Lancom VPN Zugang legt DHCP lahm
Guten Morgen,
gestern habe ich bei unserem Lancom 1793VA-4G über den LANconfig Setup Assistenten einen VPN Zugang erstellt. (Einwahl-Zugang RAS/VPN) Der Zugang wurde über IKEv2 mit 1-Click-VPN über die feste IP des Routers konfitguriert. IP Bereich wurde von 192.168.111.1 - 192.168.111.254 festgelegt. Erster Nameserver war zuerst der DC mit der IP 192.168.111.11, einen zweiten Versuche habe ich auch mit der 192.168.111.1 versucht. (1 = Lancom Router)
Am Client wurde der Zugang über den Lancom Client eingerichtet, also einfach die Import-Datei eingelesen und lief sofort. Der Zugang hat sofort funktioniert, DNS hat noch nicht funktioniert, das war aber noch das kleinrere Problem.
Sobald der VPN Zugang eingerichtet ist, egal ob aktiv genutzt oder nicht genutzt hat der Router ein Problem. Der Router selbst fällt regelmäßig aus bei der Pingüberwachung, die Windows Clients im Netzwerk und auch WLAN Geräte bekommen keine IP Adresse mehr. (DHCP erledigt der Lancom)
Der Lancom VA-4G Router hängt an einem 100er DSL der Telekom mit einer Simkarte als Backup für Internet und Telefonie.
Kennt jemand dieses Problem oder hat eine Idee woran das liegen könnte?
gestern habe ich bei unserem Lancom 1793VA-4G über den LANconfig Setup Assistenten einen VPN Zugang erstellt. (Einwahl-Zugang RAS/VPN) Der Zugang wurde über IKEv2 mit 1-Click-VPN über die feste IP des Routers konfitguriert. IP Bereich wurde von 192.168.111.1 - 192.168.111.254 festgelegt. Erster Nameserver war zuerst der DC mit der IP 192.168.111.11, einen zweiten Versuche habe ich auch mit der 192.168.111.1 versucht. (1 = Lancom Router)
Am Client wurde der Zugang über den Lancom Client eingerichtet, also einfach die Import-Datei eingelesen und lief sofort. Der Zugang hat sofort funktioniert, DNS hat noch nicht funktioniert, das war aber noch das kleinrere Problem.
Sobald der VPN Zugang eingerichtet ist, egal ob aktiv genutzt oder nicht genutzt hat der Router ein Problem. Der Router selbst fällt regelmäßig aus bei der Pingüberwachung, die Windows Clients im Netzwerk und auch WLAN Geräte bekommen keine IP Adresse mehr. (DHCP erledigt der Lancom)
Der Lancom VA-4G Router hängt an einem 100er DSL der Telekom mit einer Simkarte als Backup für Internet und Telefonie.
Kennt jemand dieses Problem oder hat eine Idee woran das liegen könnte?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 557997
Url: https://administrator.de/forum/lancom-vpn-zugang-legt-dhcp-lahm-557997.html
Ausgedruckt am: 27.12.2024 um 10:12 Uhr
11 Kommentare
Neuester Kommentar
Moin,
Nee, Dich kenne ich nicht Aber das hier würde ich nochmal überdenken:
Gruß
cykes
Nee, Dich kenne ich nicht Aber das hier würde ich nochmal überdenken:
IP Bereich wurde von 192.168.111.1 - 192.168.111.254 festgelegt. Erster Nameserver war zuerst der DC mit der IP 192.168.111.11, einen zweiten Versuche habe ich auch mit der 192.168.111.1 versucht. (1 = Lancom Router)
IP-Bereich anpassen, dann sollte es funktionieren.Gruß
cykes
Richtig !
Der Bereich bezeichnet das interne Client VPN IP Netz. Den dann genau in den Bereich des lokalen LANs zu legen ist natürlich Quatsch und bewirkt das es dieses IP Netz doppelt gibt. Ein fataler Fehler im IP Adressdesign das vorgibt das IP Netze immer einzigartig zu sein haben. Logisch, denn sonst wäre eine eindeutige Wegefindung im Layer 3 ja technisch völlig unmöglich !
Hier darf man folglich nur IP Netze verwenden die nirgends im gesamten IP Netz verwendet werden. Es empfiehlt sich auch dringenst hier aus guten Gründen etwas Exotisches aus dem RFC1918 Bereich zu nehmen ! Siehe dazu auch HIER.
Als Beispiel siehst du diese Einstellung des Client IP VPN Netzes mal am Beispiel einer pfSense/OPNsense Firewall:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Mit IKEv2 musst du übrigens keine externen VPN Clients mehr verwenden, denn das können auch alle onboard VPN Clients:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Der Bereich bezeichnet das interne Client VPN IP Netz. Den dann genau in den Bereich des lokalen LANs zu legen ist natürlich Quatsch und bewirkt das es dieses IP Netz doppelt gibt. Ein fataler Fehler im IP Adressdesign das vorgibt das IP Netze immer einzigartig zu sein haben. Logisch, denn sonst wäre eine eindeutige Wegefindung im Layer 3 ja technisch völlig unmöglich !
Hier darf man folglich nur IP Netze verwenden die nirgends im gesamten IP Netz verwendet werden. Es empfiehlt sich auch dringenst hier aus guten Gründen etwas Exotisches aus dem RFC1918 Bereich zu nehmen ! Siehe dazu auch HIER.
Als Beispiel siehst du diese Einstellung des Client IP VPN Netzes mal am Beispiel einer pfSense/OPNsense Firewall:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Mit IKEv2 musst du übrigens keine externen VPN Clients mehr verwenden, denn das können auch alle onboard VPN Clients:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Auch das
Gruß
cykes
Zitat von @hukiman:
Habe jetzt den IP Bereich 192.168.255.1 bis 192.168.255.254 ausgewählt, so funktioniert es ohne Probleme.
würde ich nochmal überdenken Habe jetzt den IP Bereich 192.168.255.1 bis 192.168.255.254 ausgewählt, so funktioniert es ohne Probleme.
Gruß
cykes
den IP Bereich 192.168.255.1 bis 192.168.255.254 ausgewählt,
Na ja was soll man hier erwarten wenn der TO schon an so banalen Dingen wie einer einfachen IP Adressierung scheitert und auch nicht einmal trotz wohlgemeinter Hilfestellung etwas intelligent Exotisches auswählen kann. Vermutlich weiss er dann auch nicht das 255er mit allen Adressbits auf "1" immer Broadcasts sind und diese Wahl dann fast so unintelligent wie die doppelte IP Adressvergabe...aber egal.
Warum man auch immer nur an den dümmlichen 192.168er IPs kleben muss zumal es auch noch massig 172.16-32.er gibt erschliesst sich auch nicht. Wie gesagt...egal. Wenns nun geht ist ja auch alles gut...
Case closed !
Wie kann ich einen Beitrag als gelöst markieren?
Kannst du auch in IPv4 => Adressen => Nameserver-Adressen eintragen, dann wird es automatisch übermittelt.
@NordicMike: Für eine .255 oder .0 muss es nicht ein /16-Netz sein. Selbst bei /23 kann man es teilweise nutzen. Ebenso bei /31 und /32.
.255 im zweiten und dritten Oktet geht immer. Eine IPv4-Adresse besteht ja aus vier Okteten. Wenn man eine Host-IP mit 255 im ersten Oktet einträgt, erzeugt man dagegen ein schwarzes Loch und alle Routingtabellen im Internet werden unwiderruflich gelöscht. Subnet Zero war ja früher auch mal eine Sache, der man heute keinerlei Beachtung schenken muss.
@NordicMike: Für eine .255 oder .0 muss es nicht ein /16-Netz sein. Selbst bei /23 kann man es teilweise nutzen. Ebenso bei /31 und /32.
.255 im zweiten und dritten Oktet geht immer. Eine IPv4-Adresse besteht ja aus vier Okteten. Wenn man eine Host-IP mit 255 im ersten Oktet einträgt, erzeugt man dagegen ein schwarzes Loch und alle Routingtabellen im Internet werden unwiderruflich gelöscht. Subnet Zero war ja früher auch mal eine Sache, der man heute keinerlei Beachtung schenken muss.