Hallo allerseits,
ein Neuling löchert schon wieder. Haben in der Firma nen 1621 gleiche in einer Aussenstelle. Beide sind Lan-Lan-gekoppelt und funktioniert auch. Jetz sollen noch paar Aussendienstler per Standart-Lancom-Client in interne NW. Also im Router VPN-Zugang eingerichtet und los. VPN-Verbindung steht auch, blos leider ist weder eine IP des NW zu sehen noch kann ich Dienste wie Remoteconsole uä. nutzen. Ständig sagen die mir, dass der Servername oder die IP nicht bekannt seien. Muss im Router noch das Portforwarting (zb: Port 3389 auf Tserver:3389) eingerichtet werden ? Wenn ja, wie wirkt sich das auf meine LAN-Kopplung aus ?
Danke f. Tipss
Micha
VPN-Verbindung in Netzwerk f. Aussendienstler
Moderator: Lancom-Systems Moderatoren
-
terror4tec
- Beiträge: 64
- Registriert: 13 Jun 2005, 09:30
- Wohnort: Absurdistan
Hi Mike,
wenn Du einen VPN-Tunnel eröffnet hast, egal ob client-lan oder lan-lan stehen sämtliche Dienste (Ports) offen, es denn Du hast in der Firewall etwas anderes definiert. Ohne Tunnel kein Netz = Server unbekannt
Bei einem Forwarding würdest Du den LANCOM "umgehen". Der Port währe auf der öffentlichen Seite erreichbar -> ohne Verschlüsselung oder Authentifikation! Wer die öff.-IP auf dem Port anspricht ist Deinem Server schon bedrohlich nahe... Mach das besser nur mit Citrix (secure Gateway) und RSA-Token. RDP ist zu unsicher. VNC dito.
Viel Erfolg
P.S. Telnet auf den Router und mit >>TRACE + VPN<< (ohne >><<) bekommst Du ne Menge Infos woran es liegen könnte.
wenn Du einen VPN-Tunnel eröffnet hast, egal ob client-lan oder lan-lan stehen sämtliche Dienste (Ports) offen, es denn Du hast in der Firewall etwas anderes definiert. Ohne Tunnel kein Netz = Server unbekannt
Bei einem Forwarding würdest Du den LANCOM "umgehen". Der Port währe auf der öffentlichen Seite erreichbar -> ohne Verschlüsselung oder Authentifikation! Wer die öff.-IP auf dem Port anspricht ist Deinem Server schon bedrohlich nahe... Mach das besser nur mit Citrix (secure Gateway) und RSA-Token. RDP ist zu unsicher. VNC dito.
Viel Erfolg
P.S. Telnet auf den Router und mit >>TRACE + VPN<< (ohne >><<) bekommst Du ne Menge Infos woran es liegen könnte.
...kann man Administratoren eigentlich einen "guten ab-end" wünschen? ...
Danke erstmal für diesen Tip.
Habe heut nochmal das ganze angetestet. Problem ist: Die VPN-Verbindung zum Router scheint zu stehen. Aber ich kann nicht mal den anpingen. Da kommt immer nur die Meldung IP-Sicherheit wird verhandelt.. dann zeigt er mir 100% Datenverlust. Auch eine Antwort auf telnet wird nicht gezeigt. Über ipconfig wird mir meine LAN-Card und die PPPT-Verbindung angezeigt. Bei letzterer ist meine eigene IP als Standardgateway eingetragen, komisch. Wie krieg ich denn wenigstens den Router mit seiner lokalen IP angepingt ? Bin mit meinem Latein am Ende.
Mike
Habe heut nochmal das ganze angetestet. Problem ist: Die VPN-Verbindung zum Router scheint zu stehen. Aber ich kann nicht mal den anpingen. Da kommt immer nur die Meldung IP-Sicherheit wird verhandelt.. dann zeigt er mir 100% Datenverlust. Auch eine Antwort auf telnet wird nicht gezeigt. Über ipconfig wird mir meine LAN-Card und die PPPT-Verbindung angezeigt. Bei letzterer ist meine eigene IP als Standardgateway eingetragen, komisch. Wie krieg ich denn wenigstens den Router mit seiner lokalen IP angepingt ? Bin mit meinem Latein am Ende.
Mike
-
terror4tec
- Beiträge: 64
- Registriert: 13 Jun 2005, 09:30
- Wohnort: Absurdistan
Hi
also ich hab da auch ne weile `dran gesessen... Das wichtigste zu erst: Du musst sehen was passiert und welcher Zustand besteht.
1.) Auf der Router-Seite läuft auf einem PC/Server LanMonitor (Lantools)
2.) Auf dem Nomad-Client ist KEIN anderer VPN-Client installiert (z.b. Cisco)
3.) Auf der Router-Seite ist "Ping-Blockieren" deaktiviert
4.) Firewall abgeschaltet (nur für TEST)
5.) Die Einrichtung des VPN nur via Assi aus dem LanTools-Config. durchführen !
6.) Vorsicht bei den Passwörtern: Nimm zunächst trivialste PW (z.b. 123)
keine Sonderzeichen !
7.) Dein ipconfig wird dir komische Werte liefern, weil ein VPN installiert ist und die Routen "verbogen" sind - das ist OK.
8.) Denk dran, das Du im Router den Zugriff auf selbigen "aus entfernten Netzen" auf "nur über VPN" einstellest UND "aus dem lokalen Netz" auf "erlauben"
9.) Was sagt "TRACE + VPN" auf der Telnetkonsole des Routers?
10.) Zwischen VPN Client und VPN-Access-Gateway (Router) darf nicht eine NAT stattfinden, da sonst die IP-Paket-Header - Info verändert werden muss -> das fällt bei der Berechnung der Prüfsumme dem Gateway auf und es lehnt danken ab, weil es ein (zurecht) manipuliertes Packet vermutet.
Nicht verzweifeln !
Grüße
also ich hab da auch ne weile `dran gesessen... Das wichtigste zu erst: Du musst sehen was passiert und welcher Zustand besteht.
1.) Auf der Router-Seite läuft auf einem PC/Server LanMonitor (Lantools)
2.) Auf dem Nomad-Client ist KEIN anderer VPN-Client installiert (z.b. Cisco)
3.) Auf der Router-Seite ist "Ping-Blockieren" deaktiviert
4.) Firewall abgeschaltet (nur für TEST)
5.) Die Einrichtung des VPN nur via Assi aus dem LanTools-Config. durchführen !
6.) Vorsicht bei den Passwörtern: Nimm zunächst trivialste PW (z.b. 123)
keine Sonderzeichen !
7.) Dein ipconfig wird dir komische Werte liefern, weil ein VPN installiert ist und die Routen "verbogen" sind - das ist OK.
8.) Denk dran, das Du im Router den Zugriff auf selbigen "aus entfernten Netzen" auf "nur über VPN" einstellest UND "aus dem lokalen Netz" auf "erlauben"
9.) Was sagt "TRACE + VPN" auf der Telnetkonsole des Routers?
10.) Zwischen VPN Client und VPN-Access-Gateway (Router) darf nicht eine NAT stattfinden, da sonst die IP-Paket-Header - Info verändert werden muss -> das fällt bei der Berechnung der Prüfsumme dem Gateway auf und es lehnt danken ab, weil es ein (zurecht) manipuliertes Packet vermutet.
Nicht verzweifeln !
Grüße
...kann man Administratoren eigentlich einen "guten ab-end" wünschen? ...
Besten Dank für diese Tipps. Werd mich dann gleich wieder drüber hermachen. Zwischenzeitlich hab ich mir nochmal die Infos des Routers rausdrucken lassen. Da hab ich gesehen, dass die Firmware Version 3.32.0015 ist. Vielleicht hilft ja ein Firmwareupdate ? Aber welchen Konverter darf man denn da nehmen, Annex A oder B. Hardwarerelease ist E. Kann bei dem Firmwareupdate was schiefgehen bzw. sind die Einstellungen hinterher noch vorhanden?
Gruß
Micha
Gruß
Micha
Ich nochmal,
da ich jetzt bei so einem Aussendienstler sitze, stellt sich die Sachse jetzt so dar:
Habe fie FW am Router mal ausgeschalten..jetzt hab ich den Zugang wirklich. Meine Remoteconsole kann ich aufrufen. Juhu. Werde also mal an den FW-Einstellungen drehen. Jetzt habe ich aber ein anderes Problem: werde nach genau 30sec getrennt. ! JEDESMAL! Im Lanmonitor steht ISDN- oder DSL-Fehler auf Interface nach physikalischem Kanal. Haltezeit 0Sek.
Huch, was ist das denn nun wieder. Muss die Haltezeit für die VPN-Verb. auf >0 eingestellt werden? Dachte, das wird vom Client geregelt.
Firmwareupdate morgen.
Micha
da ich jetzt bei so einem Aussendienstler sitze, stellt sich die Sachse jetzt so dar:
Habe fie FW am Router mal ausgeschalten..jetzt hab ich den Zugang wirklich. Meine Remoteconsole kann ich aufrufen. Juhu. Werde also mal an den FW-Einstellungen drehen. Jetzt habe ich aber ein anderes Problem: werde nach genau 30sec getrennt. ! JEDESMAL! Im Lanmonitor steht ISDN- oder DSL-Fehler auf Interface nach physikalischem Kanal. Haltezeit 0Sek.
Huch, was ist das denn nun wieder. Muss die Haltezeit für die VPN-Verb. auf >0 eingestellt werden? Dachte, das wird vom Client geregelt.
Firmwareupdate morgen.
Micha