VPN Verbindung Lancom Zyxel

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

jhaeusler
Beiträge: 15
Registriert: 29 Jun 2019, 18:19

VPN Verbindung Lancom Zyxel

Beitrag von jhaeusler »

Hallo,

ich versuche momentan eine VPN Verbindung von einem Zyxel USG20 zu einem Lancom1790VA(VPN Server) herzustellen. Leider komme ich hier einfach nicht weiter, und hoffe von euch ein paar Vorschläge zu bekommen.

Lancom VDSL Telekom Business Anschluss; Feste IP
Zyxel DSLITE Anschluss; keine feste IP; IPv4 NAT

Ich versuche eine IPSec IKEv2 Verbindung aufzuabauen, dabei erhalte ich folgende Logmeldung:
Tunnel[VPN_LANCOM2:VPN_LANCOM2] Send IKEv2 request
The cookie pair is : 0x618333a259bab88e / 0x0000000000000000
[INIT] Send:[SAi1][KE][NONCE][NOTIFY][NOTIFY][VID]
The cookie pair is : 0x49d3c1f973741a70 / 0x618333a259bab88e
[INIT] Recv:[SA][KE][NONCE][NOTIFY][NOTIFY][CERTREQ][VID]
The cookie pair is : 0x618333a259bab88e / 0x49d3c1f973741a70 [count=2]
[AUTH] Send:[IDi][CERTREQ][IDr][AUTH][SAi2][TSi][TSr][NOTIFY][NOTIFY][NOTIFY][NOTIFY]
The cookie pair is : 0x49d3c1f973741a70 / 0x618333a259bab88e
[AUTH] Recv:[IDr][AUTH][NOTIFY]
IKE SA negotiation process done
The cookie pair is : 0x49d3c1f973741a70 / 0x618333a259bab88e

anschließend wiederholt sich ständig:
[info] Recv:
The cookie pair is : 0x618333a259bab88e / 0x49d3c1f973741a70
[info] Send:

usw.

hat jemand eine Idee?
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: VPN Verbindung Lancom Zyxel

Beitrag von GrandDixence »

VPN-Konfiguration mit der entsprechenden VPN-Anleitung unter:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795

abgleichen. VPN-Fehlersuche mit dem entsprechenden VPN-Trace durchführen:
alles-zum-lancom-advanced-vpn-client-f3 ... tml#p99943

Bevor hier nicht ein brauchbarer, aussagekräftiger VPN-Trace-Auszug vorliegt, kann hier niemand effizient bei der Konfigurationsfehlerbehebung weiterhelfen...
jhaeusler
Beiträge: 15
Registriert: 29 Jun 2019, 18:19

Re: VPN Verbindung Lancom Zyxel

Beitrag von jhaeusler »

Muss ich beim Lancom unter Verbindungsliste zwingend ein Gateway angeben, wenn mein Lancom als VPN Server dient und der Zyxel als Client? Ich bin davon ausgegangen, dass wen man das Gateway leer lässt, sämtliche Gegenstellen erlaubt sind?
jhaeusler
Beiträge: 15
Registriert: 29 Jun 2019, 18:19

Re: VPN Verbindung Lancom Zyxel

Beitrag von jhaeusler »

///////
jhaeusler
Beiträge: 15
Registriert: 29 Jun 2019, 18:19

Re: VPN Verbindung Lancom Zyxel

Beitrag von jhaeusler »

Anbei die Log

Zyxel (Initiator) Subnet 192.168.10.0 / 24
Lancom Responder Subnet 192.168.1.0 / 24
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
5624
Beiträge: 865
Registriert: 14 Mär 2012, 12:36

Re: VPN Verbindung Lancom Zyxel

Beitrag von 5624 »

Schade, dass du die Frage im anderen Forum nicht ergänzt hast, obwohl ich da mehrfach nach einem Trace gefragt habe, aber ich bin da flexibel. Du hast aber definitiv schon an der Konfiguration gedreht, weil bisher war es eine IKEv1-Verbindung und jetzt ist es IKEv2.

Eine Verbindung scheint grundlegend möglich zu sein, aber wenn ich das richtig sehe, ist bei dir die Regelerzeugung nicht in Ordnung. Die sieht so aus, wie bei einem Roadwarrior-VPN. Du möchtest aber zwei Netzwerke Site-to-Site-Verbinden.

Code: Alles auswählen

ZYXEL: ADD MODE(7) OUTBOUND ESP 0.0.0.0/0 port(0) protocol(0)---192.168.178.81===35.205.168.77---0.0.0.0/32 port(0) protocol(0)
ZYXEL: ADD MODE(7) INBOUND ESP 0.0.0.0/32 port(0) protocol(0)---35.205.168.77===192.168.178.81---0.0.0.0/0 port(0) protocol(0)
0.0.0.0/0 steht für "Alles", während 0.0.0.0/32 für einen einzigen Host steht.

Ich weiß nicht, was du genau haben willst, aber für eine sinnvolle Verbindung müsstest du die Regelerzeugung auf dem LANCOM so einstellen, dass Lokal 192.168.1.0/24 mit Entfernt 192.168.10.0/24 kommuniziert. Normalerweise macht dies die automatische Regelerzeugung von sich aus, aber diese scheint hier deaktiviert zu sein.

Eine unschöne Sache hast du auch noch: Du scheinst eine Fritzbox vor dem LANCOM zu haben. Da die Fritzbox selbst auch VPN-fähig ist und in jedem Fall alles durchs NAT dreht, können hier böse Sachen passieren. Wenn möglich, sollte der LANCOM direkt an der Internetverbindung hängen. Aber der LANCOM erkennt auch beiden Seiten der Verbindung NAT und aktiviert daher NAT-Traversal, daher ist es jetzt nicht so akut und wirkt bei dem Problem nicht mit.
LCS NC/WLAN
jhaeusler
Beiträge: 15
Registriert: 29 Jun 2019, 18:19

Re: VPN Verbindung Lancom Zyxel

Beitrag von jhaeusler »

5624 hat geschrieben: 12 Apr 2020, 22:41 Schade, dass du die Frage im anderen Forum nicht ergänzt hast, obwohl ich da mehrfach nach einem Trace gefragt habe, aber ich bin da flexibel. Du hast aber definitiv schon an der Konfiguration gedreht, weil bisher war es eine IKEv1-Verbindung und jetzt ist es IKEv2.
Ja, die Idee mit IKEv1 und Aggressive Modue hat mich auf die Idee gebracht das Ganze mit IKEv2 stattdessen auszuprobieren. Weil ich aber gemerkt habe, dass es eher ein LANCOM <-> Zyxel bezogenes Problem ist und weniger nativ IPv4 <> nat IPv4 habe ich mich dafür entschlossen, hier den Beitrag zu eröffnen und später dann im anderen zu ergänzen.
5624 hat geschrieben: 12 Apr 2020, 22:41 Eine Verbindung scheint grundlegend möglich zu sein, aber wenn ich das richtig sehe, ist bei dir die Regelerzeugung nicht in Ordnung. Die sieht so aus, wie bei einem Roadwarrior-VPN. Du möchtest aber zwei Netzwerke Site-to-Site-Verbinden.
Wie genau sieht denn so eine Regelerzeugung aus? Bisher habe ich nur die Routing Tabelle des Lancoms um 192.168.10.0/24 ergänzt. In anderen Beiträgen zu Lancom VPN bin ich bisher darauf auch nicht gestoßen
Als Zielnetze dienen für die automatisch erstellten VPN-Regeln die Netzbereiche aus der IP-Routing-Tabelle, für die als Router ein entferntes VPN-Gateway eingetragen ist.
Danke
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: VPN Verbindung Lancom Zyxel

Beitrag von GrandDixence »

5624 hat geschrieben: 12 Apr 2020, 22:41 Normalerweise macht dies die automatische Regelerzeugung von sich aus, aber diese scheint hier deaktiviert zu sein.
Besser die manuelle Regelerzeugung (Setup/VPN/Netzwerkregeln/IPv4-Regeln) benutzen, dann ist man sich genau bewusst, was man konfiguriert...

=> siehe die oben verlinkten VPN-Anleitungen und insbesondere die darin enthaltenen Links!
5624
Beiträge: 865
Registriert: 14 Mär 2012, 12:36

Re: VPN Verbindung Lancom Zyxel

Beitrag von 5624 »

Automatisch ist immer Mist, zumindest hab ich dieses noch nie produktiv eingesetzt. Für einfachste Anwendungen reicht es aus, aber darüber ist man schnell hinaus. Und bei mir sprengt diese die VPN-Gateways. Aus einer notwendigen SA macht die automatische Regelerzeugung nämlich 64 SA. Jedes Mal schön mit der vollen Phase 2-Berechnung.

Schau mal in deiner VPN-Verbindung nach, ob hier manuell oder automatisch steht.
ikev2_verbindung.PNG
Wenn da manuell steht, wäre ein Screenshot deiner Netzwerkregeln sehr hilfreich
regelerzeugung.PNG
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
LCS NC/WLAN
jhaeusler
Beiträge: 15
Registriert: 29 Jun 2019, 18:19

Re: VPN Verbindung Lancom Zyxel

Beitrag von jhaeusler »

Vielen Dank für die Hilfe, die automatische IPv4 Regelerzeugung war tatsächlich das Problem. Nachdem ich es auf manuell gestellt habe und eine IPv4 Regel mit lokales Netzwerk 192.168.1.0/24 / entferntes 192.168.10.0/24 hinzugefügt habe, hat es auf Anhieb funktioniert.
:M :M


Kann mir jemand noch einmal das Routing zwischen den 2 VPN Seiten erläutern?

Vom Zyxel aus:
Ich kann erfolgreich den Lancom erreichen, versuche ich jedoch eine Station im selben IP Adressbereich anzupingen, funktioniert dies nicht.
Tracert zeigt an, dass er erfolgreich von Zyxel auf den Lancom springt, dann aber nicht weiter läuft.

Vom Lancom aus:
Ich erreiche den Zyxel. Versuche ich jedoch eine Station im Zyxel Netzwerk anzupingen, springt er im Tracert nicht auf den Zyxel.


Das sieht ja so aus als wäre keine Route auf dem Lancom eingerichtet, dies habe ich jedoch getan. In der Firewall habe ich ICMP von/für alle Stationen aktiviert.
5624
Beiträge: 865
Registriert: 14 Mär 2012, 12:36

Re: VPN Verbindung Lancom Zyxel

Beitrag von 5624 »

Das mit dem traceroute ist immer so eine Laune beider Gegenstellen. Ich hab eine Verbindung LANCOM zu Checkpoint. Da bekomm ich im traceroute die WAN-IP der Checkpoint angezeigt. Eine Cisco ASA frisst sehr gerne mal die traceroute-Pakete komplett auf.

Selbst LANCOM zu LANCOM kommen da manchmal lustige Sachen raus. Hab zwei identisch konfigurierte Tunnel zwischen meinen drei wichtigsten Standorten. Darüber werden u.a. auch Routinginformationen ausgetauscht, also etwas komplizierter die Sache. Traceroute vom einen RZ zum anderen RZ zeigt die Punkt-zu-Punkt-Verbindung, Traceroute vom RZ zum HQ zeigt die nicht. Stört meinen inneren Monk, aber da die Tunnel eh in den nächsten Wochen durch Gigabit-Direktverbindungen ersetzt werden, ist mir das egal.
LCS NC/WLAN
jhaeusler
Beiträge: 15
Registriert: 29 Jun 2019, 18:19

Re: VPN Verbindung Lancom Zyxel

Beitrag von jhaeusler »

Danke schon einmal für die Hilfe, jetzt kommt bei mir aber noch ein weiteres Problem auf:


hinter dem Lancom ist noch ein weiterer Router aufgestellt, der wiederum im IP Netz 192.168.0.0/24 ansprechbar ist. Vom Lancom VPN Client aus habe ich keine Probleme auf das 192.168.0.0 Netz zuzugreifen, über den Zyxel klappt dies leider nicht. Im Zyxel habe ich bereits ein Route angelegt, die auf das Netz verweist.
Tracert entsprechend vom Zyxel Netzwerk aus:

1 4 ms 4 ms 1 ms 192.168.10.1
2 * * * Zeitüberschreitung der Anforderung.
3 56 ms 38 ms 37 ms 192.168.1.1
4 * * * Zeitüberschreitung der Anforderung.

IPv4 Regel habe ich ebenfalls versucht auf lokal: 0.0.0.0/24 umzustellen, aber auch das zeigt keine Wirkung.

Warum leitet Lancom die Pakete nicht weiter?
5624
Beiträge: 865
Registriert: 14 Mär 2012, 12:36

Re: VPN Verbindung Lancom Zyxel

Beitrag von 5624 »

0.0.0.0/24 kann nicht aufgelöst werden, füge einfach noch ein 192.168.0.0/24, getrennt mit einem Leerzeichen, ein. Alternativ 0.0.0.0/0, aber da weiß ich nicht, wie der Zyxel reagiert, wenn es ins Rekeying geht und dieses vom LANCOM aus angestoßen wird.

Auch wenn Zyxel und LANCOM im selben Gebäude in Würselen sitzen, mach ich seit längerer Zeit einen großen Bogen darum. Zu viele schlechte Erfahrungen gemacht.
LCS NC/WLAN
jhaeusler
Beiträge: 15
Registriert: 29 Jun 2019, 18:19

Re: VPN Verbindung Lancom Zyxel

Beitrag von jhaeusler »

beides leider ohne Erfolg
jhaeusler
Beiträge: 15
Registriert: 29 Jun 2019, 18:19

Re: VPN Verbindung Lancom Zyxel

Beitrag von jhaeusler »

Hallo,

folgendes Problem hat sich noch ergeben:
Vom Zyxel VPN aus kann ich nun erfolgreich auf das lokale Lancom Netz (192.168.1.0/24) zugreifen.
Versuche ich jedoch auf ein weiteres Netzwerk (192.168.0.0/24), das über einen weiteren Router am Lancom angeschlossen ist, zuzugreifen, funktioniert dies nicht. Über den Lancom VPN Client klappt dies einwandfrei.
Statische IPv4 Route am Lancom, Zyxel, und am weiteren Router sind eingestellt.
Tracert vom Zyxel VPN aus scheint anzukommen, Verbindungen wie RDP aber kommen nicht zu stande.
Im unten angefügten Bild des Tracert Verlaufs ist 192.168.1.2 mein Lancom, 192.168.1.1 meine am Lancom angeschlossene Pfsense, 192.168.0.10 der RDP Server

Im trace+Firewall log kann ich ebenfalls keine Hinweis finden, dass die Verbindung geblockt wird. Im zweiten Router ist ebenfalls alles freigeschaltet. Hat jemand eine Idee?
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Antworten