VPN Verbindung Lancom Zyxel

[jhaeusler]

Hallo,

ich versuche momentan eine VPN Verbindung von einem Zyxel USG20 zu einem Lancom1790VA(VPN Server) herzustellen. Leider komme ich hier einfach nicht weiter, und hoffe von euch ein paar Vorschläge zu bekommen.

Lancom VDSL Telekom Business Anschluss; Feste IP
Zyxel DSLITE Anschluss; keine feste IP; IPv4 NAT

Ich versuche eine IPSec IKEv2 Verbindung aufzuabauen, dabei erhalte ich folgende Logmeldung:
Tunnel[VPN_LANCOM2:VPN_LANCOM2] Send IKEv2 request
The cookie pair is : 0x618333a259bab88e / 0x0000000000000000
[INIT] Send:[SAi1][KE][NONCE][NOTIFY][NOTIFY][VID]
The cookie pair is : 0x49d3c1f973741a70 / 0x618333a259bab88e
[INIT] Recv:[SA][KE][NONCE][NOTIFY][NOTIFY][CERTREQ][VID]
The cookie pair is : 0x618333a259bab88e / 0x49d3c1f973741a70 [count=2]
[AUTH] Send:[IDi][CERTREQ][IDr][AUTH][SAi2][TSi][TSr][NOTIFY][NOTIFY][NOTIFY][NOTIFY]
The cookie pair is : 0x49d3c1f973741a70 / 0x618333a259bab88e
[AUTH] Recv:[IDr][AUTH][NOTIFY]
IKE SA negotiation process done
The cookie pair is : 0x49d3c1f973741a70 / 0x618333a259bab88e

anschließend wiederholt sich ständig:
[info] Recv:
The cookie pair is : 0x618333a259bab88e / 0x49d3c1f973741a70
[info] Send:

usw.

hat jemand eine Idee?

[GrandDixence]

VPN-Konfiguration mit der entsprechenden VPN-Anleitung unter:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795

abgleichen. VPN-Fehlersuche mit dem entsprechenden VPN-Trace durchführen:
alles-zum-lancom-advanced-vpn-client-f3 ... tml#p99943

Bevor hier nicht ein brauchbarer, aussagekräftiger VPN-Trace-Auszug vorliegt, kann hier niemand effizient bei der Konfigurationsfehlerbehebung weiterhelfen...

[jhaeusler]

Muss ich beim Lancom unter Verbindungsliste zwingend ein Gateway angeben, wenn mein Lancom als VPN Server dient und der Zyxel als Client? Ich bin davon ausgegangen, dass wen man das Gateway leer lässt, sämtliche Gegenstellen erlaubt sind?

[jhaeusler]

///////

[jhaeusler]

Anbei die Log

Zyxel (Initiator) Subnet 192.168.10.0 / 24
Lancom Responder Subnet 192.168.1.0 / 24

[5624]

Schade, dass du die Frage im anderen Forum nicht ergänzt hast, obwohl ich da mehrfach nach einem Trace gefragt habe, aber ich bin da flexibel. Du hast aber definitiv schon an der Konfiguration gedreht, weil bisher war es eine IKEv1-Verbindung und jetzt ist es IKEv2.

Eine Verbindung scheint grundlegend möglich zu sein, aber wenn ich das richtig sehe, ist bei dir die Regelerzeugung nicht in Ordnung. Die sieht so aus, wie bei einem Roadwarrior-VPN. Du möchtest aber zwei Netzwerke Site-to-Site-Verbinden.

Code: Alles auswählen

ZYXEL: ADD MODE(7) OUTBOUND ESP 0.0.0.0/0 port(0) protocol(0)---192.168.178.81===35.205.168.77---0.0.0.0/32 port(0) protocol(0)
ZYXEL: ADD MODE(7) INBOUND ESP 0.0.0.0/32 port(0) protocol(0)---35.205.168.77===192.168.178.81---0.0.0.0/0 port(0) protocol(0)

0.0.0.0/0 steht für "Alles", während 0.0.0.0/32 für einen einzigen Host steht.

Ich weiß nicht, was du genau haben willst, aber für eine sinnvolle Verbindung müsstest du die Regelerzeugung auf dem LANCOM so einstellen, dass Lokal 192.168.1.0/24 mit Entfernt 192.168.10.0/24 kommuniziert. Normalerweise macht dies die automatische Regelerzeugung von sich aus, aber diese scheint hier deaktiviert zu sein.

Eine unschöne Sache hast du auch noch: Du scheinst eine Fritzbox vor dem LANCOM zu haben. Da die Fritzbox selbst auch VPN-fähig ist und in jedem Fall alles durchs NAT dreht, können hier böse Sachen passieren. Wenn möglich, sollte der LANCOM direkt an der Internetverbindung hängen. Aber der LANCOM erkennt auch beiden Seiten der Verbindung NAT und aktiviert daher NAT-Traversal, daher ist es jetzt nicht so akut und wirkt bei dem Problem nicht mit.

[jhaeusler]

Schade, dass du die Frage im anderen Forum nicht ergänzt hast, obwohl ich da mehrfach nach einem Trace gefragt habe, aber ich bin da flexibel. Du hast aber definitiv schon an der Konfiguration gedreht, weil bisher war es eine IKEv1-Verbindung und jetzt ist es IKEv2.

Ja, die Idee mit IKEv1 und Aggressive Modue hat mich auf die Idee gebracht das Ganze mit IKEv2 stattdessen auszuprobieren. Weil ich aber gemerkt habe, dass es eher ein LANCOM <-> Zyxel bezogenes Problem ist und weniger nativ IPv4 <> nat IPv4 habe ich mich dafür entschlossen, hier den Beitrag zu eröffnen und später dann im anderen zu ergänzen.

Eine Verbindung scheint grundlegend möglich zu sein, aber wenn ich das richtig sehe, ist bei dir die Regelerzeugung nicht in Ordnung. Die sieht so aus, wie bei einem Roadwarrior-VPN. Du möchtest aber zwei Netzwerke Site-to-Site-Verbinden.

Wie genau sieht denn so eine Regelerzeugung aus? Bisher habe ich nur die Routing Tabelle des Lancoms um 192.168.10.0/24 ergänzt. In anderen Beiträgen zu Lancom VPN bin ich bisher darauf auch nicht gestoßen

Als Zielnetze dienen für die automatisch erstellten VPN-Regeln die Netzbereiche aus der IP-Routing-Tabelle, für die als Router ein entferntes VPN-Gateway eingetragen ist.

Danke

[GrandDixence]

Normalerweise macht dies die automatische Regelerzeugung von sich aus, aber diese scheint hier deaktiviert zu sein.

Besser die manuelle Regelerzeugung (Setup/VPN/Netzwerkregeln/IPv4-Regeln) benutzen, dann ist man sich genau bewusst, was man konfiguriert...

=> siehe die oben verlinkten VPN-Anleitungen und insbesondere die darin enthaltenen Links!

[5624]

Automatisch ist immer Mist, zumindest hab ich dieses noch nie produktiv eingesetzt. Für einfachste Anwendungen reicht es aus, aber darüber ist man schnell hinaus. Und bei mir sprengt diese die VPN-Gateways. Aus einer notwendigen SA macht die automatische Regelerzeugung nämlich 64 SA. Jedes Mal schön mit der vollen Phase 2-Berechnung.

Schau mal in deiner VPN-Verbindung nach, ob hier manuell oder automatisch steht.

ikev2_verbindung.PNG

Wenn da manuell steht, wäre ein Screenshot deiner Netzwerkregeln sehr hilfreich

regelerzeugung.PNG

[jhaeusler]

Vielen Dank für die Hilfe, die automatische IPv4 Regelerzeugung war tatsächlich das Problem. Nachdem ich es auf manuell gestellt habe und eine IPv4 Regel mit lokales Netzwerk 192.168.1.0/24 / entferntes 192.168.10.0/24 hinzugefügt habe, hat es auf Anhieb funktioniert.



Kann mir jemand noch einmal das Routing zwischen den 2 VPN Seiten erläutern?

Vom Zyxel aus:
Ich kann erfolgreich den Lancom erreichen, versuche ich jedoch eine Station im selben IP Adressbereich anzupingen, funktioniert dies nicht.
Tracert zeigt an, dass er erfolgreich von Zyxel auf den Lancom springt, dann aber nicht weiter läuft.

Vom Lancom aus:
Ich erreiche den Zyxel. Versuche ich jedoch eine Station im Zyxel Netzwerk anzupingen, springt er im Tracert nicht auf den Zyxel.


Das sieht ja so aus als wäre keine Route auf dem Lancom eingerichtet, dies habe ich jedoch getan. In der Firewall habe ich ICMP von/für alle Stationen aktiviert.

[5624]

Das mit dem traceroute ist immer so eine Laune beider Gegenstellen. Ich hab eine Verbindung LANCOM zu Checkpoint. Da bekomm ich im traceroute die WAN-IP der Checkpoint angezeigt. Eine Cisco ASA frisst sehr gerne mal die traceroute-Pakete komplett auf.

Selbst LANCOM zu LANCOM kommen da manchmal lustige Sachen raus. Hab zwei identisch konfigurierte Tunnel zwischen meinen drei wichtigsten Standorten. Darüber werden u.a. auch Routinginformationen ausgetauscht, also etwas komplizierter die Sache. Traceroute vom einen RZ zum anderen RZ zeigt die Punkt-zu-Punkt-Verbindung, Traceroute vom RZ zum HQ zeigt die nicht. Stört meinen inneren Monk, aber da die Tunnel eh in den nächsten Wochen durch Gigabit-Direktverbindungen ersetzt werden, ist mir das egal.

[jhaeusler]

Danke schon einmal für die Hilfe, jetzt kommt bei mir aber noch ein weiteres Problem auf:


hinter dem Lancom ist noch ein weiterer Router aufgestellt, der wiederum im IP Netz 192.168.0.0/24 ansprechbar ist. Vom Lancom VPN Client aus habe ich keine Probleme auf das 192.168.0.0 Netz zuzugreifen, über den Zyxel klappt dies leider nicht. Im Zyxel habe ich bereits ein Route angelegt, die auf das Netz verweist.
Tracert entsprechend vom Zyxel Netzwerk aus:

1 4 ms 4 ms 1 ms 192.168.10.1
2 * * * Zeitüberschreitung der Anforderung.
3 56 ms 38 ms 37 ms 192.168.1.1
4 * * * Zeitüberschreitung der Anforderung.

IPv4 Regel habe ich ebenfalls versucht auf lokal: 0.0.0.0/24 umzustellen, aber auch das zeigt keine Wirkung.

Warum leitet Lancom die Pakete nicht weiter?

[5624]

0.0.0.0/24 kann nicht aufgelöst werden, füge einfach noch ein 192.168.0.0/24, getrennt mit einem Leerzeichen, ein. Alternativ 0.0.0.0/0, aber da weiß ich nicht, wie der Zyxel reagiert, wenn es ins Rekeying geht und dieses vom LANCOM aus angestoßen wird.

Auch wenn Zyxel und LANCOM im selben Gebäude in Würselen sitzen, mach ich seit längerer Zeit einen großen Bogen darum. Zu viele schlechte Erfahrungen gemacht.

[jhaeusler]

beides leider ohne Erfolg

[jhaeusler]

Hallo,

folgendes Problem hat sich noch ergeben:
Vom Zyxel VPN aus kann ich nun erfolgreich auf das lokale Lancom Netz (192.168.1.0/24) zugreifen.
Versuche ich jedoch auf ein weiteres Netzwerk (192.168.0.0/24), das über einen weiteren Router am Lancom angeschlossen ist, zuzugreifen, funktioniert dies nicht. Über den Lancom VPN Client klappt dies einwandfrei.
Statische IPv4 Route am Lancom, Zyxel, und am weiteren Router sind eingestellt.
Tracert vom Zyxel VPN aus scheint anzukommen, Verbindungen wie RDP aber kommen nicht zu stande.
Im unten angefügten Bild des Tracert Verlaufs ist 192.168.1.2 mein Lancom, 192.168.1.1 meine am Lancom angeschlossene Pfsense, 192.168.0.10 der RDP Server

Im trace+Firewall log kann ich ebenfalls keine Hinweis finden, dass die Verbindung geblockt wird. Im zweiten Router ist ebenfalls alles freigeschaltet. Hat jemand eine Idee?