Hilfe! Netzwerk einrichten mit firewall und vpn..Anleitung?

[zipuro]

hi leute,

ich bin ein erfahrener PC nutzer, komm aber mit meinen 1821+ nicht ganz klar.

mein telekom mensch hat mir diesen als besten router empfohlen und mir die vpn für den firmen-ip-apparat per ferne eingerichtet.

alles ist auf standard, und ich versuche die firewall einzurichten und die netzwerke zu verbinden...

kopfschmerz.......

gibt es eine anleitung, erste schritte oder so, was ich beachten muss und was wie eingerichtet sein muss??

danke im voraus!!

[filou]

Hi!

gibt es eine anleitung, erste schritte oder so, was ich beachten muss und was wie eingerichtet sein muss??

1. ...und wichtigstes, das Referenzmanual
ftp://ftp.lancom.de/Documentation/Refer ... 720-DE.pdf

2. Die Knowledge-Base
http://www2.lancom.de/kb.nsf/0804

3. Speziell zur Firewall, ebenfalls in der KB zu finden
http://www2.lancom.de/kb.nsf/fe78f8220e ... enDocument

4. Nach allen anderen, speziell und bei Missverständnissen zu allen w.o. genannten
http://www.lancom-forum.de

[zipuro]

super, das hab ich alles schon hinter mir, 1000 seiten manual, knowgde, die nicht funzt, und das forum ist ach fürn.. ti profi..
nein danke da tuich 200 draulegen und hau das ding ins ebay und hol mir n linksys .. danke für die mühe..

[TheCloud]

Hallo zipuro,

na, Dein Enthusiasmus scheint sich ja stark in Grenzen zu halten, denn sonst würdest Du wohl nicht so schnell die Flinte ins Korn schmeißen, oder?

Der 1821+ ist ein ein gutes Gerät, da hat der Mensch von der Telekom schon recht. Das meiste läßt sich ja auch mit den Assistenten einrichten, aber welcher "erfahrene" PC Nutzer braucht sowas schon...

Was erwartest Du eigentlich in so einem Forum? Bei Deiner "genauen Problembeschreibung" (ACHTUNG: Ironie) kann wohl niemand erraten, welche Anleitungen/Hilfen Du wirklich benötigst.

Ich denke die wichtigsten Seiten hat filou Dir bereits genannt. Das sind zwar erst einmal nur allgemeine Hilfen, aber bei der Fragenstellung...


Gruß

TC

[backslash]

Hi zipuro

gibt es eine anleitung, erste schritte oder so, was ich beachten muss und was wie eingerichtet sein muss??

schon mal den LAN-LAN-Kopplungs-Wizard angeworfen? Der ist selbsterklärend

super, das hab ich alles schon hinter mir, 1000 seiten manual, knowgde, die nicht funzt, und das forum ist ach fürn.. ti profi..
nein danke da tuich 200 draulegen und hau das ding ins ebay und hol mir n linksys .. danke für die mühe..

tsss...
auch bei Linksys wirst du das Handbuch durchlesen müssen um einen VPN-Tunnel einzurichten...

und natürlich ist das Forum für Profis - ein LANCOM ist ja auch ein Router für Profis...

und was bitte schon funktioniert an der Knowledge-Base nicht?
OK - es ist unschön wenn filou einen Link auf die "Sammelseite" schickt. Besser wäre der Link zur Volltextsuche gewesen: http://www2.lancom.de/kb.nsf/$$Search


Gruß
Backslash

[filou]

Hi!

OK - es ist unschön wenn filou einen Link auf die "Sammelseite" schickt.

Aber der funzt!

Besser wäre der Link zur Volltextsuche gewesen: http://www2.lancom.de/kb.nsf/$

>>>

Code: Alles auswählen

Error 404
HTTP Web Server: Couldn't find design note - $

@backslash
Ich fande übrigens nicht verwerfliches daran, gleich die komplette Übersicht zu linken... So allgemein die Frage von zipuro war...

@zipuro
Niemand kann dir eine Schritt für Schritt-Anleitung geben!
Wenn du das Ref-Man schon gelesen hast, dann sollten eigentlich schon spezielle Fragen zu Problemen kommen, die dir beim Einrichten entstanden sind.
Wohl war ich der erste, der dir überhaupt geantwortet hat, da mit deiner allgemeinen Fragestellung niemand wirklich antworten kann.
Den Schritt für Schritt musst du schon selbst erstmal gehen und bei Problemen hier Fragen stellen und Antworten suchen.

OK, die Lancom´s sind beim erstenmal nicht leicht zu überschauen, "einige" Zeit Einarbeitung brauchst du schon, um zu wissen, was du wo und wie erreichst. Das ist nun mal bei Profigeräten mit unzähligen Features und Möglichkeiten so. Bei einem Linksys hast mal 3-6 Menüpunkte mit wenig Differenzierung, wie bei vielen anderen Consumer-Geräten auch.
Beim LANCOM ist das eben anderes. Aber hast du erstmal das System verstanden, stehen dir viele Möglichkeiten und Anpassungen an deine indiviuellen Bedürfnisse gegenüber.
Wie backslash schon schrieb... in den meisten Fällen genügt es, den entsprechenden Assistenten anzuwerfen... das ist dann fast so kinderleicht wie... na eben bei w.o. erwähnten Geräten.
Jedes neue System verlangt Einarbeitung und eine gewisse Zeit dafür.

Also anfangen nach Manual vorzugehen(lesen!) und dann fragen.
Hier gibt es jedemenge erfahren Lancom-User, die bereit sind, dir auf die Sprünge zu helfen, aber eine konkrete Fragestellung ist Voraussetzung!

[backslash]

Bi filou

hmmm - irgendwie schneidet hier das Forum an der URL etwas ab es fehlt noch ein weiteres $search, also www2.lancom.de/kb.nsf/$$Search

leider funktioniert das hier nicht als link (denn dann wird wieder abgeschnitten) und muß daher herauskopiert werden...

Gruß
Backslash

[zipuro]

danke leute, ihr seit echt ok,

ich hab mehrere bekannte gefragt , aber jeder empfiehlt was anderes...

ich weiss das lancom gut ist und werde nachdem ich soviel unterstützung bekomme loslegen:

ich habe die neueste soft und progs.

die vpn läuft, ich kann aber keine freigaben im firmennetz sehen...

ich will die firewall dicht machen und geziehlte freigaben für :

1 IP Phone 2 Pc´s und eine Box erteilen.

ich habe die skripte-sammlung von der lancomseite.

und nehme deny-all, allow-dns, allow-ftp und http, mehr brauche ich nicht.

geht aber nix mehr sobald ich dei firewall aktiviere...

dann versuche ich auf lan-1 die ports 5500,5800,5900 zu forwarden, für VNC, nix geht.

ich habe irgedwas nicht eingestellt... in tcp/ip, adressbereich für einwahlzugänge steh mein ip bereich und als erster dns die ruter ip....

dhcp möchte ich nicht nutzen... ist aber auf allen lans freigegeben.

habe dann bei ip-router, maskierung, portforwardingtabelle die VNC ports mit der ip des pc`s eingegeben.... geht auch nix..

[backslash]

Hi zipuro

die vpn läuft, ich kann aber keine freigaben im firmennetz sehen...

das mit den Freigaben ist so eine Sache... In der Netzwerkumgebung kannst du sie nur sehen, wenn du auf beiden Seiten einen echten WINS-Server stehen hast - der NetBIOS-Proxy im LANCOM reicht dafür nicht aus.

Ohne echten WINS-Server kannst du die Freigaben nur ansprechen, wenn du die Namen oder die IP-Adressen der jeweiligen PCs/Server kennst. Mit den Namen funktioniert das auch nur dann, wenn auf beiden Seiten ein LANCOM steht und auf beiden Seiten der NetBIOS-Proxy für die Strecke aktiviert ist.

ich will die firewall dicht machen und geziehlte freigaben für :

1 IP Phone 2 Pc´s und eine Box erteilen.

ich habe die skripte-sammlung von der lancomseite.

und nehme deny-all, allow-dns, allow-ftp und http, mehr brauche ich nicht.

Eigentlich sollte es ausreichen die Scripte nacheinander in das Gerät zu laden. Wie sieht denn nun deine Firewall-Config aus? Gehe dazu mal per Telnet auf das Gerät und wechsle in das Verzeichnis /setup/ip-router/firewall (das geht wie bei DOS/Windows/Linux mit cd /setup/.... Gib dort mal readscript ein und poste das Ergebnis hier...

BTW: bei abgeschalteter Firewall läuft es aber - oder etwa auch nicht?

Und für das IP-Phone brauchst du auch noch passende Regeln - oder willst du das über die VoIP-Option direkt am LANCOM registrieren?

dann versuche ich auf lan-1 die ports 5500,5800,5900 zu forwarden, für VNC, nix geht.

bedenke, daß da dafür auch wieder extra Regeln in der Firewall brauchst - zumindest wenn du eine Deny-All Regel benutzt.

Code: Alles auswählen

Aktion:  übetragen
Quelle:  alle Stationen (oder die IP-Adressen/Netze, von denen du das erlauben willst)
Ziel:    IP-Adresse des PCs
Dienste: TCP, Zielports 5500,5800,5900

ich habe irgedwas nicht eingestellt... in tcp/ip, adressbereich für einwahlzugänge steh mein ip bereich und als erster dns die ruter ip....

laß das alles leer!
Das einzige was du brauchtst ist die Angabe deines lokalen Netzes unter TCP/IP -> IP-Netzwerke -> INTRANET.

habe dann bei ip-router, maskierung, portforwardingtabelle die VNC ports mit der ip des pc`s eingegeben.... geht auch nix..

Soll das VNC durch das Internet gehen, oder durch den VPN-Tunnel? Wenn es durch den Tunnel gehen soll, dann brauchst du das nicht, weil VPN-Tunnel i.A. nicht maskiert sind...


Simmen denn überhaupt deine Routen? Kannst du Server im Internet anpingen? Kannst du Server im VPN anpingen?

Gruß
Backslash

[zipuro]

Hi nochmal,

hab die regel allow-VNC erstellt, kann sie aber erst morgen abend testen.

sollte wenn es geht auch über die vpn laufen, währe genial wenn das geht!

über die vpn möchte ich das ip-phone und in 2 freigaben in der firma was up- und downloaden.

ich hab da eine detewe openoffice x 320 die ip-telefonie isdn, router mit vpn, und sip telefonie macht, da muss ich auch mal drüber....

die router anpingen geht über vpn und internet.

das ergabniss von dem readscript wie folgt:

(passwörter und keys sind +++++)
____________________________________________________________



#
| LANCOM 1821+ Wireless ADSL (Ann.B)
| Ver. 7.26.0049 / 22.11.2007 / 6.26/e74.02.41.2
| SN. 076781800031
| Copyright (c) LANCOM Systems

Connection No.: 002 (LAN)

Password:

root@:/
> cd setup

root@:/Setup
> readscript
# Script (7.26.0049 / 22.11.2007) (0x0020411d;0x0c000063)

lang English
flash No

cd /Setup/WAN/Dialup-Peers
del *
tab Peer Dialup-remote B1-DT B2-DT WAN-layer
Callback
add "DEFAULT" "" 20 20 ""
No
add "FIRMA" "" 90 90 "FIRMA"
No
cd /
cd /Setup/WAN/Layer
del *
tab WAN-layer Encaps. Lay-3 Lay-2 L2-Opt. Lay-1
add "DEFAULT" TRANS PPP TRANS bnd+cmpr HDLC64K
add "T-ISDN" TRANS PPP TRANS none HDLC64K
add "MLPPP" TRANS PPP TRANS bnd+cmpr HDLC64K
add "PPPHDLC" TRANS PPP TRANS none HDLC64K
add "RAWHDLC" TRANS TRANS TRANS none HDLC64K
add "T-ADSL" LLC-MUX PPP PPPoE none AAL-5
add "PPPOEOA" LLC-MUX PPP PPPoE none AAL-5
add "PPPOA" LLC-MUX PPP TRANS none AAL-5
add "IPOEOA" LLC-ETH TRANS TRANS none AAL-5
add "IPOA" LLC-MUX TRANS TRANS none AAL-5
add "DHCPOEOA" LLC-ETH DHCP TRANS none AAL-5
add "DHCPOA" LLC-MUX DHCP TRANS none AAL-5
add "T-DSL" TRANS PPP PPPoE none ETH
add "PPPOE" TRANS PPP PPPoE none ETH
add "IPOE" ETHER TRANS TRANS none ETH
add "DHCPOE" ETHER DHCP TRANS none ETH
add "V.24_DEF" TRANS APPP TRANS none SERIAL
add "INTERNET" LLC-MUX PPP PPPoE none AAL-5
cd /
cd /Setup/WAN/PPP
del *
tab Peer Authent. Key Time Try Conf Fail Term Usernam
e Rights
add "DEFAULT" PAP "" 0 5 10 5 2 ""
none
add "INTERNET" none "20070807002" 5 5 10 5 2 "X
000+++++@mdsl.mnet-online.de" IP
add "FIRMA" CHAP "3+++++++" 3 5 10 5 2 "P
rivat" IP
cd /
cd /Setup/WAN/DSL-Broadband-Peers
del *
tab Peer SH-Time AC-name
Servicename WAN-layer ATM-VPI ATM-VCI
MAC-Type user-def.-MAC DSL-ifc(s) VLAN-ID
add "INTERNET" 9999 ""
"" "INTERNET" 1 32
local 000000000000 "" 0
cd /
cd /Setup/WAN/MTU-List
del *
tab Peer MTU
add "INTERNET" 1492
add "FIRMA" 1492
cd /
cd /Setup/WAN/Action-Table
del *
tab Index Active Host-Name
Peer Lock-Time Condition Action


Check-For
Owner
add 1 Yes "+++++++++++.DYNDNS.ORG"
"INTERNET" 2160000 Establish "http://++++:++++++++
+@members.dyndns.org/nic/update?system=dyndns&hostname=%h&myip=%a&wildcard=NOCHG
&mx=++++++++.dyndns.org&backmx=NO"
"contains=good %a?
skipiftrue=2" "root"
add 2 Yes "+++.DYNDNS.ORG"
"INTERNET" 0 Establish "dnscheck:+++.dyndns.org"


"isequal=%a?skipif
true=1" "root"
add 3 Yes "+++.DYNDNS.ORG"
"INTERNET" 900 Establish "http://+++:+++++++
+@members.dyndns.org/nic/update?system=dyndns&hostname=%h&myip=%a&wildcard=NOCHG
&mx=++++.dyndns.org&backmx=NO"
"contains=good %a"
"root"
add 4 Yes "+++.DYNDNS.ORG"
"INTERNET" 0 Establish "repeat:300"


""
"root"
cd /
cd /Setup/WAN/Router-Interface
tab Ifc MSN/EAZ YC. CLIP Accept-calls
set S0-1 "" Yes Yes none
set EXT "" Yes Yes all
cd /
set /Setup/Charges/Budget-Units 0
set /Setup/Charges/Dialup-Minutes-Budget 0
set /Setup/Charges/DSL-Broadband-Minutes-Budget 0
cd /Setup/LAN/IEEE802.1x/Supplicant-Ifc-Setup
tab Ifc Method Credentials

set LAN-1 none ""
set LAN-2 none ""
set LAN-3 none ""
set LAN-4 none ""
cd /
cd /Setup/TCP-IP/Network-list
del *
tab Network-name IP-Address IP-Netmask VLAN-ID Interface Sr
c-check Type Rtg-tag Comment

add "INTRANET" 192.168.102.254 255.255.255.0 0 any lo
ose Intranet 0 "local intranet"
add "DMZ" 0.0.0.0 255.255.255.0 0 any lo
ose DMZ 0 "demilitarized zone"
cd /
cd /Setup/IP-Router/IP-Routing-Table
del *
tab IP-Address IP-Netmask Rtg-tag Peer-or-IP Distance Masq
uerade Active Comment

add 192.168.101.0 255.255.255.0 0 "FIRMA" 0 No
Yes ""
add 192.168.0.0 255.255.0.0 0 "0.0.0.0" 0 No
Yes "block private networks: 192.168.x.y"
add 172.16.0.0 255.240.0.0 0 "0.0.0.0" 0 No
Yes "block private networks: 172.16-31.x.y"
add 10.0.0.0 255.0.0.0 0 "0.0.0.0" 0 No
Yes "block private network: 10.x.y.z"
add 224.0.0.0 224.0.0.0 0 "0.0.0.0" 0 No
Yes "block multicasts: 224-255.x.y.z"
add 255.255.255.255 0.0.0.0 0 "INTERNET" 0 on
Yes ""
cd /
cd /Setup/IP-Router/1-N-NAT/Service-Table
del *
tab D-port-from D-port-to Protocol Peer WAN-Address Int
ranet-Addres Map-Port Active Comment

add 5500 5500 TCP+UDP "DEFAULT" 0.0.0.0 192
.168.102.10 5500 Yes "VNC1"
add 5800 5800 TCP+UDP "DEFAULT" 0.0.0.0 192
.168.102.10 5800 Yes "VNC1"
add 5900 5900 TCP+UDP "DEFAULT" 0.0.0.0 192
.168.102.10 5900 Yes "VNC1"
cd /
cd /Setup/IP-Router/Firewall/Actions
del *
tab Name Description

add "ACCEPT" "%A"
add "DROP" "%D"
add "REJECT" "%R"
add "NO-CONNECT" "@C%R"
add "NO-INTERNET" "@I%R"
cd /
cd /Setup/IP-Router/Firewall/Objects
del *
tab Name Description

add "ANY" ""
add "ANYHOST" "%A0.0.0.0 %M0.0.0.0"
add "LOCALNET" "%L"
add "ICMP" "%P1"
add "TCP" "%P6"
add "FTP" "%P6 %S21"
add "MAIL" "%P6 %S25,110,143"
add "HTTP" "%P6 %S80,443"
add "NEWS" "%P6 %S119"
add "UDP" "%P17"
add "TFTP" "%P17 %S69"
add "IPSEC" "%P17 %S500"
add "ESP" "%P50"
add "AH" "%P51"
add "IPCOMP" "%P108"
add "DNS" "%S53"
add "NETBIOS" "%S137-139"
add "PPTP" "%P6 %S1723"
add "FTP-ANYHOST" "%S20,21 ANYHOST"
add "HTTP-HTTPS" "%S80,443,8008,8080 ANYHOST"
cd /
cd /Setup/IP-Router/Firewall/Rules
del *
tab Name Prot. Source
Destination Action
Linked Prio Firewall- VPN-Rule Stateful Rtg-tag Comment

add "ALLOW-VPN-ROUTING" "ANY" "ANYHOST"
"ANYHOST" "%Lcds0 @v %A"
No 1 Yes No Yes 0 ""
add "WINS" "TCP,UDP" "%S137-139 ANYHOST"
"ANYHOST" "%Lcds0 %R %N"
No 0 Yes

set "P2P-1-6" Yes
set "WLAN-1-2" Yes
set "WLAN-1-3" Yes
set "WLAN-1-4" Yes
set "WLAN-1-5" Yes
set "WLAN-1-6" Yes
set "WLAN-1-7" Yes
set "WLAN-1-8" Yes
set "LAN-2" Yes
set "LAN-3" Yes
set "LAN-4" Yes
cd /
cd /Setup/Config/Access-Table
tab Ifc. Telnet TFTP HTTP SNMP HTTPS Telnet-SSL SSH
set LAN Yes Yes Yes Yes Yes Yes Yes
set WAN Yes Yes Yes Yes Yes Yes Yes
set WLAN No No No No No No No
cd /
set /Setup/WLAN/Country Germany
set /Setup/WLAN/Inter-Station-Traffic globally-off
cd /Setup/WLAN/Radar-Pattern-Thresholds
tab Pattern-pps Threshold
set 700 8
set 1800 6
set 330 15
cd /
set /Setup/Time/Fetch-Method NTP
set /Setup/VPN/Operating yes
cd /Setup/VPN/VPN-Peers
del *
tab Peer SH-Time Extranet-Address Remote-Gw
Rtg-tag Layer dynamic I
KE-Exchange Rule-creation DPD-Inact-Timeout IKE-CFG
add "FIRMA" 9999 0.0.0.0 "copytec1.dyndns.org"
0 "FIRMA" No M
ain-Mode auto 60 Off
cd /
cd /Setup/VPN/Layer
del *
tab Name PFS-Grp IKE-Grp IKE-Prop-List IPSEC-Prop-List
IKE-Key
add "FIRMA" 5 5 "WIZ-IKE-PRESH-KEY" "IPS-FIRMA"
"FIRMA"
cd /
cd /Setup/VPN/Proposals/IKE
del *
tab Name IKE-Crypt-Alg IKE-Crypt-Keylen IKE-Auth-Alg IK
E-Auth-Mode Lifetime-Sec Lifetime-KB
add "PSK-AES-MD5" AES-CBC 128 MD5 Pr
eshared-Key 8000 0
add "PSK-AES-SHA" AES-CBC 128 SHA1 Pr
eshared-Key 8000 0
add "PSK-BLOW-MD5" BLOWFISH-CBC 128 MD5 Pr
eshared-Key 8000 0
add "PSK-BLOW-SHA" BLOWFISH-CBC 128 SHA1 Pr
eshared-Key 8000 0
add "PSK-CAST-MD5" CAST128-CBC 128 MD5 Pr
eshared-Key 8000 0
add "PSK-CAST-SHA" CAST128-CBC 128 SHA1 Pr
eshared-Key 8000 0
add "PSK-3DES-MD5" 3DES-CBC 168 MD5 Pr
eshared-Key 8000 0
add "PSK-3DES-SHA" 3DES-CBC 168 SHA1 Pr
eshared-Key 8000 0
add "PSK-DES-MD5" DES-CBC 56 MD5 Pr
eshared-Key 8000 0
add "PSK-DES-SHA" DES-CBC 56 SHA1 Pr
eshared-Key 8000 0
add "RSA-AES-MD5" AES-CBC 128 MD5 RS
A-Signature 8000 0
add "RSA-AES-SHA" AES-CBC 128 SHA1 RS
A-Signature 8000 0
add "RSA-BLOW-MD5" BLOWFISH-CBC 128 MD5 RS
A-Signature 8000 0
add "RSA-BLOW-SHA" BLOWFISH-CBC 128 SHA1 RS
A-Signature 8000 0
add "RSA-CAST-MD5" CAST128-CBC 128 MD5 RS
A-Signature 8000 0
add "RSA-CAST-SHA" CAST128-CBC 128 SHA1 RS
A-Signature 8000 0
add "RSA-3DES-MD5" 3DES-CBC 168 MD5 RS
A-Signature 8000 0
add "RSA-3DES-SHA" 3DES-CBC 168 SHA1 RS
A-Signature 8000 0
add "RSA-DES-MD5" DES-CBC 56 MD5 RS
A-Signature 8000 0
add "RSA-DES-SHA" DES-CBC 56 SHA1 RS
A-Signature 8000 0
add "WIZ-PSK-AES-MD5" AES-CBC 128 MD5 Pr
eshared-Key 108000 0
add "WIZ-PSK-AES-SHA" AES-CBC 128 SHA1 Pr
eshared-Key 108000 0
add "WIZ-PSK-BLOW-MD5" BLOWFISH-CBC 128 MD5 P
reshared-Key 108000 0
add "WIZ-PSK-BLOW-SHA" BLOWFISH-CBC 128 SHA1 P
reshared-Key 108000 0
add "WIZ-PSK-3DES-MD5" 3DES-CBC 168 MD5 P
reshared-Key 108000 0
add "WIZ-PSK-3DES-SHA" 3DES-CBC 168 SHA1 P
reshared-Key 108000 0
add "WIZ-PSK-CAST-MD5" CAST128-CBC 128 MD5 P
reshared-Key 108000 0
add "WIZ-PSK-CAST-SHA" CAST128-CBC 128 SHA1 P
reshared-Key 108000 0
cd /
cd /Setup/VPN/Proposals/IPSEC
del *
tab Name Encaps-Mode ESP-Crypt-Alg ESP-Crypt-Keylen ES
P-Auth-Alg AH-Auth-Alg IPCOMP-Alg Lifetime-Sec Lifetime-K
B
add "TN-AES-MD5-96" Tunnel AES-CBC 128 HM
AC-MD5 none none 2000 200000
add "TN-AES-SHA-96" Tunnel AES-CBC 128 HM
AC-SHA1 none none 2000 200000
add "TN-BLOW-MD5-96" Tunnel BLOWFISH-CBC 128 HM
AC-MD5 none none 2000 200000
add "TN-BLOW-SHA-96" Tunnel BLOWFISH-CBC 128 HM
AC-SHA1 none none 2000 200000
add "TN-CAST-MD5-96" Tunnel CAST128-CBC 128 HM
AC-MD5 none none 2000 200000
add "TN-CAST-SHA-96" Tunnel CAST128-CBC 128 HM
AC-SHA1 none none 2000 200000
add "TN-3DES-MD5-96" Tunnel 3DES-CBC 168 HM
AC-MD5 none none 2000 200000
add "TN-3DES-SHA-96" Tunnel 3DES-CBC 168 HM
AC-SHA1 none none 2000 200000
add "TN-DES-MD5-96" Tunnel DES-CBC 56 HM
AC-MD5 none none 2000 200000
add "TN-DES-SHA-96" Tunnel DES-CBC 56 HM
AC-SHA1 none none 2000 200000
add "WIZ-TN-AES-MD5-96" Tunnel AES-CBC 128
HMAC-MD5 none none 2000 200000
add "WIZ-TN-BLW-SHA-96" Tunnel BLOWFISH-CBC 128
HMAC-SHA1 none none 2000 200000
add "WIZ-TN-3DS-MD5-96" Tunnel 3DES-CBC 168
HMAC-MD5 none none 2000 200000
add "WIZ-TN-3DS-SHA-96" Tunnel 3DES-CBC 168
HMAC-SHA1 none none 2000 200000
add "WIZ-TN-BLWSHA-SHA" Tunnel BLOWFISH-CBC 128
HMAC-SHA1 HMAC-SHA1 none 2000 200000
cd /
cd /Setup/VPN/Proposals/IKE-Proposal-Lists
del *
tab IKE-Proposal-List IKE-Proposal-1 IKE-Proposal-2 IKE-Proposal-3
IKE-Proposal-4 IKE-Proposal-5 IKE-Proposal-6 IKE-Proposal-7 IKE
-Proposal-8
add "IKE_PRESH_KEY" "PSK-AES-MD5" "PSK-AES-SHA" "PSK-BLOW-MD5"
"PSK-BLOW-SHA" "PSK-CAST-MD5" "PSK-CAST-SHA" "PSK-3DES-MD5" "PS
K-3DES-SHA"
add "IKE_RSA_SIG" "RSA-AES-MD5" "RSA-AES-SHA" "RSA-BLOW-MD5"
"RSA-BLOW-SHA" "RSA-CAST-MD5" "RSA-CAST-SHA" "RSA-3DES-MD5" "RS
A-3DES-SHA"
add "WIZ-IKE-PRESH-KEY" "WIZ-PSK-AES-MD5" "WIZ-PSK-AES-SHA" "WIZ-PSK-BLOW-MD
5" "WIZ-PSK-BLOW-SHA" "WIZ-PSK-3DES-MD5" "WIZ-PSK-3DES-SHA" "WIZ-PSK-CAST-MD
5" "WIZ-PSK-CAST-SHA"
cd /
cd /Setup/VPN/Proposals/IPSEC-Proposal-Lists
del *
tab IPSEC-Proposal-List IPSEC-Proposal-1 IPSEC-Proposal-2 IPSEC-Proposal-3
IPSEC-Proposal-4 IPSEC-Proposal-5 IPSEC-Proposal-6 IPSEC-Proposal-7 I
PSEC-Proposal-8
add "ESP_TN" "TN-AES-MD5-96" "TN-AES-SHA-96" "TN-BLOW-MD5-96"
"TN-BLOW-SHA-96" "TN-CAST-MD5-96" "TN-CAST-SHA-96" "TN-3DES-MD5-96" "
TN-3DES-SHA-96"
add "IPS-FIRMA" "WIZ-TN-AES-MD5-96" "WIZ-TN-BLW-SHA-96" "WIZ-TN-BLWS
HA-SHA" "WIZ-TN-3DS-MD5-96" "WIZ-TN-3DS-SHA-96" "" ""
""
cd /
cd /Setup/VPN/Certificates-and-Keys/IKE-Keys
del *
tab Name Local-ID-Type Local-Identity


Remote-ID-Type R
emote-Identity


Shared-Sec
Shared-Sec-File
add "FIRMA" No-Identity ""


No-Identity "
"


"++++++++++++++++"
""
cd /
cd /Setup/Interfaces/WLAN/Operational
tab Ifc Operating Operation-Mode Link-LED-Function
set WLAN-1 No Access-Point Normal
cd /
cd /Setup/Interfaces/WLAN/Network
tab Ifc Operating Network-Name MAC-Filter RAD
IUS-Accounting Closed-Network Max-Stations Cl.-Brg.-Support
set WLAN-1 Yes "URSUS" Yes No
No 0 No
set WLAN-1-2 No "LANCOM" Yes No
No 0 No
set WLAN-1-3 No "LANCOM" Yes No
No 0 No
set WLAN-1-4 No "LANCOM" Yes No
No 0 No
set WLAN-1-5 No "LANCOM" Yes No
No 0 No
set WLAN-1-6 No "LANCOM" Yes No
No 0 No
set WLAN-1-7 No "LANCOM" Yes No
No 0 No
set WLAN-1-8 No "LANCOM" Yes No
No 0 No
cd /
cd /Setup/Interfaces/WLAN/Transmission
tab Ifc Packet-Size Min-Tx-Rate Max-Tx-Rate Basic-Rate Hard-
Retries Soft-Retries 11b-Preamble RTS-Threshold Min-Frag-Len
set WLAN-1 1600 Auto Auto 2M 10
0 Auto 2347 0
set WLAN-1-2 1600 Auto Auto 2M 10
0 Auto 2347 16
set WLAN-1-3 1600 Auto Auto 2M 10
0 Auto 2347 16
set WLAN-1-4 1600 Auto Auto 2M 10
0 Auto 2347 16
set WLAN-1-5 1600 Auto Auto 2M 10
0 Auto 2347 16
set WLAN-1-6 1600 Auto Auto 2M 10
0 Auto 2347 16
set WLAN-1-7 1600 Auto Auto 2M 10
0 Auto 2347 16
set WLAN-1-8 1600 Auto Auto 2M 10
0 Auto 2347 16
cd /
cd /Setup/Interfaces/WLAN/Performance
tab Ifc QoS Tx-Bursting Compression
set WLAN-1 No 4 No
cd /
cd /Setup/Interfaces/WLAN/Encryption
tab Ifc Encryption Default-Key Method Key
WPA-Version WPA-S
ession-Keytypes WPA-Rekeying-Cycle Client-EAP-Method Authentication
set WLAN-1 Yes 1 WEP-104-Bits "L00A0
57129927" WPA1 TKIP/
AES 0 0 Open-System
set WLAN-1-2 Yes 1 WEP-104-Bits "L00A0
57129927" WPA1 TKIP/
AES 0 TLS Open-System
set WLAN-1-3 Yes 1 WEP-104-Bits "L00A0
57129927" WPA1 TKIP/
AES 0 TLS Open-System
set WLAN-1-4 Yes 1 WEP-104-Bits "L00A0
57129927" WPA1 TKIP/
AES 0 TLS Open-System
set WLAN-1-5 Yes 1 WEP-104-Bits "L00A0
57129927" WPA1 TKIP/
AES 0 TLS Open-System
set WLAN-1-6 Yes 1 WEP-104-Bits "L00A0
57129927" WPA1 TKIP/
AES 0 TLS Open-System
set WLAN-1-7 Yes 1 WEP-104-Bits "L00A0
57129927" WPA1 TKIP/
AES 0 TLS Open-System
set WLAN-1-8 Yes 1 WEP-104-Bits "L00A0
57129927" WPA1 TKIP/
AES 0 TLS Open-System
cd /
cd /Setup/Interfaces/WLAN/Group-Encryption-Keys
tab Ifc Keytype-2 Key-2
Keytype-3 Key-3
Keytype-4 Key-4

set WLAN-1 WEP-104-Bits "0x0000000000"
WEP-104-Bits "0x0000000000"
WEP-104-Bits "0x0000000000"
cd /
set /Setup/NTP/RQ-Interval 3600
cd /Setup/NTP/RQ-Address
del *
tab RQ-Address Loopback-Addr.
add "PTBTIME1.PTB.DE" ""
cd /
cd /Setup/VLAN/Networks
del *
tab Name VLAN-ID Ports



add "Default_VLAN" 1 "LAN-1,WLAN-1,P2P-1-1~P2P-1-6,WLAN-1-2~WLAN-1
-8,LAN-2~LAN-4"


cd /
flash Yes

# done
exit


root@:/Setup
>

________________________________________________________________________

Danke im voraus


Michael

[backslash]

Hi zipuro

1. das hier ist keine gute Idee:

cd /Setup/WAN/MTU-List
del *
tab Peer MTU
add "INTERNET" 1492
add "FIRMA" 1492

Die Zuweisung einer MTU fü die VPN-Strecke führt dazu, da das LANCOM die automatisch bestimmte MTU (sie wäre hier 1392) ignoriert, wodurch *alle* Pakete, die über das VPN gehen, fragmentiert werden... Lösche daher den MTU-Eintrag für die FIRMA.

Den Eintrag für das INTERNET kannst du i.A. auch löschen, weil das LANCOM das automatisch bestimmt - es sei denn den Provider würd ein der PPP-Verhandlung eine falsche MRU mitteilen...



2. Deine Firewall ist doch recht übersichtlich:

tab Name Prot. Source
Destination Action
Linked Prio Firewall- VPN-Rule Stateful Rtg-tag Comment

add "ALLOW-VPN-ROUTING" "ANY" "ANYHOST"
"ANYHOST" "%Lcds0 @v %A"
No 1 Yes No Yes 0 ""
add "WINS" "TCP,UDP" "%S137-139 ANYHOST"
"ANYHOST" "%Lcds0 %R %N"
No 0 Yes

In diesem Fall kannst du dir die ALLOW-VPN-ROUTING Regel auch sparen, weil sowieso alles durchgeht...

Obwohl: es sieht aus, als ob das Telnet sich sier selbst überholt hätte - da seinen einige Zeilen zu fehlen, denn es geht direkt weiter mit irgendwelchen WLAN-Einstellungen (set "P2P-1-6" Yes)

Lies die Config mal mit LANconfig aus (und zwar als Skript - löche dabei alle Häkchen im Datei-Dialog) und ergänze hier die fehlenden Teile

Hier fehlen Teile der Firewall-Konfig, es fehlen zumindest noch die Konfigs für DHCP-Server, DNS-Server und NetBIOS-Proxy...




3. Das Portforwarding wird so nicht funktionieren:

cd /Setup/IP-Router/1-N-NAT/Service-Table
del *
tab D-port-from D-port-to Protocol Peer WAN-Address Int
ranet-Addres Map-Port Active Comment

add 5500 5500 TCP+UDP "DEFAULT" 0.0.0.0 192
.168.102.10 5500 Yes "VNC1"
add 5800 5800 TCP+UDP "DEFAULT" 0.0.0.0 192
.168.102.10 5800 Yes "VNC1"
add 5900 5900 TCP+UDP "DEFAULT" 0.0.0.0 192
.168.102.10 5900 Yes "VNC1"

Die Gegenstelle, die du dort angeben mußt, heißt bei dir INTERNET und nicht DEFAULT.

Ich weiß... Es ist unschön, daß LANconfig hier auch die Gegenstelle DEFAULT anbietet, aber LANconfig kennt nunmal die Semantik nicht, es sieht nur die Liste der ISDN-Gegenstellen - und dort steht die Gegenstelle DEFAULT drin, weil sie benutzt wird um einkommenden Rufen den zu verwendenden WAN-Layer zuzuordnen




Die Frage ist ja: funktionert alles, wenn du die Firewall abschaltest?

Wenn es auch dann nicht funktioniert, dann mußt du auf deine PCs bzw. die in der Firma schauen: Kennen die überhaupt die Route zu dir, d.h. wissen die, daß das 192.168.102.0/255.255.255.0 Netz durch den VPN-Tunnel erreichbar ist?

Gruß
Backslash

[zipuro]

also ich meine, da ich fast alles falsch, oder nicht im sinne von lancom eingerichtet habe, dass eine gesamtlöschung und neue konfig das beste wäre.

ich weiss nun was beachten muss, z.b. den zugang als DEFAULT einrichten , kein mtu wert eingeben, wie ich die firewall einrichte, portworward müsste dann auch funzen.. u.s.w.

kannst du mir das bestätigen??

[zipuro]

cd /Setup/WAN/Dialup-Peers
del *
tab Peer Dialup-remote B1-DT B2-DT WAN-layer Callback
add "DEFAULT" "" 20 20 "" No
add "FIRMA" "" 90 90 "FIRMA" No
cd /
cd /Setup/WAN/Layer
del *
tab WAN-layer Encaps. Lay-3 Lay-2 L2-Opt. Lay-1
add "DEFAULT" TRANS PPP TRANS bnd+cmpr HDLC64K
add "T-ISDN" TRANS PPP TRANS none HDLC64K
add "MLPPP" TRANS PPP TRANS bnd+cmpr HDLC64K
add "PPPHDLC" TRANS PPP TRANS none HDLC64K
add "RAWHDLC" TRANS TRANS TRANS none HDLC64K
add "T-ADSL" LLC-MUX PPP PPPoE none AAL-5
add "PPPOEOA" LLC-MUX PPP PPPoE none AAL-5
add "PPPOA" LLC-MUX PPP TRANS none AAL-5
add "IPOEOA" LLC-ETH TRANS TRANS none AAL-5
add "IPOA" LLC-MUX TRANS TRANS none AAL-5
add "DHCPOEOA" LLC-ETH DHCP TRANS none AAL-5
add "DHCPOA" LLC-MUX DHCP TRANS none AAL-5
add "T-DSL" TRANS PPP PPPoE none ETH
add "PPPOE" TRANS PPP PPPoE none ETH
add "IPOE" ETHER TRANS TRANS none ETH
add "DHCPOE" ETHER DHCP TRANS none ETH
add "V.24_DEF" TRANS APPP TRANS none SERIAL
add "INTERNET" LLC-MUX PPP PPPoE none AAL-5
cd /
cd /Setup/WAN/PPP
del *
tab Peer Authent. Key Time Try Conf Fail Term Username Rights
add "DEFAULT" PAP "" 0 5 10 5 2 "" none
add "INTERNET" none "++++++++++" 5 5 10 5 2 "++++++++@++++++++online.de" IP
add "FIRMA" CHAP "+++++++++++" 3 5 10 5 2 "Privat" IP
cd /
cd /Setup/WAN/DSL-Broadband-Peers
del *
tab Peer SH-Time AC-name Servicename WAN-layer ATM-VPI ATM-VCI MAC-Type user-def.-MAC DSL-ifc(s) VLAN-ID
add "INTERNET" 9999 "" "" "INTERNET" 1 32 local 000000000000 "" 0
cd /
cd /Setup/WAN/Action-Table
del *
tab Index Active Host-Name Peer Lock-Time Condition Action Check-For Owner
add 1 Yes "++++++.DYNDNS.ORG" "INTERNET" 2160000 Establish "http://+++++++++++++++++++@members.dynd ... &backmx=NO" "contains=good %a?skipiftrue=2" "root"
add 2 Yes "++++++.DYNDNS.ORG" "INTERNET" 0 Establish "dnscheck:++++++.dyndns.org" "isequal=%a?skipiftrue=1" "root"
add 3 Yes "++++++.DYNDNS.ORG" "INTERNET" 900 Establish "http://+++++++++++++++@members.dyndns.o ... &backmx=NO" "contains=good %a" "root"
add 4 Yes "++++++.DYNDNS.ORG" "INTERNET" 0 Establish "repeat:300" "" "root"
cd /
cd /Setup/WAN/Router-Interface
tab Ifc MSN/EAZ YC. CLIP Accept-calls
set S0-1 "" Yes Yes none
set EXT "" Yes Yes all
cd /
set /Setup/Charges/Budget-Units 0
set /Setup/Charges/Dialup-Minutes-Budget 0
set /Setup/Charges/DSL-Broadband-Minutes-Budget 0
cd /Setup/LAN/IEEE802.1x/Supplicant-Ifc-Setup
tab Ifc Method Credentials
set LAN-1 none ""
set LAN-2 none ""
set LAN-3 none ""
set LAN-4 none ""
cd /
cd /Setup/TCP-IP/Network-list
del *
tab Network-name IP-Address IP-Netmask VLAN-ID Interface Src-check Type Rtg-tag Comment
add "INTRANET" 192.168.102.254 255.255.255.0 0 any loose Intranet 0 "local intranet"
add "DMZ" 0.0.0.0 255.255.255.0 0 any loose DMZ 0 "demilitarized zone"
cd /
cd /Setup/IP-Router/IP-Routing-Table
del *
tab IP-Address IP-Netmask Rtg-tag Peer-or-IP Distance Masquerade Active Comment
add 192.168.101.0 255.255.255.0 0 "FIRMA" 0 No Yes ""
add 192.168.0.0 255.255.0.0 0 "0.0.0.0" 0 No Yes "block private networks: 192.168.x.y"
add 172.16.0.0 255.240.0.0 0 "0.0.0.0" 0 No Yes "block private networks: 172.16-31.x.y"
add 10.0.0.0 255.0.0.0 0 "0.0.0.0" 0 No Yes "block private network: 10.x.y.z"
add 224.0.0.0 224.0.0.0 0 "0.0.0.0" 0 No Yes "block multicasts: 224-255.x.y.z"
add 255.255.255.255 0.0.0.0 0 "INTERNET" 0 on Yes ""
cd /
set /Setup/IP-Router/Firewall/Operating No
cd /Setup/IP-Router/Firewall/Actions
del *
tab Name Description
add "ACCEPT" "%A"
add "DROP" "%D"
add "REJECT" "%R"
add "NO-CONNECT" "@C%R"
add "NO-INTERNET" "@I%R"
cd /
cd /Setup/IP-Router/Firewall/Objects
del *
tab Name Description
add "ANY" ""
add "ANYHOST" "%A0.0.0.0 %M0.0.0.0"
add "LOCALNET" "%L"
add "ICMP" "%P1"
add "TCP" "%P6"
add "FTP" "%P6 %S21"
add "MAIL" "%P6 %S25,110,143"
add "HTTP" "%P6 %S80,443"
add "NEWS" "%P6 %S119"
add "UDP" "%P17"
add "TFTP" "%P17 %S69"
add "IPSEC" "%P17 %S500"
add "ESP" "%P50"
add "AH" "%P51"
add "IPCOMP" "%P108"
add "DNS" "%S53"
add "NETBIOS" "%S137-139"
add "PPTP" "%P6 %S1723"
cd /
cd /Setup/IP-Router/Firewall/Rules
del *
tab Name Prot. Source Destination Action Linked Prio Firewall- VPN-Rule Stateful Rtg-tag Comment
add "TORO" "TCP,UDP" "%S18016 ANYHOST" "%S18016 %A192.168.102.10" "%Lcds0 %A" No 0 Yes No Yes 0 ""
add "WINS" "TCP,UDP" "%S137-139 ANYHOST" "ANYHOST" "%Lcds0 %R %N" No 0 Yes No Yes 0 "block NetBIOS/WINS name resolution via DNS"
add "ALLOW-DNS" "UDP" "LOCALNET" "%S53 ANYHOST" "%Lcds0 %A" No 0 Yes No Yes 0 ""
add "ALLOW-HTTP/S" "TCP" "LOCALNET" "%S80,443,8008,8080 ANYHOST" "%Lcds0 %A" No 0 Yes No Yes 0 ""
add "ALLOW-FTP" "TCP" "LOCALNET" "%S20-21 ANYHOST" "%Lcds0 %A" No 0 Yes No Yes 0 ""
add "DENY-ALL" "ANY" "ANYHOST" "ANYHOST" "%Lcds0 %R %N" No 0 Yes No Yes 0 ""
cd /
set /Setup/IP-Router/Firewall/DoS-Action "%D %N"
set /Setup/IP-Router/Firewall/IDS-Action "%D %N"
set /Setup/IP-Router/Firewall/Auth-Port stealth
set /Setup/IP-Router/Firewall/Applications/Appl.-Action "%r%n"
cd /Setup/DHCP/Network-list
del *
tab Network-name Start-Address-Pool End-Address-Pool Netmask Broadcast-Address Gateway-Address DNS-Default DNS-Backup NBNS-Default NBNS-Backup Operating Broadcast-Bit Master-Server Cache Adaption
add "INTRANET" 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 No No 0.0.0.0 No No
add "DMZ" 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 No No 0.0.0.0 No No
cd /
cd /Setup/DHCP/Ports
tab Port Enable-DHCP
set "LAN-1" No
set "WLAN-1" Yes
set "P2P-1-1" Yes
set "P2P-1-2" Yes
set "P2P-1-3" Yes
set "P2P-1-4" Yes
set "P2P-1-5" Yes
set "P2P-1-6" Yes
set "WLAN-1-2" Yes
set "WLAN-1-3" Yes
set "WLAN-1-4" Yes
set "WLAN-1-5" Yes
set "WLAN-1-6" Yes
set "WLAN-1-7" Yes
set "WLAN-1-8" Yes
set "LAN-2" Yes
set "LAN-3" Yes
set "LAN-4" Yes
cd /
cd /Setup/Config/Access-Table
tab Ifc. Telnet TFTP HTTP SNMP HTTPS Telnet-SSL SSH
set LAN Yes Yes Yes Yes Yes Yes Yes
set WAN Yes Yes Yes Yes Yes Yes Yes
set WLAN No No No No No No No
cd /
set /Setup/WLAN/Country Germany
set /Setup/WLAN/Inter-Station-Traffic globally-off
cd /Setup/WLAN/Radar-Pattern-Thresholds
tab Pattern-pps Threshold
set 700 8
set 1800 6
set 330 15
cd /
set /Setup/Time/Fetch-Method NTP
set /Setup/VPN/Operating yes
cd /Setup/VPN/VPN-Peers
del *
tab Peer SH-Time Extranet-Address Remote-Gw Rtg-tag Layer dynamic IKE-Exchange Rule-creation DPD-Inact-Timeout IKE-CFG
add "FIRMA" 9999 0.0.0.0 "+++++++++.dyndns.org" 0 "FIRMA" No Main-Mode auto 60 Off
cd /
cd /Setup/VPN/Layer
del *
tab Name PFS-Grp IKE-Grp IKE-Prop-List IPSEC-Prop-List IKE-Key
add "FIRMA" 5 5 "WIZ-IKE-PRESH-KEY" "IPS-FIRMA" "FIRMA"
cd /
cd /Setup/VPN/Proposals/IKE
del *
tab Name IKE-Crypt-Alg IKE-Crypt-Keylen IKE-Auth-Alg IKE-Auth-Mode Lifetime-Sec Lifetime-KB
add "PSK-AES-MD5" AES-CBC 128 MD5 Preshared-Key 8000 0
add "PSK-AES-SHA" AES-CBC 128 SHA1 Preshared-Key 8000 0
add "PSK-BLOW-MD5" BLOWFISH-CBC 128 MD5 Preshared-Key 8000 0
add "PSK-BLOW-SHA" BLOWFISH-CBC 128 SHA1 Preshared-Key 8000 0
add "PSK-CAST-MD5" CAST128-CBC 128 MD5 Preshared-Key 8000 0
add "PSK-CAST-SHA" CAST128-CBC 128 SHA1 Preshared-Key 8000 0
add "PSK-3DES-MD5" 3DES-CBC 168 MD5 Preshared-Key 8000 0
add "PSK-3DES-SHA" 3DES-CBC 168 SHA1 Preshared-Key 8000 0
add "PSK-DES-MD5" DES-CBC 56 MD5 Preshared-Key 8000 0
add "PSK-DES-SHA" DES-CBC 56 SHA1 Preshared-Key 8000 0
add "RSA-AES-MD5" AES-CBC 128 MD5 RSA-Signature 8000 0
add "RSA-AES-SHA" AES-CBC 128 SHA1 RSA-Signature 8000 0
add "RSA-BLOW-MD5" BLOWFISH-CBC 128 MD5 RSA-Signature 8000 0
add "RSA-BLOW-SHA" BLOWFISH-CBC 128 SHA1 RSA-Signature 8000 0
add "RSA-CAST-MD5" CAST128-CBC 128 MD5 RSA-Signature 8000 0
add "RSA-CAST-SHA" CAST128-CBC 128 SHA1 RSA-Signature 8000 0
add "RSA-3DES-MD5" 3DES-CBC 168 MD5 RSA-Signature 8000 0
add "RSA-3DES-SHA" 3DES-CBC 168 SHA1 RSA-Signature 8000 0
add "RSA-DES-MD5" DES-CBC 56 MD5 RSA-Signature 8000 0
add "RSA-DES-SHA" DES-CBC 56 SHA1 RSA-Signature 8000 0
add "WIZ-PSK-AES-MD5" AES-CBC 128 MD5 Preshared-Key 108000 0
add "WIZ-PSK-AES-SHA" AES-CBC 128 SHA1 Preshared-Key 108000 0
add "WIZ-PSK-BLOW-MD5" BLOWFISH-CBC 128 MD5 Preshared-Key 108000 0
add "WIZ-PSK-BLOW-SHA" BLOWFISH-CBC 128 SHA1 Preshared-Key 108000 0
add "WIZ-PSK-3DES-MD5" 3DES-CBC 168 MD5 Preshared-Key 108000 0
add "WIZ-PSK-3DES-SHA" 3DES-CBC 168 SHA1 Preshared-Key 108000 0
add "WIZ-PSK-CAST-MD5" CAST128-CBC 128 MD5 Preshared-Key 108000 0
add "WIZ-PSK-CAST-SHA" CAST128-CBC 128 SHA1 Preshared-Key 108000 0
cd /
cd /Setup/VPN/Proposals/IPSEC
del *
tab Name Encaps-Mode ESP-Crypt-Alg ESP-Crypt-Keylen ESP-Auth-Alg AH-Auth-Alg IPCOMP-Alg Lifetime-Sec Lifetime-KB
add "TN-AES-MD5-96" Tunnel AES-CBC 128 HMAC-MD5 none none 2000 200000
add "TN-AES-SHA-96" Tunnel AES-CBC 128 HMAC-SHA1 none none 2000 200000
add "TN-BLOW-MD5-96" Tunnel BLOWFISH-CBC 128 HMAC-MD5 none none 2000 200000
add "TN-BLOW-SHA-96" Tunnel BLOWFISH-CBC 128 HMAC-SHA1 none none 2000 200000
add "TN-CAST-MD5-96" Tunnel CAST128-CBC 128 HMAC-MD5 none none 2000 200000
add "TN-CAST-SHA-96" Tunnel CAST128-CBC 128 HMAC-SHA1 none none 2000 200000
add "TN-3DES-MD5-96" Tunnel 3DES-CBC 168 HMAC-MD5 none none 2000 200000
add "TN-3DES-SHA-96" Tunnel 3DES-CBC 168 HMAC-SHA1 none none 2000 200000
add "TN-DES-MD5-96" Tunnel DES-CBC 56 HMAC-MD5 none none 2000 200000
add "TN-DES-SHA-96" Tunnel DES-CBC 56 HMAC-SHA1 none none 2000 200000
add "WIZ-TN-AES-MD5-96" Tunnel AES-CBC 128 HMAC-MD5 none none 2000 200000
add "WIZ-TN-BLW-SHA-96" Tunnel BLOWFISH-CBC 128 HMAC-SHA1 none none 2000 200000
add "WIZ-TN-3DS-MD5-96" Tunnel 3DES-CBC 168 HMAC-MD5 none none 2000 200000
add "WIZ-TN-3DS-SHA-96" Tunnel 3DES-CBC 168 HMAC-SHA1 none none 2000 200000
add "WIZ-TN-BLWSHA-SHA" Tunnel BLOWFISH-CBC 128 HMAC-SHA1 HMAC-SHA1 none 2000 200000
cd /
cd /Setup/VPN/Proposals/IKE-Proposal-Lists
del *
tab IKE-Proposal-List IKE-Proposal-1 IKE-Proposal-2 IKE-Proposal-3 IKE-Proposal-4 IKE-Proposal-5 IKE-Proposal-6 IKE-Proposal-7 IKE-Proposal-8
add "IKE_PRESH_KEY" "PSK-AES-MD5" "PSK-AES-SHA" "PSK-BLOW-MD5" "PSK-BLOW-SHA" "PSK-CAST-MD5" "PSK-CAST-SHA" "PSK-3DES-MD5" "PSK-3DES-SHA"
add "IKE_RSA_SIG" "RSA-AES-MD5" "RSA-AES-SHA" "RSA-BLOW-MD5" "RSA-BLOW-SHA" "RSA-CAST-MD5" "RSA-CAST-SHA" "RSA-3DES-MD5" "RSA-3DES-SHA"
add "WIZ-IKE-PRESH-KEY" "WIZ-PSK-AES-MD5" "WIZ-PSK-AES-SHA" "WIZ-PSK-BLOW-MD5" "WIZ-PSK-BLOW-SHA" "WIZ-PSK-3DES-MD5" "WIZ-PSK-3DES-SHA" "WIZ-PSK-CAST-MD5" "WIZ-PSK-CAST-SHA"
cd /
cd /Setup/VPN/Proposals/IPSEC-Proposal-Lists
del *
tab IPSEC-Proposal-List IPSEC-Proposal-1 IPSEC-Proposal-2 IPSEC-Proposal-3 IPSEC-Proposal-4 IPSEC-Proposal-5 IPSEC-Proposal-6 IPSEC-Proposal-7 IPSEC-Proposal-8
add "ESP_TN" "TN-AES-MD5-96" "TN-AES-SHA-96" "TN-BLOW-MD5-96" "TN-BLOW-SHA-96" "TN-CAST-MD5-96" "TN-CAST-SHA-96" "TN-3DES-MD5-96" "TN-3DES-SHA-96"
add "IPS-FIRMA" "WIZ-TN-AES-MD5-96" "WIZ-TN-BLW-SHA-96" "WIZ-TN-BLWSHA-SHA" "WIZ-TN-3DS-MD5-96" "WIZ-TN-3DS-SHA-96" "" "" ""
cd /
cd /Setup/VPN/Certificates-and-Keys/IKE-Keys
del *
tab Name Local-ID-Type Local-Identity Remote-ID-Type Remote-Identity Shared-Sec Shared-Sec-File
add "FIRMA" No-Identity "" No-Identity "" "+++++++++" ""
cd /
cd /Setup/Interfaces/WLAN/Operational
tab Ifc Operating Operation-Mode Link-LED-Function
set WLAN-1 No Access-Point Normal
cd /
cd /Setup/Interfaces/WLAN/Network
tab Ifc Operating Network-Name MAC-Filter RADIUS-Accounting Closed-Network Max-Stations Cl.-Brg.-Support
set WLAN-1 Yes "URSUS" Yes No No 0 No
set WLAN-1-2 No "LANCOM" Yes No No 0 No
set WLAN-1-3 No "LANCOM" Yes No No 0 No
set WLAN-1-4 No "LANCOM" Yes No No 0 No
set WLAN-1-5 No "LANCOM" Yes No No 0 No
set WLAN-1-6 No "LANCOM" Yes No No 0 No
set WLAN-1-7 No "LANCOM" Yes No No 0 No
set WLAN-1-8 No "LANCOM" Yes No No 0 No
cd /
cd /Setup/Interfaces/WLAN/Transmission
tab Ifc Packet-Size Min-Tx-Rate Max-Tx-Rate Basic-Rate Hard-Retries Soft-Retries 11b-Preamble RTS-Threshold Min-Frag-Len
set WLAN-1 1600 Auto Auto 2M 10 0 Auto 2347 0
set WLAN-1-2 1600 Auto Auto 2M 10 0 Auto 2347 16
set WLAN-1-3 1600 Auto Auto 2M 10 0 Auto 2347 16
set WLAN-1-4 1600 Auto Auto 2M 10 0 Auto 2347 16
set WLAN-1-5 1600 Auto Auto 2M 10 0 Auto 2347 16
set WLAN-1-6 1600 Auto Auto 2M 10 0 Auto 2347 16
set WLAN-1-7 1600 Auto Auto 2M 10 0 Auto 2347 16
set WLAN-1-8 1600 Auto Auto 2M 10 0 Auto 2347 16
cd /
cd /Setup/Interfaces/WLAN/Performance
tab Ifc QoS Tx-Bursting Compression
set WLAN-1 No 4 No
cd /
cd /Setup/Interfaces/WLAN/Encryption
tab Ifc Encryption Default-Key Method Key WPA-Version WPA-Session-Keytypes WPA-Rekeying-Cycle Client-EAP-Method Authentication
set WLAN-1 Yes 1 WEP-104-Bits "L00A057129927" WPA1 TKIP/AES 0 0 Open-System
set WLAN-1-2 Yes 1 WEP-104-Bits "L00A057129927" WPA1 TKIP/AES 0 TLS Open-System
set WLAN-1-3 Yes 1 WEP-104-Bits "L00A057129927" WPA1 TKIP/AES 0 TLS Open-System
set WLAN-1-4 Yes 1 WEP-104-Bits "L00A057129927" WPA1 TKIP/AES 0 TLS Open-System
set WLAN-1-5 Yes 1 WEP-104-Bits "L00A057129927" WPA1 TKIP/AES 0 TLS Open-System
set WLAN-1-6 Yes 1 WEP-104-Bits "L00A057129927" WPA1 TKIP/AES 0 TLS Open-System
set WLAN-1-7 Yes 1 WEP-104-Bits "L00A057129927" WPA1 TKIP/AES 0 TLS Open-System
set WLAN-1-8 Yes 1 WEP-104-Bits "L00A057129927" WPA1 TKIP/AES 0 TLS Open-System
cd /
cd /Setup/Interfaces/WLAN/Group-Encryption-Keys
tab Ifc Keytype-2 Key-2 Keytype-3 Key-3 Keytype-4 Key-4
set WLAN-1 WEP-104-Bits "0x0000000000" WEP-104-Bits "0x0000000000" WEP-104-Bits "0x0000000000"
cd /
cd /Setup/Interfaces/S0
tab Ifc Protocol LL-B-chan. Dial-prefix Max-in-calls Max-out-calls
set S0-1 No none "" Two Two
cd /
set /Setup/NTP/RQ-Interval 300
cd /Setup/NTP/RQ-Address
del *
tab RQ-Address Loopback-Addr.
add "PTBTIME1.PTB.DE" ""
cd /
cd /Setup/VLAN/Networks
del *
tab Name VLAN-ID Ports
add "Default_VLAN" 1 "LAN-1,WLAN-1,P2P-1-1~P2P-1-6,WLAN-1-2~WLAN-1-8,LAN-2~LAN-4"
cd /
flash Yes

# done
exit

[backslash]

Hi zipuro

daß bei dir nichts funktioniert - außer im Internet surfen und auf FTP-Server zugreifen - ist bei deiner Firewallkonfiguration klar: Mit der Deny-All-Regel blockst du alle andere ab...

Richte als erstes mal eine Regel ein, die auf der VPN-Strecke *alles* erlaubt:

Code: Alles auswählen

Aktion:  übetragen (gg. beschränkt auf "nur für VPN-Route")
Quelle:  alle Stationen im lokalen Netz
Ziel:    Gegenstelle: FIRMA
Dienste: alle Dienste

und schon sollte alles funktionieren - zumindest, wenn du die IP-Adressen der Server auf der anderen Seite kennst...

Wenn du auf die Rechner in der Firma über ihre Namen zugreifen willst, dann mußt du den DNS-Server passend kofigurieren, d.h. du mußt eine Weiterleitung für die (interne) Firmen-Domain auf den firmeninternen DNS-Server einrichten.

Ach ja: an der Aktion der "WINS" Regel solltest du tunlichst auch wieder das Häkchen bei "nur für Default-Route" setzen - sonst blockierst du dir u.U. den Zugriff auf die Freigaben in der Firma

Alaaf
Backslash

[zipuro]

Alaaf,

ich muss leider morgen arbeiten... sniff

ok, hab alles gemacht.

Wie ist es den mit dem Portworwarding, es funzt net!!

kannste nochmal kucken bitte.

Grüße

Michael