qualidat
Goto Top

Router-Router-VPN mit Lancom auf meiner Seite, bin überfordert

Ich soll hier für einen Kunden ein IPSec-VPN zwischen einem fremden
Router und dem hiesigen Lancom 1781 einrichten. Dazu habe ich folgende
eigene und fremde Angaben:

a) die eigene statische WAN-Adresse des hiesigen LANCOM sowie dessen
interne Netzwerkadresse

b) die statische WAN-IP-Adresse des Fremd-VPN-Gateways (Fabrikat mir
unbekannt)

c) die statische IP-Adresse des Routers im fremden VPN, ist eine andere
als unter b)

d) einen Pre-Shared Key

e) die Angabe: "Ike:pre-share-aes-256-sha" vom fremdem Admin

f) die Angabe: "Ipsec: ESP-AES-128-SHA" vom fremden Admin

Ziel ist es, dass der Lancom dann auf meiner Seite intern ein eigenes Subnet quasi
prallel zum vorhandenen "Standard"-Subnet fürs Surfen, Drucken usw. mit
"Durchgriff" in das Fremdnetz bereitstellt. Das zugehörige IP-Subnet ist
bereits angelegt.

Das Problem ist, dass ich natürlich das Lancom-Handbuch habe und lesen
kann, auch Google ... aber die in den Menüs des Lancom für
VPN-Einstellungen erforderlichen Eingaben sind mind. fünf mal
umfangreicher, als das, was mir in den genannten Punkten a-f zur
Verfügung steht. Ich habs schon mehrfach Schritt für Schritt versucht,
finde aber am Ende im Syslog immer nur "VPN Error ... IKE ... bla blubb
..." und natürlich keine Verbindung.

Erschwerend kommt hinzu, dass der hiesige LANCOM wegen mieser
Internet-Anbindung einen Load-Balancer mit zwei Vodafone-DSL und einem
UMTS-Anschluss betreibt. Wegen der erforderlichen festen Absender-IP
fürs VPN müsste noch eine spezielle Route angelegt werden, so dass die
VPN-Verbindung ausschließlich über einen der DSL-Anschlüsse mit der
festen IP läuft. Da weiss ich zwar im Prinzip, wie es geht (mit
Routing-Tags usw.), bin aber auch nicht sicher, ob es korrekt ist. Das
sind einfach zu viele Variablen für mich im Spiel.

Ausserdem wird in dem Netz der Firma nahezu rund um die Uhr intensiv mit
Mail und Web gearbeitet, was bei häufigen Fehlkonfigurationen und
Neustarts des Routers für "etwas gespannte Stimmung" sorgt ...

Gibts hier jemanden, der gegen eine zu vereinbarende
Aufwandsentschädigung, sich zutraut, die Verbindung über Teamviewer oder
RDP zum Laufen zu bringen? Muss aber wirklich ein Lancom-Spezi sein ...
Mitteilungen bitte per PM. Danke.

Content-ID: 325957

Url: https://administrator.de/contentid/325957

Ausgedruckt am: 25.11.2024 um 21:11 Uhr

Chonta
Chonta 10.01.2017 um 16:57:20 Uhr
Goto Top
Hallo,

wie das mit einem Separaten Netz auf Deiner Seite geht, kann ich Dir nicht sagen.
Allerdings kann ich sagen, das wenn man nicht die Assistenten vom 1781 verwendet, garnix funktioniert.

Vermutloch legt man im LANCOM erstmal ein neues NetzObjekt an dann den Assistenten für das VPN verwenden und als Ziel das Zusatznetz.
Die Frage ist, was bringt Dir das Zusatznetz?
Welche Dienste sollen wie bereitgestellt werden, oder von euch dort genutzt werden?

Gruß

Chonta
keine-ahnung
keine-ahnung 10.01.2017 um 17:35:22 Uhr
Goto Top
Moin,
Allerdings kann ich sagen, das wenn man nicht die Assistenten vom 1781 verwendet, garnix funktioniert.
bissgen übertrieben. Zumal die Assistenten IMHO nur für Lancom-Geräte auf beiden Seiten funktionieren face-smile.
die eigene statische WAN-Adresse des hiesigen LANCOM sowie dessen interne Netzwerkadresse
Die sind auf der Gegenseite aber auch bekannt - sonst wird das nie funktionieren?
Erschwerend kommt hinzu, dass der hiesige LANCOM wegen mieser Internet-Anbindung einen Load-Balancer mit zwei Vodafone-DSL und einem UMTS-Anschluss betreibt.
Klingt lustig, reicht der Durchsatz der DSL'ler überhaupt für die gewünschte Funktionalität des VPN?
was bei häufigen Fehlkonfigurationen und Neustarts des Routers für "etwas gespannte Stimmung" sorgt ...
Weswegen musst Du bei Fehlkonfigurationen den Router neu starten ... face-smile?
Hier und hier mal zwei Bsp. für die Einrichtung eines S2S-VPN zwischen Lancom und Fremd-Gateway.
Gibts hier jemanden, der gegen eine zu vereinbarende Aufwandsentschädigung, sich zutraut, die Verbindung über Teamviewer ... Muss aber wirklich ein Lancom-Spezi sein
Die besten LANCOM-Spezis sitzen bei ... Lancom face-wink. Warum lässt Du das nicht deren support versuchen?? Dann benötigst Du aber noch genaue Angaben zum gegnerischen gateway ...

LG, Thomas
Chonta
Chonta 11.01.2017 um 08:44:23 Uhr
Goto Top
bissgen übertrieben. Zumal die Assistenten IMHO nur für Lancom-Geräte auf beiden Seiten funktionieren
Naja ich hatte mir bei unserem Lancom 1781 gedacht, Wozu Assistenten, ich mach das an den Stellen selber.... Pustekuchen ging nicht.
Assistenten benutzt und es ging...
Hatte meine Einstellungne mit der des Assistenten verglichen, war gleich nur das von Hand nix so funktioniert hatte wie gedacht.
Wobei man auch sagen muss, das die Verschachtelung der menüs und einstellungen grausam ist, also Softwareergonomie hat da noch keiner was von gehöhrt....

Und über den Asstenten richte ich ja nur meine Seite ein, die Gegenstelle kann auch ne Sonicwall sein face-smile

Gruß

Chonta
qualidat
qualidat 06.02.2017 um 12:56:34 Uhr
Goto Top
Da Problem wurde nun ganz praktikabel gelöst: Der VPN-Partner hat einen eigenen vorkonfigurierten Cisco 806 bei uns aufgestellt. Damit ist das Ding in deren Wsrtung und Monitoring und der Fall ist erledigt. face-smile