich das bei meinem Kollege testen kann, muss ich es jedoch erst einmal bei meinem Testlaptop zum Laufen bekommen ;)
Die PPTP-Verbindung funktioniert dort weiterhin problemos nur mit IPSec habe ich noch keine Erfahrung.

Habe ein paar Anleitungen im Netz gefunden, aber die beziehen sich größtenteils auf den kostenpflichtigen Lancom advanced vpn client.
Da es jedoch nur eine Übergangslösung ist, werden wir uns das eher nicht anschaffen wollen.
tikayevent
Lösung tikayevent 30.03.2020 um 23:27:35 Uhr
Goto Top
Ja, dass es nicht klappt, liegt daran, dass du L2TP/IPSec ausgewählt hast, LANCOM will aber IPSec pur, was auch zu bevorzugen ist.

Man kann problemlos jeden x-beliebigen IPSec-Client mit LANCOM zusammen betreiben, am Ende kommt es auf deine Fähigkeiten und deinen Zeitaufwand an. Da du aber Kollegen zuhause sitzen hast, die nicht arbeiten können, solltest du eventuell doch darüber nachdenken, einfach den LANCOM-Client zu erwerben. Der Client kostet zwischen 100 und 120€ brutto. Wenn ich jetzt einfach mal den internen Verrechnungssatz, den mein Arbeitgeber auf mich anwendet, wären das vier Stunden. Wenn ich einen halben Tag zuhause rumvegetiere, hätte ich genau das Geld verbrannt, was der Client kostet.

Und zum Testen kannst du ja erstmal die 30-Tage-Demo nehmen. Die Einrichtung kann über einen Einrichtungsassistenten im LANconfig laufen.

Es gibt auch andere Möglichkeiten (vielleicht findest du ja eine andere Bezugsquelle für den NCP VPN-Client, der LANCOM-Client ist einfach nur ein umgelabelter NCP), aber da bin ich raus. Früher gabs mal VPN-Clients von GreenBow, ShrewSoft, Netgear/Zyxel/WatchGuard hatte eine OEM-Version von wem auch immer. Gibt genug Möglichkeiten, auch kostenlose, am Ende ist es der Aufwand, der bedacht werden muss. Ich kann aber nicht genau sagen, was es da aktuell gibt, da ich vor langer Zeit beim Client-VPN in die sehr angenehme Cisco-Schiene gerutscht bin.
fc2011
fc2011 01.04.2020 um 08:31:57 Uhr
Goto Top
Du hast recht - werden uns den VPN Client von LANCOM besorgen.
Das wird wohl die einfachste, schnellste und auf im Endeffekt kostengünstige Variante sein und das Einrichten bekomme ich hin.

Vielen Dank für die Unterstützung!!
MOXXakaJOE
MOXXakaJOE 03.04.2020 aktualisiert um 12:15:21 Uhr
Goto Top
Beide haben eine Fritz Box & sind bei 1&1 und die stellen wohl nach und nach alle Kunden auf DS-Lite um.

Ich persönlich habe kein Problem von einem DS-Lite Anschluss zu einem LANCOM-Router unter IPv4 zu tunneln. Ich nutze den Shrew Soft VPN Access Manager. Ich müsste auch keine Einstellungen unter IPv4 -> Tunnel vornehmen.

Bei zwei der Kollegen funktioniert der VPN Zugriff nicht, sofern sie mit ihrem Heim W-LAN verbunden sind. Per UMTS-Stick kein Problem.

Ich habe eine Idee, da es bei einigen deiner Kollegen funktioniert und bei anderen wiederum nur im W-LAN nicht. Ich habe bei uns folgende Beobachtung gemacht: Wenn das Heimnetzwerk gleich dem Firmennetzwerk ist, also z.B. beides sind 192.168.0.0/255.255.255.0 IPv4-Netzwerke, dann hat es bei mir nicht funktioniert. Vielleicht ist es das gleiche Problem bei dir.