9100+ mit Firmware 10.12 IKEv2 Parameter mit IPSEC-HTTPS
nach upgrade auf VRouter mit Firmware 10.30 sieht das Feld so aus
Die Router mit IKEv2 wählen sich nicht mehr ein.
Also im neuen Vrouter die Encapsulation auf SSL Port 443 und auch 500 gestellt und leider blieb der Erfolg aus
Habe auch SSL ohne Port getestet oder ganz ohne Encapsulation oder mit UDP. Leider keine Einwahl der Router
Ich würde die Router ja auch einzeln anpassen, leider handelt es sich hier um ca. 400 Router die sich nicht einwählen. Also muss ich auf dem Gateway einen Parameter anpassen, das die Router sich wieder einwählen. Habe auch einen Trace darauf gemacht -> Timeout.
Stelle ich im Router und im Gateway IPSEC-HTTPS aus, funktioniert alles. Die Router haben jedoch alle IPSEC-HTTPS aktiv
Upgrade 9100+ auf VRouter, IKEv2 über IPSEC-HTTPS timeout
Moderator: Lancom-Systems Moderatoren
Re: Upgrade 9100+ auf VRouter, IKEv2 über IPSEC-HTTPS timeout
Hi Tourist1,
"encapsulation SSL" = "IPSec-HTTPS ein". Das wurde gheändert, weil weitere Varianten hinzugekommen sind...
"encapsulation UDP" erwingt ein einpacken der ESP-Pakete in UDP-Pakete (als ob NAT-T ausgehandelt wurde)
"encapsulation keine" sorgt dafür, daß die ESP Pakete nackt übertragen werden (wenn kein NAT-T ausgehandelt wird)
Der SSL-Server-Port muß dabei auf 443 blieben - zumindest für eingehende Verbindungen. für ausgehende Verbindungen - und daß ist das, was du dort einstellst - ist der SSL-Server-Port egal.
Eigentlich sollte das einfach so weiter funktionieren, ohne daß du irgendetwas änderst - da du aber von einer 10.30 sprichst: spiel doch erstmal eine aktuelle Firmware ein (10.32 RU2)
Gruß
Backslash
"encapsulation SSL" = "IPSec-HTTPS ein". Das wurde gheändert, weil weitere Varianten hinzugekommen sind...
"encapsulation UDP" erwingt ein einpacken der ESP-Pakete in UDP-Pakete (als ob NAT-T ausgehandelt wurde)
"encapsulation keine" sorgt dafür, daß die ESP Pakete nackt übertragen werden (wenn kein NAT-T ausgehandelt wird)
Der SSL-Server-Port muß dabei auf 443 blieben - zumindest für eingehende Verbindungen. für ausgehende Verbindungen - und daß ist das, was du dort einstellst - ist der SSL-Server-Port egal.
Eigentlich sollte das einfach so weiter funktionieren, ohne daß du irgendetwas änderst - da du aber von einer 10.30 sprichst: spiel doch erstmal eine aktuelle Firmware ein (10.32 RU2)
Gruß
Backslash
-
- Beiträge: 1061
- Registriert: 19 Aug 2014, 22:41
Re: Upgrade 9100+ auf VRouter, IKEv2 über IPSEC-HTTPS timeout
Vor dem Einsatz eines vRouter ist die:
- Zeitsynchronisation
- Hardwarebeschleunigte Verschlüsselung und Entschlüsselung der VPN-Datenpakete
- Hardware-Zufallszahlengenerator
des Gastsystems (hier: vRouter) abzuklären. Siehe auch:
aktuelle-lancom-router-serie-f41/vroute ... 6-s15.html
Zu beachten sind die emulierten Netzwerkkomponenten: Befindet sich der vRouter hinter einer emulierten NAT-Netzwerkkomponente, ist "Feierabend" mit Serverdiensten à la "VPN-Server" auf dem vRouter.
Der Einsatz von "encapsulation SSL" (IPSec-HTTPS) ist nur für VPN-Clients in schlecht administrierten, fremden Netzwerken (zum Beispiel: Hotel WLAN/WiFi) sinnvoll. Aus Performancegründen sollte möglichst auf den Einsatz von "encapsulation SSL" (IPSec-HTTPS) verzichtet werden. Siehe auch:
viewtopic.php?f=14&t=17335&p=98471&hili ... tel#p98471
Allgemein sei auf die VPN-Anleitung unter:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
verwiesen.
- Zeitsynchronisation
- Hardwarebeschleunigte Verschlüsselung und Entschlüsselung der VPN-Datenpakete
- Hardware-Zufallszahlengenerator
des Gastsystems (hier: vRouter) abzuklären. Siehe auch:
aktuelle-lancom-router-serie-f41/vroute ... 6-s15.html
Zu beachten sind die emulierten Netzwerkkomponenten: Befindet sich der vRouter hinter einer emulierten NAT-Netzwerkkomponente, ist "Feierabend" mit Serverdiensten à la "VPN-Server" auf dem vRouter.
Der Einsatz von "encapsulation SSL" (IPSec-HTTPS) ist nur für VPN-Clients in schlecht administrierten, fremden Netzwerken (zum Beispiel: Hotel WLAN/WiFi) sinnvoll. Aus Performancegründen sollte möglichst auf den Einsatz von "encapsulation SSL" (IPSec-HTTPS) verzichtet werden. Siehe auch:
viewtopic.php?f=14&t=17335&p=98471&hili ... tel#p98471
Allgemein sei auf die VPN-Anleitung unter:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
verwiesen.