Hallo miteinander,
leider gelingt ich es mir nicht mit dem Nortel VPN-Client über ein LANCOM-1521-WLAN-Netz (121.121.121.1) eine IPsec-Verbindung zu einem Nortel-CES-600-VPN-Router (123.123.123.1) aufzubauen. An dem Nortel-Router ist NAT-Traversal auf 10001/udp aktiviert, aber sobald mein VPN-Client die neue IP-Adresse vom Nortel-Router erhält (123.123.123.100), bricht die Verbindung zusammen. Langt es am LANCOM NAT-Traversal aktiviert zu haben ?
Hier die Log-Datei meines VPN-Clients:
---BEGIN---
Mon Nov 19 11:22:58 2007 | Isakmpd | I | Connection initiated to 123.123.123.1 [123.123.123.1] using Diffie-Hellman group 2.
Mon Nov 19 11:23:02 2007 | ConfMode | I | IP Address 123.123.123.100.
Mon Nov 19 11:23:02 2007 | ConfMode | I | Keepalive interval set to 30 seconds.
Mon Nov 19 11:23:02 2007 | ConfMode | I | Maximum keepalive retransmissions set to 6 retries.
Mon Nov 19 11:23:02 2007 | ConfMode | I | Mandatory tunneling enforced.
Mon Nov 19 11:23:02 2007 | ConfMode | I | Domain name set to "mydomain.de".
Mon Nov 19 11:23:02 2007 | ConfMode | I | Primary Domain Name Server "123.123.123.1".
Mon Nov 19 11:23:02 2007 | ConfMode | I | Secondary Domain Name Server "".
Mon Nov 19 11:23:02 2007 | ConfMode | I | Primary WINS Server "123.123.123.1".
Mon Nov 19 11:23:02 2007 | ConfMode | I | Secondary WINS Server "".
Mon Nov 19 11:23:02 2007 | ConfMode | I | Saving Password on client is turned Off.
Mon Nov 19 11:23:02 2007 | ConfMode | I | NAT Traversal invoked.
Mon Nov 19 11:23:02 2007 | ConfMode | I | Received NAT Keepalive value of 18 seconds from switch.
Mon Nov 19 11:23:02 2007 | ConfMode | I | Current time on switch is 11/19/07 11:23:22 GMT.
Mon Nov 19 11:23:06 2007 | NameSrvr | W | Adding DNS Servers "123.123.123.1".
Mon Nov 19 11:23:06 2007 | NameSrvr | W | Adding WINS Servers "123.123.123.1".
Mon Nov 19 11:23:06 2007 | Failover | W | Failover list set to none.
Mon Nov 19 11:23:31 2007 | Isakmpd | F | The secure VPN Connection has been lost.
Click Connect to re-establish the connection.
---END---
NAT-Traversal zw. LANCOM 1521 u. Nortel NVR 600
Moderator: Lancom-Systems Moderatoren
Hi duda
Hier hast du ggf. das Problem, daß der Client die verschlüsselten Daten an die 123.123.123.1 (nochmal) durch den Tunnel schicken will - das kann nicht funktionieren.
Gruß
Backslash
Setzt der Client vielleicht die Defaultroute deines PC um? Er bekommt ja eine Adresse (123.123.123.100) aus dem Netz, in dem sich die öffentliche Adresse des VPN-Routers (123.123.123.1) befindet.aber sobald mein VPN-Client die neue IP-Adresse vom Nortel-Router erhält (123.123.123.100), bricht die Verbindung zusammen
Hier hast du ggf. das Problem, daß der Client die verschlüsselten Daten an die 123.123.123.1 (nochmal) durch den Tunnel schicken will - das kann nicht funktionieren.
Das LANCOM ist daran doch gar nicht beteiligt (zumindest nicht, im VPN-Umfeld). Die NAT-Traversal-Einstellung im LANCOM ist nur dann von Bedeutung, wenn das LANCOM den Tunnel selbst aufbaut...Langt es am LANCOM NAT-Traversal aktiviert zu haben ?
Gruß
Backslash
NAT-Traversal zw. LANCOM 1521 u. Nortel NVR 600
Hallo backslash,
beim Nortel-Router (IP: 123.123.123.1) in der Firma, ist aus Sicherheitsgründen "Split-Tunneling" deaktiviert.
Dies bewirkt am Client die Trennung vom lokalen LANCOM-Netz (Dyn.-IP: 192.168.1.100, Maske: 255.255.255.0, GW-int: 192.168.1.1, GW-ext. 121.121.121.1).
Dh., sobald der Client die neue IP-Adresse vom Nortel erhält (Dyn.-IP: 123.123.123.100, Maske: 255.255.255.0, GW: 123.123.123.100) müßte der LANCOM-Router ein dynamisches Mapping zw. den Client-IP's 192.168.1.100 u. 123.123.123.100 machen.
Zw. meinem AVM-Router (FRITZ!box) daheim und dem Nortel funktioniert das Ummappen, weil beide NAT-Traversal (od. IPsec-passthrough) "out-of-the-box" unterstützen.
Leider kenne ich mich am LANCOM nicht aus und der LANCOM-"Admin" in der Schule bzgl. VPN auch nicht, ist aber bereit den LANCOM (Modell: 1521 mit FW: 7.22.0016) nach bedarf zu konfigurieren.
Wir konnten am 1521-er aber kein VPN-Menü finden, um NAT-Traversal ggfs. zu aktivieren. Es gibt nur ein N:NAT-Menü für statisches Mapping.
Wobei, wie Du sagtest, der LANCOM-Router der passive NAT-Traversal- Partner und der Nortel der aktive (baut den Tunnel auf) ist.
Deswegen vermute ich, daß der 1521-er kein NAT-Traversal unterstützt.
Sowohl am Nortel-, als auch am AVM-Router ist passives NAT-Traversal "built in", nur das aktive muß ggfs. aktiviert werden.
Falls der LANCOM 1521 dies also nicht unterstützt (?), bleibt mir nur die Hoffnung, am Nortel vorübergehend "Split Tunneling" aktivieren zu dürfen.
Dann routet der Client selber zw. seinem physikalischen LANCOM- und dem virtuellen Nortel-Netz.
Bei Netzen mit gleich hohen Sicherheitsvorkehrungen ist dies auch nicht so problematisch, aber zw. einem "offenen" Schulnetz (mit DSL 16.000 KBit) und einem sehr stark abgeschotteten Firmennetz (mit 1 bzw. 10 GBit), hat man schon große Bedenken.
Nachdem der LANCOM 1521 die Bandbreite von 16.000 KBit nicht ausschöpfen kann, versuche ich der Schule ein Hardware-Upgrade einzureden.
Deswegen würde mich interessieren welcher LANCOM-WLAN-Router auch bzgl. VPN in Frage kommen könnte: Evtl. der "1721 VPN" ?
Danke und Gruß,
duda
beim Nortel-Router (IP: 123.123.123.1) in der Firma, ist aus Sicherheitsgründen "Split-Tunneling" deaktiviert.
Dies bewirkt am Client die Trennung vom lokalen LANCOM-Netz (Dyn.-IP: 192.168.1.100, Maske: 255.255.255.0, GW-int: 192.168.1.1, GW-ext. 121.121.121.1).
Dh., sobald der Client die neue IP-Adresse vom Nortel erhält (Dyn.-IP: 123.123.123.100, Maske: 255.255.255.0, GW: 123.123.123.100) müßte der LANCOM-Router ein dynamisches Mapping zw. den Client-IP's 192.168.1.100 u. 123.123.123.100 machen.
Zw. meinem AVM-Router (FRITZ!box) daheim und dem Nortel funktioniert das Ummappen, weil beide NAT-Traversal (od. IPsec-passthrough) "out-of-the-box" unterstützen.
Leider kenne ich mich am LANCOM nicht aus und der LANCOM-"Admin" in der Schule bzgl. VPN auch nicht, ist aber bereit den LANCOM (Modell: 1521 mit FW: 7.22.0016) nach bedarf zu konfigurieren.
Wir konnten am 1521-er aber kein VPN-Menü finden, um NAT-Traversal ggfs. zu aktivieren. Es gibt nur ein N:NAT-Menü für statisches Mapping.
Wobei, wie Du sagtest, der LANCOM-Router der passive NAT-Traversal- Partner und der Nortel der aktive (baut den Tunnel auf) ist.
Deswegen vermute ich, daß der 1521-er kein NAT-Traversal unterstützt.
Sowohl am Nortel-, als auch am AVM-Router ist passives NAT-Traversal "built in", nur das aktive muß ggfs. aktiviert werden.
Falls der LANCOM 1521 dies also nicht unterstützt (?), bleibt mir nur die Hoffnung, am Nortel vorübergehend "Split Tunneling" aktivieren zu dürfen.
Dann routet der Client selber zw. seinem physikalischen LANCOM- und dem virtuellen Nortel-Netz.
Bei Netzen mit gleich hohen Sicherheitsvorkehrungen ist dies auch nicht so problematisch, aber zw. einem "offenen" Schulnetz (mit DSL 16.000 KBit) und einem sehr stark abgeschotteten Firmennetz (mit 1 bzw. 10 GBit), hat man schon große Bedenken.
Nachdem der LANCOM 1521 die Bandbreite von 16.000 KBit nicht ausschöpfen kann, versuche ich der Schule ein Hardware-Upgrade einzureden.
Deswegen würde mich interessieren welcher LANCOM-WLAN-Router auch bzgl. VPN in Frage kommen könnte: Evtl. der "1721 VPN" ?
Danke und Gruß,
duda
Hi duda
Das LANCOM hat damit überhaupt nichts zu tun! Es weiß nichtmal, daß da IPSec durch irgendwelche UDP-Pakete getunnelt wird.
Der Client muß sich seine Routen korrekt stellen - da mußt du ansetzen...
Nur leider ist das hier dann das falsche Forum: suche dir ein Nortel-Forum
Und wenn NAT-T gemacht wird, dann ist das für den Router dazwischen einfach nur eine x-beliebige UDP-Verbindung (das ist ja gerade der Sinn des NAT-T)
Gruß
Backslash
NEIN!Dh., sobald der Client die neue IP-Adresse vom Nortel erhält (Dyn.-IP: 123.123.123.100, Maske: 255.255.255.0, GW: 123.123.123.100) müßte der LANCOM-Router ein dynamisches Mapping zw. den Client-IP's 192.168.1.100 u. 123.123.123.100 machen.
Das LANCOM hat damit überhaupt nichts zu tun! Es weiß nichtmal, daß da IPSec durch irgendwelche UDP-Pakete getunnelt wird.
Der Client muß sich seine Routen korrekt stellen - da mußt du ansetzen...
Nur leider ist das hier dann das falsche Forum: suche dir ein Nortel-Forum
Auch das LANCOM beherrscht IpSec-Passthrough - nur ist das hier völlig irrelevant.w. meinem AVM-Router (FRITZ!box) daheim und dem Nortel funktioniert das Ummappen, weil beide NAT-Traversal (od. IPsec-passthrough) "out-of-the-box" unterstützen.
Und wenn NAT-T gemacht wird, dann ist das für den Router dazwischen einfach nur eine x-beliebige UDP-Verbindung (das ist ja gerade der Sinn des NAT-T)
Der 1521 hat auch keinen IPSec-Stack, daher gibt es dort auch kein VPN-Menü. Und wie gesagt: eine NAT-T Konfiguration ist nur im IPSec-Stack nötig, damit dieser die ESP-Pakete in UDP-Pakete einpackt. Jeder Router dazwischen - also nicht nur das LASNCOM, sondern auch ALLE anderen Router im Internet! - wissen nichts davon, daß in den UDP-Paketen ESP-Pakete eingepackt sind - die brauchen das auch nicht zu wissen.Wir konnten am 1521-er aber kein VPN-Menü finden, um NAT-Traversal ggfs. zu aktivieren. Es gibt nur ein N:NAT-Menü für statisches Mapping.
wie gesagt: ohne IPSec-Stack ist eine NAT-T Konfiguration überflüssigSowohl am Nortel-, als auch am AVM-Router ist passives NAT-Traversal "built in", nur das aktive muß ggfs. aktiviert werden.
Wieso sollte der 1521 einen 16MBit Anschluß nicht ausschöpfen können. Er gelangt erst so ab 30..40 MBit an seine Grenzen...Nachdem der LANCOM 1521 die Bandbreite von 16.000 KBit nicht ausschöpfen kann, versuche ich der Schule ein Hardware-Upgrade einzureden.
Deswegen würde mich interessieren welcher LANCOM-WLAN-Router auch bzgl. VPN in Frage kommen könnte: Evtl. der "1721 VPN"
Gruß
Backslash
Ich vermute mal er meint das interne Modem, was ja kein ADSL2+ kann.Wieso sollte der 1521 einen 16MBit Anschluß nicht ausschöpfen können. Er gelangt erst so ab 30..40 MBit an seine Grenzen...
Aber auch dies sollte kein Problem fuer ein LC 1521 sein, da man ja ein externes ADSL2+ Modem an einem freien WAN Port betreiben kann, dann klappt das auch mit dem DSL 16000.
Ciao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
Hallo miteinander,
erstmal vorneweg: Mir geht es keineswegs darum LANCOM Geräte schlecht zu reden. Jeder Hersteller hat seine Vor- und Nachteile, wobei ich selber nur mit Nortel- und Cisco-Geräten experimentiert habe.
Ich sehe es, im Gegenteil, als Herausforderung, nicht nur Nortel- und Cisco-Geräte anzubinden.
Inzwischen laufen über den Nortel einige hundert Verbindungen, mit gleicher Konfiguration (gleiches Routing): Bei manchen klappt es von vornherein mit "Auto-Detect NAT-Traversal", wenn ACL's und FW entsprechend konfiguriert sind, bei anderen durch ausprobieren der verschiedenen NAT-T-Varianten die der Nortel anbieten kann:
- explizit ohne NAT-Traversal
- Auto-Detect IPsec capable NAT
- Always UDP encapsulation.
Deswegen bin ich mir sicher, daß es nicht am Nortel liegt. Der Nortel gibt dem Client vor, was wie gemacht wird und der LANCOM dazwischen sollte "nur" die Kommunikation zw. den beiden zulassen.
Nachdem ich in der Zwischenzeit mal kurz auch auf LANCOM-Seite, am Client sniffen konnte, vermute ich, daß ESP bzw. UDP-Encapsulation am LANCOM geblockt werden (trotz gengeteiliger Aussage der Schule), da ich nur isakmp(500/udp)-Pakete sehen konnte.
Wegen DSL-Bandbreite war das interne Modem gemeint, was die Schule ärgert, da sie das Gerät erst vor zwei Jahren gekauft haben und es nicht durch ein Firmware-Upgrade 16.000-fähig machen können.
Danke und Gruß,
duda
erstmal vorneweg: Mir geht es keineswegs darum LANCOM Geräte schlecht zu reden. Jeder Hersteller hat seine Vor- und Nachteile, wobei ich selber nur mit Nortel- und Cisco-Geräten experimentiert habe.
Ich sehe es, im Gegenteil, als Herausforderung, nicht nur Nortel- und Cisco-Geräte anzubinden.
Inzwischen laufen über den Nortel einige hundert Verbindungen, mit gleicher Konfiguration (gleiches Routing): Bei manchen klappt es von vornherein mit "Auto-Detect NAT-Traversal", wenn ACL's und FW entsprechend konfiguriert sind, bei anderen durch ausprobieren der verschiedenen NAT-T-Varianten die der Nortel anbieten kann:
- explizit ohne NAT-Traversal
- Auto-Detect IPsec capable NAT
- Always UDP encapsulation.
Deswegen bin ich mir sicher, daß es nicht am Nortel liegt. Der Nortel gibt dem Client vor, was wie gemacht wird und der LANCOM dazwischen sollte "nur" die Kommunikation zw. den beiden zulassen.
Nachdem ich in der Zwischenzeit mal kurz auch auf LANCOM-Seite, am Client sniffen konnte, vermute ich, daß ESP bzw. UDP-Encapsulation am LANCOM geblockt werden (trotz gengeteiliger Aussage der Schule), da ich nur isakmp(500/udp)-Pakete sehen konnte.
Wegen DSL-Bandbreite war das interne Modem gemeint, was die Schule ärgert, da sie das Gerät erst vor zwei Jahren gekauft haben und es nicht durch ein Firmware-Upgrade 16.000-fähig machen können.
Danke und Gruß,
duda
Hi,
Ciao
LoUiS
wie ich bereits erwaehnt hatte, kann die Schule das 1521 durchaus mit einem externen Modem ADSL2+ faehig machen. Das sollte ein kleinerer finanzieller Aufwand sein, als wenn jemand denen ein neues LANCOM 1721 andreht.Wegen DSL-Bandbreite war das interne Modem gemeint, was die Schule ärgert, da sie das Gerät erst vor zwei Jahren gekauft haben und es nicht durch ein Firmware-Upgrade 16.000-fähig machen können.
Ciao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
Hi duda
Ein dabei gerne gemachter Fehler ist der, daß der Port sowohl als Ziel- (was korrekt ist) als auch als Quell-Port (was die Kommunikation abwürgt) eingetragen wird.
Dem LANCOM jedenfalls ist es völlig egal, was da übertragen wird (zumindest solange es von Eingriffen eines überschlauen Administrators verschont bleibt)
Gruß
Backslash
Das ist ganau das, was ich dir schon im letzten Posting gesagt habe - das LANCOM interressiert sich nicht dafür, was in den UDP-Paketen steckt...Der Nortel gibt dem Client vor, was wie gemacht wird und der LANCOM dazwischen sollte "nur" die Kommunikation zw. den beiden zulassen.
Ich würde mal davon ausgehen, daß die Schule die Firewall tatsächlich so konfiguriert hat, daß das geblockt wird, denn schließlich muß sie ja nur den Traffic auf den Ports 500 und 10001 zulassen...daß ESP bzw. UDP-Encapsulation am LANCOM geblockt werden (trotz gengeteiliger Aussage der Schule), da ich nur isakmp(500/udp)-Pakete sehen konnte.
Ein dabei gerne gemachter Fehler ist der, daß der Port sowohl als Ziel- (was korrekt ist) als auch als Quell-Port (was die Kommunikation abwürgt) eingetragen wird.
Dem LANCOM jedenfalls ist es völlig egal, was da übertragen wird (zumindest solange es von Eingriffen eines überschlauen Administrators verschont bleibt)
Gruß
Backslash