Lancom 1721+VPN hinter Speedport 921V - Standortvernetzung

icepm · Beitrag von **icepm** » 12 Aug 2014, 15:25

Hallo zusammen,

ich habe ein Problem.
Bisher habe ich zwei Standorte mit zwei LAncom-Routern miteinander verbunden.
Hatte auch wunderbar funktioniert.

Aber nun hat die Telekom auf IP umgestellt und leider funktionierte nun nicht mehr der LAncom 1721VPN.
Daher habe ich nun davor einen Speedport 921 V gepackt.

Meine Idee ist nun eine Portweiterleitung hier zu machen.
Aber leider weiß ich nicht genau, was ich hier genau weiterleiten muss.

Ansonsten habe ich noch eine Frage.
Die Router (Lancom) miteinander zu verbinden kann ich direkt über Lanconfig machen oder?
Also ich muss "nur" den Standort in die Zentrale schieben oder?

Danke für eure Hilfe.

Gruß

icepm · Beitrag von **icepm** » 12 Aug 2014, 23:07

Hat denn niemand ne Idee oder nen Tipp für mich?

Dr.Einstein · Beitrag von **Dr.Einstein** » 13 Aug 2014, 07:31

Nach ein paar Stunden nach doppelter Hilfe schreien ist ... naja ...

icepm hat geschrieben: Meine Idee ist nun eine Portweiterleitung hier zu machen.
Aber leider weiß ich nicht genau, was ich hier genau weiterleiten muss.

500+4500 UDP + optional das Protokoll ESP (falls möglich)

icepm hat geschrieben: Ansonsten habe ich noch eine Frage.
Die Router (Lancom) miteinander zu verbinden kann ich direkt über Lanconfig machen oder?
Also ich muss "nur" den Standort in die Zentrale schieben oder?

Nein, da in diesem Fall der Lancom hinter dem Speedport UDP Pakete für dyn.VPN mitschickt. Ich kann in deinem Szenario nur davon abraten, einen Lancomspezifischen Dyn.VPN zu erstellen, kann am Anfang evtl. sogar klappen ist aber instabil. Lieber Main-Mode mit Zertifikaten oder Aggressive Mode mit lokalen/entfernten IDs.

Gruß Dr.Einstein

icepm · Beitrag von **icepm** » 13 Aug 2014, 07:38

Danke erst einmal für die Antwort.
Und dann Entschuldigung für den doppelten Hilfeschrei.

Du meinst also, man sollte per Lanconfig den Punkt "zwei entfernte Netzwerke miteinander verbinden auswählen".
Oder was meinst du genau?
Danke schon einmal für die Unterstützung.

Gruß

Dr.Einstein · Beitrag von **Dr.Einstein** » 13 Aug 2014, 08:32

Hallo icepm,

ja den Assistent kannst du probieren. zu 80% wird es auch klappen mit dem Verbindungsaufbau.

Gruß Dr.Einstein

icepm · Beitrag von **icepm** » 13 Aug 2014, 21:02

Also hab nun versucht über den Assistenten die Netzwerke zu verbinden.
Es kommt nichts an.

Also habe folgendes gemacht:
1. VPN über eine Internet-Verbindung
2.IPse over Https aktiviert nicht angewählt
3. Nein bei ISDN Anschluss
4. BEide Seiten haben eine feste IP-Adresse... ausgewählt
5. eigenen Namen vergeben
6. entfernten Namen vergeben
7. (Einmal: Gemeinsames Passwort ausgewählt)(beim anderen Mal es mit Zertifikat) ausprobiert
8. Hab ich bei beiden Routern das gleiche Passwort angegeben.

Aber irgendwie funktioniert es nicht.
Was mach ich also hier dann deiner Meinung nach falsch?

Bernie137 · Beitrag von **Bernie137** » 13 Aug 2014, 21:51

Hallo,

wie Dr. Einstein schon schrieb, im Speedport muss als erstes eine/mehrere Portweiterleitung eingerichtet werden:

500+4500 UDP + optional das Protokoll ESP (falls möglich)

Ehe das nicht gewährleistet ist, brauchst die Lancom Assistenten gar nicht bemühen.

vg Bernie

icepm · Beitrag von **icepm** » 13 Aug 2014, 22:17

Des ist schon klar die habe ich im speedport auf die ip des lancom routers weitergeleitet.
Und danach die Assistenten gemacht wie beschrieben.

Dr.Einstein · Beitrag von **Dr.Einstein** » 14 Aug 2014, 07:24

UDP 87 auch noch wegen dyn.VPN, vergessen ...

Dr.Einstein

Bernie137 · Beitrag von **Bernie137** » 14 Aug 2014, 09:49

Und mal auf beiden Seiten VPN-Status Trace anmachen. Dann sieht man, wie weit was funktioniert.

Vg Bernie

icepm · Beitrag von **icepm** » 16 Aug 2014, 13:49

Hi,

also es funktioniert immer noch nicht.
Habe wie beschrieben die UDP Ports 87, 500 und 4500 freigegeben.

Also Portweiterleitung funktioniert aber, weil Port 80 TCP kann ich freigeben und komm dann per dyndns Name auf den Router.

Der gewünschte Trace anbei.

Ich versteh echt nicht, was hier falsch ist.
Remote desktop aus der Zweigstelle an Zentrale funktioniert natürlich dadurch auch nicht.

Wäre wirklich für weitere Hilfen sehr dankbar.

[Sysinfo] 2014/08/16 13:29:17,455
Result of command: "sysinfo"

DEVICE: LANCOM 1721+ VPN
HW-RELEASE: G
SERIAL-NUMBER: 169811800201
MAC-ADDRESS: 00a057165e7f
IP-ADDRESS: 192.168.2.35
IP-NETMASK: 255.255.255.0
INTRANET-ADDRESS: 0.0.0.0
INTRANETMASK: 0.0.0.0
VERSION: 7.80.0081Rel / 06.01.2010 / 2.93/A27.04.14
NAME: Router
CONFIG-STATUS: 1056;0
FIRMWARE-STATUS: 1;1.1;1.1;6.32.01032007.0;7.80Rel.06012010.1
LANCAPI-PORT: 75
HW-MASK: 00000000000000000000000001110011
FEATUREWORD: 00000000001000000000000100011100
REGISTERED-WORD: 00000000001000000000000100011100
FEATURE-LIST: 02/F
FEATURE-LIST: 03/F
FEATURE-LIST: 04/F
FEATURE-LIST: 08/F
FEATURE-LIST: 15/F
TIME: 00000000000000
HTTP-PORT: 80
HTTPS-PORT: 443
TELNET-PORT: 23
TELNET-SSL-PORT: 992
SSH-PORT: 22
Compatible-IDs: 15:31:31

[VPN-Status] 2014/08/16 13:29:18,425 Devicetime: 1900/01/01 00:31:34,040
starting external DNS resolution for xxx
IpStr=>xxx.dyndns.org<, IpAddr(old)=0.0.0.0, IpTtl(old)=300s

[VPN-Status] 2014/08/16 13:29:18,425 Devicetime: 1900/01/01 00:31:34,040
VPN: connecting to xxx (0.0.0.0)
=> resolving remote gateway

[VPN-Status] 2014/08/16 13:29:18,625 Devicetime: 1900/01/01 00:31:34,050
external DNS resolution for xxx
IpStr=>xxx.dyndns.org<, IpAddr(old)=0.0.0.0, IpTtl(old)=300s
IpStr=>xxx.dyndns.org<, IpAddr(new)=0.0.0.0, IpTtl(new)=300s

[VPN-Status] 2014/08/16 13:29:18,625 Devicetime: 1900/01/01 00:31:34,060
VPN: Error: IFC-I-Name-resolution-failed (0x1109) for xxx (0.0.0.0)

[VPN-Status] 2014/08/16 13:29:18,625 Devicetime: 1900/01/01 00:31:34,070
selecting next remote gateway using strategy eFirst for xxx
=> no remote gateway selected

[VPN-Status] 2014/08/16 13:29:18,625 Devicetime: 1900/01/01 00:31:34,070
selecting first remote gateway using strategy eFirst for xxx
=> CurrIdx=0, IpStr=>xxx.dyndns.org<, IpAddr=0.0.0.0, IpTtl=300s

[VPN-Status] 2014/08/16 13:29:18,625 Devicetime: 1900/01/01 00:31:34,070
VPN: installing ruleset for xxx (0.0.0.0)

[VPN-Status] 2014/08/16 13:29:18,625 Devicetime: 1900/01/01 00:31:34,090
VPN: rulesets installed

[VPN-Status] 2014/08/16 13:29:19,457 Devicetime: 1900/01/01 00:31:35,070
starting external DNS resolution for xxx
IpStr=>xxx.dyndns.org<, IpAddr(old)=0.0.0.0, IpTtl(old)=300s

[VPN-Status] 2014/08/16 13:29:19,457 Devicetime: 1900/01/01 00:31:35,070
VPN: connecting to xxx (0.0.0.0)
=> resolving remote gateway

[VPN-Status] 2014/08/16 13:29:19,667 Devicetime: 1900/01/01 00:31:35,080
external DNS resolution for xxx
IpStr=>xxx.dyndns.org<, IpAddr(old)=0.0.0.0, IpTtl(old)=300s
IpStr=>xxx.dyndns.org<, IpAddr(new)=0.0.0.0, IpTtl(new)=300s

[VPN-Status] 2014/08/16 13:29:19,667 Devicetime: 1900/01/01 00:31:35,090
VPN: Error: IFC-I-Name-resolution-failed (0x1109) for xxx (0.0.0.0)

[VPN-Status] 2014/08/16 13:29:19,667 Devicetime: 1900/01/01 00:31:35,100
selecting next remote gateway using strategy eFirst for xxx
=> no remote gateway selected

[VPN-Status] 2014/08/16 13:29:19,667 Devicetime: 1900/01/01 00:31:35,100
selecting first remote gateway using strategy eFirst for xxx
=> CurrIdx=0, IpStr=>xxx.dyndns.org<, IpAddr=0.0.0.0, IpTtl=300s

[VPN-Status] 2014/08/16 13:29:19,667 Devicetime: 1900/01/01 00:31:35,100
VPN: installing ruleset for xxx (0.0.0.0)

[VPN-Status] 2014/08/16 13:29:19,667 Devicetime: 1900/01/01 00:31:35,120
VPN: rulesets installed

[VPN-Status] 2014/08/16 13:29:20,487 Devicetime: 1900/01/01 00:31:36,100
starting external DNS resolution for xxx
IpStr=>xxx.dyndns.org<, IpAddr(old)=0.0.0.0, IpTtl(old)=300s

[VPN-Status] 2014/08/16 13:29:20,487 Devicetime: 1900/01/01 00:31:36,100
VPN: connecting to xxx (0.0.0.0)
=> resolving remote gateway

[VPN-Status] 2014/08/16 13:29:20,697 Devicetime: 1900/01/01 00:31:36,120
external DNS resolution for xxx
IpStr=>xxx.dyndns.org<, IpAddr(old)=0.0.0.0, IpTtl(old)=300s
IpStr=>xxx.dyndns.org<, IpAddr(new)=0.0.0.0, IpTtl(new)=300s

[VPN-Status] 2014/08/16 13:29:20,697 Devicetime: 1900/01/01 00:31:36,120
VPN: Error: IFC-I-Name-resolution-failed (0x1109) for xxx (0.0.0.0)

[VPN-Status] 2014/08/16 13:29:20,702 Devicetime: 1900/01/01 00:31:36,130
selecting next remote gateway using strategy eFirst for xxx
=> no remote gateway selected

[VPN-Status] 2014/08/16 13:29:20,702 Devicetime: 1900/01/01 00:31:36,130
selecting first remote gateway using strategy eFirst for xxx
=> CurrIdx=0, IpStr=>xxx.dyndns.org<, IpAddr=0.0.0.0, IpTtl=300s

[VPN-Status] 2014/08/16 13:29:20,707 Devicetime: 1900/01/01 00:31:36,130
VPN: installing ruleset for xxx (0.0.0.0)

[VPN-Status] 2014/08/16 13:29:20,707 Devicetime: 1900/01/01 00:31:36,150
VPN: rulesets installed

[VPN-Status] 2014/08/16 13:29:21,519 Devicetime: 1900/01/01 00:31:37,130
starting external DNS resolution for xxx
IpStr=>xxx.dyndns.org<, IpAddr(old)=0.0.0.0, IpTtl(old)=300s

[VPN-Status] 2014/08/16 13:29:21,519 Devicetime: 1900/01/01 00:31:37,130
VPN: connecting to xxx (0.0.0.0)
=> resolving remote gateway

[VPN-Status] 2014/08/16 13:29:21,719 Devicetime: 1900/01/01 00:31:37,140
external DNS resolution for xxx
IpStr=>xxx.dyndns.org<, IpAddr(old)=0.0.0.0, IpTtl(old)=300s
IpStr=>xxx.dyndns.org<, IpAddr(new)=0.0.0.0, IpTtl(new)=300s

[VPN-Status] 2014/08/16 13:29:21,719 Devicetime: 1900/01/01 00:31:37,150
VPN: Error: IFC-I-Name-resolution-failed (0x1109) for xxx (0.0.0.0)

[VPN-Status] 2014/08/16 13:29:21,719 Devicetime: 1900/01/01 00:31:37,160
selecting next remote gateway using strategy eFirst for xxx
=> no remote gateway selected

[VPN-Status] 2014/08/16 13:29:21,719 Devicetime: 1900/01/01 00:31:37,160
selecting first remote gateway using strategy eFirst for xxx
=> CurrIdx=0, IpStr=>xxx.dyndns.org<, IpAddr=0.0.0.0, IpTtl=300s

[VPN-Status] 2014/08/16 13:29:21,719 Devicetime: 1900/01/01 00:31:37,160
VPN: installing ruleset for xxx (0.0.0.0)

[VPN-Status] 2014/08/16 13:29:21,724 Devicetime: 1900/01/01 00:31:37,180
VPN: rulesets installed

[VPN-Status] 2014/08/16 13:29:22,549 Devicetime: 1900/01/01 00:31:38,160
starting external DNS resolution for xxx
IpStr=>xxx.dyndns.org<, IpAddr(old)=0.0.0.0, IpTtl(old)=300s

[VPN-Status] 2014/08/16 13:29:22,549 Devicetime: 1900/01/01 00:31:38,160
VPN: connecting to xxx (0.0.0.0)
=> resolving remote gateway

[VPN-Status] 2014/08/16 13:29:22,749 Devicetime: 1900/01/01 00:31:38,170
external DNS resolution for xxx
IpStr=>xxx.dyndns.org<, IpAddr(old)=0.0.0.0, IpTtl(old)=300s
IpStr=>xxx.dyndns.org<, IpAddr(new)=0.0.0.0, IpTtl(new)=300s

[VPN-Status] 2014/08/16 13:29:22,749 Devicetime: 1900/01/01 00:31:38,180
VPN: Error: IFC-I-Name-resolution-failed (0x1109) for xxx (0.0.0.0)

[VPN-Status] 2014/08/16 13:29:22,749 Devicetime: 1900/01/01 00:31:38,190
selecting next remote gateway using strategy eFirst for xxx
=> no remote gateway selected

[VPN-Status] 2014/08/16 13:29:22,754 Devicetime: 1900/01/01 00:31:38,190
selecting first remote gateway using strategy eFirst for xxx
=> CurrIdx=0, IpStr=>xxx.dyndns.org<, IpAddr=0.0.0.0, IpTtl=300s

[VPN-Status] 2014/08/16 13:29:22,754 Devicetime: 1900/01/01 00:31:38,190
VPN: installing ruleset for xxx (0.0.0.0)

[VPN-Status] 2014/08/16 13:29:22,754 Devicetime: 1900/01/01 00:31:38,210
VPN: rulesets installed

[VPN-Status] 2014/08/16 13:29:23,579 Devicetime: 1900/01/01 00:31:39,190
starting external DNS resolution for xxx
IpStr=>xxx.dyndns.org<, IpAddr(old)=0.0.0.0, IpTtl(old)=300s

[VPN-Status] 2014/08/16 13:29:23,579 Devicetime: 1900/01/01 00:31:39,190
VPN: connecting to xxx (0.0.0.0)
=> resolving remote gateway

[VPN-Status] 2014/08/16 13:29:23,789 Devicetime: 1900/01/01 00:31:39,200
external DNS resolution for xxx
IpStr=>xxx.dyndns.org<, IpAddr(old)=0.0.0.0, IpTtl(old)=300s
IpStr=>xxx.dyndns.org<, IpAddr(new)=0.0.0.0, IpTtl(new)=300s

[VPN-Status] 2014/08/16 13:29:23,789 Devicetime: 1900/01/01 00:31:39,210
VPN: Error: IFC-I-Name-resolution-failed (0x1109) for xxx (0.0.0.0)

[VPN-Status] 2014/08/16 13:29:23,789 Devicetime: 1900/01/01 00:31:39,220
selecting next remote gateway using strategy eFirst for xxx
=> no remote gateway selected

[VPN-Status] 2014/08/16 13:29:23,789 Devicetime: 1900/01/01 00:31:39,220
selecting first remote gateway using strategy eFirst for xxx
=> CurrIdx=0, IpStr=>xxx.dyndns.org<, IpAddr=0.0.0.0, IpTtl=300s

[VPN-Status] 2014/08/16 13:29:23,794 Devicetime: 1900/01/01 00:31:39,220
VPN: installing ruleset for xxx (0.0.0.0)

[VPN-Status] 2014/08/16 13:29:23,794 Devicetime: 1900/01/01 00:31:39,240
VPN: rulesets installed

[VPN-Status] 2014/08/16 13:29:24,607 Devicetime: 1900/01/01 00:31:40,220
starting external DNS resolution for xxx
IpStr=>xxx.dyndns.org<, IpAddr(old)=0.0.0.0, IpTtl(old)=300s

[VPN-Status] 2014/08/16 13:29:24,608 Devicetime: 1900/01/01 00:31:40,220
VPN: connecting to xxx (0.0.0.0)
=> resolving remote gateway

[VPN-Status] 2014/08/16 13:29:24,811 Devicetime: 1900/01/01 00:31:40,230
external DNS resolution for xxx
IpStr=>xxx.dyndns.org<, IpAddr(old)=0.0.0.0, IpTtl(old)=300s
IpStr=>xxx.dyndns.org<, IpAddr(new)=0.0.0.0, IpTtl(new)=300s

[VPN-Status] 2014/08/16 13:29:24,811 Devicetime: 1900/01/01 00:31:40,240
VPN: Error: IFC-I-Name-resolution-failed (0x1109) for xxx (0.0.0.0)

[VPN-Status] 2014/08/16 13:29:24,816 Devicetime: 1900/01/01 00:31:40,250
selecting next remote gateway using strategy eFirst for xxx
=> no remote gateway selected

[VPN-Status] 2014/08/16 13:29:24,816 Devicetime: 1900/01/01 00:31:40,250
selecting first remote gateway using strategy eFirst for xxx
=> CurrIdx=0, IpStr=>xxx.dyndns.org<, IpAddr=0.0.0.0, IpTtl=300s

[VPN-Status] 2014/08/16 13:29:24,816 Devicetime: 1900/01/01 00:31:40,250
VPN: installing ruleset for xxx (0.0.0.0)

[VPN-Status] 2014/08/16 13:29:24,816 Devicetime: 1900/01/01 00:31:40,270
VPN: rulesets installed

[VPN-Status] 2014/08/16 13:29:25,636 Devicetime: 1900/01/01 00:31:41,250
starting external DNS resolution for xxx
IpStr=>xxx.dyndns.org<, IpAddr(old)=0.0.0.0, IpTtl(old)=300s

[VPN-Status] 2014/08/16 13:29:25,636 Devicetime: 1900/01/01 00:31:41,250
VPN: connecting to xxx (0.0.0.0)
=> resolving remote gateway

[VPN-Status] 2014/08/16 13:29:25,836 Devicetime: 1900/01/01 00:31:41,260
external DNS resolution for xxx
IpStr=>xxx.dyndns.org<, IpAddr(old)=0.0.0.0, IpTtl(old)=300s
IpStr=>xxx.dyndns.org<, IpAddr(new)=0.0.0.0, IpTtl(new)=300s

[VPN-Status] 2014/08/16 13:29:25,836 Devicetime: 1900/01/01 00:31:41,270
VPN: Error: IFC-I-Name-resolution-failed (0x1109) for xxx (0.0.0.0)

[VPN-Status] 2014/08/16 13:29:25,836 Devicetime: 1900/01/01 00:31:41,280
selecting next remote gateway using strategy eFirst for xxx
=> no remote gateway selected

[VPN-Status] 2014/08/16 13:29:25,836 Devicetime: 1900/01/01 00:31:41,280
selecting first remote gateway using strategy eFirst for xxx
=> CurrIdx=0, IpStr=>xxx.dyndns.org<, IpAddr=0.0.0.0, IpTtl=300s

[VPN-Status] 2014/08/16 13:29:25,836 Devicetime: 1900/01/01 00:31:41,280
VPN: installing ruleset for xxx (0.0.0.0)

[VPN-Status] 2014/08/16 13:29:25,836 Devicetime: 1900/01/01 00:31:41,300
VPN: rulesets installed

Bernie137 · Beitrag von **Bernie137** » 16 Aug 2014, 15:13

Hi,

Was auffällt, Device Time 1900/01/01 und Name Resolution failed. Kann es sein, dass der Lancom hinterm Speedport selbst nicht ins Internet darf? Zumindest hat eine der beiden Seiten keine aktuelle Uhrzeit und der DynDns Name kann nicht aufgelöst werden.

Vg Bernie

icepm · Beitrag von **icepm** » 16 Aug 2014, 18:42

Danke für die schnelle Rückmeldung.
Heißt das, dass ich den Lancom nicht einfach ins Netzwerk hängen kann und er wie jeder Rechner ins Internet kann?
Muss ich trotzdem er nicht mehr der Router ist, Logindaten eingeben oder was schlägst du vor?

Bernie137 · Beitrag von **Bernie137** » 17 Aug 2014, 12:04

Hi,

Heißt das, dass ich den Lancom nicht einfach ins Netzwerk hängen kann und er wie jeder Rechner ins Internet kann?

1. Ja, man könnte
2. Nein, man sollte es nicht

zu1. Leider ist das nicht so, wie mit einem x-beligigen Client, der vielleicht noch per DHCP bedient wird und dann ist alles abgefrühstückt. Nein, es ist ein Router und der möchte auch entsprechend konfiguriert sein.

zu2. Du degradierst einen professionellen Router mit ausgereifter Firewall, um den Zugang zum Internet über eine Speedport Schachtel zu machen. Und schaffst Dir gleich noch ein zweites Problem: Du hast dann zwei Gateways im LAN - eins für Internet und eins für den VPN Tunnel.

Meine Empfehlung: Stelle den Zustand lan-technisch wieder so her, wie es ohne dem Speedport war. Der Lancom Router ist das Zentrale Gateway inkl. seiner Firewall Funktionen. Betrachte den Zugang ins Internet über das Speedport so, als wäre es ein "Modem" vor dem Lancom (lediglich mit einem Patchkabel Speedport und Lancom verbinden, Speedport nicht ins LAN hängen), mit folgenden kleinen Unterschieden:
Zwischen Speedport und Lancom Router entsteht ein eigenes IP-Transfernetz, welches sich von seinen Adressen vom LAN und entfernten Standort unterscheidet. D.h. gib dem Speedport eine völlig andere IP und starte dan am Lancom den Assistenten zum Einrichten eines Internetzugangs und wähle IPoE (Lancom kann per DHCP vom Speedport die IP bekommen, aber immer die Gleiche!). Die eigentlichen DSL/VDSL Zugangsdaten bleiben im Speedport. Beide Router sind somit nacheinander geschaltet, quasi in Reihe. Das entstandene IP-Transfernetz könnte man jetzt auch als DMZ betrachten. Die oben angesprochenen Port Weiterleitungen im Speedport für VPN brauchst dann aber trotzdem.

Zu IPoE findest Du hier viel im Forum.

vg Bernie

icepm · Beitrag von **icepm** » 19 Aug 2014, 22:53

Also hab nun länger mit der Telekom telefoniert und der Speedport 921 V ist für meine Idee nicht geeignet. Habe mir nun ne Firtzbox 7390 geholt. Da die Ports freigegeben. Aber irgendwie funzt immer noch kein VPN. Nicht einmal direkt mit Shrew VPN Client auf Zentrale. Obwohl gleiches Profil auf meinem Rechner zu Hause wunderbar funktioniert und hier bin ich auch hinter einer Fritzbox.
Hat zufällig jemand ne Idee, was man hier noch machen muss?

LANCOM-Forum.de