UF-200 IPSec VPN mit NAT Bug

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

MDCYP
Beiträge: 187
Registriert: 22 Okt 2015, 11:31
Wohnort: Dortmund

UF-200 IPSec VPN mit NAT Bug

Beitrag von MDCYP »

Hi,

wir haben eine UF-200 mit aktuellerster Firmware - leider gibt es einen Bug bei hide nat bei VPN Verbindunden.
Kann es mal jemand reproduzieren?
IPSec Verbindung und dann mit einer Hide-NAT IP z.b. 10.20.9.99 alles in das VPN Netz natten aus einem der LAN Netze 192.168.1.100 oder so.
tstimper
Beiträge: 955
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: UF-200 IPSec VPN mit NAT Bug

Beitrag von tstimper »

MDCYP hat geschrieben: 13 Mär 2023, 12:34 Hi,

wir haben eine UF-200 mit aktuellerster Firmware - leider gibt es einen Bug bei hide nat bei VPN Verbindunden.
Kann es mal jemand reproduzieren?
IPSec Verbindung und dann mit einer Hide-NAT IP z.b. 10.20.9.99 alles in das VPN Netz natten aus einem der LAN Netze 192.168.1.100 oder so.
Hi,

ich habe eine UF-300, mit der ich testen könnte, verstehe Deine Anforderung nicht ganz.
Also was geht nicht? und funktioniert es mit einer älteren UF Firmware?

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
MDCYP
Beiträge: 187
Registriert: 22 Okt 2015, 11:31
Wohnort: Dortmund

Re: UF-200 IPSec VPN mit NAT Bug

Beitrag von MDCYP »

Hi,

also ich möchte von Netzwerk 1 ( 192.168.100.x) via IPSec auf host 12.13.14.16/32 zugreifen, dafür möchte ich dort mit der Hide NAT IP 10.12.14.15/32 aufschlagen.
Das funktioniert nicht.
Ältere UFs hab ich nicht.
MDCYP
Beiträge: 187
Registriert: 22 Okt 2015, 11:31
Wohnort: Dortmund

Re: UF-200 IPSec VPN mit NAT Bug

Beitrag von MDCYP »

@tsimper konntest mal testen?
tstimper
Beiträge: 955
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: UF-200 IPSec VPN mit NAT Bug

Beitrag von tstimper »

MDCYP hat geschrieben: 16 Mär 2023, 11:14 @tsimper konntest mal testen?
noch nicht ...

Ich baue meine UF-300 grad um an ein neues Public Netz, muss heute fertig werden, also, könnte ich morgen testen :-)

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
MDCYP
Beiträge: 187
Registriert: 22 Okt 2015, 11:31
Wohnort: Dortmund

Re: UF-200 IPSec VPN mit NAT Bug

Beitrag von MDCYP »

@tsimper cool - alles geschafft?
tstimper
Beiträge: 955
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: UF-200 IPSec VPN mit NAT Bug

Beitrag von tstimper »

MDCYP hat geschrieben: 20 Mär 2023, 12:48 @tsimper cool - alles geschafft?
ja, fertig, am liebsten wäre mir, wir schauen uns das mal zusammen an.
Zumindest können wir die Konfigs vergleichen.

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
XJ8
Beiträge: 33
Registriert: 19 Okt 2019, 18:17

Re: UF-200 IPSec VPN mit NAT Bug

Beitrag von XJ8 »

Hallo,

gab es hier zu der Frage des TE eine Lösung ?

Wenn ich das recht verstanden habe müsste das sowas wie source-nat oder twice-nat, wie man bei Cisco sagt, werden.

Wäre sicher nicht nur für mich interessant die mögliche Lösung hier zu sehen .... :D
tstimper
Beiträge: 955
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: UF-200 IPSec VPN mit NAT Bug

Beitrag von tstimper »

XJ8 hat geschrieben: 11 Apr 2023, 21:24 Hallo,

gab es hier zu der Frage des TE eine Lösung ?

Wenn ich das recht verstanden habe müsste das sowas wie source-nat oder twice-nat, wie man bei Cisco sagt, werden.

Wäre sicher nicht nur für mich interessant die mögliche Lösung hier zu sehen .... :D
Hallo HJ8,

keine dokumentierte Lösung. Ich habe dem TE angeboten, das wir das auf unser UF mal testen, da ich sein Problem nicht so ganz verstanden habe,
er hat sich dannach nicht wieder gemeldet.

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
MDCYP
Beiträge: 187
Registriert: 22 Okt 2015, 11:31
Wohnort: Dortmund

Re: UF-200 IPSec VPN mit NAT Bug

Beitrag von MDCYP »

Also ich habe inzwischen mit Lancom Support gesprochen, es gibt dazu einen dokumentierten Bug. Es funktioniert schlichtweg nicht.
Ich kann kein Hide NAT bei IPSec machen. Sprich:

Client PC lokal aus Netz 192.168.1.0/24 möchte via IPSec angebundenes Netz 10.23.100.0/24 zugreifen, allerdings ist auf der Seite nur 192.168.2.0/24 als Netz zugelassen.
Wenn ich nun Hide NAT aus dem 192.168.1er Netz mit z.B. 192.168.2.99 machen möchte um auf z.B. 10.23.100.1 zuzugreifen, klappt dies nicht.
Dies ist ein Bug der noch immer nicht gefixed ist.
Wenn man SSH auf die UF macht und dann ssh auf 10.23.100.1 z.b. klappt es, man schlägt dort dann mit 192.168.2.254 auf

Es gibt einen Workaround, aber den finde ich sehr unschön. Man muss ein WAN Objekt definieren zu dem dann NAT gemacht werden soll... dann klappt es.
tstimper
Beiträge: 955
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: UF-200 IPSec VPN mit NAT Bug

Beitrag von tstimper »

MDCYP hat geschrieben: 13 Apr 2023, 11:14 Also ich habe inzwischen mit Lancom Support gesprochen, es gibt dazu einen dokumentierten Bug. Es funktioniert schlichtweg nicht.
Es gibt einen Workaround, aber den finde ich sehr unschön. Man muss ein WAN Objekt definieren zu dem dann NAT gemacht werden soll... dann klappt es.
vielen Dank für die Info.
Hast Du eine Bug Nummer als Referenz bekommen und hat man Dir gesagt, in welchem Release das gefixt wird?

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
MDCYP
Beiträge: 187
Registriert: 22 Okt 2015, 11:31
Wohnort: Dortmund

Re: UF-200 IPSec VPN mit NAT Bug

Beitrag von MDCYP »

Leider nein, hab den Bug vor über einem Jahr gemeldet.

Ticket LCSUP-111197

Zitat ""Sobald ein entsprechender Fix implementiert wurde, werden wir dies in den Release-Notes aufnehmen. Ich bitte Sie daher die kommenden Release Notes im Auge zu behalten."
MDCYP
Beiträge: 187
Registriert: 22 Okt 2015, 11:31
Wohnort: Dortmund

Re: UF-200 IPSec VPN mit NAT Bug

Beitrag von MDCYP »

Problem ist auch weiterhin bei 10.12 rel. drin.
tstimper
Beiträge: 955
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: UF-200 IPSec VPN mit NAT Bug

Beitrag von tstimper »

MDCYP hat geschrieben: 15 Jun 2023, 10:24 Problem ist auch weiterhin bei 10.12 rel. drin.
Hat Deine UF das Update im Updater angezeigt?
Meine UF-300 zeigt das nicht an, Refresh usw. hilft nicht.
Im LANCOM Firewall Portal gibt es nur die 10.12rel ISO, aber keine Update Datei.
Und auf dem FTP Server gibt es keine UF Files.

Hat der LANCOM Support sich wegen deined Cases nochmal gemeldet?


Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
MDCYP
Beiträge: 187
Registriert: 22 Okt 2015, 11:31
Wohnort: Dortmund

Re: UF-200 IPSec VPN mit NAT Bug

Beitrag von MDCYP »

Wir nutzen die UF-200 wg. des Bugs gar nicht produktiv. Seit 1,5 Jahren nun.
Daher hab ich die gestern erst wieder via USB Stick und der ISO geupdated, Konfig kann man ja ganz gut einspielen wieder.

Ja, hab nochmal gefragt, aber kommt eben nur "Fall ist noch nicht behoben, bitte warten"

Scheint wohl Sonderfall zu sein, bzw. die wenigstens machen Hide-NAT IPSec mit dem Gerät..
Antworten