Hallo,
bin gerade etwas ernüchtert... für das zeitweise Anbinden eines Heim-Arbeitsplatzes habe ich mit beispielloser Blindheit (Empfehlung durch "Experten", was den Anwendungsfall betrifft) einen Lancom-VPN-Router gekauft.
Jetzt stellte sich heraus, dass IPSec-Verbindungen von Arbeitsplätzen hinter Routern/NAT mehr oder weniger gar nicht funktionieren. Ich wäre ja schon froh, wenn VPN-Verbindungen über eine direkte Netzwerkverbindung funktionierten. Mit dem Standard-Client geht gar nichts, mit dem Advanced Client immerhin schonmal im lokalen Netz. Wobei dieser Standard Client wohl eher ein schlechter Scherz ist. Der Aufpreis für den Lancom-Client (bzw. wohl eher NCP-Client) auch.
Dazu kommt die reichlich verwinkelte lanconfig-Oberfläche (wie schrieb c't, Herkunft aus dem Heim-Bereich sei nicht zu verleugnen). Die Einstellungen sind in alle Winde verteilt, es dauerte erst einmal einen Tag, sich damit vertraut zu machen. Das ominöse Häkchen zum Erstellen von VPN-Regeln möchte mir immer noch nicht einleuchten. Als Hoffnung bleibt da nur noch eine evtl. brauchbare Kommandozeile, dieser lanconfig-Assistenten-Stil ist doch arg umständlich.
Jedenfalls frage ich mich mittlerweile (insb. wegen der IPSec-Schwierigkeiten), ob es nicht besser gewesen wäre, einen 08/15-Linksys-Router herzunehmen, OpenVPN aufzuspielen, das Netz von außen bis auf den OpenVPN-Port dichtzumachen und nach außen das Nötigste durchzulassen. Wäre kein Aufwand, eine Hand voll übersichtlicher Paketfilterregeln, und vor allem ein funktionierender, getunnelter VPN-Zugriff.
Nach einer Möglichkeit, OpenVPN oder Änliches auf dem linksys einzusetzen, brauche ich wohl nicht fragen...
Gruß,
omd
Ernüchterung - Lancom/IPSec taugt?
Moderator: Lancom-Systems Moderatoren
-
Michael008
- Beiträge: 325
- Registriert: 14 Jan 2005, 18:45
- Wohnort: Stuttgart
Hi omd,
sehr interessant. Ich glaube mit OpenVPN kann man sich auch gegen den LANCOM verbinden. Da war vor kurzem mal ein Thread dazu.
So eine richtige Frage konnte ich aus deinem Post gar nicht rauslesen.
Aber wenn du ein Problem mit einer VPN-Verbindung zu einem LANCOM Router hast, und das hört sich obwohl es generisch klingt danach an.
Vielleicht klappts ja doch noch.
Gruß
Michael
sehr interessant. Ich glaube mit OpenVPN kann man sich auch gegen den LANCOM verbinden. Da war vor kurzem mal ein Thread dazu.
So eine richtige Frage konnte ich aus deinem Post gar nicht rauslesen.
Aber wenn du ein Problem mit einer VPN-Verbindung zu einem LANCOM Router hast, und das hört sich obwohl es generisch klingt danach an.
Dann beschreib mal genau was du machen willst, die Umgebung, was nicht geht und was du schon versucht hast...Jetzt stellte sich heraus, dass IPSec-Verbindungen von Arbeitsplätzen hinter Routern/NAT mehr oder weniger gar nicht funktionieren.
Vielleicht klappts ja doch noch.
Gruß
Michael
Hi omd,
ich kann mich Michael nur anschließen. Beschreibe noch mal möglichst genau, was du willst - mit den notwendigen Einzelheiten.
> Dazu kommt die reichlich verwinkelte lanconfig-Oberfläche
Ok, ich gebe zu, dass der erste Anblick erst mal ein "Schock" ist, mir haben damals die vielen Einstellmöglichkeiten auch erst mal - neben der Faszination - ein Grübeln hervorgerufen, wofür das denn alles ist. Aber das gibt sich und irgendwann findet man dieses System einfach genial.
> Die Einstellungen sind in alle Winde verteilt, es dauerte erst einmal einen Tag, sich damit vertraut zu machen.
Oft gibt es Assistenten, die meist schneller weiter helfen. Ich stelle die meisten Sachen auch lieber per Hand ein, aber für Anfänger und bestimmte Fälle sind die schon ganz sinnvoll.
Also, gib nicht so schnell auf!
Viele Grüße,
Jirka
ich kann mich Michael nur anschließen. Beschreibe noch mal möglichst genau, was du willst - mit den notwendigen Einzelheiten.
> Dazu kommt die reichlich verwinkelte lanconfig-Oberfläche
Ok, ich gebe zu, dass der erste Anblick erst mal ein "Schock" ist, mir haben damals die vielen Einstellmöglichkeiten auch erst mal - neben der Faszination - ein Grübeln hervorgerufen, wofür das denn alles ist. Aber das gibt sich und irgendwann findet man dieses System einfach genial.
> Die Einstellungen sind in alle Winde verteilt, es dauerte erst einmal einen Tag, sich damit vertraut zu machen.
Oft gibt es Assistenten, die meist schneller weiter helfen. Ich stelle die meisten Sachen auch lieber per Hand ein, aber für Anfänger und bestimmte Fälle sind die schon ganz sinnvoll.
Also, gib nicht so schnell auf!
Viele Grüße,
Jirka
Hallo omd,
Gruß
Mario
dann machst Du etwas falsch.Jetzt stellte sich heraus, dass IPSec-Verbindungen von Arbeitsplätzen hinter Routern/NAT mehr oder weniger gar nicht funktionieren.
Der Standard-Client ist nur ein Frontend für die Windows IPSec-Konfiguration. Und es bleibt Dir überlassen, einen anderen VPN-Client einzusetzen.Wobei dieser Standard Client wohl eher ein schlechter Scherz ist. Der Aufpreis für den Lancom-Client (bzw. wohl eher NCP-Client) auch.
Lad Dir mal das Referenzhandbuch von Lancom runter - da ist alles ausführlich erklärt.Das ominöse Häkchen zum Erstellen von VPN-Regeln möchte mir immer noch nicht einleuchten.
Und genau das kannst Du auch mit dem Lancom erreichen. Und auf welchem System das 'einfacher' ist, ist Ansichtssache.Jedenfalls frage ich mich mittlerweile (insb. wegen der IPSec-Schwierigkeiten), ob es nicht besser gewesen wäre, einen 08/15-Linksys-Router herzunehmen, OpenVPN aufzuspielen, das Netz von außen bis auf den OpenVPN-Port dichtzumachen und nach außen das Nötigste durchzulassen. Wäre kein Aufwand, eine Hand voll übersichtlicher Paketfilterregeln, und vor allem ein funktionierender, getunnelter VPN-Zugriff.
Gruß
Mario
-
langewiesche
- Beiträge: 1255
- Registriert: 27 Apr 2005, 11:28
- Wohnort: Gevelsberg / Sprockhoevel im Ruhrgebiet
- Kontaktdaten:
Also ohne Portweiterleitung auf der Clientseite (am (fremd)Router) ist da ja nichts zu hohlen, mit dem alten Client war es das besser. Ich suche selber zur Zeit eine Lösung fuer viele Clients. Ich wollte eigenlich alles von Lancom erwerben, da wir irgendlich alle anderen Router rausschmeissen wollen. Veraenderungen an den Router der Clientseite scheiden da aus, zudem waere ja dann nur immer ein Client pro Netz moeglich. Was mir auch nicht so richtig gefallen mag ist der Agressive Mode in diesere betreibsart. Das alte System mit dem Layer2 Tunnel vor dem IPSEC Tunnel war ja nicht schlecht, so was musst es fuer den neuen Client auch geben.Zitat:
Jetzt stellte sich heraus, dass IPSec-Verbindungen von Arbeitsplätzen hinter Routern/NAT mehr oder weniger gar nicht funktionieren.
dann machst Du etwas falsch.
Es gruesst Lars
--
Zwischen einen NAT-Router hinter einen Nat-Router und vor einen NAT-Router passt immer noch ein NAT-Router
--
Zwischen einen NAT-Router hinter einen Nat-Router und vor einen NAT-Router passt immer noch ein NAT-Router
Hallo,
Viele Grüße
Udo
Das liegt meist an Routern, die kein GRE oder ESP durchlassen. TCP und UDP klappen aber kein anderes Protokoll, da GRE=!IP. Am NAT liegt es nicht. Oft haben wir das Problem an einer PIX, schaltet man dort GRE und ESP (bei älteren Klients AHP) frei klappts auch mit dem Nachbarn.Zitat:
Zitat:
Zitat:
Jetzt stellte sich heraus, dass IPSec-Verbindungen von Arbeitsplätzen hinter Routern/NAT mehr oder weniger gar nicht funktionieren.
dann machst Du etwas falsch.
Viele Grüße
Udo
... das Netz ist der Computer ...
n* LC und vieles mehr...
n* LC und vieles mehr...
-
langewiesche
- Beiträge: 1255
- Registriert: 27 Apr 2005, 11:28
- Wohnort: Gevelsberg / Sprockhoevel im Ruhrgebiet
- Kontaktdaten:
Hallo Lars,
Gruß
Mario
An den Lancoms muss man da gar nichts einstellen. Ich kann hier problemlos von mehreren Clients mit dem ADV-Client über einen 1611 verschiedene Lancoms erreichen.Also ohne Portweiterleitung auf der Clientseite (am (fremd)Router) ist da ja nichts zu hohlen, mit dem alten Client war es das besser. Ich suche selber zur Zeit eine Lösung fuer viele Clients. Ich wollte eigenlich alles von Lancom erwerben, da wir irgendlich alle anderen Router rausschmeissen wollen.
Falls mehrere Clients sich per VPN verbinden sollen, wäre dort eigentlich auch ein zentrales VPN-Gateway empfehlenswert.Veraenderungen an den Router der Clientseite scheiden da aus, zudem waere ja dann nur immer ein Client pro Netz moeglich.
Ab FW 5.0 kannst Du den Main-Mode nutzen, wenn Du Zertifikate einsetzst.Was mir auch nicht so richtig gefallen mag ist der Agressive Mode in diesere betreibsart.
Gruß
Mario
-
langewiesche
- Beiträge: 1255
- Registriert: 27 Apr 2005, 11:28
- Wohnort: Gevelsberg / Sprockhoevel im Ruhrgebiet
- Kontaktdaten:
Das Problem ist ja da stehen keine LC Router, und ich kann nicht aufeinmal fuer alle Aussenstellen wo fast immer nur ein Pc ins MAN muss VPN Router kaufen. Zudem muesste ich allen Netze die IPs anpassen.
Im Haushalt 2006 vielleicht, aber halt nicht jetzt. Aber es muss bald laufen, sonst kaufen die leider was anderes, in den Zentral Standorten und wenn wir einmal was anderes haben, ist eine Neubeschaffung fast unmoeglich. Alle anderen Mitarbeiter sollen auf die LC Schulungen und sind auch angemeldet, aber es koennte alles an so ein Mist kippen.
Im Haushalt 2006 vielleicht, aber halt nicht jetzt. Aber es muss bald laufen, sonst kaufen die leider was anderes, in den Zentral Standorten und wenn wir einmal was anderes haben, ist eine Neubeschaffung fast unmoeglich. Alle anderen Mitarbeiter sollen auf die LC Schulungen und sind auch angemeldet, aber es koennte alles an so ein Mist kippen.
Es gruesst Lars
--
Zwischen einen NAT-Router hinter einen Nat-Router und vor einen NAT-Router passt immer noch ein NAT-Router
--
Zwischen einen NAT-Router hinter einen Nat-Router und vor einen NAT-Router passt immer noch ein NAT-Router
Hallo Lars,
Gruß
Mario
So richtig kann ich Deiner Argumentation nicht folgen. Es ist doch klar, dass es nicht an den Lancoms oder am VPN-Client liegt - sondern an den von Dir verwendeten Routern. Wenn die kein IPSec-Passtrough beherrschen, sind die Müll. Das musst Du nur Deinen Verantwortlichen klarmachen.Im Haushalt 2006 vielleicht, aber halt nicht jetzt. Aber es muss bald laufen, sonst kaufen die leider was anderes, in den Zentral Standorten und wenn wir einmal was anderes haben, ist eine Neubeschaffung fast unmoeglich.
Gruß
Mario
-
langewiesche
- Beiträge: 1255
- Registriert: 27 Apr 2005, 11:28
- Wohnort: Gevelsberg / Sprockhoevel im Ruhrgebiet
- Kontaktdaten:
hi,
bin zwar etwas noch relativ neu im bereich Lancom, aber mit dem Assi kann man fast alles lösen
die Probleme des IPSec-Passtrough bestehen sind bei "einfachen" Routern nicht von der Hand zu weisen. selbst wenn sie es unterstützen, sind sie nicht in der Lage, mehre clients aus einem netz sauber zu händeln. hatte nen di-304 und nen netgear fvm318 als nat. beide haben sich blöd angestellt. nun habe ich an mehreren orten einen austausch vorgenommen. und...es klappt mit dem nat an allen!!! orten.
bin zwar etwas noch relativ neu im bereich Lancom, aber mit dem Assi kann man fast alles lösen
die Probleme des IPSec-Passtrough bestehen sind bei "einfachen" Routern nicht von der Hand zu weisen. selbst wenn sie es unterstützen, sind sie nicht in der Lage, mehre clients aus einem netz sauber zu händeln. hatte nen di-304 und nen netgear fvm318 als nat. beide haben sich blöd angestellt. nun habe ich an mehreren orten einen austausch vorgenommen. und...es klappt mit dem nat an allen!!! orten.
Hallo,
danke schonmal für die Aufmunterung. Das NAT-Problem hab' ich erstmal umgangen, indem ich einen Client direkt an der Telefondose/ISDN-Adapter aufgebaut habe. IPSec-Aushandlung läuft mit Zertifikaten und Adv. Client schonmal erfolgreich durch, aber danach geht's nicht weiter (hab' einen neuen Thread dazu erstellt).
Wofür es die ominösen VPN-Regeln und das entspr. Häkchen im Firewall-Bereich gibt, verstehe ich immer noch nicht, im LCOS5 Referenzhandbuch wird zwar mehrfach auf eine Erklärung dort verwiesen, die ist dann aber auch irgendwie unbefriedigend. Meine Regeln konfiguriere ich doch für die Firewall (z.B. dass Gegenstelle VPN1 vollen Zugriff auf das lokale Netz erhält). Aber wofür dann noch VPN-Regeln? Mir ist auch gar nicht klar, für welche Regeln es sinnvoll ist, das Häkchen zu setzen.
Gruß,
omd
danke schonmal für die Aufmunterung. Das NAT-Problem hab' ich erstmal umgangen, indem ich einen Client direkt an der Telefondose/ISDN-Adapter aufgebaut habe. IPSec-Aushandlung läuft mit Zertifikaten und Adv. Client schonmal erfolgreich durch, aber danach geht's nicht weiter (hab' einen neuen Thread dazu erstellt).
Wofür es die ominösen VPN-Regeln und das entspr. Häkchen im Firewall-Bereich gibt, verstehe ich immer noch nicht, im LCOS5 Referenzhandbuch wird zwar mehrfach auf eine Erklärung dort verwiesen, die ist dann aber auch irgendwie unbefriedigend. Meine Regeln konfiguriere ich doch für die Firewall (z.B. dass Gegenstelle VPN1 vollen Zugriff auf das lokale Netz erhält). Aber wofür dann noch VPN-Regeln? Mir ist auch gar nicht klar, für welche Regeln es sinnvoll ist, das Häkchen zu setzen.
Gruß,
omd
LC 1811 / LCOS 5.08
Hallo omd,
Gruß
Mario
was verstehst Du nicht an der Beschreibung auf den Seiten 180, 181 und 185?Wofür es die ominösen VPN-Regeln und das entspr. Häkchen im Firewall-Bereich gibt, verstehe ich immer noch nicht, im LCOS5 Referenzhandbuch wird zwar mehrfach auf eine Erklärung dort verwiesen, die ist dann aber auch irgendwie unbefriedigend.
Gruß
Mario
Hallo Mario,
folgendes bleibt mir unklar:
- Sind Firewall-Regeln mit VPN-Häkchen das vorgesehene Werkzeug, um VPN-Regeln festzulegen
- Firewall-Einträge welcher Art sind für VPN-Regeln relevant, und welche VPN-Regeln werden aus welchen Firewalleinträgen erzeugt
Im Referenzhandbuch steht meines Erachtens sinngemäß nur: Der Router erzeugt aus irgendwelchen Firewalleinträgen (und Routen und anderes mehr) irgendwelche VPN-Regeln.
Das Konzept, VPN-Einstellungen über Firewallregeln festzulegen, stellt mich vor Rätsel. Wäre der Weg umgekehrt und es würden auf Wunsch für eine VPN-Konfiguration die entsprechenden "Verkehrswege" durch Erzeugung von Firewallregeln freigegeben, dann würde es mir einleuchten.
Evtl. habe ich auch vom Begriff der VPN-Regeln eine falsche Vorstellung. Was ist damit gemeint -- das, was man mit "show vpn" angezeigt bekommt (die beteiligten Netzwerk- und Schnittstellenadressen)?
Gruß,
omd
folgendes bleibt mir unklar:
- Sind Firewall-Regeln mit VPN-Häkchen das vorgesehene Werkzeug, um VPN-Regeln festzulegen
- Firewall-Einträge welcher Art sind für VPN-Regeln relevant, und welche VPN-Regeln werden aus welchen Firewalleinträgen erzeugt
Im Referenzhandbuch steht meines Erachtens sinngemäß nur: Der Router erzeugt aus irgendwelchen Firewalleinträgen (und Routen und anderes mehr) irgendwelche VPN-Regeln.
Das Konzept, VPN-Einstellungen über Firewallregeln festzulegen, stellt mich vor Rätsel. Wäre der Weg umgekehrt und es würden auf Wunsch für eine VPN-Konfiguration die entsprechenden "Verkehrswege" durch Erzeugung von Firewallregeln freigegeben, dann würde es mir einleuchten.
Evtl. habe ich auch vom Begriff der VPN-Regeln eine falsche Vorstellung. Was ist damit gemeint -- das, was man mit "show vpn" angezeigt bekommt (die beteiligten Netzwerk- und Schnittstellenadressen)?
Gruß,
omd