Hallo,
ich versuche von einem Notebook mit dem Lancom Adv. VPN Client über das internet eine VPN Verbindung zu unserem 1821 Router zu erstellen.
Den Router habe ich wie in
http://www2.lancom.de/kb.nsf/a5ddf48173 ... ide-DE.pdf
konfiguriert. Das gleiche auch mit dem Client. Ich benutze für beide Seiten eine dynamische IP, call-by-call für das notebook und dsl business für den router. Desweiteren habe ich für den Router einen dyndns Namen eingerichtet. Diese Namen habe ich dann als gateway für die ipsec einstellungen im client angegeben. als Verbindungsart im Client habe ich
"LAN / WAN (over IP)" ausgewählt.
Versuche ich nun eine Verbindung aufzubauen, sagt mit der Client nur "IKE Fehler (Phase 1) Kontakt zur Gegenstelle verloren"
Das Logfile enthält folgende Daten:
30.06.2005 12:18:48 IPSDIALCHAN::start building connection
30.06.2005 12:18:48 IPSDIAL::DNSREQ: resolving dnserver over lan: xxx.gotdns.com
30.06.2005 12:18:48 IPSDIAL->DNSREQ: resolved ipadr: xxx.xxx.xxx.xxx
30.06.2005 12:18:48 NCPIKE-phase1:name(xxx) - outgoing connect request - aggressive mode.
30.06.2005 12:18:48 XMIT_MSG1_AGGRESSIVE - xxx
30.06.2005 12:19:06 NCPIKE-phase1:name(xxx) - error - retry timeout - max retries
30.06.2005 12:19:06 NCPIKE-phase2:name(xxx) - error - cleared by phase1
30.06.2005 12:19:06 IPSDIAL - disconnected from xxx on channel 1.
Ich dachte erst, daß die Firewall die Anfragen des Clients nicht ordentlich an den Router weitergibt und habe sie daher testweise mal abgeschaltet, aber das brachte keinen Unterschied.
Gibt es von Lancom eine Anleitung wie man genau die Firewall für die VPN Funktion konfiguriert?
Muß ich in meinem speziellen Fall mit zwei dynamischen IP Adressen noch etwas ändern?
In der VPN-Verbindungsliste unter "Dynamische VPN-Verbindung" war der zweite Punkt ausgewählt: "Dynamisches VPN (es wird eine Verbindung aufgebaut um IP-Adressen zu übermitteln)
Muß ich hier eine andere Option auswählen?
Vielen Dank für eure Tips und Hinweise.
Lancom Advanced Client -> 1821 VPN (kein connect möglich)
Moderator: Lancom-Systems Moderatoren
Ich hatte / habe den gleichen Fehler wenn ich versuche mich von einem bestimmten Anschluss per VPN einzuwählen. Ich habe dann erfahren, daß der
Gateway an diesem Anschluss VPN-Passthrough nicht unterstützt bzw.VPN-Verbindungen blockt.
Vielleicht liegt bei der Einwahl über Call-by-Call da ein ähnliches Problem vor.
Gruß Empi
Gateway an diesem Anschluss VPN-Passthrough nicht unterstützt bzw.VPN-Verbindungen blockt.
Vielleicht liegt bei der Einwahl über Call-by-Call da ein ähnliches Problem vor.
Gruß Empi
Habe es eben noch mal mit freenet als cbc provider versucht, der angeblich auch VPN Verbindungen unterstützt. Hat aber leider genausowenig geklappt.
Ich glaube daß es an den Firewall-Einstellungen liegt, da der Router ja überhaupt nicht auf die Anfrage des Clients reagiert. Wisst ihr in welchem Trace oder Logfile ich das nachschauen könnte?
Ich glaube daß es an den Firewall-Einstellungen liegt, da der Router ja überhaupt nicht auf die Anfrage des Clients reagiert. Wisst ihr in welchem Trace oder Logfile ich das nachschauen könnte?
Hi interkom
lösch die VPN Verbindung im LANCOM und richte sie neu ein, aber mit dem RAS-Wizard und nicht mit dem LAN-LAN-Kopplungswizard. Dann wird sie auch funktionieren. Der LAN-LAN-Wizard richtet eine Main-Mode Verbindung ein und schaltet ggf. dynamic-VPN zu. Dynamic-VPN funktioneirt aber nur zwischen LANCOMs. Der RAS-Wizard richtet eine Aggressive-Mode Verbindung ein und genau die brauchst Du um mit dem Client eine Verbindung aufbauen zu können.
Gruß
Backslash
lösch die VPN Verbindung im LANCOM und richte sie neu ein, aber mit dem RAS-Wizard und nicht mit dem LAN-LAN-Kopplungswizard. Dann wird sie auch funktionieren. Der LAN-LAN-Wizard richtet eine Main-Mode Verbindung ein und schaltet ggf. dynamic-VPN zu. Dynamic-VPN funktioneirt aber nur zwischen LANCOMs. Der RAS-Wizard richtet eine Aggressive-Mode Verbindung ein und genau die brauchst Du um mit dem Client eine Verbindung aufbauen zu können.
Gruß
Backslash
danke für die Hilfe. Ich habe die Verbindung jetzt neu mit dem RAS-Wizard eingerichtet, aber erhalte leider das gleich Ergebnis.
Das heißt ich bekomme auf dem Client keine Antwort vom Router ->
IKE Fehler - (Phase 1) Kontakt zur Gegenstelle verloren
Das logfile sagt auch das Gleiche wie vorher.
Ich habe wieder testweise die firewall ausgeschaltet, aber ich glaube immer noch das irgendwelche port-forwards fehlen. Kannst mir noch mal sagen wie ich die firewall dazu konfigurieren müßte?
Das heißt ich bekomme auf dem Client keine Antwort vom Router ->
IKE Fehler - (Phase 1) Kontakt zur Gegenstelle verloren
Das logfile sagt auch das Gleiche wie vorher.
Ich habe wieder testweise die firewall ausgeschaltet, aber ich glaube immer noch das irgendwelche port-forwards fehlen. Kannst mir noch mal sagen wie ich die firewall dazu konfigurieren müßte?
Hi interkom,
mach doch mal im LANCOM einen VPN-Status-Trace...
Bist du dir sicher, daß die Pakete des Clients überhaupt beim LANCOM ankommen? U.U. sitzt da ja ein weiterer Router zwischen dir und dem LANCOM, bei dem die Pakete verschwinden.
Gruß
Backslash
mach doch mal im LANCOM einen VPN-Status-Trace...
Bist du dir sicher, daß die Pakete des Clients überhaupt beim LANCOM ankommen? U.U. sitzt da ja ein weiterer Router zwischen dir und dem LANCOM, bei dem die Pakete verschwinden.
In der Firewall mußt du gar nichts konfigurieren und auch keine Portforwardings einrichten, da das LANCOM ja direkt der Endpunkt der Verbindung istIch habe wieder testweise die firewall ausgeschaltet, aber ich glaube immer noch das irgendwelche port-forwards fehlen. Kannst mir noch mal sagen wie ich die firewall dazu konfigurieren müßte?
Gruß
Backslash
tja ich glaube ja auch nicht, daß die Pakete überhaupt ankommen. Nur würde ich gerne herausfinden woran das liegt.
Wie funktioniert das genau mit dem Trace?
Ich habe mal folgendes eingegeben:
Admin@:/
> trace vpn status
VPN :
VPN-Status OFF
VPN-Packet OFF
Status OFF
Das kann aber irgendwie nicht sein, weil ich sowohl im Config-Menü von
LANconfig als auch in der Experten-Konfiguration des Webconfig VPN als aktiv sehe:
Aktiv ja
VPN-Gegenstellen 25 x [Gegenstelle,SH-Zeit,Extranet-Adresse,Entferntes-Gw,Layer,..]
Zusaetzliche-Gateway-Liste 25 x Gegenstelle,Entferntes-Gateway-1,Entferntes-Gateway-2,..]
Hast du Tips wo ich da tiefer nachforschen könnte?
Wie funktioniert das genau mit dem Trace?
Ich habe mal folgendes eingegeben:
Admin@:/
> trace vpn status
VPN :
VPN-Status OFF
VPN-Packet OFF
Status OFF
Das kann aber irgendwie nicht sein, weil ich sowohl im Config-Menü von
LANconfig als auch in der Experten-Konfiguration des Webconfig VPN als aktiv sehe:
Aktiv ja
VPN-Gegenstellen 25 x [Gegenstelle,SH-Zeit,Extranet-Adresse,Entferntes-Gw,Layer,..]
Zusaetzliche-Gateway-Liste 25 x Gegenstelle,Entferntes-Gateway-1,Entferntes-Gateway-2,..]
Hast du Tips wo ich da tiefer nachforschen könnte?
Da lese ich auch schon eine Weile nach, aber ohne weitere Erfolge. Der Trace gibt auch aus :
Admin@:/
> trace + vpn
VPN :
VPN-Status ON
VPN-Packet ON
Das bringt mich bei der Fehlerdiagnose leider kein Stück weiter. An den Providern, Freenet und TCom Business DSL kann es ja wohl auch nicht liegen, da die RAS-Einwahl über den ADV Client ja einfach nur auf den vorhandenen TCP/IP-Layer aufgesetzt wird.
Admin@:/
> trace + vpn
VPN :
VPN-Status ON
VPN-Packet ON
Das bringt mich bei der Fehlerdiagnose leider kein Stück weiter. An den Providern, Freenet und TCom Business DSL kann es ja wohl auch nicht liegen, da die RAS-Einwahl über den ADV Client ja einfach nur auf den vorhandenen TCP/IP-Layer aufgesetzt wird.
Hallo interkom,
Gruß
Mario
Na ja - das sind erst mal die Infos über den trace Status. Jetzt musst Du einen Verbindungsversuch zum Lancom unternehmen. Dann sollten im trace weitere Informationen zu sehen sein. Falls nicht, kommt wirklich nichts am Lancom an.Da lese ich auch schon eine Weile nach, aber ohne weitere Erfolge. Der Trace gibt auch aus :
Admin@:/
> trace + vpn
VPN :
VPN-Status ON
VPN-Packet ON
Gruß
Mario
Habe das trace fenster jetzt mal aufgelassen beim connect versuch und es wurde nichts angezeigt. Das oben gepostete Logfile sagt ja auch "30.06.2005 12:19:06 NCPIKE-phase1:name(xxx) - error - retry timeout - max retries
30.06.2005 12:19:06 NCPIKE-phase2:name(xxx) - error - cleared by phase1 "
Der DNS wird aber noch richtig aufgelöst und vom lancom router kann ich auch den client anpingen. Muß eigentlich ein Ping vom client an den Lancom auch möglich sein? (Wird ja durch die firewall geblockt)
Was könnte noch dafür Verantwortlich sein? Die SP2 Firewall auf dem Client habe ich auch schon deaktiviert.
30.06.2005 12:19:06 NCPIKE-phase2:name(xxx) - error - cleared by phase1 "
Der DNS wird aber noch richtig aufgelöst und vom lancom router kann ich auch den client anpingen. Muß eigentlich ein Ping vom client an den Lancom auch möglich sein? (Wird ja durch die firewall geblockt)
Was könnte noch dafür Verantwortlich sein? Die SP2 Firewall auf dem Client habe ich auch schon deaktiviert.
Hallo interkom,
Entweder werden die Pakete auf dem Weg zum Lancom irgendwo verworfen oder Du sprichst nicht die richtige IP an.
Mach mal einen Trace auf den IP-Router und setze von Deinem Client einen ping auf die DynDNS-Adresse des Lancom ab. Dann kann man schon mal fehlerhaftes Routing ausschließen.
Gruß
Mario
Dann kann man auch schwerlich eine VPN-Verbindung zum Lancom herstellen.Habe das trace fenster jetzt mal aufgelassen beim connect versuch und es wurde nichts angezeigt.
Entweder werden die Pakete auf dem Weg zum Lancom irgendwo verworfen oder Du sprichst nicht die richtige IP an.
Die Firewall kommt erst im IP-Router zum Zug. Wenn Du die WAN-IP des Lancoms anpingst, erhälst Du eine Antwort, falls nicht 'Ping blockieren' eingeschaltet ist.Muß eigentlich ein Ping vom client an den Lancom auch möglich sein? (Wird ja durch die firewall geblockt)
Mach mal einen Trace auf den IP-Router und setze von Deinem Client einen ping auf die DynDNS-Adresse des Lancom ab. Dann kann man schon mal fehlerhaftes Routing ausschließen.
Gruß
Mario
