apeuki
Goto Top

LANCOM 884 VoIP VPN Zugang mit Shrew VPN realisieren

Hallo zusammen,

ich versuche gerade eine VPN Verbindung zwischen unserem Router und dem Shrew VPN Client zu realisieren.

Leider bekomme ich im Trace des VPN Clients folgenden Fehler angezeigt:


Hier die Konfiguration des VPN Zugang auf dem Router:

https://www.administrator.de/images/c/1/5/e909a243fc87cc0ae0536473247f55 ...
https://www.administrator.de/images/c/1/5/487077f52a1e106318e0ba43ee30f0 ...
https://www.administrator.de/images/c/1/5/f6a4102a1c302070b8c6def6765075 ...

Hier die Default Parameter:
https://www.administrator.de/images/c/1/5/bf89a62329c589907fcbb01fe06029 ...

Und hier die Config vom VPN Client:


Da ich von VPN so gut wie gar keine Ahnung habe, hoffe ich, das mir hier jemand helfen kann. Eigentlich habe ich mich strikt an die Anleitung von Shrew gehalten.

VG

aPeuki
2
default
1
3

Content-Key: 386231

Url: https://administrator.de/contentid/386231

Ausgedruckt am: 06.10.2022 um 19:10 Uhr

Mitglied: Vision2015
Vision2015 12.09.2018 um 10:14:12 Uhr
Goto Top
Moin...

Da ich von VPN so gut wie gar keine Ahnung habe, hoffe ich, das mir hier jemand helfen kann. Eigentlich habe ich mich strikt an die Anleitung von Shrew gehalten.

dann würde ich an deiner stelle den Lancom VPN Client nutzen wollen, im Router kannst du dann mit dem assi eine config datei erstellen, die nur noch importiert werden muss...
Fertig..

Frank
Mitglied: aPeuki
aPeuki 12.09.2018 um 10:34:42 Uhr
Goto Top
Hier bekomme ich den Fehler, dass das Gateway nicht antwortet. Ich soll meine Internetverbindung prüfen.

Den Port 500 auf der Firewall habe ich bereits geöffnet und auf den Router geleitet, aber das hat scheinbar nicht geholfen.

Kannst du hier evtl. helfen?

Andreas
Mitglied: aPeuki
aPeuki 12.09.2018 um 11:57:39 Uhr
Goto Top
Hallo zusammen,

ich habe mittlerweile den Shrew VPN Client zu einer Verbindung überreden können.

Leider bekomme ich aber keinen Zugriff auf das entfernte Netz. Auch ein Ping klappt nicht.

Kann mir hier einer helfen?

Meine Firewallregel sieht so aus.

https://www.administrator.de/images/c/1/5/5c013866e55fd1a6d419dd7ed76985 ...

Vielen Dank im Voraus
vpn
Mitglied: goscho
goscho 12.09.2018 um 12:05:18 Uhr
Goto Top
Moin
Leider schreibst du ja nichts zu deiner Umgebung.
Hast du eventuell einen Kabelanschluss?
Zitat von @aPeuki:

Hier bekomme ich den Fehler, dass das Gateway nicht antwortet. Ich soll meine Internetverbindung prüfen.

Den Port 500 auf der Firewall habe ich bereits geöffnet und auf den Router geleitet, aber das hat scheinbar nicht geholfen.

Das klingt nämlich, als wäre vor dem 884 noch ein anderer Router. Dann reicht es aber nicht nur den Port 500 weiterzuleiten. Für IPSEC VPN braucht es auch noch den Port 4500 und das Protokoll ESP.
Mitglied: aPeuki
aPeuki 12.09.2018 um 12:38:09 Uhr
Goto Top
Hallo goscho,

das Problem konnte ich lösen. Ich habe einen T-Com All-IP Anschluss. Der Lancom ist der einzige Router, davor und dahinter ist nichts mehr.

Dahinter ist unsere Netzwerkstruktur.

Nachdem ich den Port 51 und 4500 geöffnet habe ging es auch.
Mitglied: goscho
goscho 12.09.2018 um 12:48:51 Uhr
Goto Top
Zitat von @aPeuki:
das Problem konnte ich lösen. Ich habe einen T-Com All-IP Anschluss.
Betreue ich viele, mittlerweile fast nur noch mit Lancom Routern.
Zu fast jedem davon habe ich ein VPN mittels Shrew-Client eingerichtet.
Der Lancom ist der einzige Router, davor und dahinter ist nichts mehr.
Dahinter ist unsere Netzwerkstruktur.

Nachdem ich den Port 51 und 4500 geöffnet habe ging es auch.
Wo hast du die Ports geöffnet? Hattest du vorher in der Firewall des Lancom alles geblockt?
Was hat Port 51 (welchen Protokolls) damit zu tun?
Mitglied: aPeuki
aPeuki 12.09.2018 aktualisiert um 14:36:50 Uhr
Goto Top
Hallo Goscho,

Port 51 soll wohl ESP sein.

Meine Ports habe ich unter IP-Router->Maskierung->PortForwarding Tabelle eingerichtet.

https://www.administrator.de/images/c/1/5/e44b58ae568dad6bcb47cfc34c7115 ...

Meine Aktiven Firewallregeln sehen so aus.

https://www.administrator.de/images/c/1/5/c18f89a2d1052c0cc64a7a0ffb4b6a ...
active_rules
vpn
Mitglied: goscho
goscho 12.09.2018 aktualisiert um 14:28:54 Uhr
Goto Top
Ich habe keinen blassen Schimmer, warum du das so einrichtest.

Port 51 TCP+UDP ist nicht ESP!

Nochmal zum besseren Verständnis:

Der PC 10.0.0.11 ist im Netz des Lancom 884 (VDSL), hat Shrew installiert und soll ein VPN zu einer anderen Gegenstelle aufbauen (vermutlich ein Bintec be.IP oder Digitalisierungsbox der Telekom).
Da es nicht klappt, leitest du sämtlichen Traffic der Ports 50,51,500,4500 TCP+UDP an diesen Client.

Dabei ist das eine unsinnige Konfiguration.
Du musst das Portforwarding nur zu einem VPN-Server einrichten, nicht zu einem Client.
Gugge mal: Einrichten einer VPN pass through-Verbindung
Eine gesonderte Konfiguration hierfür ist nicht nötig, es sei denn Sie nutzen in Ihrem lokalen Netz einen VPN-Server, zu dem eine Verbindung aufgebaut werden soll.

Ich kann aus den Netzwerken mit den Lancom-Routern problemlos mit Shrew Client-VPN-Verbindungen zu anderen Netzwerken aufbauen, ganz ohne Forwardings.


Tante Edit sagt: mach deine public IP mal besser unkenntlich
Mitglied: aPeuki
aPeuki 12.09.2018 aktualisiert um 14:47:48 Uhr
Goto Top
Hallo Goscho,

Ja der PC 10.0.0.11 ist hinter dem Lancom 884.

Shrew ist auf einem Laptop außerhalb konfiguriert und soll im idealfall auf den 10.0.0.11 zugreifen.

Das heißt ich muss das Portforwarding nur auf den Lancom Router machen? Dann komme ich aber immer noch nicht dahinter.

Könntest du mir evtl. erklären, wie ich es richtig mache? Ich habe mich schon durch diverse HowTos gearbeitet, bin aber zu keiner Lösung gekommen.
Mitglied: goscho
goscho 12.09.2018 um 14:55:22 Uhr
Goto Top
Deine Bilder aus dem 1. Beitrag sind aber keine Screenshots des Lancom-Assis beim Einrichten eines VPN.

Für mich sehen die aus, als wären sie von einer Bintec be.ip.


Zitat von @aPeuki:
Ja der PC 10.0.0.11 ist hinter dem Lancom 884.

Shrew ist auf einem Laptop außerhalb konfiguriert und soll im idealfall auf den 10.0.0.11 zugreifen.

Das heißt ich muss das Portforwarding nur auf den Lancom Router machen? Dann komme ich aber immer noch nicht dahinter.
Falsch!

Wenn du von außen ein Client-VPN zu deinem Lancom 884 aufbauen willst, benötigst du überhaupt kein Portforwarding im Lancom-Netzwerk (du nutzt ja das VDSL-Modem des 884).

Nutze den Assistenten im Lanconfig und richte ein Client-VPN zum 884 ein (Einwahl-Zugang bereitstellen RAS, VPN).
Wenn du den Zugriff auf eine IP-Adresse beschränken möchtest, nutze die Firewall-Regeln dazu.
Hier ist ein Beispiel von Lancom.
Mitglied: aPeuki
aPeuki 12.09.2018 um 15:02:59 Uhr
Goto Top
Ich habe es so gemacht, wie die HowTos von Shrew es gesagt haben.

Nur leider bekomme ich da ein Negoitation Timeout, wenn ich die Ports nicht forwarde.

Was mich etwas irritiert, dass die Shrew Verbindung keinen Standard Gateway bekommt.
Mitglied: goscho
goscho 12.09.2018 um 15:19:18 Uhr
Goto Top
Zitat von @aPeuki:

Ich habe es so gemacht, wie die HowTos von Shrew es gesagt haben.
Wo steht dort was von Forwardings?
Nur leider bekomme ich da ein Negoitation Timeout, wenn ich die Ports nicht forwarde.
Dann hast du einen Fehler in der Konfiguration deines VPNs
Was mich etwas irritiert, dass die Shrew Verbindung keinen Standard Gateway bekommt.
Habe auch gerade eine Shrew-VPN-Verbindung zu einem Lancom 883 am Laufen.
Diese Verbindung hat auch kein Standardgateway. Braucht sie auch nicht.

BTW: Im Shrew-Client kannst du auch festlegen, welche Netzwerk-Ressourcen genutzt werden dürfen.

Welche Version von Shrew hast du installiert? Ich nutze die 2.2.2 und habe keine Probleme.
Mitglied: aPeuki
aPeuki 12.09.2018 um 15:23:58 Uhr
Goto Top
Zitat von @goscho:

Zitat von @aPeuki:

Ich habe es so gemacht, wie die HowTos von Shrew es gesagt haben.
Wo steht dort was von Forwardings?
Da steht nichts von Forwardings, leider bekomme ich anders aber keine Verbindung
Nur leider bekomme ich da ein Negoitation Timeout, wenn ich die Ports nicht forwarde.
Dann hast du einen Fehler in der Konfiguration deines VPNs
Könntest du mir hier evtl. auf die Sprünge helfen? Wo kann ich da nachsehen?
Was mich etwas irritiert, dass die Shrew Verbindung keinen Standard Gateway bekommt.
Habe auch gerade eine Shrew-VPN-Verbindung zu einem Lancom 883 am Laufen.
Diese Verbindung hat auch kein Standardgateway. Braucht sie auch nicht.

BTW: Im Shrew-Client kannst du auch festlegen, welche Netzwerk-Ressourcen genutzt werden dürfen.
Wo genau kann ich das da machen?

Welche Version von Shrew hast du installiert? Ich nutze die 2.2.2 und habe keine Probleme.
Ich habe auch die 2.2.2 installiert.
Mitglied: goscho
Lösung goscho 12.09.2018 um 15:42:58 Uhr
Goto Top
Zitat von @aPeuki:

Zitat von @goscho:
Wo steht dort was von Forwardings?
Da steht nichts von Forwardings, leider bekomme ich anders aber keine Verbindung
Kann mir nicht erklären, dass helfen soll, eine Verbindung zu einem PC hinter dem Router aufzubauen.
Nur leider bekomme ich da ein Negoitation Timeout, wenn ich die Ports nicht forwarde.
Dann hast du einen Fehler in der Konfiguration deines VPNs
Könntest du mir hier evtl. auf die Sprünge helfen? Wo kann ich da nachsehen?
Geh auf dem Lancom nochmal unter VPN -> IKE/IPSEC -> IKE-Schlüssel und Identitäten -> Bearbeite deine VPN-Verbindung und schau, ob dort lokale und entfernte Identitäten eingetragen sind.

ansonsten würde ich den Zugang und die Weiterleitungen komplett löschen und von vorn anfangen.

Habe mir nochmal deine Bilder angeschaut. Die sind von der Webconfig des Lancom, ich nutze ja lieber Lanconfig.
Dort den Assistenten aufrufen, den Zugang löschen (aber nur dein Client VPN)

BTW: Im Shrew-Client kannst du auch festlegen, welche Netzwerk-Ressourcen genutzt werden dürfen.
Wo genau kann ich das da machen?
Reiter Policy -> dort kannst du Remote Network Ressources einschließen und ausschließen
Mitglied: aPeuki
aPeuki 13.09.2018 um 06:35:52 Uhr
Goto Top
Zitat von @goscho:

ansonsten würde ich den Zugang und die Weiterleitungen komplett löschen und von vorn anfangen.

Das habe ich jetzt gemacht und auf einmal funktioniert es.

Ich danke dir vielmals.
Mitglied: goscho
goscho 13.09.2018 um 09:36:28 Uhr
Goto Top
Zitat von @aPeuki:

Zitat von @goscho:

ansonsten würde ich den Zugang und die Weiterleitungen komplett löschen und von vorn anfangen.

Das habe ich jetzt gemacht und auf einmal funktioniert es.
Das freut mich für dich.
Ich danke dir vielmals.
Dann markiere den Beitrag noch als gelöst.