Ich möchte mich mittels des von meiner Firma vorgegebenen AT&T VPN Clients (AT&T Network Client) über mein WLAN zu Hause mit dem Firmennetzwerk verbinden.
Hierzu wähle ich in den VPN Client-Einstellungen "Connect using existing Internet connection".
Problem: Wie muss ich meinen LANCOM 1821 konfigurieren, damit der AT&T Client eine VPN Verbindung mit dem Firmennetzwerk erfolgreich herstellen kann?
Bei meiner Freundin habe ich einen LANCOM (ELSA) L-11 installiert, über den die Verbindung ohne weitere Konfiguration funktioniert. Die VPN Verbindung taucht auf dem L-11 unter "Experten-Konfiguration\Setup\IP-Router-Modul\Masquerading\IPSec-Tabelle" auf.
Auf meinem LANCOM 1821 zu Hause habe ich zunächst auch keine spezielle Konfiguration vorgenommen. Leider gelingt es dem AT&T Client nicht, eine VPN Verbindung zum Firmennetzwerk herzustellen:
Zunächst ruft der Client die aktuelle VPN Server Liste ab. Anschließend versucht er eine Verbindung herzustellen: "Authenticating with the VPN server (xxx.xxx.xxx.xxx)...". Dies scheint jedoch nicht zu funktionieren und er versucht es mit dem nächten VPN Server von seiner Liste.
Interessanterweise füllt sich hierbei die IPSec-Tabelle ("Experten-Konfiguration\Setup\IP-Router\1-N-NAT\IPSec-Tabelle") langsam mit den jeweiligen Server IP-Adressen. Anscheinend erkennt der LANCOM 1821 die IPSec Verbindung, aber irgendetwas läuft anders als beim L-11, so dass die VPN Verbindung nicht erfolgreich zustandekommt.
VPN ist in der Konfiguration meines LANCOM 1821 deaktiviert: Unter "Configure [VPN]" im Tab "Genral" ist "Virtual Private Networking: [Deactivated]". Die ebenfalls auf dem Tab "General" zu findene Einstellung "[ ] NAT traversal activated" ändert am Verhalten nichts (es ist egal, ob die Option aktiviert oder deaktiviert ist).
Das Log des AT&T Network Clients eines Verbindungsversuchs hierzu:
Code: Alles auswählen
15:01:29.105 ---------- Change state to 'AuthenticatingTunnel'. ----------
15:01:29.145 Authenticating with the VPN server (xxx.xxx.xxx.xxx)...
15:01:29.235 Action 1 of 1 is 'LogonToIPSecTunnelServer' (result required in 105 seconds)...
15:01:29.255 Configured to negotiate UDP encapsulation
15:01:29.296 Obtained VPN MTU Size value '1370' from preferences.
15:01:29.326 Logon request sent to VPN server xxx.xxx.xxx.xxx...
15:01:29.356 Wait for asynchronous action to complete.
15:01:29.406 A VPN logon message 1 was received.
15:01:29.436 Accessing digital certificate...
15:01:35.925 A VPN logon message 2 was received.
15:01:35.955 Negotiating encryption keys with the VPN server (xxx.xxx.xxx.xxx)...
15:01:36.676 A VPN logon message 3 was received.
15:01:36.706 Authenticating with the VPN server (xxx.xxx.xxx.xxx)...
15:01:56.805 The VPN logon response was received.
15:01:56.885 The local address is 192.168.1.1.
15:01:56.905 The local gateway address is 192.168.1.254.
15:01:56.955 Last login error set to 118.
15:01:56.985 'LogonToIPSecTunnelServer' failed.
15:01:57.005 FSM error in state 'AuthenticatingTunnel'.
15:01:57.025 !Error 118 No response from IPSEC terminator during authentication. (error 118).
15:01:57.055 ---------- Change state to 'BeforeTunneling'. ----------Der AT&T Client kann dann erfolgreich eine VPN Verbindung zum Firmennetzwerk herstellen. Interessanterweise taucht diese VPN Verbindung dann nicht unter "Experten-Konfiguration\Setup\IP-Router\1-N-NAT\IPSec-Tabelle" auf.
Das Log des AT&T Network Clients eines Verbindungsversuchs hierzu:
Code: Alles auswählen
15:08:21.829 ---------- Change state to 'AuthenticatingTunnel'. ----------
15:08:21.859 Authenticating with the VPN server (xxx.xxx.xxx.xxx)...
15:08:21.939 Action 1 of 1 is 'LogonToIPSecTunnelServer' (result required in 105 seconds)...
15:08:21.959 Configured to negotiate UDP encapsulation
15:08:21.999 Obtained VPN MTU Size value '1370' from preferences.
15:08:22.029 Logon request sent to VPN server xxx.xxx.xxx.xxx...
15:08:22.049 Wait for asynchronous action to complete.
15:08:22.089 A VPN logon message 1 was received.
15:08:22.119 Accessing digital certificate...
15:08:28.368 A VPN logon message 2 was received.
15:08:28.398 Negotiating encryption keys with the VPN server (xxx.xxx.xxx.xxx)...
15:08:28.859 A VPN logon message 3 was received.
15:08:28.879 Authenticating with the VPN server (xxx.xxx.xxx.xxx)...
15:08:32.284 The VPN logon response was received.
15:08:32.304 The tunneled intranet address is yyy.yyy.yyy.yyy.
15:08:32.334 The local address is 192.168.1.1.
15:08:32.374 The local gateway address is 192.168.1.254.
15:08:32.394 Allowed intranet subnets:
[...]
15:08:40.756 Common services subnets:
[...]
15:08:41.677 Key exchange (IKE) encryption is Diffie-Hellman Group 1.
15:08:41.717 VPN compression (IPCOMP) is LZS.
15:08:41.747 VPN protocol and encryption is ESP,3DES,SHA1.
15:08:41.787 The source and destination VPN IKE ports are 4500 and 500.
15:08:41.817 UDP wrapper (for NAT traversal) is on.
15:08:41.848 The source and destination VPN data ports are 4500 and 500.
15:08:41.878 The authentication server returned zzz.zzz.zzz.zz1 zzz.zzz.zzz.zz2 as the DNS.
15:08:41.958 ---------- Change state to 'AfterTunneling'. ----------Nachtrag: In den erweiterten Optionen des AT&T Network Clients sind folgende Optionen aktiviert [x] bzw. deaktiviert [ ]:
[x] Negotiate UDP encapsulation with VPN server for NAT traversal
[x] Authenticate via HTTP for SSL
[ ] Authenticate via HTTP for IPSec
VPN MTU Size = Default (Recommended) (Alternativen: 1370/1300/1000/700)
Wie muss ich meinen LANCOM 1821 konfigurieren, damit dies wie bei dem L-11 funktioniert bzw. was kann ich tun, um herauszufinden, warum es nicht wie gewünscht funktioniert?
Vielen Dank im voraus,
-Jens