VPN Problem mit Lancom und Unifi USG

Mitglied: FFSephiroth

FFSephiroth (Level 1) - Jetzt verbinden

05.03.2021 um 08:30 Uhr, 504 Aufrufe, 2 Kommentare

Guten Morgen,

vorab als Info: Der Kunde wollte die Konfiguration so und daran lässt sich auch nichts ändern.

Ist-Situation:

Lancom Router (Modell hab ich grad nicht im Kopf) der die Verbindung zum Internet herstellt. Daran ist eine Telefonanlage (auf die die Telekom Zugriff braucht) und ein Unifi USG angeschlossen.

Am USG dann der Rest vom Netz.

IP-Kreis des Lancom ist 10.0.70.0/24, der vom USG 10.0.6.0/24. Lancom Router wurde von der Telekom als "Exposed Host" eingerichtet und fast alle Ports werden an das USG weitergeleitet. Das USG hat die IP 10.0.70.124 am WAN, der Router 10.0.70.1. Die Telekom kann das USG vom Router aus anpingen in dich den Router aus dem 10.0.6.0er Netz auch. Ja, ich weiß...doppeltes NAT ist sche...
Jetzt ergibt sich folgendes Problem:
Ich soll mit Windows Bordmitteln ein VPN aufbauen. Auf dem USG ist bereits alles eingerichtet (Radius Server, Benutzer, Shared Secret etc. Läuft als L2TP/IPSec). Die Telekom hat dann auf dem Router beobachtet, dass die Pakete vom Router an das USG weitergeleitet werden und auch vom USG beantwortet werden. Aber es passiert nix. Ich bekomm nur die Meldung die Netzwerkverbindung zwischen dem Computer und dem VPN-Server nicht hergestellt werden konnte, da der Remoteserver nicht antwortet. Das Verbindungsproblem wir möglicherweise verursacht, weil eines der Netzwerkgeräte (Firewall/NAT/Router) zwischen Ihrem Computer und dem Remoteserver nicht für das Zulassen von VPN-Verbindungen konfiguriert ist.
Laut Telekom geht die Antwort vom USG an den Router, aber der scheint die Antwort nicht ins WWW weiterzugeben..

Irgendwelche Ideen?

Danke schon mal
Mitglied: aqui
05.03.2021, aktualisiert um 09:26 Uhr
Arbeiten beide Geräte in einer Router Kaskade ? Wenn ja sagt der Fehler "der Remoteserver nicht antwortet." immer klar das die L2TP Ports (UDP 500, UDP 4500, UDP 1702 und das ESP Protokoll) nicht oder nur unvollständig vom davor kaskadierten Router geforwardet werden.
Das ist sehr gut möglich, denn der Lancom ist selber ja auch aktiver VPN Router. Die VPN Clients haben in einer Kaskade ja immer die Lancom IP als VPN Zieladresse und der Lancom wird vermutlich diesen Traffic als an ihn gerichtet intepretieren und nicht forwarden. Du musst also zuerst sicher checken das wirklich alle IPsec Funktionen auf dem Lancom deaktiviert sind und explizit die obigen L2TP Ports dort geforwardet werden an die dahinter kaskadierte USG. Viel sinnvoller wäre das VPN auf dem Lancom zu termieren, das würde diese unsägliche Frickelei mit der Kaskade überflüssig machen. Aber egal, warum einfach machen...
Details dazu findest du, wie immer, auch HIER.

Dann strategisch vorgehen:
Um das wasserdicht zu verifizieren das das Port Forwarding der L2TP VPN Ports auf dem Lancom Router davor sauber klappt, stöpselst du die USG ab und stattdessen einen Wireshark PC mit gleicher IP an. Dann startest du eine L2TP Session von einem remoten Rechner und checkst ob diese L2TP Requests sauber am Wireshark ankommen.
Idealerweise überprüfst du mit diesem L2TP Client, der dann im 10.0.70er Koppelnetz angeschlossen ist, zusätzlich auch den sauber funktionierenden L2TP Zugriff auf die USG.
Damit hast du dann sichergestellt das a.) das Port Forwarding sauber klappt und b.) der L2TP VPN Zugriff sauber klappt.
Du kannst dann sicher sein das dann auch der L2TP VPN Zugriff produktiv sauber klappt !
Bitte warten ..
Heiß diskutierte Inhalte
Sicherheit
Verpackter Laptop entwendet
r0x3llVor 1 TagFrageSicherheit11 Kommentare

Hallo. Mir wurde aus dem Büro ein noch verpackter Dell XPS Laptop mit einem Wert von ca 3.500€ gestohlen. Kann man da was orten? ...

Off Topic
Wie sieht eine korrekte IT-Organisation aus?
imebroVor 16 StundenFrageOff Topic17 Kommentare

Hallo, da unser IT-Verantwortlicher ja vor einem Jahr gehen musste, stelle ich mir die Frage, wie denn eine korrekte IT-Organisation überhaupt aussehen muss. Zur ...

LAN, WAN, Wireless
2x Fritzbox 7590 mit separatem DSL über WAN verbinden
gelöst FailixVor 1 TagFrageLAN, WAN, Wireless19 Kommentare

Liebes Administrator Forum, Ich bin schon länger passiver Lese und habe mich jetzt entschlossen mit einer Frage den ersten Post hier zu schreiben. Über ...

LAN, WAN, Wireless
Cat 7 Patchkabel mit nur 11MBits im Download
gelöst RickHHVor 1 TagFrageLAN, WAN, Wireless7 Kommentare

Moin zusammen, ich habe mir soeben ein paar Patchkabel (aus einem Cat 7 Kabel) fertig gemacht. Die Belegung ist: 1 weiß/grün 2 grün 3 weiß/orange 4 blau 5 weiß/blau ...

DNS
Network Scanner zeigt falschen Hostname an
gelöst vafk18Vor 1 TagFrageDNS10 Kommentare

Ich habe in meinem Netzwerk 3 Fritzboxen im Betrieb. Die Fritzboxen haben in den Einstellungen als Namen "fb7270", "fb7369" und "fb7412". Jede Fritzbox hat ...

Windows 10
Windows 10 keine Eingabegeräte mehr erkannt - Anmelden nicht möglich
akira2012Vor 1 TagFrageWindows 108 Kommentare

Hallo Zusammen! Ich habe hier einen Windows 10 Rechner. Er bootet ganz normal aber nach dem hochfahren, werden die Eingabegeräte nicht mehr erkannt. Weder ...

Notebook & Zubehör
Funktionieren keine USB-DVD-RW an Surfaces?
StefanKittelVor 18 StundenFrageNotebook & Zubehör14 Kommentare

Hallo, ein Kunde von mir hat ein Surface Pro. Wenn er ein USB-DVD-RW-Laufwerk an die Dockingstation anschliesst funktioniert es nicht. - Es bekommt Strom ...

LAN, WAN, Wireless
Router der mehrere VLANs per WLAN empfangen kann?
gelöst Rainer117Vor 1 TagFrageLAN, WAN, Wireless4 Kommentare

Hallo zusammen, ich bin auf der Suche nach einem Router, der mehrere SSIDs (ursprünglich getrennte VLANs) über WLAN empfangen kann und dann per LAN ...