die MTU-Size muss auf im Lancom auf 1480 (ohne Eintrag ist die standardmäßig auf 1500) gesetzt werden !
Und voilà, jetzt klappt´s auch mit dem Nachbarn
bzw. rsync und robocopy.VPN über Vodafone LTE?
Moderator: Lancom-Systems Moderatoren
-
garfield0815
Eigendlich müstest du keine ports weitrleiten
da die vpn verbindung eine " exklusieve" getunnelte leitung ist
und eingendlich alle ports auf der anderen seite vervügbar sind
dein LTE moden ( router) fungiert in dem fall doch nur als Wan lte kopplung oder
dein eigendlicher gw ist der lancom und der LTE router sollte aus dem localen netz nicht erreichbar sein
hast die schon mahl an eine ausenantelle für den LTE router gedacht damit solltest du den empfang noch steigern können
da die vpn verbindung eine " exklusieve" getunnelte leitung ist
und eingendlich alle ports auf der anderen seite vervügbar sind
dein LTE moden ( router) fungiert in dem fall doch nur als Wan lte kopplung oder
dein eigendlicher gw ist der lancom und der LTE router sollte aus dem localen netz nicht erreichbar sein
hast die schon mahl an eine ausenantelle für den LTE router gedacht damit solltest du den empfang noch steigern können
Daran ist nichts kryptisch. Du hast einen Wert von 9999 bei der Haltezeit eingetragen aber in der Pollingtabelle keinen Eintrag gesetzt.Somit weiss der Router nicht welche Adresse er für die Prüfung ob die VPN Verbindung noch funktioniert nutzen soll und meldet dies.peter007 hat geschrieben:Die kryptischen Fehlermeldungen des Lancom sind/waren hier ja nicht gerade zielführend. Oder wer denkt schon, dass "Kein Eintrag in Pollingtabelle..." auch heißen kann: stell den LTE-Router woanders hin
Also, so richtig rund läuft´s mit VPN über LTE leider nicht.
Wenn die Verbindung steht, ist sie zwar super stabil.
Das Problem: sie wird in 90% der angeforderten Fälle nicht aufgebaut.
Eine VPN-Trace zeigt, dass jeweils die dyndns-Gegenstelle nicht gefunden wird.
Das ganze hängt wohl - so wie ich das in anderen Foren gelesen habe - mit verschiedenen Ursachen zusammen:
1. es ist kein Ping auf die LTE-Gegenstelle möglich. Unklar ist noch, ob dies durch den LTE-Router oder Vodafone gesperrt wird oder grundsätzlich nicht möglich sein soll. Dann frage ich mich allerdings, warum und wie dann überhaupt jemals VPN-Verbindungen hergestellt werden können?
2. die dyndns-Aktualisierung über den Lancom 1711 funktioniert bei LTE nicht zuverlässig. Das kann man im dyndns-Webinterface gut nachvollziehen, wenn man den LTE-Router neu startet und jeweils eine neu IP vergeben wurde, was jedoch teilweise gar nicht und teilweise erst mit mehreren Stunden Verzögerung an dyndns mitgeteilt wird.
Selbst wenn man "per Hand" im dyndns-Webkonto die IP-Adresse aktualisiert, ist weder ein Ping noch sofort eine VPN-Verbindung möglich.
@LANCOM: es wird Zeit für einen vernünftigen LTE-Router. Weiß einer, wie lange das noch dauert?
Ansonsten: hat bis dahin vielleicht einer eine Lösung für mein Problem?
Wenn die Verbindung steht, ist sie zwar super stabil.
Das Problem: sie wird in 90% der angeforderten Fälle nicht aufgebaut.
Eine VPN-Trace zeigt, dass jeweils die dyndns-Gegenstelle nicht gefunden wird.
Das ganze hängt wohl - so wie ich das in anderen Foren gelesen habe - mit verschiedenen Ursachen zusammen:
1. es ist kein Ping auf die LTE-Gegenstelle möglich. Unklar ist noch, ob dies durch den LTE-Router oder Vodafone gesperrt wird oder grundsätzlich nicht möglich sein soll. Dann frage ich mich allerdings, warum und wie dann überhaupt jemals VPN-Verbindungen hergestellt werden können?
2. die dyndns-Aktualisierung über den Lancom 1711 funktioniert bei LTE nicht zuverlässig. Das kann man im dyndns-Webinterface gut nachvollziehen, wenn man den LTE-Router neu startet und jeweils eine neu IP vergeben wurde, was jedoch teilweise gar nicht und teilweise erst mit mehreren Stunden Verzögerung an dyndns mitgeteilt wird.
Selbst wenn man "per Hand" im dyndns-Webkonto die IP-Adresse aktualisiert, ist weder ein Ping noch sofort eine VPN-Verbindung möglich.
@LANCOM: es wird Zeit für einen vernünftigen LTE-Router. Weiß einer, wie lange das noch dauert?
Ansonsten: hat bis dahin vielleicht einer eine Lösung für mein Problem?
schonmal dran gedacht, daß es bei dynDNS mehrere Minuten dauert, bis eine Änderung durch's Internet propagiert wurde...
Und für Probleme, die sich durch passende aber auch teurere Verträge mit den Providern lösen lassen (private Adressen und Firewalls, die nur Traffic vom "innen nach aussen" zulassen) ist bestimmt nicht LANCOM verantwortlich...
Und für Probleme, die sich durch passende aber auch teurere Verträge mit den Providern lösen lassen (private Adressen und Firewalls, die nur Traffic vom "innen nach aussen" zulassen) ist bestimmt nicht LANCOM verantwortlich...
Habe ich. Deswegen hatte ich ja auch geschrieben, dass Änderungen teilweise auch nach mehreren Stunden nicht an Dyndns weitergegeben / im Internet propagiert wurden. Dyndns ist mir bislang nicht dafür bekannt, dauernd Aktualisierungsanfragen zu verschlampen.backslash hat geschrieben:schonmal dran gedacht, daß es bei dynDNS mehrere Minuten dauert, bis eine Änderung durch's Internet propagiert wurde...
Warum denn so dünnhäutig?backslash hat geschrieben:Und für Probleme, die sich durch passende aber auch teurere Verträge mit den Providern lösen lassen (private Adressen und Firewalls, die nur Traffic vom "innen nach aussen" zulassen) ist bestimmt nicht LANCOM verantwortlich...
Mir sind auch weitere Angebote anderer Firmen bekannt, aber dann müsste Lancom doch bitteschön sagen: wir haben zwar dyndns-Aktualisierungen implementiert, die aber bei LTE noch nicht zuverlässig funktionieren.
Der Kunde, der darauf baut, dass solche Probleme auch von Router-Hersteller-Seite kommuniziert werden, ist mit Sicherheit auch nicht - um in Deinem Sprachgebrauch zu bleiben - dafür verantwortlich.
Das Problem einzugrenzen kostete hier nämlich mittlerweile einigen Zeitaufwand...
Zuletzt geändert von peter007 am 16 Mai 2011, 22:08, insgesamt 2-mal geändert.
Wieso sollte sich die Aktionstabelle bei LTE anders verhalten als bei jeder anderen WAN-Gegenstelle? Schau halt bitte erst mal mit den entsprechenden Trace Werkzeugen (tr # conna) ob Updates mit entsprechend plausiblen WAN IP-Adressen geschickt werden, oder ob der Fehler ggf. woanders liegt! Ausserdem waere dabei auch interessant, ob die Updates auch bei DynDNS.org ankommen, oder ob sie im LTE Modem "verschuett" gehen (Entsprechend zwischen LTE Modem und LANCOM sniffen).Mir sind auch weitere Angebote anderer Firmen bekannt, aber dann müsste Lancom doch bitteschön sagen: wir haben zwar dyndns-Aktualisierungen implemtiert, die aber bei LTE noch nicht zuverlässig funktionieren.
Wenn es LTE Provider abhaengige Probleme mit dem DynDNS Update gibt, sollte es doch erst mal in Deinem Interesse liegen selbst zu pruefen wo die Probleme denn liegen. So wie Du das hier darlegst, ist das kein Problem des LANCOM. Dafuer spricht die Aussage, dass auch nach manueller Aktualisierung der DynDNS Adresse bei DynDNS der Zugriff nicht funktioniert!Der Kunde, der darauf baut, dass solche Probleme auch von Router-Hersteller-Seite kommuniziert werden, ist mit Sicherheit auch nicht - um in Deinem Sprachgebrauch zu bleiben - dafür verantwortlich.
Bisher hoert sic das alles nach Problemen mit dem LTE und dem LTE Modem an, mit den entsprechenden Auswirkungen auf die VPN Verbindung!
Ciao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
Bin jetzt einen großen Schritt weiter
Die Lösung heißt: IPSec over HTTP !
Habe ich eingerichtet nach dem KB-Artikel http://www2.lancom.de/kb.nsf/fe78f8220e ... enDocument
und jetzt wird der Tunnel sofort und immer hergestellt.
So wie ich das verstanden habe laufen LTE-Verbindungen so wie solche über UMTS, d.h. die Provider-Proxys/-Router lassen eigentlich keine IPSec-Anfragen durch. Das umgeht man, indem man den VPN-Tunnel über HTTPS "versteckt", so dass keine Provider-Blockierung mehr möglich ist.
Das einzige Problem bleibt jetzt erstmal nur noch die Dyndns-Aktualisierung:
hinter dem LTE-Router bzw. -Modem hängt der Lancom und erkennt scheinbar die Änderungen der WAN-IP nicht, die sich bei jeder Einwahl ändert. Den Grund dafür habe ich noch nicht rausbekommen.
Die Lösung heißt: IPSec over HTTP !
Habe ich eingerichtet nach dem KB-Artikel http://www2.lancom.de/kb.nsf/fe78f8220e ... enDocument
und jetzt wird der Tunnel sofort und immer hergestellt.
So wie ich das verstanden habe laufen LTE-Verbindungen so wie solche über UMTS, d.h. die Provider-Proxys/-Router lassen eigentlich keine IPSec-Anfragen durch. Das umgeht man, indem man den VPN-Tunnel über HTTPS "versteckt", so dass keine Provider-Blockierung mehr möglich ist.
Das einzige Problem bleibt jetzt erstmal nur noch die Dyndns-Aktualisierung:
hinter dem LTE-Router bzw. -Modem hängt der Lancom und erkennt scheinbar die Änderungen der WAN-IP nicht, die sich bei jeder Einwahl ändert. Den Grund dafür habe ich noch nicht rausbekommen.
Den Hinweis hatte ich noch gar nicht abgearbeitet, sorry !LoUiS hat geschrieben: Schau halt bitte erst mal mit den entsprechenden Trace Werkzeugen (tr # conna) ob Updates mit entsprechend plausiblen WAN IP-Adressen geschickt werden, oder ob der Fehler ggf. woanders liegt! Ausserdem waere dabei auch interessant, ob die Updates auch bei DynDNS.org ankommen, oder ob sie im LTE Modem "verschuett" gehen (Entsprechend zwischen LTE Modem und LANCOM sniffen).
Hier liegt wirklich der Fehler: der Lancom gibt nicht die öffentliche, sondern die interne IP 192.168.100.2, die er vom LTE-Router 192.168.100.1 fest zugewiesen bekommen hat, an Dyndns weiter.
Kann ich den Lancom überhaupt dazu bringen, die öffentliche IP des LTE-Routers zu "lesen" und weiterzugeben?
Nein, das LANCOM hat keine Moeglichkeit die WAN IP-Adresse zu ermitteln, wenn dazwischen ein Transfernetz eingerichtet ist.Kann ich den Lancom überhaupt dazu bringen, die öffentliche IP des LTE-Routers zu "lesen" und weiterzugeben?
Es wird die zugewiesene Adresse auf dem WAN Interface des LANCOM zum Update uebergeben. Da dies bei Dir eine private Adresse aus dem Transfernetz ist und nicht die eigentliche oeffentliche Adresse hinter dem LTE-Router, kann das natuerlich nicht klappen.
Hat der LTE Router keinen eigenen DynDNS-Updater? Der sollte ja seine eigene WAN IP am Besten kennen.
Ciao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
Nein, hat er leider nicht, da es sich um den Vodafone B1000-Router aus dem "nur Internet"-Paket (also ohne Telefon) handelt. Bei den auch-Sprach-Tarifen (die hier leider noch nicht angeboten werden) wird (soweit ich weiß) die Easybox eingesetzt, die einen Update-Client integriert hat.LoUiS hat geschrieben:Hat der LTE Router keinen eigenen DynDNS-Updater? Der sollte ja seine eigene WAN IP am Besten kennen.
Ciao
LoUiS
Oder auch die Fritzbox LTE, die aber noch nicht erschienen ist.
Hast Du vielleicht einen Tipp, wie man bei der vorhandenen Anordnung die public IP auslesen lassen könnte?
Als Loesung koennte man einen DynDNS Provider nehmen, der die Absendeadresse des Updaterequest als Quelle nimmt und nicht auf die Uebergabe der IP als "%a" angewiesen ist.
z.B.:
http://freedns.afraid.org/
Die Zeile des LANCOM Updatescipt wuerde da so aussehen:
(Die benoetigten Infos fuer die Url findet man im eigenen Account)
oder
http://www.dyndnsfree.de/
Oder halt als Alternative von einem Software-Client hinter dem LANCOM.
Ciao
LoUiS
z.B.:
http://freedns.afraid.org/
Die Zeile des LANCOM Updatescipt wuerde da so aussehen:
Code: Alles auswählen
https://freedns.afraid.org/dynamic/update.php?kdjfldkjfulereurjjGHGgjhghj658Qoder
http://www.dyndnsfree.de/
Code: Alles auswählen
http://dynup.de/dyn.php?username=test&password=test&hostname=test.b-24.deCiao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
Also ich hab mal einen Screenshot fuer FreeDNS gemacht, wo dort die Update Url fuer die Aktionstabelle im LANCOM zu finden ist:
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.