Lancom 1721+ VPN hinter Fritzbox7490 - VPN geht nicht

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
rbn111
Beiträge: 22
Registriert: 22 Sep 2010, 10:24

Lancom 1721+ VPN hinter Fritzbox7490 - VPN geht nicht

Beitrag von rbn111 »

Hallo zusammen,

nachdem unser Anschluss nun auf IP-Telefonie/VDSL umgestellt worden ist, musste ich nun eine Fritzbox vor den LC setzen.
Vormals lief die Konfiguration des LC jahrelang stabil.

Die Konfiguration war folgende:

-LC nutze integriertes ADSL Modem für den Internetzugriff (Gegenstelle ADSL)
-ETH1=192.168.1.1 (Netz mit Internet)
-ETH2=192.168.1.2 (Firewall mit Deny All und selektiven Portfreigaben)
-VPN Zugang auf das ETH2 mit dem LC Assistenten konfiguriert.

Ziel ist nun die Fritzbox als Router vor dem LC Router zu betreiben (Routercascade?).
Dazu habe ich die alte ADSL Gegenstelle gelöscht und über ETH 3 eine "Plain Ethernet" Verbindung (IPoE) zur Fritzbox mit dem Assistenten kofiguriert.
Internet im ETH1 Netz funktioniert auch.

Leider hab ich keine Ahnung warum die VPN Verbindung nicht funktioniert. Ich habe als erstes den Lancomrouter als "Exposed Host" in der Fritzbox definiert, also alle Ports freigegeben. Neue VPN Verbindung mit dem Client funktioniert auch nicht.
Hat Jemand vielleicht eine Idee. Habe die ähnlichen Threads hier im Forum schon durch, aber noch keine Lösung.
DynDns Dienst hab ich natürlich in der Fritzbox konfiguriert und arbeitet auch.

Mit dem NCP-Tracer bin auch auch schon auf Spurensuche:
Hier scheint es Probleme zu geben.

Sun Feb 04 12:18:09 2018:System: create_ike_media_hdr - create new
Sun Feb 04 12:18:09 2018:089.183.XXX.XXX - 38.10.d5.7a.a1.5d.00.25.22.f8.c3.XXXXXX
Sun Feb 04 12:18:14 2018:System: check_for_dhcp - got request=8 on adapter <Realtek PCIe GBE Family Controller>
Sun Feb 04 12:18:14 2018:Ike: ConRef=1, retry timeout - resend ->
Sun Feb 04 12:18:21 2018:Ike: ConRef=1, retry timeout - resend ->
Sun Feb 04 12:18:29 2018:Ike: ConRef=1, retry timeout - resend ->
Sun Feb 04 12:18:38 2018:Ike: Switching to TCP ENCAPSULATION in PATHFINDER : VPNRouter
5624
Beiträge: 865
Registriert: 14 Mär 2012, 12:36

Re: Lancom 1721+ VPN hinter Fritzbox7490 - VPN geht nicht

Beitrag von 5624 »

NAT-Traversal am LANCOM eingeschaltet?

Des Weiteren müssen die Ports UDP/500, UDP/4500 und das Protokoll ESP von der Fritzbox an den LANCOM weitergeleitet werden.

Ist das VPN an der Fritzbox aus? Nicht dass die sich das schnappt.
LCS NC/WLAN
rbn111
Beiträge: 22
Registriert: 22 Sep 2010, 10:24

Re: Lancom 1721+ VPN hinter Fritzbox7490 - VPN geht nicht

Beitrag von rbn111 »

Ja, NAT ist aktiviert.

Ich habe ja den LANCOM als Exposed Host konfiguriert. Alternativ könnte ich die Ports auch selektiv freigeben.
In der Fritzbox sind unter Internet>Freigaben sind keine VPN verbindungen konfiguriert. Ich denke das ist gleichbedeudent mit deaktiviert.
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
5624
Beiträge: 865
Registriert: 14 Mär 2012, 12:36

Re: Lancom 1721+ VPN hinter Fritzbox7490 - VPN geht nicht

Beitrag von 5624 »

Was du noch machen kannst, ist IPSec over HTTPS anmachen, HTTPS von der Fritzbox weiterleiten lassen und der NCP-Client sucht sich einen über die Pathfinder-Technologie.
Ist aber nicht ganz das Ziel, aber erstmal ein Workaround.

Ich hab es bei mir so ähnlich laufen, wie du es vorhast und es funktioniert.

Was sagt ein vpn-Trace auf dem LANCOM, wenn du dich verbindest?
LCS NC/WLAN
rbn111
Beiträge: 22
Registriert: 22 Sep 2010, 10:24

Re: Lancom 1721+ VPN hinter Fritzbox7490 - VPN geht nicht

Beitrag von rbn111 »

Danke für die Hilfe!

Ich nur noch kurz die Lösung für mein Problem mitteilen. VPN läuft jetzt seit gut 2 Wochen stabil.

Im Endeffekt habe ich an der LANCOM Konfiguration nichts mehr geändert. Im Lancom Profil habe ich bei den IPsec-Optionen von Standard IPsec auf UDP Encapsulation umgestellt.

Den Tipp mit HTTPS habe ich probiert, hat allerdings nicht funktioniert. Ich denke die "Exposed Host" Einstellung in der Fritzbox funktioniert nicht richtig, bzw. funktioniert nicht so wie ich es erwartet habe. Wahrscheinlich würde Classic IPsec auch funktionieren, wenn man wüsste was man alles in der Fritzbox freischalten muss.
Antworten