Hallo zusammen,
ich probiere eine VPN Site to Site Verbindung zwischen meinem Lancom 1781VA und einer bei AWS gehosteten pfSense herzustellen.
Netzwerkaufbau:
192.168.5.0/27 (VLAN 20) -> 1781VA -> VPN -> pfSense -> 172.31.16.0/20
Sowohl Lancom Router als auch pfSense sind über eine feste IP aus dem Internet erreichbar. Für die VPN Verbindung habe ich IKEv2 mit PSK entsprechend am Lancom und der pfSense konfiguriert.
Allerdings kommen auf der der pfSense überhaupt keine VPN Pakete das Lancoms an (überprüft mittels Packet Capture der pfSense und AWS Flow Watch der entsprechenden Netzwerkschnittstelle der pfSense). Entsprechende Firewall Regeln habe ich sowohl für die AWS VPC als auch direkt in der pfSense erstellt (UDP Port 500, UDP Port 4500, ESP Protokoll).
Ich habe auch zu Testzwecken eine Ethernet Schnittstelle des Lancoms als Monitor Port aktiviert und alle Pakete mit Wireshark mitgeschnitten. Auch hier wurden keine VPN Pakete aufgezeichnet die an die pfSense verschickt wurden.
Bin etwas Ratlos was ich noch probieren kann.
Trace des Lancoms:
VPN-Status] 2017/08/03 23:40:00,839 Devicetime: 2017/08/03 23:40:01,755
VPN: Error: IFC-I-Connection-timeout-IKE-IPSEC (0x1106) for VOICE-VPN (52.59.X.X)
[VPN-Status] 2017/08/03 23:40:00,839 Devicetime: 2017/08/03 23:40:01,759
IKE info: Disconnect Request for peer VOICE-VPN (ikev2)
[VPN-Status] 2017/08/03 23:40:00,839 Devicetime: 2017/08/03 23:40:01,760
vpn-maps[21], remote: VOICE-VPN, idle, static-name
[VPN-Status] 2017/08/03 23:40:00,839 Devicetime: 2017/08/03 23:40:01,764
selecting next remote gateway using strategy eFirst for VOICE-VPN
=> no remote gateway selected
[VPN-Status] 2017/08/03 23:40:00,839 Devicetime: 2017/08/03 23:40:01,764
selecting first remote gateway using strategy eFirst for VOICE-VPN
=> CurrIdx=0, IpStr=>52.59.X.X<, IpAddr=52.59.X.X, IpTtl=0s
[VPN-Status] 2017/08/03 23:40:00,839 Devicetime: 2017/08/03 23:40:01,764
VPN: installing ruleset for VOICE-VPN (52.59.X.X)
[VPN-Status] 2017/08/03 23:40:00,839 Devicetime: 2017/08/03 23:40:01,764
VPN: WAN state changed to WanDisconnect for VOICE-VPN (52.59.X.X), called by: 01797750
[VPN-Status] 2017/08/03 23:40:00,839 Devicetime: 2017/08/03 23:40:01,764
Config parser: Start
[VPN-Status] 2017/08/03 23:40:00,839 Devicetime: 2017/08/03 23:40:01,764
Config parser: Finish
Wall clock time: 0 ms
CPU time: 0 ms
[VPN-Status] 2017/08/03 23:40:00,839 Devicetime: 2017/08/03 23:40:01,764
VPN: WAN state changed to WanIdle for VOICE-VPN (52.59.X.X), called by: 01797750
[VPN-Status] 2017/08/03 23:40:00,839 Devicetime: 2017/08/03 23:40:01,770
VPN: rulesets installed
[VPN-Status] 2017/08/03 23:40:02,044 Devicetime: 2017/08/03 23:40:02,764
VPN: WAN state changed to WanCall for VOICE-VPN (52.59.X.X), called by: 01797750
[VPN-Status] 2017/08/03 23:40:02,044 Devicetime: 2017/08/03 23:40:02,764
VPN: connecting to VOICE-VPN (52.59.X.X)
[VPN-Status] 2017/08/03 23:40:02,045 Devicetime: 2017/08/03 23:40:02,764
vpn-maps[21], remote: VOICE-VPN, nego, static-name, connected-by-name
[VPN-Status] 2017/08/03 23:40:02,046 Devicetime: 2017/08/03 23:40:02,764
vpn-maps[21], remote: VOICE-VPN, nego, static-name, connected-by-name
[VPN-Status] 2017/08/03 23:40:02,046 Devicetime: 2017/08/03 23:40:02,768
vpn-maps[21], remote: VOICE-VPN, nego, static-name, connected-by-name
[VPN-Status] 2017/08/03 23:40:02,046 Devicetime: 2017/08/03 23:40:02,768
VPN: start IKE negotiation for VOICE-VPN (52.59.X.X)
[VPN-Status] 2017/08/03 23:40:02,046 Devicetime: 2017/08/03 23:40:02,768
VPN: WAN state changed to WanProtocol for VOICE-VPN (52.59.X.X), called by: 01797750
[VPN-Status] 2017/08/03 23:40:02,046 Devicetime: 2017/08/03 23:40:02,769
IKE info: Connect Request for peer VOICE-VPN (ikev2)
[VPN-Status] 2017/08/03 23:40:02,046 Devicetime: 2017/08/03 23:40:02,773
IKE info: Connect Request for peer VOICE-VPN (ikev2)
[VPN-Status] 2017/08/03 23:40:31,852 Devicetime: 2017/08/03 23:40:32,768
VPN: connection for VOICE-VPN (52.59.X.X) timed out: no response
[VPN-Status] 2017/08/03 23:40:31,852 Devicetime: 2017/08/03 23:40:32,768
VPN: disconnecting VOICE-VPN (52.59.X.X)
[VPN-Status] 2017/08/03 23:40:31,852 Devicetime: 2017/08/03 23:40:32,769
VPN: Error: IFC-I-Connection-timeout-IKE-IPSEC (0x1106) for VOICE-VPN (52.59.X.X)
SiteToSite VPN Lancom -> pfSense
Moderator: Lancom-Systems Moderatoren
Re: SiteToSite VPN Lancom -> pfSense
Hi,
Poste doch mal bitte einen "VPN-P" Trace dort siehst du warum Pakete möglicherweise nicht beim ESP verarbeitet werden.
Falls du nachschauen möchtest wie das VPN seine SAs aufgebaut hat kannst du das mit "show vpn sadb" machen.
Sofern du die IPs Zensieren möchste dann bitte mit sowas wie XXX.XXX YYY.YYY usw.
Gruß
Poste doch mal bitte einen "VPN-P" Trace dort siehst du warum Pakete möglicherweise nicht beim ESP verarbeitet werden.
Falls du nachschauen möchtest wie das VPN seine SAs aufgebaut hat kannst du das mit "show vpn sadb" machen.
Sofern du die IPs Zensieren möchste dann bitte mit sowas wie XXX.XXX YYY.YYY usw.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Re: SiteToSite VPN Lancom -> pfSense
Der Trace auf VPN-P hat leider nichts gebracht, es werden gar keine Meldungen ausgegeben. Auch werden keinerlei SAs aufgebaut.
Es scheint als läge hier grundsätzliches Problem vor. Wie gesagt die IKE2 Parameter und die Firewall Einstellungen sind auf beiden Geräten entsprechend vorgenommen.
Grüße
Es scheint als läge hier grundsätzliches Problem vor. Wie gesagt die IKE2 Parameter und die Firewall Einstellungen sind auf beiden Geräten entsprechend vorgenommen.
Grüße
-
GrandDixence
- Beiträge: 1180
- Registriert: 19 Aug 2014, 22:41
Re: SiteToSite VPN Lancom -> pfSense
Das erste von 4 IKE-Telegramme (IKE_SA_INIT-REQUEST) wurde vom LANCOM-Gerät (ins Nirgendwo/Nirwana) versendet.motu hat geschrieben:[VPN-Status] 2017/08/03 23:40:02,046 Devicetime: 2017/08/03 23:40:02,768
VPN: start IKE negotiation for VOICE-VPN (52.59.X.X)
Bis zum Ablauf der Timeout-Zeit hat das LANCOM-Gerät keine Antwort (IKE_SA_INIT-RESPONSE, Telegramm Nr. 2 von 4) vom anderen VPN-Endpunkt erhalten. Das "-I-" in "IFC-I-Connection-timeout-IKE-IPSEC" steht für "Initator". Der Initator ist der VPN-Endpunkt, welcher das erste Telegramm versendet hat. "-R-" steht für "Responder" also der VPN-Endpunkt, welcher auf die Anfrage des Initiator antworten muss.motu hat geschrieben:[VPN-Status] 2017/08/03 23:40:31,852 Devicetime: 2017/08/03 23:40:32,768
VPN: connection for VOICE-VPN (52.59.X.X) timed out: no response
[VPN-Status] 2017/08/03 23:40:31,852 Devicetime: 2017/08/03 23:40:32,768
VPN: disconnecting VOICE-VPN (52.59.X.X)
[VPN-Status] 2017/08/03 23:40:31,852 Devicetime: 2017/08/03 23:40:32,769
VPN: Error: IFC-I-Connection-timeout-IKE-IPSEC (0x1106) for VOICE-VPN (52.59.X.X)
=> Hier liegt wahrscheinlich ein Router/Firewall-Konfigurationsfehler vor...
-
GrandDixence
- Beiträge: 1180
- Registriert: 19 Aug 2014, 22:41
Re: SiteToSite VPN Lancom -> pfSense
Konfiguration des LANCOM-Router
===================================
Diese Anleitung beschreibt die Konfiguration eines VPN-Tunnels zwischen zweier LANCOM-Geräten mit IKEv2/IPSec.
Der Laptop mit der IP-Adresse 192.168.1.2 am LANCOM-Gerät ROUTERNAH (IP-Adresse: 192.168.1.1) soll
Zugriff auf das Webinterface (Webconfig) des LANCOM-Gerät ROUTERFERN (IP-Adresse: 192.168.2.1) erhalten.
Der Zugriff wird über einen VPN-Tunnel mit IKEv2/IPSEC (ESP) realisiert.
Diese Anleitung gilt für LCOS 10.12 Rel.
Die Anleitung basiert auf der Windows 10 (Mobile)-Anleitung:
http://www.lancom-forum.de/fragen-zum-t ... 15356.html
Hier werden nur die von der Windows 10 (Mobile)-Anleitung abweichenden Konfigurationsschritte aufgezeigt!
Diese VPN-Regel erlaubt dem Laptop den Fernzugriff auf das LANCOM-Gerät ROUTERFERN durch den VPN-Tunnel:
Zur Bedeutung und Wirkung der IPv4-Regeln siehe:
fragen-zum-thema-vpn-f14/frage-zu-vorde ... 17087.html
viewtopic.php?f=14&t=17091&p=96922&hili ... gel#p96922
fragen-zum-thema-vpn-f14/einwahl-ueber- ... ml#p112810
Den VPN-Tunnel einrichten:
Der "DEFAULT"-Eintrag ist nur bei VPN-Einwahlverbindungen erforderlich.
Bei reinen LANCOM-VPN-Verbindungen ist der "DEFAULT"-Eintrag nicht erforderlich! Siehe auch:
fragen-zum-thema-vpn-f14/keine-ikev2-ve ... ml#p104295
Achtung:
Ein VPN-Endpunkt (VPN-Client/Initiator) muss zwingend mit "SH-Zeit:=9999" konfiguriert werden!
Der andere VPN-Endpunkt (VPN-Server/Responder) muss zwingend mit "SH-Zeit:=0" konfiguriert werden!
Der VPN-Endpunkt mit "SH-Zeit:=9999" baut den VPN-Tunnel auf (VPN-Client/Initiator).
Der VPN-Endpunkt mit "SH-Zeit:=0" (VPN-Server/Responder) wartet solange, bis er die Anforderung zum Aufbau des VPN-Tunnels vom Initiator/VPN-Client erhält.
Im abgebildeten Konfigurationsbeispiel wird der VPN-Tunnel immer vom ROUTERNAH in Richtung "ROUTERNAH zu ROUTERFERN" aufgebaut.
Damit der VPN-Tunnel vom Initiator/VPN-Client ("SH-Zeit:=9999) aufgebaut werden kann, muss der VPN-Server/Responder (LANCOM-Gerät mit "SH-Zeit:=0") zwingend
mit einer öffentlichen IPv4-Adresse an der WAN-Schnittstelle betrieben werden! Dies ist gerade bei "Dual Stack Light" (DS Light) zu beachten
(z.B. Internetanschluss über Fernsehkabelnetz per EuroDOCSIS-Kabelmodem). Siehe auch:
https://www.elektronik-kompendium.de/si ... 904041.htm
Die Anmeldung der VPN-Endpunkte ist zu regeln:
Der "DEFAULT"-Eintrag ist nur bei VPN-Einwahlverbindungen erforderlich.
Bei reinen LANCOM-VPN-Verbindungen ist der "DEFAULT"-Eintrag in der Regel nicht erforderlich! Für weitere Informationen zum Default-Eintrag siehe:
fragen-zum-thema-vpn-f14/r883vaw-10-50- ... ml#p112619
fragen-zum-thema-vpn-f14/keine-ikev2-ve ... ml#p104295
Das Anmeldeverfahren ist zu definieren:
Die auf ECDSA- bzw. ECGDSA-basierenden Anmeldeverfahren werden vom LANCOM-Router nicht unterstützt.
Die Verschlüsselung des VPN-Tunnels ist zu konfigurieren:
Aus Sicherheitsgründen muss der VPN-Zugriff eingeschränkt werden:
Zur Bedeutung der Einträge in der "Wan-Tag-Tabelle" siehe:
fragen-zum-thema-vpn-f14/vpn-clients-mi ... 12347.html
https://www2.lancom.de/kb.nsf/b8f10fe56 ... 6c00408781
fragen-zum-thema-vpn-f14/standortvernet ... ml#p118345
Für jeden VPN-Tunnel zu einem LANCOM-Gerät muss von Hand ein Eintrag in der Routing-Tabelle erstellt werden.
Für komplexere VPN-Konfigurationen sind die Hinweise unter:
fragen-zum-thema-vpn-f14/standortvernet ... ml#p118345
zur Konfiguration der Routing-Tabelle zu beachten!
Für den Fernzugriff auf das Webconfig/Webinterface des LANCOM-Routers müssen die
HTTPS-Zugriffsrechte über WAN mit VPN konfiguriert werden:
Dann muss für den Fernzugriff auf das Webconfig/Webinterface des LANCOM-Routers
die zulässigen IP-Adressen konfiguriert werden:
Achtung: Es sind zwei Einträge erforderlich. Einmal mit dem Quell-Tag und einmal mit dem Ziel-Tag!
Die erforderlichen Firewallregeln sind unter:
fragen-zum-thema-vpn-f14/standortvernet ... ml#p118345
im Detail beschrieben.
Damit die über die VPN-Tunneln übertragenen Daten nicht den Internetanschluss überlasten,
muss die Datenübertragungsrate der durch den VPN-Tunnel gehenden Verbindungen mit QoS begrenzt werden:
Die abgebildete QoS-Regel begrenzt die Datenübertragungsrate in Senderichtung (von LAN zu WAN)
auf 1024 KBit/s für alle durch die Firewall-Regel betroffenen Verbindungen.
Für den Zugriff auf das Webinterface (Webconfig) funktioniert QoS in der Regel nicht.
Einzig für den Upload neuer LCOS-Versionen (Firmware-Upload) funktioniert QoS.
===================================
Diese Anleitung beschreibt die Konfiguration eines VPN-Tunnels zwischen zweier LANCOM-Geräten mit IKEv2/IPSec.
Der Laptop mit der IP-Adresse 192.168.1.2 am LANCOM-Gerät ROUTERNAH (IP-Adresse: 192.168.1.1) soll
Zugriff auf das Webinterface (Webconfig) des LANCOM-Gerät ROUTERFERN (IP-Adresse: 192.168.2.1) erhalten.
Der Zugriff wird über einen VPN-Tunnel mit IKEv2/IPSEC (ESP) realisiert.
Diese Anleitung gilt für LCOS 10.12 Rel.
Die Anleitung basiert auf der Windows 10 (Mobile)-Anleitung:
http://www.lancom-forum.de/fragen-zum-t ... 15356.html
Hier werden nur die von der Windows 10 (Mobile)-Anleitung abweichenden Konfigurationsschritte aufgezeigt!
Diese VPN-Regel erlaubt dem Laptop den Fernzugriff auf das LANCOM-Gerät ROUTERFERN durch den VPN-Tunnel:
Code: Alles auswählen
ROUTERNAH> ls Setup/VPN/Netzwerkregeln/IPv4-Regeln
Name Lokale Netzwerke Entfernte Netzwerke
-----------------------------------------------------------
FERNNETZ 192.168.1.2/32 192.168.2.1/32Code: Alles auswählen
ROUTERFERN> ls Setup/VPN/Netzwerkregeln/IPv4-Regeln
Name Lokale Netzwerke Entfernte Netzwerke
-----------------------------------------------------------
NAHNETZ 192.168.2.1/32 192.168.1.2/32fragen-zum-thema-vpn-f14/frage-zu-vorde ... 17087.html
viewtopic.php?f=14&t=17091&p=96922&hili ... gel#p96922
fragen-zum-thema-vpn-f14/einwahl-ueber- ... ml#p112810
Den VPN-Tunnel einrichten:
Code: Alles auswählen
ROUTERNAH> ls /Setup/VPN/IKEv2/Gegenstellen/
Gegenstelle Aktiv SH-Zeit Entferntes-Gateway Rtg-Tag Verschluesselung Authentifizierung Parameter Lebensdauer IKE-CFG IPv4-CFG-Pool IPv6-CFG-Pool Regelerzeugung IPv4-Regeln IPv6-Regeln Routing RADIUS-Autorisierung RADIUS-Accounting Kommentar
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
ROUTERFERN ja 0 routerfern.spdns.de 2 LANCOM FERNAUTH VPN_NATEL VPN_NATEL aus Manuell FERNNETZ routerfern.spdns.deCode: Alles auswählen
ROUTERFERN> ls /Setup/VPN/IKEv2/Gegenstellen/
Gegenstelle Aktiv SH-Zeit Entferntes-Gateway Rtg-Tag Verschluesselung Authentifizierung Parameter Lebensdauer IKE-CFG IPv4-CFG-Pool IPv6-CFG-Pool Regelerzeugung IPv4-Regeln IPv6-Regeln Routing RADIUS-Autorisierung RADIUS-Accounting Kommentar
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
ROUTERNAH ja 9999 routernah.spdns.de 1 LANCOM NAHAUTH VPN_NATEL VPN_NATEL aus Manuell NAHNETZ routernah.spdns.deDer "DEFAULT"-Eintrag ist nur bei VPN-Einwahlverbindungen erforderlich.
Bei reinen LANCOM-VPN-Verbindungen ist der "DEFAULT"-Eintrag nicht erforderlich! Siehe auch:
fragen-zum-thema-vpn-f14/keine-ikev2-ve ... ml#p104295
Achtung:
Ein VPN-Endpunkt (VPN-Client/Initiator) muss zwingend mit "SH-Zeit:=9999" konfiguriert werden!
Der andere VPN-Endpunkt (VPN-Server/Responder) muss zwingend mit "SH-Zeit:=0" konfiguriert werden!
Der VPN-Endpunkt mit "SH-Zeit:=9999" baut den VPN-Tunnel auf (VPN-Client/Initiator).
Der VPN-Endpunkt mit "SH-Zeit:=0" (VPN-Server/Responder) wartet solange, bis er die Anforderung zum Aufbau des VPN-Tunnels vom Initiator/VPN-Client erhält.
Im abgebildeten Konfigurationsbeispiel wird der VPN-Tunnel immer vom ROUTERNAH in Richtung "ROUTERNAH zu ROUTERFERN" aufgebaut.
Damit der VPN-Tunnel vom Initiator/VPN-Client ("SH-Zeit:=9999) aufgebaut werden kann, muss der VPN-Server/Responder (LANCOM-Gerät mit "SH-Zeit:=0") zwingend
mit einer öffentlichen IPv4-Adresse an der WAN-Schnittstelle betrieben werden! Dies ist gerade bei "Dual Stack Light" (DS Light) zu beachten
(z.B. Internetanschluss über Fernsehkabelnetz per EuroDOCSIS-Kabelmodem). Siehe auch:
https://www.elektronik-kompendium.de/si ... 904041.htm
Die Anmeldung der VPN-Endpunkte ist zu regeln:
Code: Alles auswählen
ROUTERNAH> ls /Setup/VPN/IKEv2/Auth/Parameter/
Name Local-Auth Local-Dig-Sig-Profil Local-ID-Typ Local-ID Lokales-Passwort Remote-Auth Remote-Dig-Sig-Profil Remote-ID-Typ Remote-ID Remote-Password Addit.-Remote-ID-List Lokales-Zertifikat Remote-Cert-ID-Check OCSP-Check
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
FERNAUTH Digital-Signature LANCOM Distinguished-Name CN=routernah.spdns.de Digital-Signature LANCOM Distinguished-Name CN=routerfern.spdns.de VPN1 ja neinCode: Alles auswählen
ROUTERFERN> ls /Setup/VPN/IKEv2/Auth/Parameter/
Name Local-Auth Local-Dig-Sig-Profil Local-ID-Typ Local-ID Lokales-Passwort Remote-Auth Remote-Dig-Sig-Profil Remote-ID-Typ Remote-ID Remote-Password Addit.-Remote-ID-List Lokales-Zertifikat Remote-Cert-ID-Check OCSP-Check
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
NAHAUTH Digital-Signature LANCOM Distinguished-Name CN=routerfern.spdns.de Digital-Signature LANCOM Distinguished-Name CN=routernah.spdns.de VPN1 ja neinDer "DEFAULT"-Eintrag ist nur bei VPN-Einwahlverbindungen erforderlich.
Bei reinen LANCOM-VPN-Verbindungen ist der "DEFAULT"-Eintrag in der Regel nicht erforderlich! Für weitere Informationen zum Default-Eintrag siehe:
fragen-zum-thema-vpn-f14/r883vaw-10-50- ... ml#p112619
fragen-zum-thema-vpn-f14/keine-ikev2-ve ... ml#p104295
Das Anmeldeverfahren ist zu definieren:
Code: Alles auswählen
BEIDE> ls /Setup/VPN/IKEv2/Auth/Digital-Signatur-Profile/
Name Auth-Methode Hash-Algorithmen
----------------------------------------------------------------------
LANCOM RSASSA-PSS SHA-384Die Verschlüsselung des VPN-Tunnels ist zu konfigurieren:
Code: Alles auswählen
BEIDE> ls /Setup/VPN/IKEv2/Verschluesselung/
Name DH-Gruppen PFS IKE-SA-Verschluesselungsliste IKE-SA-Integ-Alg-Liste Child-SA-Verschluesselungsliste Child-SA-Integ-Alg-Liste
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
LANCOM DH28 ja AES-GCM-128 SHA-256 AES-GCM-128 SHA-256Code: Alles auswählen
ROUTERNAH> ls Setup/IP-Router/Tag-Tabelle/
Gegenstelle Rtg-Tag Start-WAN-Pool Ende-WAN-Pool DNS-Default DNS-Backup NBNS-Default NBNS-Backup
-----------------------------------------------------------------------------------------------------------------------------
ROUTERFERN 2 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0Code: Alles auswählen
ROUTERFERN> ls Setup/IP-Router/Tag-Tabelle/
Gegenstelle Rtg-Tag Start-WAN-Pool Ende-WAN-Pool DNS-Default DNS-Backup NBNS-Default NBNS-Backup
-----------------------------------------------------------------------------------------------------------------------------
ROUTERNAH 1 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0fragen-zum-thema-vpn-f14/vpn-clients-mi ... 12347.html
https://www2.lancom.de/kb.nsf/b8f10fe56 ... 6c00408781
fragen-zum-thema-vpn-f14/standortvernet ... ml#p118345
Für jeden VPN-Tunnel zu einem LANCOM-Gerät muss von Hand ein Eintrag in der Routing-Tabelle erstellt werden.
Code: Alles auswählen
ROUTERNAH> ls Setup/IP-Router/IP-Routing-Tabelle
IP-Adresse IP-Netzmaske Rtg-Tag Peer-oder-IP Distanz Maskierung Aktiv Kommentar
---------------------------------------------------------------------------------------------------------
192.168.2.1 255.255.255.255 2 ROUTERFERN 0 nein ja ROUTERFERNCode: Alles auswählen
ROUTERFERN> ls Setup/IP-Router/IP-Routing-Tabelle
IP-Adresse IP-Netzmaske Rtg-Tag Peer-oder-IP Distanz Maskierung Aktiv Kommentar
-------------------------------------------------------------------------------------------------------------------
192.168.1.2 255.255.255.255 1 ROUTERNAH 0 nein ja LAPTOP_2fragen-zum-thema-vpn-f14/standortvernet ... ml#p118345
zur Konfiguration der Routing-Tabelle zu beachten!
Für den Fernzugriff auf das Webconfig/Webinterface des LANCOM-Routers müssen die
HTTPS-Zugriffsrechte über WAN mit VPN konfiguriert werden:
Code: Alles auswählen
ROUTERFERN> ls Setup/Config/Zugriffstabelle
Ifc. Telnet TFTP HTTP SNMP HTTPS Telnet-SSL SSH SNMPv3
----------------------------------------------------------------------------------
LAN nein nein nein nein ja nein nein nein
WAN nein nein nein nein VPN nein nein neindie zulässigen IP-Adressen konfiguriert werden:
Code: Alles auswählen
ROUTERFERN> ls Setup/TCP-IP/Zugangs-Liste
IP-Adresse IP-Netzmaske Rtg-Tag Kommentar
------------------------------------------------------------------------
192.168.1.2 255.255.255.255 1 LAPTOP_2
192.168.1.2 255.255.255.255 2 LAPTOP_2Die erforderlichen Firewallregeln sind unter:
fragen-zum-thema-vpn-f14/standortvernet ... ml#p118345
im Detail beschrieben.
Damit die über die VPN-Tunneln übertragenen Daten nicht den Internetanschluss überlasten,
muss die Datenübertragungsrate der durch den VPN-Tunnel gehenden Verbindungen mit QoS begrenzt werden:
Code: Alles auswählen
BEIDE> ls /Setup/IP-Router/Firewall/Aktions-Tabelle
Name Beschreibung
--------------------------------------
QOS_MAX_1_MBITS %Lgdstw1024%dauf 1024 KBit/s für alle durch die Firewall-Regel betroffenen Verbindungen.
Für den Zugriff auf das Webinterface (Webconfig) funktioniert QoS in der Regel nicht.
Einzig für den Upload neuer LCOS-Versionen (Firmware-Upload) funktioniert QoS.