VPN über Vodafone LTE?

[peter007]

Seit Jahren läuft hier eine LAN-LAN-Kopplung über VPN zwischen zwei Standorten über DSL. Der eine hat nun kürzlich zusätzlich LTE 21 MBit bekommen.

Erst dachte ich, dass Vodafone VPN-Verbindungen vielleicht irgendwie blockiert, da die vielleicht VPN-Verbindungen als peer-to-peer-Netzwerk ansehen.

Jetzt habe hier gelesen, dass Ramme eine VPN-Verbindung über Vodafone-LTE eingerichtet hast.

Zunächst mal dazu: Glückwunsch Ich beiße mir nämlich seit Tagen die Zähne daran aus.

Ich habe am LTE-Standort einfach den Wizard nochmals durchlaufen lassen und auf dem B1000 von Vodafone die UDP-Ports 500 und 4500 vom Vodafone-Router auf den Lancom 1711 (jeweils am LTE-Standort) weitergeleitet.

Es wird dann auch eine VPN-Verbindung (laut Lanmonitor) hergestellt, aber es fließen ansonsten keine Daten, d.h. kein Ping auf den anderen Standort, keine RDP- und SSH-Verbindungen möglich.

Wo muss ich das Problem suchen, beim Vodafone-Router oder beim Lancom?

[garfield0815]

ist NAT- Traversal Aktiv ??????

ich vermute dass auch vodafone deine IP adresse mit anderen teilt

[peter007]

Ja, NAT-T ist auf beiden Seiten aktiviert.

[peter007]

Bin einen Schritt weiter:

die Router haben heute morgen genau EIN MAL die VPN-Verbindung hergestellt. Ich war ca. 10 min verbunden und konnte alles laufen lassen, was sonst über die VPN-Verbindung lief (RDP, SSH).

Dann habe ich die Verbindung getrennt und plötzlich: sch... ! werden wieder keine VPB-Verbindungen hergestellt. Lanmonitor sagt nun: "Zeitüberschreitung während IKE- oder IPSec-Verhandlung".

Das müsste doch aber heißen, dass die VPN-Gegenstelle binnen 30 Sekunden nicht reagiert hat? Kann aber eigentlich nicht sein, denn wenn ich von LTE den Router wieder auf DSL "umstöpsele", reagiert die Gegenstelle sofort und baut den Tunnel auf.

Langsam habe ich die Vermutung, dass der Fehler doch eher im Vodafone-LTE-Netz liegt.

Kann es z.B. mit dem "Ip-Sharing", was garfield angesprochen hat, zusammenhängen?

[garfield0815]

Welche IP Bekommst du den Von Vodafone

ich kenn das nur von meinem o2 stick da bekomme ich sogar eine 192.168.X.X

[peter007]

Eine aus dem privaten 10.12.x.x-Bereich.

Ich habe heute folgendes festgestellt: wenn ich den Lancom Hard-resette (über den Knopf hinten) und die Config wieder einspiele, klappt der VPN-Tunnel meist auf Anhieb. So habe ich im Laufe des Nachmittags heute mehrfach den VPN-Tunnel aufbauen können.

Nach ein Paar Stunden Pause dann wieder dasselbe Spiel: der Tunnel wird ohne "Eingriff" nicht wieder von allein aufgebaut.

Fragen über Fragen...

P.S.: ich hoffe, Lancom bringt bald den angekündigten LTE-Router raus, dieser Vodafone B1000 scheint echt Schrott zu sein !

[futzy72]

HAb ein das problem auch über vpn advanced client.

Lösung

nat trancival im router aktiviert ab 7,6x
mtu auf 1360 engestellt geht nicht über den B1000.
Also per regedit oder Dr.tcp

vielleicht hilft es

mfg

Frank

[ft2002]

Hallo Peter007,

fangen wir mal von vorn an....

Du hast die VPN-Verbindung über den Assi gemacht ?
Hast Du die möglichkeit auf beide Geräte zuzugreifen und auch Änderungen vorzunehmen ?

Du hast ein LTE Modem/Router bekommen der Dir welchen IP-Kreis zuordnet und oder könntest Du die IP ändern ?

Kann der Standort mit LTE die Verbindung aufbauen (Kann dort also die anrufende Stelle sein und der andere Standort nimmt den Ruf nur an ) ?

?
IP-Kreis des Router von Provider und welche IP hat der
IP-Kreis Standort LTE
IP-Kreis Standort gegenüber
DSL Anbieter von LTE
DSL Anbieter von Gegenüber

-----------------

Ich denke Dein Problem ist ganz gewöhnlich wie im UMTS Netz , da Du in einem geschlossen Benutzerkreis bist , bekommst Du keine öffendliche IP und die brauchst Du aber in der Aushandlung wenn Du im MainMode arbeitest.

Richte die Verbindung mal nach folgendem Dokument ein und stell auf jedenfall an der LTE Seite auf 9999 und gegenüber auf 0 in der VPN-Verbindung;

http://www2.lancom.de/kb.nsf/1275/C4F62 ... enDocument

Leider hab ich hier selbst noch kein LTE aber ich denke nicht das VPN Ports gesperrt sind, hast Du schonmal mit Deinem Anbieter gesprochen ?

Ich wünsche Dir auf jedenfall viel Glück....

Wenn fragen melde Dich, habe schon einige Tunnel über UMTS direkt oder über bereitgestellte Router eingerichtet, denke eigendlich das es möglich sein sollte auch bei Dir einen hinzubekommen, der funktioniert.

Gruß ...

[peter007]

nat trancival im router aktiviert ab 7,6x

NAT-T hatte ich schon auf beiden Seiten aktiviert.

mtu auf 1360 engestellt geht nicht über den B1000.
Also per regedit oder Dr.tcp

Das mit der MTU hatte ich auch schon gelesen und im Lancom und den PCs auf 1360 bzw. auch auf 1400 gesetzt: hatte leider auch nicht zu mehr Stabilität im VPN-Verbindungsaufbau geführt.

Trotzdem Danke.

[peter007]

Ich wünsche Dir auf jedenfall viel Glück....

Wenn fragen melde Dich, habe schon einige Tunnel über UMTS direkt oder über bereitgestellte Router eingerichtet, denke eigendlich das es möglich sein sollte auch bei Dir einen hinzubekommen, der funktioniert.

Gruß ...

Ok, danke schon mal. Ich werde das heute Abend alles prüfen und gebe dann nochmals Rückmeldung.

[peter007]

Eine aus dem privaten 10.12.x.x-Bereich.

Ich muss mich korrigieren. Die bei Vodafone LTE vergebenen IPs sind aus dem 109.47.x.x.-Bereich und damit wohl doch nicht so privat

[peter007]

Sorry, dass ich (beruflich bedingt) erst jetzt antworte.

Du hast die VPN-Verbindung über den Assi gemacht ?
Hast Du die möglichkeit auf beide Geräte zuzugreifen und auch Änderungen vorzunehmen ?

Ja.

Du hast ein LTE Modem/Router bekommen der Dir welchen IP-Kreis zuordnet und oder könntest Du die IP ändern ?

Ja.

Kann der Standort mit LTE die Verbindung aufbauen (Kann dort also die anrufende Stelle sein und der andere Standort nimmt den Ruf nur an ) ?

Ja.

IP-Kreis des Router von Provider und welche IP hat der
IP-Kreis Standort LTE
IP-Kreis Standort gegenüber
DSL Anbieter von LTE
DSL Anbieter von Gegenüber

LTE-Router ist intern fest auf 192.168.1.1 eingestellt, dieser am WAN des 1711er angeschlossen, 1711er am WAN auf 192.168.1.2. Internes Netz dahinter auf 172.23.100.x.

Du hast die VPN-Verbindung über den Assi gemacht ?
Hast Du die möglichkeit auf beide Geräte zuzugreifen und auch Änderungen vorzunehmen ?

Ja.

Du hast ein LTE Modem/Router bekommen der Dir welchen IP-Kreis zuordnet und oder könntest Du die IP ändern ?

Ja.

Kann der Standort mit LTE die Verbindung aufbauen (Kann dort also die anrufende Stelle sein und der andere Standort nimmt den Ruf nur an ) ?

Ja.

Ich denke Dein Problem ist ganz gewöhnlich wie im UMTS Netz , da Du in einem geschlossen Benutzerkreis bist , bekommst Du keine öffendliche IP und die brauchst Du aber in der Aushandlung wenn Du im MainMode arbeitest.

Richte die Verbindung mal nach folgendem Dokument ein und stell auf jedenfall an der LTE Seite auf 9999 und gegenüber auf 0 in der VPN-Verbindung;

http://www2.lancom.de/kb.nsf/1275/C4F62 ... enDocument

Habe ich.

Leider hab ich hier selbst noch kein LTE aber ich denke nicht das VPN Ports gesperrt sind, hast Du schonmal mit Deinem Anbieter gesprochen ?

Denke ich eigentlich nicht:

Im LTE-Router habe ich den Lancom als DMZ und zusätzlich noch die UDP-Ports 500 und 4500 auf den Lancom weitergeleitet.

Bei den ersten Versuchen habe ich ja noch teilweise VPN-Verbindungen zum anderen Standort herstellen können; das geht jetzt plötzlich auch nicht mehr. Fehler im Lanmonitor:

"kein Eintrag in Pollingtabelle und Keep-Alive ist eingestellt".

Schalte ich den (am LTE-Standort noch bestehenden) DSL-Anschluss in der Routingtabelle aktiv, wird die VPN-Verbindung problemlos hergestellt.

Das ganze bleibt mir ein Rätsel...

[ft2002]

Hallo Peter007,

stell mal auf der LTE Seite auf Dynamic-VPN (UDP)

Richte in beiden mal einen PPP-Eintrag ein unter Kommunikation/Protokolle auf die Gegenstelle.
Es ist drauf zu achten das Gegenläufig Benutzername und Gegenstelle einzutragen ist , auf Groß und Klein Schreibung ist zu achten...

Gruß ...

[peter007]

stell mal auf der LTE Seite auf Dynamic-VPN (UDP)

Ok. Hab ich. Brachte aber leider nix. Selbe Fehlermeldung.

Richte in beiden mal einen PPP-Eintrag ein unter Kommunikation/Protokolle auf die Gegenstelle.
Es ist drauf zu achten das Gegenläufig Benutzername und Gegenstelle einzutragen ist , auf Groß und Klein Schreibung ist zu achten...

Gruß ...

Da ich die VPN-Kopplung jeweils über den Wizard an beiden Geräten erstellt habe, war der PPP-Eintrag doch schon vorhanden, oder meintest Du einen anderen?

[peter007]

LTE: die Erfahrungssammlung geht weiter

Und: es lag vermutlich nicht am Lancom !

Ich habe den LTE-Router nun an einer anderen Stelle im Haus mit besserem Empfang platziert und - siehe da - die VPN-LAN-LAN-Verbindungen werden hergestellt (wenn auch nicht bei jeder Anfrage).

Nochmals grob die entscheidenden Punkte auf LTE-Seite:
- NAT-Traversal aktiviert
-Dynamische VPN per UDP (also entgegen der Lancom-Anleitung zu UMTS, wo der Agressive Mode empfohlen wird)
- als IKE-Schlüssel lokale und entfernte Identitäten vergeben und wechselseitig eintragen
- ansonsten die Einstellungen aus dem VPN-Wizard

Danke zunächst an alle, die versucht haben zu helfen.

Was ich allerdings noch nicht geschafft habe:

1. SSH-Verbindungen zu einem Linux-Server werden zwar hergestellt, aber rsync läuft nicht (TCP-port 873 ist vom LTE-Router auf den Lancom weitergeleitet u in der Lancom-Firewall für VPN freigegeben)

2. selbst zwischen Windows-Kisten überträgt robocopy keine Daten

3. RDP-Verbindungen zwischen Windows-Kisten laufen dagegen problemlos und stabil

Kann es sein, dass Datenpakete auf der Funkstrecke verloren gehen (obwohl wir nur ca. 3 Kilometer Luftlinie vom LTE-Mast entfernt sind) und damit die Sicherheitsparameter des Lancom nicht klarkommen?

Die kryptischen Fehlermeldungen des Lancom sind/waren hier ja nicht gerade zielführend. Oder wer denkt schon, dass "Kein Eintrag in Pollingtabelle..." auch heißen kann: stell den LTE-Router woanders hin