Lancom 1821 VPN verbindung ok, aber: arbeitsgruppe!=vpn AG

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
vpn-opfer
Beiträge: 3
Registriert: 20 Sep 2005, 11:35

Lancom 1821 VPN verbindung ok, aber: arbeitsgruppe!=vpn AG

Beitrag von vpn-opfer »

Hallo,

haben hier einen Lancom 1821 Router stehen und versuchen ein VPN aufzubauen.

mit einem client notebook und dieser großartigen software (advanced client ...) kommt auch eine verbindung zustande, nach dem modifizieren der firewall gehen auch pings auf sämtliche rechner des netzwerkes.

nur das firmennetzwerk wird nicht gefunden. netbios ist überall aktiviert.


folgendes zusätzliches problem:
ändert man den netzwerknamen des notebooks auf den namen des firmennetzwerkes, so kommt KEINE verbindung mehr zustande (schon nach connection try ein timeout).
sobald der name wieder != firmennetzwerk ist, geht die verbindung sofort.


die lancom "hotline" ist schlichter betrug, von unqualifizierten aussagen á la machen sie die firewall aus bis hin zu das weiß ich auch nicht liegt an windows nicht mein problem, ist alles dabei. :evil:

hat jemand eine idee, wie man weiterkommen könnte?

danke schonmal
Zuletzt geändert von vpn-opfer am 20 Sep 2005, 16:06, insgesamt 1-mal geändert.
Nach oben
backslash
Moderator
Moderator
Beiträge: 7016
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Beitrag von backslash »

Hi vpn-opfer,
mit einem client notebook und dieser großartigen software (advanced client ...) kommt auch eine verbindung zustande, nach dem modifizieren der firewall gehen auch pings auf sämtliche rechner des netzwerkes.
was meinst du mit "modifizieren der Firewall"? Wenn Du am Client und am LANCOM den Wizard durchlaufen läßt und überall das gleiche einträgst, dann sind keine weiteren "Modifikationen" nötig.
nur das firmennetzwerk wird nicht gefunden. netbios ist überall aktiviert
Was meinst du damit? Etwa, daß du die Rechner nicht in der Netzwerkumgebung findest?

Das ist normal und ein Windowsproblem. Das passiert dir auch, wenn du dich mit einem Modem auf einem MS-RAS-Server einwählst. Über eine WAN-Verbindung siehst du die Rechner Gegenseite nur dann in der Netzwerkumgebung, wenn du dich an einer Domäne anmeldest.

Ohne Domänenanmeldung mußt du die Rechner direkt ansprechen - entweder über ihren Namen oder ihre IP-Adresse.
folgendes zusätzliches problem:
ändert man den netzwerknamen des notebooks auf den namen des firmennetzwerkes, so kommt KEINE verbindung mehr zustande (schon nach connection try ein timeout).
sobald der name wieder != firmennetzwerk ist, geht die verbindung sofort
Was will der Autor uns damit sagen? Das Notebook hat keinen Netzwerknamen, sondern nur einen Hostnamen und steht in einer DNS-Domain und hat ggf. eine NetBIOS-Bereichs-ID...
die lancom "hotline" ist schlichter betrug, von unqualifizierten aussagen á la machen sie die firewall aus bis hin zu das weiß ich auch nicht liegt an windows nicht mein problem, ist alles dabei.
jetz mal halb lang. Wenn du nicht mal in der Lage bist das Problem vernünftig zu beschreiben, kannst du auch den Support nicht so abwerten! Eine Aussage "tut nicht" ist doch sehr unqualifiziert - und meistens liegen die Probleme nun mal auf der Windowsseite.

hat jemand eine idee, wie man weiterkommen könnte?
Resette dein LANCOM und richte alles mit den Wizards neu ein.

Gruß
Backslash
Nach oben
vpn-opfer
Beiträge: 3
Registriert: 20 Sep 2005, 11:35

Beitrag von vpn-opfer »

na vielen dank.

wie bitte kann es denn sein, das keinerlei verbindung aufgebaut wird, wenn nur der NAME des netzwerkes auf dem notebook gleich dem Namen des Firmennetzwerkes ist?
Die Verbindung wird praktisch nichtmal aufgebaut, sondern gleich abgewürgt.

Das "modifizieren" der firewall ist nötig, mit dem standardeintrag war ein pingen nicht möglich, danach schon.

außerdem kann man bei einer hotline für über 1 euro pro minute etwas mehr als weiß ich auch nicht erwarten.

komisch auch das es früher mit einer billig avm-box problemlos ging, sich per isdn einzuwählen und das netzwerk zu sehen. dank fehlernder dyndns option scheidet das aber aus.

[edit]
Netzwerkname = Arbeitsgruppe
Nach oben
backslash
Moderator
Moderator
Beiträge: 7016
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Beitrag von backslash »

Hi vpn-opfer
Netzwerkname = Arbeitsgruppe
aha...

wie bitte kann es denn sein, das keinerlei verbindung aufgebaut wird, wenn nur der NAME des netzwerkes auf dem notebook gleich dem Namen des Firmennetzwerkes ist?
Was bitteschön hat das eine mit dem anderen zu tun. Dem Client ist es völlig egal, in welcher Arbeitsgruppe er sich befindet. Er baut zu der IP-Adresse auf, die im Profil unter "IPSec-Einstellungen -> Gateway" konfiguriert ist.
Das "modifizieren" der firewall ist nötig, mit dem standardeintrag war ein pingen nicht möglich, danach schon.
Dann hast du aber schon eine Deny-All-Regel irgendwo konfiguriert. Und dann mußt du auch alles, was du zulassen willst, von Hand nachtragen, denn der Wizard kann ja nicht wissen, was du alles zulassen willst. Daher ist das kein Punkt um sich zu beschweren, sondern nur einer um mal selbst nachzudenken.
außerdem kann man bei einer hotline für über 1 euro pro minute etwas mehr als weiß ich auch nicht erwarten.
Du weisst schon, daß es auch einen kostenlosen Email-Support gibt?
komisch auch das es früher mit einer billig avm-box problemlos ging, sich per isdn einzuwählen und das netzwerk zu sehen. dank fehlernder dyndns option scheidet das aber aus.

Dann hast du aber eine Domänenanmeldung gemacht, weil ohne funktioniert es nicht, da der RAS-User nicht an der, über Broadcasts laufenden, Masterbrowser-Verhandlung teilnehmen kann.

Bei einer Domänenanmeldung funktioniert es deshalb, weil der Domänencontroller gleichzeitig immer Masterbrowser ist.

Gruß
Backslash
Nach oben
eddia
Beiträge: 1239
Registriert: 15 Nov 2004, 09:30

Beitrag von eddia »

Hallo vpn-opfer,
komisch auch das es früher mit einer billig avm-box problemlos ging, sich per isdn einzuwählen und das netzwerk zu sehen.
dann hatte Dir die AVM-Box wahrscheinlich einen NBNS (sich selbst oder einen WINS im Netz) ungefragt untergeschoben. Das funktioniert mit dem Lancom genauso bei einer ISDN-Einwahl, in dem Du den passenden NBNS bei den Einwähldaten angibst und bei nicht vorhandenem NBNS im LAN den NetBIOS-Proxy des Lancoms aktivierst.

Bei einer VPN-Verbindung mit dem ADV-Client muss der passende NBNS in der Konfiguration des Clients angegeben werden.

Und in beiden Fällen muß auf dem VPN-Client die Datei- und Druckerfreigabe installiert sein, da er für seine Broadcast-Domain einen eigenen Masterbrowser bildet.

Ach ja - die Hotline von Lancom ist wohl nicht dafür zuständig, Dein nicht vorhandenes Wissen über die Namensauflösung unter Windows über geroutete Netze auszugleichen. Das musst Du Dir schon selbst aneignen.

Gruß

Mario
Nach oben
vpn-opfer
Beiträge: 3
Registriert: 20 Sep 2005, 11:35

Beitrag von vpn-opfer »

backslash hat geschrieben:Was bitteschön hat das eine mit dem anderen zu tun. Dem Client ist es völlig egal, in welcher Arbeitsgruppe er sich befindet. Er baut zu der IP-Adresse auf, die im Profil unter "IPSec-Einstellungen -> Gateway" konfiguriert ist.
GENAU das ist ja das problem!

Also: Verbindung steht!
nun verbindung trennen, arbeitsgruppe ändern -> neuhochfahren. NICHTS sonst ändern.
Danach: Verbindung herstellen:
...agressive mode.
Time out.

Das ist es was mich so verwundert

Netbios-proxy: Das ist doch "nur" der Eintrag Netbios -> Netbios über IP-Routing aktivieren.
IP-Routing Tabelle ist ebenfalls ergänzt.

Ein "manuelles" verbinden eines Netzlaufwerkes über \\Ip\Name schlägt ebenso fehl.

[edit]
Bei einem Ping vom Notebook (55) auf einen beliebigen Rechner (44) der Arbeitsgruppe kommt im trace das:

Code: Alles auswählen

[IP-Router] 2005/09/21 08:58:04,140
IP-Router Rx (VPNHOME):
DstIP: 192.168.115.44, SrcIP: 192.168.115.55   DSCP/TOS: 0x00
Prot: ICMP (1)  echo request, id: 0x0300, seq: 0x2000
Route: LAN Tx
Nach oben
Antworten

Zurück zu „Fragen zum Thema VPN“