Problem mit "VPN Gateway antwortet nicht"

[waldmeister24]

Hallo,

ich hab bei einem Kunden ein Problem: Er nutzt seit einigen Jahren die VPN-Anbindung des LANCOM-Routers (aktuell ein 1784VA) i.V. mit dem LANCOM Advanced VPN-Client (mit Zertifikaten). Bisher eigentlich problemlos. In letzter Zeit aber haben wir immer wieder das Problem, daß der VPN-Verbindungsaufbau nicht klappt (VPN-Gateway antwortet nicht. Msg. 2). Als ich letztens ein Notebook eingerichtet habe, trat das Problem wieder auf. Mit Hilfe des LANCOM-Supports hab ich dann rausgefunden, daß es dann funktioniert, wenn "IPSec over Https" aktiviert ist. Dazu musste ich aber im Router das Port-Forwarding von Port 443 (wird für den Mailabruf der mobilen Geräte benötigt) testweise deaktivieren.
Als ich das Notebook bei mir im Büro getestet habe, lief es auch ohne "IPsec over Https". Heute hat mich der Kunde angerufen, daß ein Mitarbeiter heute wieder das Problem hat (sitzt in einem Hotel und bekommt nur o.g. Meldung, obwohl es in den letzten Tagen problemlos funktionierte).

Was kann man hier machen? Es scheint, als ob der Aufbau von unterschiedlichen Providern blockiert wird. Hat jemand eine Lösung?


Viele Grüße
waldmeister24

[Icarusweb]

Dumme Frage, das VPN-Gateway ist aber erreichbar per Ping? Kommt überhaupt keine Nachricht der IKE Verhandlung beim Router an (Trace)? NAT-Traversal aktiviert?
Wären so die üblichen Verdächtigen die mir einfallen.

(sitzt in einem Hotel und bekommt nur o.g. Meldung, obwohl es in den letzten Tagen problemlos funktionierte)

Bedeutet das, der Kollege hatte in dem Hotel die Tage vorher keine Probleme oder erst seid er da ist?

[waldmeister24]

Hallo,

das Gateway ist ganz normal erreichbar. Andere Mitarbeiter haben sind zeitgleich per VPN verbunden. Nur z.Zt. der eine Mitarbeiter hat Probleme. Als sich der LANCOM-Support per Fernwartung auf dem dazugeschaltet hatte, kam gar nix am VPN-Gateway an. Erst nach Aktivierung von "IPSec over https" kam eine Verbindung zustande. Allerdings beschwerten sich dann andere Mitarbeiter, weil der Mailabruf am Handy nicht mehr funktionierte. Also kann ich das nicht ständig aktivieren.

Ja, der Mitarbeiter war die ganze Woche in dem Hotel und es klappte die ersten Tage und dann plötzlich nicht mehr.


Grüße
waldmeister24

[MariusP]

Hi,
Versucht ihr über LTE oder ähnliches aufzubauen statt über DSL?
Was sagen denn die Traces auf der Zentrale, sieht er die Verbindungsaufbauversuche?
Gruß

[Bernie137]

Hi,

ebentuell wurde auch in dem Hotelnetz nachkonfigruiert und ausgehende Ports geschlossen, worunter nun die eingänigen VPN-Ports fallen. Man kann das auch testen: http://www.tomsnetworking.de/content/ti ... page5.html

Gruß Bernie

[MariusP]

Hi,
Warum sollte ein Hotel wollen, das die Kunden kein VPN nutzen können?
Gruß

[Bernie137]

Je nachdem, wer davon Ahnung hat und (nicht) weiß, was er tut.

[Jirka]

Hi,

wie Marius schon schrieb, sollte man im Fehlerfall in der Zentrale schauen, ob da überhaupt was ankommt von dem VPN-Client, z. B. mit einem VPN-Status-Trace.

Viele Grüße,
Jirka

[waldmeister24]

Hallo,

erst mal vielen Dank für eure Antworten und sorry für meine späte Rückmeldung.

Nach dem die Urlaubszeit nun allmählich zu Ende geht, bekomme ich jetzt erst wieder Rückmeldungen. Nun ist einer der betroffenen User wieder mal in einem Hotel und bekommt über das Hotel-WLAN keine VPN-Verbindung zur Zentrale zustande. Wenn er anstatt des Hotel-WLAN über die Hotspot-Funktion seines IPhones geht, wird die Verbindung problemlos aufgebaut. Probiert er es dann nochmals über das Hotel-WLAN, passiert wieder nichts. Da ich erst nach dem Test informiert wurde und er User schon wieder unterwegs ist, konnte ich leider keinen VPN-Trace durchführen. Aber als sich damals der LANCOM-Support per Fernwartung dabei war, kam am Router in der Zentrale nix von dem betroffenen Client an. Nur als der Support "IPSec over Https" aktiviert hatte, klappte es. Allerdings wird der dazu benötigte Port 443 schon anderweitig benutzt.

Was könnte ich noch machen?


Grüße
waldmeister24

[GrandDixence]

Werden die für IKE/IPSec benötigten Ports UDP 500 (IKE) und UDP 4500 (NAT-T) in ausgehender Richtung von einer Hotel-eigenen NAT-Router/Firewall blockiert, kann als Rückfall ein SSL-VPN eingesetzt werden.

Beim SSL-VPN läuft der Datenverkehr über den Port TCP 443, welcher für das verschlüsselte Internet surfen (HTTPS) verwendet wird. Kein Hotel kann es sich leisten, den Datenverkehr über Port TCP 443 zu blockieren, dass gäbe massive Kundenbeschwerden...

Der SSL-VPN von LANCOM versteckt sich hinter dem Namen "IPSec over HTTPS". Der Einsatz einer modernen UDP/IP-basierten VPN-Lösung (z.B. IKEv2/IPSec) bietet einige technische Vorteile gegenüber einer TCP-basierten Lösung (z.B. SSL-VPN). Deshalb sollte nach Möglichkeit IKE/IPSec eingesetzt werden. Nur dort wo ein NAT-Router/Firewall den Einsatz von IKE/IPSec verunmöglicht, sollte die "Rückfallebene" SSL-VPN eingesetzt werden. => IKEv2/IPSec ist der "Rolls Royce" unter den VPN-Lösungen (die "Delux-Lösung"). SSL-VPN ist der "Geländewagen" unter den VPN-Lösungen (kommt fast überall durch, ist aber sehr unkonfortabel).

https://en.wikipedia.org/wiki/Internet_Key_Exchange

https://en.wikipedia.org/wiki/NAT_traversal

https://de.wikipedia.org/wiki/SSL-VPN

[waldmeister24]

Hallo,

also so wie es aussieht hat der betroffene Mitarbeiter tatsächlich das Problem, daß in dem Hotel VPN blockiert wird (in zwei Hotels der gleichen Kette das gleiche Problem, zuhause oder in den meisten anderen Internetzugängen keine Probleme).

Jetzt meine Frage: Der Kunde hat insgesamt 5 feste IP-Adressen bei seinem Internetprovider. Eine davon wird für den Internetzugang genutzt, zwei weitere werden von anderen Diensten belegt. Kann ich einfach eine weitere IPoE-Verbindung mit einem anderen Tag und einer freien festen IP-Adresse verwenden, um diese dann für den VPN-Zugang zu benutzen? Denn auf dieser wäre dann auch der Port 443 für IPsec over Https frei. Wäre dies möglich?


Viele Grüße
waldmeister24

[waldmeister24]

Hallo,

hat hier keiner eine vergleichbare Situation? Bin ich tatsächlich der einzige, bei dem über eine feste externe IP-Adresse sowohl VPN als auch Mailabruf laufen? Dabei ist der Port 443 für den externen Mailabruf auf IOS-Geräten schon blockiert und kann somit für IPsec over https nicht mehr verwendet werden. Gibt es hierfür tatsächlich keine Lösung?


Grüße
waldmeister24

[backslash]

Hi waldmeister24

Jetzt meine Frage: Der Kunde hat insgesamt 5 feste IP-Adressen bei seinem Internetprovider. Eine davon wird für den Internetzugang genutzt, zwei weitere werden von anderen Diensten belegt.

und wo ist jetzt dein Problem? Entweder der Kunde hat eine DMZ mit öffentlichen Adressen, dann wird ist der Port 443 für den "anderen Dienst" ja nicht vom LANCOM belegt (der zugehörige Server ist ja in der DMZ). Dabei kann der Port 443 auf dem LANCOM problemlos für IPSec over HTTPS genutzt werden. Oder aber er arbeitet mit Portforwarding - dann soll er das Forwarding für den Port 443 auf eine der vier öffentlichen Adressen legen, die das LANCOM nicht nutzt - so kann er dann die eine, die für den Internetzugang genutzt wird, auch für IPSec over HTTPS nutzen...

Kann ich einfach eine weitere IPoE-Verbindung mit einem anderen Tag und einer freien festen IP-Adresse verwenden, um diese dann für den VPN-Zugang zu benutzen? Denn auf dieser wäre dann auch der Port 443 für IPsec over Https frei. Wäre dies möglich?

nein, denn dann hättest du zwei IPoE-Verbindungen auf einem DSL-Interface - das wird vom LANCOM abgelehnt, weil dabei Broadcasts nicht eindeutig zugeordnet werden können...

Bin ich tatsächlich der einzige, bei dem über eine feste externe IP-Adresse sowohl VPN als auch Mailabruf laufen? Dabei ist der Port 443 für den externen Mailabruf auf IOS-Geräten schon blockiert und kann somit für IPsec over https nicht mehr verwendet werden

seit wann läuft Mail über den Port 443? IMAP nutzt doch Port 143 bzw. 993 (siehe: https://de.wikipedia.org/wiki/Internet_ ... s_Protocol)...

Gruß
Backslash

[waldmeister24]

Hallo backslash,

ich hab mir nun nochmal die Konfig angeschaut.

Aktuell wird von den verfügbaren IP-Adressen eine (xx.xx.xx.90) für Internet, Mail, VPN, etc. genutzt. Das Netz "INTRANET" nutzt dabei die 192.168.10.xx (LANCOM hat 192.168.10.254).

Zwei weitere (.91 und .92) werden für Videokonferenzen genutzt. Dazu wurde eine DMZ "VIDEO" mit einem eigenen internen Netz konfiguriert (192.168.20.254). Über ein N:N-Adress-Mapping wird die externe IP .91 auf die interne 192.168.20.1 und die .92 auf die interne 192.168.20.2 umgesetzt.

Für den externen Zugriff von den IOS-Geräten auf den EAS-Dienst des internen Mailservers (Tobit David) wird der Port 443 auf die IP-Adresse dieses Servers (192.168.10.199) weitergeleitet.

Wenn ich deine Antwort richtig verstehe, dann kann ich in der Port-Forwarding-Tabelle beim Eintrag für den Port 443 im Feld "WAN-Adresse" z.B. die ext. IP .93 eintragen. Dann müssen in den IPhones die IP-Adresse von jetzt .90 auf .93 geändert werden und ich IPSec over Https nutzen? Wäre das so richtig oder hab ich das völlig falsch verstanden?



Mit Mailverkehr meinte ich den Abruf von unterwegs mit den hauptsächlich IOS-Geräten vom internen David-Server, der den Exchange Active Sync-Dienst mit Port 443 nutzt.



Viele Grüße
waldmeister24

[backslash]

Hi waldmeister24,

Wenn ich deine Antwort richtig verstehe, dann kann ich in der Port-Forwarding-Tabelle beim Eintrag für den Port 443 im Feld "WAN-Adresse" z.B. die ext. IP .93 eintragen. Dann müssen in den IPhones die IP-Adresse von jetzt .90 auf .93 geändert werden und ich IPSec over Https nutzen? Wäre das so richtig oder hab ich das völlig falsch verstanden?

ganau das meinte ich...

Gruß
Backslash