5
Elmeg ITC88 mit IPsec VPN zur Gegenstelle scheitert.
Hallo ich habe folgenedes Problem ich möchte 2 gegenstellen mit VPN verbinden.
Gegeben:
Stelle 1 : Elmeg ITC88 mit Bintec Routermodul und VPN
Stelle 2 : Bintec IP Sec Client Software
Beide Stellen verfügen über eine T-Com DSL Anbindung.
Verbunden wird über Dyndns nur leider wenn ich mit der IPsec Software eine Verbindung aufbauen will kommt die Meldung.
PHASE (1) Verbindung zur Gegenstelle abgebrochen.
Hat einer vielleicht erfahrung mit dieser zusammenstellung oder vielleicht zufällig einen Link.
MFG
Lodl
Gegeben:
Stelle 1 : Elmeg ITC88 mit Bintec Routermodul und VPN
Stelle 2 : Bintec IP Sec Client Software
Beide Stellen verfügen über eine T-Com DSL Anbindung.
Verbunden wird über Dyndns nur leider wenn ich mit der IPsec Software eine Verbindung aufbauen will kommt die Meldung.
PHASE (1) Verbindung zur Gegenstelle abgebrochen.
Hat einer vielleicht erfahrung mit dieser zusammenstellung oder vielleicht zufällig einen Link.
MFG
Lodl
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 33830
Url: https://administrator.de/contentid/33830
Ausgedruckt am: 25.11.2024 um 14:11 Uhr
5 Kommentare
Neuester Kommentar
Wie geht die IPsec Client Seite mit der Software ins Internet ??? Direkt über das Modem oder über einen Router ??
Ists ein Router liegt das Problem ggf. hier da dort ein NAT Prozess dazwischen ist und das mag IPsec meist nicht bzw. man muss weitere Protokolle im Portforwarding des Routers freigeben.
Ists ein Router liegt das Problem ggf. hier da dort ein NAT Prozess dazwischen ist und das mag IPsec meist nicht bzw. man muss weitere Protokolle im Portforwarding des Routers freigeben.
Dieser geht mit einen LANCOM DSL/I-10 Office Router in das Internet.
Ich finde nirgends etwas das man dafür Ports freigeben muss....vielen dank für die schnelle Antwort.
Ich finde nirgends etwas das man dafür Ports freigeben muss....vielen dank für die schnelle Antwort.
Ja, das ist das Problem ! Ist die Frage was der Bintec Client für ein IPsec Derivat benutzt obs ESP (Encryption Security Payload) ist oder AH (Authentication Header).
AH ist gar nicht über NAT zu übertragen, da der NAT Prozess die Adressen verändert und IPsec damit eine "Man in the Middle" Attacke vermutet und die Verbindung abbricht bzw.nicht zustande kommen lässt. AH wird aber meistens nur von Router zu Router oder FW benutzt so das deine Chancen steigen mit ESP was sehr häufig auf Clients zum Einsatz kommt.
Meist hilft es wenn du auf dem Lancom ein Portforwarding für ESP (Protokoll 50, ist KEIN TCP oder UDP sondern ein eigenständiges Protokoll !!) und IKE (UDP 500) auf die IP Adresse des Clients einstellst. Viele Router haben ein ESP Passthrough so das meist schon UDP 500 ausreicht, das musst du aber im Lancom Manual checken.
Nachteil ist das der VPN Client nur über diese eine Maschine nutzbar ist. Ein zweites Portforwarding ist natürlich nicht möglich und auch ESP passthrough geht immer nur mit einer Maschine. Damit kann man aber leben wenns denn klappt.
AH ist gar nicht über NAT zu übertragen, da der NAT Prozess die Adressen verändert und IPsec damit eine "Man in the Middle" Attacke vermutet und die Verbindung abbricht bzw.nicht zustande kommen lässt. AH wird aber meistens nur von Router zu Router oder FW benutzt so das deine Chancen steigen mit ESP was sehr häufig auf Clients zum Einsatz kommt.
Meist hilft es wenn du auf dem Lancom ein Portforwarding für ESP (Protokoll 50, ist KEIN TCP oder UDP sondern ein eigenständiges Protokoll !!) und IKE (UDP 500) auf die IP Adresse des Clients einstellst. Viele Router haben ein ESP Passthrough so das meist schon UDP 500 ausreicht, das musst du aber im Lancom Manual checken.
Nachteil ist das der VPN Client nur über diese eine Maschine nutzbar ist. Ein zweites Portforwarding ist natürlich nicht möglich und auch ESP passthrough geht immer nur mit einer Maschine. Damit kann man aber leben wenns denn klappt.
So ich habe es jetzt von meiner FritzBox so eingestellt das ESP auf meinen Rechner geleitet wird und der Port 500. An der Gegenstelle also der TK Anlage sind die einstellmöglichkeiten leider sehr gering also nix von Portforwarding.
Also Fehler ist immer IKE-FEHLER (Phase1) Verbindung zur Gegenstelle abgebrochen.
Also Fehler ist immer IKE-FEHLER (Phase1) Verbindung zur Gegenstelle abgebrochen.
Hast du auch "UDP" Port 500 genommen. TCP 500 nützt nichts denn IKE ist UDP 500 !!
Damit sollte es dann klappen. Wenn du Pech hast nutzt der Client den AH Mode im IPsec dann hast du schlehcte Karten, da sollte aber ein Blich in Howto bei Bintec (Funkwerk) Klarheit schaffen...
Damit sollte es dann klappen. Wenn du Pech hast nutzt der Client den AH Mode im IPsec dann hast du schlehcte Karten, da sollte aber ein Blich in Howto bei Bintec (Funkwerk) Klarheit schaffen...
