Feb 14, 2019

17068

LANCOM bzw. NCP VPN Client Verbindungsprobleme

Hallo zusammen,
ich habe ein Problem mit dem LANCOM-VPN Client. Ich würde gerne von unterwegs in die Firma eine Verbindung aufbauen. Das funktioniert leider nicht in allen Netzwerken, in denen ich bin. Was mir aufgefallen ist, dass es wohl solche Netze sind, in denen kein ausgehender PING möglich ist. Ich habe zwar eine Internet-Verbindung, aber wenn ich auf der CMD 'ping 8.8.8.8' mache, bekomme ich nur "Zeitüberschreitung der Anforderung". Kann es sein, dass deshalb die VPN-Verbindung nicht klappt? Was kann ich tun, damit ich trotzdem einen VPN-Tunnel in die Firma kriege?

Das Log des VPN-Clients habe ich hier mal:

Pthru: Ip Address Change,index=202,IpAddress=10.241.69.129
System: DNSHandling=0
IPSec: Start building connection
IpsDial: Generate available provider links - media available is = 4000
IpsDial: Created the following list of provider links:
IPSec: AUTOMEDIA DETECT - found no working media type => trying again

Wenn ich einen anderen Internetanschluss (z.B. im Hotel) benutze, funktioniert die VPN-Verbindung. Ich vermute daher, dass es irgendwie mit dem seltsamen Ping-Verhalten zusammenhängt. hat einer eine Idee für mich, wie ich das VPN noch zum Laufen kriege?

Danke!

Peter

PS: Ich habe auch mal versucht, die Dead Peer Detection auszuschalten, das hat leider nichts gebracht...

Please also mark the comments that contributed to the solution of the article

Content-Key: 417703

Url: https://administrator.de/contentid/417703

Printed on: April 26, 2024 at 13:04 o'clock

14 Comments

Latest comment

Guten Abend

Kannst du auf dem LANCOM-Router, der die Einwahl entgegennimmt, mitschneiden, ob die Aushandlung von Phase 1 überhaupt stattfindet?

Dass die Deaktivierung von DPD nix bringt, ist logisch. DPD hat nix mit dem Verbindungsaufbau zu tun. https://www.lancom-systems.de/docs/LCOS/referenzhandbuch/topics/aa115232 ...

Gruß Mikro

Hallo,

Zitat von @eglipeter:
ich habe ein Problem mit dem LANCOM-VPN Client.

Version? Dein OS ist eine scheibe Marmalade Brot? Oder dürfen wir es uns selbst aussuchen? Wekche Version hat dein OS falla es Windows 19 sein sollte?

Ich würde gerne von unterwegs in die Firma eine Verbindung aufbauen.

Mit dein GPRS Handy oder ein Smartes Phone als IOS, Android, Windows Mobile, Schlepptop, Notenbuch oder was?

Das funktioniert leider nicht in allen Netzwerken

Soll das heissen das es in EPLus geht, aber in D1 bzw. D2 oder was sollen wir uns vorstellen?

Was mir aufgefallen ist, dass es wohl solche Netze sind, in denen kein ausgehender PING möglich ist.

Das ist mit sicherheit eine nebenwirkung des verwendeten Netzes und hat nichts miteinander zu tun. Ping ist das ICMP Protokoll, und VPN nutzt ganz was anderes. Und ja, man kann ICMP blockiren und trotzdem VPN machen oder nur halt Surfen /Http und Https) und Mailen. Es kommt nicht nur auf dein Netz (EPLus, D2, D1) drauf an sondern auch auf den evtl Admin deines WLAN Netzes was wo eingestellt wurde.

Ich habe zwar eine Internet-Verbindung, aber wenn ich auf der CMD 'ping 8.8.8.8' mache, bekomme ich nur "Zeitüberschreitung der Anforderung".

ICMP ist gesperrtt. Webseiten lassen sich aber aufrufen?

Kann es sein, dass deshalb die VPN-Verbindung nicht klappt?

Nein.

Was kann ich tun, damit ich trotzdem einen VPN-Tunnel in die Firma kriege?

Deine Firma nutzt bzw. bekommt eine IPv4 (feste IP oder Dynamische), du kennst diese IP bzw. den Namen die dein Router hat? Du nutzt von Unterwegs eine IPv6? Das kann nicht funktionieren. Entweder haben beide eine IPv4 oder beide nutzten eine IPv6. Ein Mischen ist ohne zusätzlichen Aufwand (z.B. zusätzlichen Anbieter) und evtl. gerätschaften nicht möglich. Das erklärt aber nicht dein "Ich kann nicht pingen".

Pthru: Ip Address Change,index=202,IpAddress=10.241.69.129

OK, hier ist es eine IPv4 gewesen.

Wenn ich einen anderen Internetanschluss (z.B. im Hotel) benutze, funktioniert die VPN-Verbindung. Ich vermute daher,

Nicht Vermuten.

dass es irgendwie mit dem seltsamen Ping-Verhalten zusammenhängt.

Nein, hat es nicht. Das sind zwei komplett verschiedene sachen.
In Hotels nutzt du ausschließlich WLAN welches vom Hotel betreitgestellt wird?

Gruß,
Peter

Vielen Dank für die Antwort. Tut mir leid, dass ich diese Infos nicht gleich dazugepackt habe. Also es handelt sich um einen Windows 10 Enterprise 1809 Laptop und die Verbindung soll über einen WLAN-Hotspot aufgebaut werden. Der LANCOM-VPN-Client hat die Version 4.14. Ein Zugriff auf das Webinterface des LANCOM-Routers ist möglich per HTTPS über das Internet auch dann, wenn der VPN-Verbindungsversuch fehlschlägt. Die IP ist eine IPv4, die der Router hat. Webseiten lassen sich normal aufrufen.

Bezüglich des Mitschneidens der Pakete am Router bin ich im Moment etwas aufgeschmissen, da ich nicht in der Firma bin. Das werde ich sobald wie möglich versuchen.

Zitat von @eglipeter:

Vielen Dank für die Antwort. Tut mir leid, dass ich diese Infos nicht gleich dazugepackt habe. Also es handelt sich um einen Windows 10 Enterprise 1809 Laptop und die Verbindung soll über einen WLAN-Hotspot aufgebaut werden. Der LANCOM-VPN-Client hat die Version 4.14. Ein Zugriff auf das Webinterface des LANCOM-Routers ist möglich per HTTPS über das Internet auch dann, wenn der VPN-Verbindungsversuch fehlschlägt. Die IP ist eine IPv4, die der Router hat. Webseiten lassen sich normal aufrufen.

Bezüglich des Mitschneidens der Pakete am Router bin ich im Moment etwas aufgeschmissen, da ich nicht in der Firma bin. Das werde ich sobald wie möglich versuchen.

Ich hoffe für eure IT, dass das nicht der Standardport ist, auf dem das Web-Interface auf der WAN-Seite erreichbar ist. Noch besser wäre es, wenn der Zugriff über WAN nur durch den VPN-Tunnel möglich ist.

WLAN-Hotspot? Internetseiten sind aufrufbar, wenn du mit dem Hotspot verbunden bist?

Euer Router ist über https auf der WAN-Seite erreichbar ohne VPN, so liest es sich. Im schlimmsten Falle kannst du somit auf der WAN-Seite auch mitschneiden, insofern die Zugangsdaten bekannt sind.

Das funktioniert leider nicht in allen Netzwerken, in denen ich bin.

Das ist auch jedem Netzwerker klar, denn viele diser Netze arbeiten mit privaten RFC 1918 IP Adressen, die dann ein NAT (IP Adress Translation) erzwingen.
Lancom nutzt IPsec als VPN Protokoll mit ESP als Transport Tunnel (IP Protokoll 60) Es ist aber nicht trivial ESP über NAT zu übertragen und viele Billigrouter die in einigen Netzen aktiv sind scheitern daran, da das Session Caching nicht oder nur halb funktioniert.
Ganz besonders wenn das VPN ohne NAT Traversal Support konfiguriert wurde.
Ob das auf eurem Lancom Router und Client entsprechend eingerichtet ist (und das sollte es) teilst du uns ja leider nicht mit und deshalb können wir hier nur im freien Fall raten und spekulieren.

All das ist für eine fehlerfreie Funktion wichtig.
Ggf. macht es auch Sinn mal einen alternativen IPsec VPN Client zu probieren wie den allseits bekannten und kostenfreien Shrew Client:
https://www.shrew.net/download
LANCOM 884 VoIP VPN Zugang mit Shrew VPN realisieren
Oder man benutzt gar keinen Extra Client mehr und macht es ganz einfach mit den simplen Bordmitteln was immer das Sinnvollste ist:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten

... wir haben die gleichen Erfahrungen. Nutzen Bintec und IPSEC. VPN-Zugang von extern geht in manchen WLANs, in anderen nicht. Haben daher entweder LTE über eingebaute Karte im Notebook oder Tethering übers Firmenhandy als Ersatzoptionen für unsere Kollegen.

LTE ist meistens auch kontraproduktiv, denn die meisten der neuen LTE Netze nutzen wegen der allumfassenden IPv4 Adress Knappheit alle private RFC 1918 IP Adressen mit CGN oder DS-Lite. Gerade was die Billigheimer unter den Providern wie O2 oder deren Wiederverkäufer usw. anbetrifft. Da kommt man dann vom Regen in die Traufe.

Mit einem SSL basierten VPN wie z.B. OpenVPN könnte man generell diese Probleme umgehen da es sich problemlos im NAT Umfeld einsetzen lässt.
Dazu braucht man aber den richtigen Router oder Firewall wie z.B. die o.g. pfSense oder OpenSense Firewall die mehrere VPN Protokolle gleichzeitig supportet

Vielen Dank für die Kommentare hierher. Ich werde wahrscheinlich am Montag einmal die Möglichkeit haben, die Traces des Verbindungsversuches mitzuschneiden. In der Konfiguration des VPNs ist NAT-Traversal aktiviert, auch IPSEC-over-HTTPS ist aktiv. Bei der Verbindung handelt es sich um eine IKEv2-Verbindung. Und keine Sorge, das HTTPS-Webinterface lässt sich nicht verwenden per WAN, da meldet er schon Forbidden.

Ich habe bisher den VPN-Client sehr wohl aus anderen Netzen heraus verwendet, die auch NAT auf IPv4-Ebene machen. da hat es funktioniert. Darum eben meine Vermutung, dass es mit dem Ping zusammenhängt. Doch das ist ja geklärt, dass dies nichts miteinander zu tun hat.

Zitat von @eglipeter:

Und keine Sorge, das HTTPS-Webinterface lässt sich nicht verwenden per WAN, da meldet er schon Forbidden.

HTTP 403 Forbidden heißt nur, dass du keine gültigen Anmeldedaten hinterlegt hast. Wäre https auf WAN-Seite ausgeschalten, würde die Loginmaske gar nicht kommen.

da hat es funktioniert.

Es hängt eben immer von der Router Hardware ab wie die mit ESP umgehen können.

Darum eben meine Vermutung, dass es mit dem Ping zusammenhängt.

Nein, wie schon gesagt, ganz sicher nicht.
Ping ist ICMP und IPsec eben ESP mit UDP 500 und 4500. Zwei völlig verschiedene Baustellen die rein gar nix miteinander zu tun haben.

Vielen Dank für die Klarstellung mit dem PING. Das hat mich dazu bewogen, mich mal näher mit dem IPSEC-Protokoll auseinanderzusetzen. Nun verstehe ich das ganze besser. Eine Lösung für mein Problem habe ich auch gefunden: das IPSEC-over-HTTPS lässt sich nämlich im VPN-Client erzwingen (siehe https://www2.lancom.de/kb.nsf/fe78f8220e112ac5412569eb0032ecb0/dd265db33 ..).

Zitat LANCOM:
IPsec over HTTPs beim Advanced VPN Client erzwingen:
Wenn es erforderlich ist, dass der Advanced VPN Client sich immer via IPsec over HTTPS verbinden soll, muss im Profil des Clients, folgendes eingestellt werden :
In Ihrem Profil unter Erweiterte IPsec-Optionen den Punkt UDP Encapsulation anklicken und den Port auf den Wert 444 setzen.

Unklar ist mir weiterhin, warum das der VPN-Client nicht automatisch selbst erkannt habe. Laut LANCOM sollte es ja eigentlich so sein, dass der Client automatisch auf den IPSEC-over-HTTPS-Modus wechselt, wenn der "direkte" IPSEC-Aufbau fehlschlägt....

UPDATE: Neuer, funktionierender Link: http://www2.lancom.de/kb.nsf/1275/3071EF5CF29C9690C12583A700389376?Open ...
Die KB von LANCOM ist mal wieder etwas unzuverlässig was Links angeht, die man über Google gefunden. Wie so vieles bei LANCOM in letzter Zeit...
Zur Vorsicht daher mal als archivierter Link: https://web.archive.org/web/20190221151312/https://www2.lancom.de/kb.nsf ...

Hallo,

Zitat von @eglipeter:
das IPSEC-over-HTTPS lässt sich nämlich im VPN-Client erzwingen (siehe ~~https://www2.lancom.de/kb.nsf/fe78f8220e112ac5412569eb0032ecb0/dd265db33 ...~~).

~~Link ist tot Fehler 404~~

Gruß,
Peter

Zitat von @Pjordorf:

Hallo,

Zitat von @eglipeter:
das IPSEC-over-HTTPS lässt sich nämlich im VPN-Client erzwingen (siehe https://www2.lancom.de/kb.nsf/fe78f8220e112ac5412569eb0032ecb0/dd265db33 ..).

Link ist tot Fehler 404

Gruß,
Peter

Ich nehme an, er meint die Option.

Gruß Mikro

Ich habe einen neuen Link einmal in meinen Post reinkopiert. Irgendwie sind Links in die KB, die man über Google gefunden hat, nicht sehr zuverlässig. Wie so vieles bei LANCOM in letzter Zeit krankt (v.a. WLAN bei Apple-Geräten...)

German solved Question Networks