superhoshi
Goto Top

VPN Verbindung zu neukonfiguriertem LANCOM 1811 Router

Hallo liebe Experten,

folgendes Problem stellt sich mir.

Wir mussten einen Lancom Router resetten, da das Kennwort nicht mehr bekannt war und der Zugang benötigt wurde.
Wir haben 2 feste IP Adressen, welche als Bsp: xxx.xxx.xxx.xxx und yyy.yyy.yyy.yyy sind.
xxx.xxx.xxx.xxx stellt Internet zur Verfügung und es sollen VPN Verbindungen da drüber laufen.
Internet funktioniert auch an den PCs.
Über yyy.yyy.yyy.yyy ist der Exchange erreichbar, diese IP wurde nur in der Port-Forwarding Tabelle mit den entsprechenden Ports angelegt. Funktioniert auch auf den Smartphones.

Bevor der Router resettet wurde, war es möglich, mit dem Shrewsoft VPN Client Verbindungen zum Router via xxx.xxx.xxx.xxx aufzubauen.
Diese Einstellungen sind alle noch 1 zu 1 im Shrewsoft VPN Client.
Ich kann diese gerne mal nennen:

Unter general:
Remote Host IP: xxx.xxx.xxx.xxx Port:500
AutoConfiguration: ike config pull
LocalHost: virtual adapter and assigned adress
MTU: 1380 ipadresse ist korrekt und fest vergeben, genau wie SubNetMask

Unter Client:
NAT Traversal: disabled
IKE Fragmentation: enabel
max. packet size: 540bytes
Bei Other Options sind alle 3 Optionen angehakt ( Dead peer detection, ISAKMP Failure Notification, Client Login Banner )

Unter Name Resolution
ist alles auf auto bzw. enable

Unter Authentication
Auth. Method: Mutual PSK
Local Identity und Remote Identity sind beide User Fully Qualified Domain Name mit einer Emailadresse als UFQDN String.
Credentials ist ein definierter PreSharedKey

Unter Phase1
Exchange Type: aggressive
DH Exchange: group 2
Cipher Algorithm: 3des
Hash Algorithm: md5
KeyLifeTime limit 56600 sec
Key Life Data limit: 0kb

Unter Phase2
Transform Algorithm esp-3des
HMAC Algorithm: md5
PFS Exchnage: group2
Compress Algorithm: disabled
KeyLifeTime limit 3600 sec
Key Life Data limit: 0kb

Unter Policiy
Policy Generation Level: auto
Haken bei Obtain Topology Automatically or Tunnel All


Über den Lancom Setup Wizard habe ich eine VPN Verbindung nach Anleitung von Shrewsoft angelegt.
Der Lancom ist somit eigentlich frisch eingerichtet und nur für Internet und Exchange konfiguriert.
Noch nichts großartig durcheinander konfiguriert.
Jeoch kommt keine Verbindung zustande:
attached to key daemon ...
peer configured
iskamp proposal configured
esp proposal configured
client configured
local id configured
remote id configured
pre-shared key configured
bringing up tunnel ...
negotiation timout occurred
tunnel disabled
detached from key daemon ...

Muss ich noch irgend einen Port irgendwo hinleiten? Der Lancom müsste doch eigentlich VPN komplett alleine verwalten ohne irgendwelche Ports an den Windows Server weiter zu leiten?
Vielleicht kennt sich ja jemand mit dem Client in Verbindung eines Lancom aus.
Habe etliche PDFs durchgearbeitet, jedoch ohne Erfolg.
Für jeglichen Tipp bin ich dankbar.

Gruss Superhoshi

Content-ID: 204724

Url: https://administrator.de/contentid/204724

Ausgedruckt am: 21.11.2024 um 21:11 Uhr

superhoshi
superhoshi 09.04.2013 um 23:48:18 Uhr
Goto Top
Nun kann ichmich Verbinden, jedoch werde ich nach 2-3 Sekunden wieder gekickt:

attached to key daemon ...
peer configured
iskamp proposal configured
esp proposal configured
client configured
local id configured
remote id configured
pre-shared key configured
bringing up tunnel ...
network device configured
tunnel enabled
session terminated by gateway
tunnel disabled
detached from key daemon ...
aqui
aqui 10.04.2013 aktualisiert um 09:07:44 Uhr
Goto Top
Da gibts vermutlich einen Proposal Mismatch ! Es sind auch diverse Ungereimtheiten in deiner Konfig:
  • Du schreibst (Zitat) "Der Lancom ist somit eigentlich frisch eingerichtet und nur für Internet und Exchange konfiguriert." Wie bitte soll denn da eine IPsec Verbindung stattfinden können wenn IPsec gar nicht aktiviert ist ?? Wenn dann muss das hier auch aktiviert sein mit den identischen Phase 1 und Phase 2 Credentials wie am Shrew !!
  • Der Shrew hat "NAT Traversal disabled" ! Das ist kontraproduktiv, denn dann wirst du mit einem VPN Client hinter einer NAT Firewall also z.B. an jedem Heimrouter oder Hotspot usw. keinerlei Möglichkeiten haben eine IPsec Verbindung aufzubauen, da IPsec nicht über NAT übertragen werden kann ohne NAT-T. Das sollte also sowohl am Client als auch am Router in den Peer Definitions aktiviert sein !
  • Falls der Lancom eine Firewall aktiv hat am WAN Port muss hier eingehend UDP 500, 4500 und ESP Protokoll erlaubt sein.
  • Unter Policy beim Client MUSS unter Level "require" stehen und "Maintain persistent..." muss angehakt sein ! Ob der Haken bei Obtain Topo auto..." sein muss hängt davon ab ob der Lancom die Policy dem Client senden kann. Alternativ Haken dort entfernen und das remote lokale Netzwerk und Maske am Lancom mit "Add" dort im Client Setup eintragen.

Eine entsprechend lauffähige Konfiguration zum Abtippen findest du auf der Shrew Seite:
https://www.shrew.net/support/Howto_Lancom
108012
108012 28.04.2013 um 03:10:27 Uhr
Goto Top
Hallo Superhoshi,

Hat man Dir hier geholfen? Dann hilf nun Du uns auch ein bisschen!

Hat sich der Beitrag erledigt?
Sollte er sogar gelöst worden sein wäre eine Mitteilung hierüber auch für uns alle interessant,
denn so ein Forum lebt nun einmal davon das andere Mitglieder die Suchfunktion benutzen und Ergebnisse vorfinden.

Gruß
Dobby