Hallo Leute!
Ich sitze hier mit einem kleinen Problem, dass ich nicht gelöst bekomme. Wir setzen in der Firma zum Warten von Kundenrechnern den NCP-Client ein - also zum Einwählen in die Kundennetze via VPN.
Im Normalfall haben alle unsere Kunden einen Lancom (z.B. 1711 VPN) und wir auch, sodass die Einwahl in der Firma von meinem Laptop auf problemlos klappt.
Nun wollte ich hier daheim auch einem Kunden schnell helfen, nur komme ich nicht auf sein Netzwerk. Der NCP-Client baut zawr eine Verbindung auf, aber es werden durch den Tunnel keine Daten übertragen. Ich habe hier ein Netzwerk stehen, in dem ein Windows 2003 Server die DSL Einwahl und das Routing übernimmt. Baut der Server die VPN auf, kann ich in die Netzwerke rein, nur eben nicht wenn der NCP Client vom Laptop das tut.
Ich habe in der Firewall die Ports 500 und 4500 auf den Laptop gewiesen, aber alles ohne Erfolg. Was mache ich falsch? Ich denke mal irgendwas am NAT muß noch eingestellt werden... Leider ist Routing nicht meine Stärke.
Ich bin für jede Hilfe dankbar.
Gruß, Thomas!
NCP Client hinter nem Win2003 Server
Moderator: Lancom-Systems Moderatoren
Hi Tom7608
Wenn die Gegenseite kein NAT-T versteht, dann hilft dir der Port 4500 nicht weiter. Stattdesen müßtest du ESP (IP-Protokoll 50) an den Laptop weiterleiten - nur wage ich zu bezweifeln daß der W2K3 dass kann.
Gruß
Backslash
Die Frage ist hier: versteht die Gegenseite NAT-Traversal? Du sagtest, die Kunden hätten ein LANCOM - also solltest du auf dem LANCOM auch NAT-Traversal aktivieren (das ist defaultmäßig deaktiviert)Ich habe in der Firewall die Ports 500 und 4500 auf den Laptop gewiesen, aber alles ohne Erfolg
Wenn die Gegenseite kein NAT-T versteht, dann hilft dir der Port 4500 nicht weiter. Stattdesen müßtest du ESP (IP-Protokoll 50) an den Laptop weiterleiten - nur wage ich zu bezweifeln daß der W2K3 dass kann.
Gruß
Backslash
Hallo!
Da ich von der Firma aus die Verbindung problemlos nutzen kann, gehe ich davon aus, dass der Lancom Router beim Kunden die Pakete richtigt handelt.
Situation in der Firma:
-------------------------
Laptop mit LANCOM LANCOM
NCP-Client -LAN-> Router =Internet=> Router -LAN-> Kunden
als VWWare 1711 VPN 1711 VPN PC
Situation zu Hause:
----------------------
Laptop mit Windows LANCOM
NCP-Client -LAN-> Server 2003 =Internet=> Router -LAN-> Kunden
als VWWare via RAS/Routing 1711 VPN PC
Der geänderte Teil in der Verbindnug ist ja demnach echt nur der Zugansserver / Router ins Internet auf meiner Seite. In allen Netzen läuft DHCP.
Gruß, Thomas!
Da ich von der Firma aus die Verbindung problemlos nutzen kann, gehe ich davon aus, dass der Lancom Router beim Kunden die Pakete richtigt handelt.
Situation in der Firma:
-------------------------
Laptop mit LANCOM LANCOM
NCP-Client -LAN-> Router =Internet=> Router -LAN-> Kunden
als VWWare 1711 VPN 1711 VPN PC
Situation zu Hause:
----------------------
Laptop mit Windows LANCOM
NCP-Client -LAN-> Server 2003 =Internet=> Router -LAN-> Kunden
als VWWare via RAS/Routing 1711 VPN PC
Der geänderte Teil in der Verbindnug ist ja demnach echt nur der Zugansserver / Router ins Internet auf meiner Seite. In allen Netzen läuft DHCP.
Gruß, Thomas!
Hi Tom7608
Wenn im LANCOM aber NAT-T deaktiviert ist - und das ist es im Auslieferungszustand - dann funktioniert ein VPN-Tunnel nur durch NAT-Router, die IPSec-Passthrough beherrschen - was ich beim W2K3 einfach mal bezweifle.
Schalte also am LANCOM das NAT-T ein und versuche es erneut...
Gruß
Backslash
Das habe ich auch nie bezweifelt. Aber:Da ich von der Firma aus die Verbindung problemlos nutzen kann, gehe ich davon aus, dass der Lancom Router beim Kunden die Pakete richtigt handelt.
Wenn im LANCOM aber NAT-T deaktiviert ist - und das ist es im Auslieferungszustand - dann funktioniert ein VPN-Tunnel nur durch NAT-Router, die IPSec-Passthrough beherrschen - was ich beim W2K3 einfach mal bezweifle.
Schalte also am LANCOM das NAT-T ein und versuche es erneut...
Gruß
Backslash
Okay, du hast Recht gehabt. Nachdem ich nun mal die Chance hatte den Kundenrouter zu konfigurieren, geht es. Du hattest Recht, dass NAT-T war noch deaktiviert und nach dem Einschalten kann ich den Tunnel voll nutzen.
Also danke und sorry für mein Zweifeln, aber Routing ist nicht so ganz meine Welt - gerade wenn IP-Sec beteiligt ist.
Gruß, Thomas!!!
Also danke und sorry für mein Zweifeln, aber Routing ist nicht so ganz meine Welt - gerade wenn IP-Sec beteiligt ist.
Gruß, Thomas!!!