Hallo zusammen,
ich habe 2 Stück 1711 VPN und muss ein VPN zwischen 2 Netzen aufbauen, wobei eines über einen separaten Router mit dem Internet verbunden ist und bei dem anderen Netz der Lancom selbst die Internetverbindung herstellt.
Netz1:
Lancom 1711 VPN direkt am Internet
Netzwerk 172.20.0.0/16
WAN: feste IP
Netz2:
Netzwerk: 192.168.0.0/24
Router IP: 192.168.0.1
Router WAN: dynamische IP
Lancom WAN-IP: 192.168.0.2
Lancom LAN: 192.168.20.0/24
mit einem Rechner, der im 192.168.20er Netz hängt kann ich auch einwandfrei die Geräte im 192.168.0er Netz anpingen, von einem Rechner im 0er Netz aber den Rechner im 20er Netz nicht, genau wie es sein soll!
Auch das Internet erreiche ich.
Was jedoch nicht funktioniert ist das VPN zu Netz1.
Als Fehlermeldung im LANmonitor erhalte ich beim 1711er im Netz1:
Zeitüberschreitung während IKE- oder IPSec-Verhandlung (Responder) [0x1206]
Der LANmonitor des 1711er im Netz2, der hinter dem Router hängt sagt:
Dynamic VPN - Zeitüberschreitung während Signalisierung oder Authentifizierung (Initiator) [0x1105]
Ich nehme an, dass es daher kommt, weil die WAN-IP des einen Lancom in einem privaten Netz liegt und ins Internet geNATet wird.
Nur wie kann ich dieses Problem beheben?
Eine weitere VPN-Verbindung zu Netz1, welche über einen 1711 hergestellt wird der auch direkt am Internet hängt, mit dynmischer IP, funktioniert tadellos.
Danke schonmal für die Hilfe.
burn
VPN über einen Router
Moderator: Lancom-Systems Moderatoren
Hi burn
Dynamic-VPN funktioniert durch ein NAT nur dann, wenn die Asdreßübermittlung über UDP erfolgt - und das auch nur, wenn auf beiden Seiten mindestens eine Firmware 5.20 vorhanden ist. Dies stellst du im Router, der hinter dem NAT steht unter VPN -> Allgemein -> Verbindungsliste für die Gegenstelle ein. Im Router, der direkt im Internet steht, schaltest du dynamic VPN ab. Dies führt dazu, daß die Verbindung nur noch von dem Router aufgebaut werden kann, der hinter dem NAT steht
Da es immer noch viele NAT-Router gibt, die kein IPSec-Passthrough beherrschen, solltest du zusätzlich auf beiden 1711ern NAT-T aktivieren. Dazu setzt du das Häkchen bei VPN -> Allgemein -> NAT-Traversal
Gruß
Backslash
Dynamic-VPN funktioniert durch ein NAT nur dann, wenn die Asdreßübermittlung über UDP erfolgt - und das auch nur, wenn auf beiden Seiten mindestens eine Firmware 5.20 vorhanden ist. Dies stellst du im Router, der hinter dem NAT steht unter VPN -> Allgemein -> Verbindungsliste für die Gegenstelle ein. Im Router, der direkt im Internet steht, schaltest du dynamic VPN ab. Dies führt dazu, daß die Verbindung nur noch von dem Router aufgebaut werden kann, der hinter dem NAT steht
Da es immer noch viele NAT-Router gibt, die kein IPSec-Passthrough beherrschen, solltest du zusätzlich auf beiden 1711ern NAT-T aktivieren. Dazu setzt du das Häkchen bei VPN -> Allgemein -> NAT-Traversal
Gruß
Backslash
