Forum: Offtopic Router-Router VPN (IPSec/IKE) mit Lancom - bin überfordert


Router-Router VPN (IPSec/IKE) mit Lancom - bin überfordert
von Frank E. (Firma: Q3) (qualidat)

Lesenswert? 

Ich soll hier für einen Kunden ein IPSec-VPN zwischen einem fremden 
Router und dem hiesigen Lancom 1781 einrichten. Dazu habe ich folgende 
eigene und fremde Angaben:

a) die eigene statische WAN-Adresse des hiesigen LANCOM sowie dessen 
interne Netzwerkadresse

b) die statische WAN-IP-Adresse des Fremd-VPN-Gateways (Fabrikat mir 
unbekannt)

c) die statische IP-Adresse des Routers im fremden VPN, ist eine andere 
als unter b)

d) einen Pre-Shared Key

e) die Angabe: "Ike:pre-share-aes-256-sha" vom fremdem Admin

f) die Angabe: "Ipsec: ESP-AES-128-SHA" vom fremden Admin

Ziel ist es, dass der Lancom dann intern ein eigenes Subnet quasi 
prallel zum vorhandenen "Standard"-Subnet fürs Surfen, Drucken usw. mit 
"Durchgriff" in das Fremdnetz bereitstellt. Das zugehörige IP-Subnet ist 
bereits angelegt.

Das Problem ist, dass ich natürlich das Lancom-Handbuch habe und lesen 
kann, auch Google ... aber die in den Menüs des Lancom für 
VPN-Einstellungen erforderlichen Eingaben sind mind. fünf mal 
umfangreicher, als das, was mir in den genannten Punkten a-f zur 
Verfügung steht. Ich habs schon mehrfach Schritt für Schritt versucht, 
finde aber am Ende im Syslog immer nur "VPN Error ... IKE ... bla blubb 
..." und natürlich keine Verbindung.

Erschwerend kommt hinzu, dass der hiesige LANCOM wegen mieser 
Internet-Anbindung einen Load-Balancer mit zwei Vodafone-DSL und einem 
UMTS-Anschluss betreibt. Wegen der erforderlichen festen Absender-IP 
fürs VPN müsste noch eine spezielle Route angelegt werden, so dass die 
VPN-Verbindung ausschließlich über einen der DSL-Anschlüsse mit der 
festen IP läuft. Da weiss ich zwar im Prinzip, wie es geht (mit 
Routing-Tags usw.), bin aber auch nicht sicher, ob es korrekt ist. Das 
sind einfach zu viele Variablen für mich im Spiel.

Aussedem wird in dem Netz der Firma nahezu rund um die Uhr intensiv mit 
Mail und Web gearbeitet, was bei häufigen Fehlkonfigurationen und 
Neustarts des Routers für "etwas gespannte Stimmung" sorgt ...

Gibts hier jemanden, der gegen eine zu vereinbarende 
Aufwandsentschädigung, sich zutraut, die Verbindung über Teamviewer oder 
RDP zum Laufen zu bringen? Muss aber wirklich ein Lancom-Spezi sein ...
Mitteilungen bitte per PM. Danke.

: Bearbeitet durch User
Beitrag melden Bearbeiten Thread verschieben Thread sperren Anmeldepflicht aktivieren Anpinnen Thread löschen Thread mit anderem zusammenführen Markierten Text zitieren Antwort Antwort mit Zitat
Re: Router-Router VPN (IPSec/IKE) mit Lancom - bin überfordert
von Gerd E. (robberknight)

Lesenswert? 

Frank E. schrieb:
> Ich soll hier für einen Kunden ein IPSec-VPN zwischen einem fremden
> Router und dem hiesigen Lancom 1781 einrichten.

Mein herzliches Beileid

> Das Problem ist, dass ich natürlich das Lancom-Handbuch habe und lesen
> kann, auch Google ... aber die in den Menüs des Lancom für
> VPN-Einstellungen erforderlichen Eingaben sind mind. fünf mal
> umfangreicher, als das, was mir in den genannten Punkten a-f zur
> Verfügung steht. Ich habs schon mehrfach Schritt für Schritt versucht,
> finde aber am Ende im Syslog immer nur "VPN Error ... IKE ... bla blubb
> ..." und natürlich keine Verbindung.

Die einzelnen VPN-Menüs im Lanconfig sind extrem komplex, verschachtelt 
und weit verstreut. Ein Teil der Config der VPN-Tunnel findet man z.B. 
im Punkt Firewall etc. Die IOS-Kommandozeile eines Ciscos ist da Komfort 
pur dagegen.

Mein Rat wenn Du es selbst nochmal probieren willst, wäre so weit wie 
möglich den VPN-Wizard zu verwenden und dessen Ergebnis dann evtl. noch 
anzupassen. Die Config in den einzelnen Menüs "from scratch" und ohne 
den Wizard zu machen traue ich nur echten Lancom-Spezialisten die 
tagtäglich auf der Ebene arbeiten zu.

Ich selbst fasse die Lancoms nur an wenn es gar nicht anders geht und 
auch dann nur über den Wizard. Ich hab es zwar auch mal so mit dem VPN 
geschafft, da muss ich mich zumindest jedesmal wieder tief eindenken und 
etwas rumprobieren.

Beitrag melden Bearbeiten Löschen Markierten Text zitieren Antwort Antwort mit Zitat
Re: Router-Router VPN (IPSec/IKE) mit Lancom - bin überfordert
von Stephan H. (stephan-)

Lesenswert? 

2 versch. Router per IKE zu verbinden ist oft Glückssache. Selbst 2 
Netgear FVS 318 ( einer V2 der andere V3 ) haben Probleme gemacht. Kläre 
erst mal ab ob die überhaupt miteinander können. ( Hersteller fragen )
Verwende erst mal nur einfache PSK ohne Umlaute und Sonderzeichen. 
Gerade diese machen oft Probleme. Der Zugang erfolgt üder die DSL 
Anschlüsse. Bei UMTS und LTE kann die WAN IP aus dem Subnetz der 
Providers sein und von außen nicht erreichbar. Den Rest findet Du im 
Log. Da musst Du Dich durcharbeiten.

Beitrag melden Bearbeiten Löschen Markierten Text zitieren Antwort Antwort mit Zitat
Thread beobachten | Seitenaufteilung abschalten
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.