finchen961988
Goto Top

LANCOM VPN CLIENT einrichten

Hallo,

ich habe ein Problem und hoffe ihr könnt mir helfen,
wir haben einen Kunden der hat einen Speedport w723V und einen LANCOM 1781AW

Das IP-Netz ist:
192.168.2.0
255.255.255.0

192.168.2.1 Gateway/DHCP/DNS (Speedport W723V)

192.168.2.2 ist der Lancom

Normalerweise kenne ich das so, der Speedport ist der Router/Modem für VDSL und der LANCOM macht das dann Netzwerk (GATEWAY und Firewall), hier ist das so, dass der Lancom ein Switch ist, weil ein Bridge - Network eingerichtet wurde.

Mein Problem ist oder Wunsch ist,
per VPN eine Verbindung zum Lancom nur wenn ich es einrichte und im Lancom die externe Feste IP oder wahlweiße seine eigene IP eintrage, kommt der ERROR - 4021: IKE(phase1) - Could not contact Gateway (No response) in state
das bedeutet ja er kommt gar nicht zum LANCOM!
Ich habe PORT 500 (UDP), Port 4500(UDP) und UDP 50 Weitergeleitet an den Lancom aber keine Funktion.

Könnt Ihr mir helfen?

Content-Key: 365572

Url: https://administrator.de/contentid/365572

Ausgedruckt am: 19.03.2024 um 03:03 Uhr

Mitglied: 135333
135333 21.02.2018 aktualisiert um 12:08:19 Uhr
Goto Top
UDP 50
Das ist falsch, 50 ist kein Port sondern das ESP Protokoll mit der Nummer 50!

Ob die Speedport Gurke das weiterleiten kann glaub ich eher nicht. Mach den Speedport zum Modem und lass den Lancom einwählen.

Gruß Snap
Mitglied: chgorges
chgorges 21.02.2018 aktualisiert um 12:10:48 Uhr
Goto Top
Zitat von @Finchen961988:
Ich habe PORT 500 (UDP), Port 4500(UDP) und UDP 50 Weitergeleitet an den Lancom aber keine Funktion.

Ah, falsch, es ist nicht UDP 50 (Layer-4), sondern ESP 50, ein Layer-3-IP-Protokoll, was einen Forward zum Lancom braucht. Und da Speedports diese Protokolle nicht forwarden können, hast du mit der Hardware so oder so nur eine 50% Chance, dass es funktioniert.

Einzige Möglichkeit, VPN mit deiner Hardware in Gang zu bringen: Speedport auf Modem-Betrieb umschalten und den LANCOM die Einwahl machen lassen.
Mitglied: Finchen961988
Finchen961988 21.02.2018 um 12:16:50 Uhr
Goto Top
das heißt dem Speedport meinetwegen sagen,
dass er das Transit - Netzwerk 192.168.5.0 macht und da er VDSL macht, als Modem
arbeitet, mit Zugangsdaten.

Dem Lancom sag ich dann er ist Gateway und hat auch DHCP und DNS.
Mitglied: 135333
135333 21.02.2018 aktualisiert um 12:21:22 Uhr
Goto Top
Zitat von @Finchen961988:

das heißt dem Speedport meinetwegen sagen,
dass er das Transit - Netzwerk 192.168.5.0 macht und da er VDSL macht, als Modem
arbeitet, mit Zugangsdaten.

Dem Lancom sag ich dann er ist Gateway und hat auch DHCP und DNS.
Nein, der Speedport muss als reines PPPoE Modem arbeiten (PPPoE Passthrough) und die Einwahl macht dann der Lancom.

Wenn der Speedport kein ESP Forwarding beherrscht ist das deine einzige Möglichkeit.
Mitglied: Finchen961988
Finchen961988 21.02.2018 um 12:27:54 Uhr
Goto Top
Naja,
das heißt ja dann hinfahren dem Router das sagen, über Ferne geht es dann ja nicht, also 200km Fahren
Mitglied: Cornitus
Cornitus 21.02.2018 um 12:28:05 Uhr
Goto Top
Hallo,

wie bereits geschrieben handelt es sich um Protokoll 50 und nicht um UDP Port 50. Ein "VPN Forwarding" von einem Speedport zu einem Lancom Router habe ich bereits eingerichtet und das läuft auch einwandfrei. Ich kann dir allerdings nicht mehr sagen was das für ein Speedport das war. Der Kunde hatte dort eine LTE/VDSL Kombo und war daher zwingend auf den Speedport angewiesen. Eine genaue Anleitung kann ich aber nicht liefern. Es muss aber praktisch möglich sein Protokoll 50/51 weiter zu leiten. Sonst hätte das ja nicht funktioniert.

Der beim Kunden verwendete Speedport Router konnte auch kein "Modem Modus". Es war einfach nicht anders möglich.

Wenn bei dir solche Anforderungen nicht bestehen dann nutze doch direkt den Lancom ohne den Speedport.

Grüße
Mitglied: 135333
135333 21.02.2018 aktualisiert um 12:38:41 Uhr
Goto Top
Mitglied: Finchen961988
Finchen961988 21.02.2018 um 12:37:12 Uhr
Goto Top
Der LANCOM kann aber kein VDSL
Mitglied: 135333
135333 21.02.2018 aktualisiert um 12:41:13 Uhr
Goto Top
Dann besorg dir ein vernünftiges VDSL Modem das du davor packst.


Zur Not tuts auch ne Fritte im PPPoE Passthrough Modus.
Mitglied: Finchen961988
Finchen961988 21.02.2018 um 12:44:23 Uhr
Goto Top
ja
oder ich versuche den Port 1723 durchzuleiten
Mitglied: 135333
135333 21.02.2018 aktualisiert um 12:46:43 Uhr
Goto Top
Zitat von @Finchen961988:

ja
oder ich versuche den Port 1723 durchzuleiten
Wenn dir/euch das vollkommen unsichere PPTP reicht ... dann vergess aber nicht GRE, wenn er das auch nicht packt ist Hopfen und Malz verloren.
Mitglied: Finchen961988
Finchen961988 21.02.2018 um 12:46:12 Uhr
Goto Top
Welche IP muss ich denn in der VPN Konfig angeben die externe oder nicht?
Mitglied: 135333
135333 21.02.2018 aktualisiert um 12:47:24 Uhr
Goto Top
Zitat von @Finchen961988:

Welche IP muss ich denn in der VPN Konfig angeben die externe oder nicht?
Beim Client natürlich die externe welche sonst??. Also das sind doch böse Routing-Grundlagen ....
Mitglied: Finchen961988
Finchen961988 21.02.2018 um 12:47:09 Uhr
Goto Top
mal ehrlich,
nu ist das auch nicht gerade sicher oder?
Mitglied: 135333
135333 21.02.2018 aktualisiert um 12:48:19 Uhr
Goto Top
Zitat von @Finchen961988:

mal ehrlich,
nu ist das auch nicht gerade sicher oder?
Schreib ich doch!

Also Modem holen und es gleich vernünftig machen.
Mitglied: Cornitus
Cornitus 21.02.2018 um 12:48:07 Uhr
Goto Top
Sorry, mein Gehirn hatte da wohl ein "V" in das Modell mit eingebaut ;). Der 1781VAW kann das, tut mir leid!

Was dir vielleicht noch helfen kann: https://telekomhilft.telekom.de/t5/Geraete-Zubehoer/Speedport-Hybrid-mus ...

Dort wird von einer Lösung gesprochen und das in den kommenden Firmware Versionen dann VPN mit auf der Agenda steht. Dort wurde am 18.03.2015 von einem "Telekom hilft Team" Mitarbeiter ein entsprechender Post verfasst. Die beziehen sich da aber direkt auf Hybrid Speedports. Keine Ahnung ob es da gravierende Unterschiede bezüglich der Firmware gibt. Fakt ist aber das es mit einem Speedport Hybrid funktioniert hat.

Grüße
Mitglied: Finchen961988
Finchen961988 21.02.2018 um 12:57:37 Uhr
Goto Top
Welche Ports wären denn das ESp und das AH?
Mitglied: 135333
135333 21.02.2018 aktualisiert um 13:04:49 Uhr
Goto Top
Zitat von @Finchen961988:

Welche Ports wären denn das ESp und das AH?
Du hast noch immer nicht verstanden. ESP und AH sind keine Ports sondern Protokolle mit den IP-Protokollnummern 50 und 51.
https://de.wikipedia.org/wiki/IPsec#Encapsulating_Security_Payload_(ESP)
https://de.wikipedia.org/wiki/IPsec#Authentication_Header_(AH)

wir haben einen Kunden
Äh sorry, du hast offensichtlich keine Ahnung von der Materie und hast einen Kunden dem du das Einrichten sollst?? Aua, armer Kunde.
Mitglied: aqui
aqui 21.02.2018 aktualisiert um 13:14:48 Uhr
Goto Top
der hat einen Speedport w723V und einen LANCOM 1781AW
WIE werden die betrieben ???
In einer klassischen Router Kaskade wie hier:
Kopplung von 2 Routern am DSL Port
oder hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
beschrieben ??
Normalerweise kenne ich das so, der Speedport ist der Router/Modem für VDSL und der LANCOM macht das dann Netzwerk (GATEWAY und Firewall)
Ja, das ist auch so aber es kommt entscheidend darauf an WIE der Speedport benutzt bzw. konfiguriert wird. Entweder als reines Modem also nur Medienwandler so das der Lancom das IP Forwarding ins Internet macht.
Oder die technisch schlechtere Variante das der SP auch als Router arbeitet und man dann eine Kaskade mit doppeltem NAT und doppelter Firewall hat.
per VPN eine Verbindung zum Lancom
Das ist generell kein Problem. Liest dir bitte das o.a. Tutorial durch das beantwortet die Frage der richtigen Konfiguration.
Wenn wir mal annehmen das du den SP als Router arbeiten lässt und NICHT als reines Modem musst du natürlich zwingend dort ein Port Forwarding einrichten der typischen IPsec Ports . Leider sagst du auch mit keinem Wort WELCHES VPN Protokoll du auf dem Lancom nutzt aber wir nehmen mal an es ist IPsec.
UDP 500
UDP 4500
und dem ESP Protokoll mit der Nummer 50. (Achtung ! Das ist kein UDP oder TCP 50. ESP ist ein eigenes Protokoll)
Hier hast du also schon einen entscheidenden Fehler begangen und fälschlicherweise UDP 50 dort freigegeben und so ein gefährliches Loch in deine FW gebohrt.
Kein Wunder also das es ohne Funktion ist wenn du da schon so gravierende Fehler gemacht hast.
oder ich versuche den Port 1723 durchzuleiten
Wäre Schwachsinn, denn das ist ein Protokollteil vom PPTP VPN Protokoll. PPTP und IPsec sind 2 unterschiedliche Baustellen wie man als Netzwerker ja weiss.
Jetzt machst du hier raten im freien Fall ohne Sinn und Verstand... face-sad
Vielleicht solltest du dazu auch besser mal deine IPsec Kenntnisse auffrischen ?!
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen

Ohne das wirst du niemals VPN Zugang zum Lancom bekommen weil die Firewall des SP das sonst sicher verhindert !
Logisch auch das die Ziel IP Adresse für den VPN Client immer die WAN/Internet Port IP Adresse des Speedport ist !! und NICHT die des kaskadierten Lancoms ! Auch das solltest du auf dem Radar haben.
Wie gesagt, das o.a. Tutorial beantwortet alle deine Fragen zu dem Thema !
Einfach mal die Suchfunktion hier benutzen face-wink

Generell solltest du dich fragen ob du nicht ein reines NUR Modem für den Anschluss an den Lancom verwendest und so die technsich schlechtere Router Kaskade vermeidest. Das ist allemal besser als der SP Schrottrouter.
Empfehlenswert ist hier ein Vigor 130 oder ALLNET_ALL-BM200VDSL2V. Siehe dazu auch hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Mitglied: Finchen961988
Finchen961988 21.02.2018 um 13:17:12 Uhr
Goto Top
also der SPeedport ist das Gateway, sprich baut verbindung un das Netz der Netze und macht DHCP und DNS
der Lancom ist eigentlich für mich ein sogenannter dummer Switch, bekommt von ETH-1 das Signal und schickt das ganze weiter an eth2 (Bridge),
im Lancom ist ekinee Firewall-Regel drin, DHCP aus und DNS macht der Speedport.
Für mich ist der Lancom ein dummer Client und mehr nicht!

IP - Mässig im selben Netzwerk!
Mitglied: aqui
aqui 21.02.2018 aktualisiert um 13:24:42 Uhr
Goto Top
un das Netz der Netze und macht DHCP und DNS
DHCP wäre aber Blödsinn, wenn dahinter noch ein Lancom ist. Das Koppelnetz konfiguriert man logischerweise immer mit statischen IPs !!
Der Grund liegt auf der Hand:
Am SP musst du ja ein Port Forwarding machen auf die WAN IP Adresse des Lancom.
Ändert sich diese WAN Port IP des Lancoms einmal durch die Dynamik vom DHCP ists dann aus mit dem Port Forwarding....
Verantwortungsvolle und vorausschauende Netzwerker nehmen deshalb immer statische IPs und deaktivieren DHCP im Koppelnetz !
der Lancom ist eigentlich für mich ein sogenannter dummer Switch
Das wäre völliger Blödsinn !
Ist auch logisch, denn wenn der Lancom ein VPN Server ist (hier terminierst du ja deine VPN Verbindung von den Clients !!), dann MUSS der Lancom zwingend als Router arbeiten und aktiv Layer 3 Forwarding machen auf seinen Interfaces.
Damit ist er dann immer ein Router und niemals nur ein dummer Switch !
Es hört sich leider danach an als ob du hier vollkommen überfordert bist und nicht wirklich weisst was du da machst ?!
Lies dir bitte das o.a. Tutorial durch ! Dort werden alle technischen Details erklärt von so einem Szenario.
(Die dort zitierte pfSense Firewall entspricht deinem Lancom)
Mitglied: Cornitus
Cornitus 21.02.2018 um 13:35:36 Uhr
Goto Top
Zitat von @Finchen961988:

Welche Ports wären denn das ESp und das AH?

Da gibt es keine Ports. Wie bei ICMP (ping) zum Beispiel. Die Funktion muss also im Speed Port Hybrid verfügbar sein. Sonst hätte die Einrichtung nicht funktioniert. Ansonsten bin ich nach: https://www2.lancom.de/kb.nsf/1275/13C3AB1302C4DA61C1257D0A0038F847?Open ... vorgegangen.

Im Post von Snapdragon wird ja aber explizit auf deinen Speedport eingegangen und der kann das laut dem Thread tatsächlich nicht. Ich weiß nicht in wiefern sich die Firmware unterscheidet.

Ich würde einen 1781VAW vorziehen oder bei weniger verfügbaren Budget halt ein Modem, siehe Post von Snapdragon.
Mitglied: Finchen961988
Finchen961988 21.02.2018 um 13:37:42 Uhr
Goto Top
ich habe mir das Tutorial durch gelesen und nochmal diese Art der konfiguartion ist mir zwar neu, aber ich habe schon häufiger mit VPN gearbeitet und das auch erfolgreich!
Ich habe das immer so geamcht, kleines Beisopiel mit einer Fritzbox an einem All-IP Anschluss der Telekom:
Fritzbox mach die EINWAHL und gibt per Transit Netzwerk und Exposed Host an die Firewall weiter!
Also Fritzbox hat die 192.168.178.1 (DHCP aus) und die Firewall dann 192.168.178.2 und danach kommt das Hauptnetzwerk!

Bei dem Kunden habe ich kein Transitnetzwerk der Lancvom hängt ohne irgendwelche Funktionalität im Netzwerk, macht kein Layer 3, er ist so eingerichtet worden, eth1 an Speedport und eth2 weiter ins Netzwerk, als Gruppe Lan-1 mit der Einstellung Bridge!
Kein Routing oder ähnliches, für mich sieht das so aus, als wenn da einer keine Lust hatte und das einfach als AP/Switch konfiguriert hat
Mitglied: Finchen961988
Finchen961988 21.02.2018 um 13:38:46 Uhr
Goto Top
Ich glaube auch der Speedport ist zu dämlich dazu!
Mitglied: 135333
135333 21.02.2018 aktualisiert um 13:42:01 Uhr
Goto Top
Habe ich oben bereits geschrieben und dir Referenzen dazu verlinkt.
Mitglied: aqui
aqui 21.02.2018 um 13:53:10 Uhr
Goto Top
und gibt per Transit Netzwerk und Exposed Host an die Firewall weiter!
Exposed Host muss man gar nicht machen. OK ist die einfache Schrotschuß Variante wenn man sich das Port Forwarding der einzelnen Protokolle ersparen will.
Also Fritzbox hat die 192.168.178.1 (DHCP aus) und die Firewall dann 192.168.178.2 und danach kommt das Hauptnetzwerk!
Genau so ist es auch richtig. Das ist dann die klassische Router Kaskade mit doppeltem NAT.
der Lancvom hängt ohne irgendwelche Funktionalität im Netzwerk,
Das wäre Blödsinn, denn dann müsste man dessen Routing Funktion komplett deaktivieren, was garantieret technsich nicht möglich ist. Außerdem wäre es auch völliger Unsinn.
Was sollte denn der tiefere Sinn sein einen Lancom quasi so als vollkommen nutzlosen Durchlauferhitzer zu benutzen ?!
Dann kann man ihn auch gleich ganz weglassen !
Ohne Routing Funktion kann der Lancom niemals ein aktiver VPN Server sein, das ist Fakt.
Irgendwas stimmt hier also grundsätzlich nicht was du uns weismachen willst hier.
Wenn er nur als dummer AP / Switch konfiguriert ist, dann ist er auch nur einbeinig angeschlossen:
Kopplung von 2 Routern am DSL Port

Vielleicht solltest du erstmal wasserdicht klären wie der Lancom genau konfiguriert ist bevor wir uns hier weiter mit Spekulationen im Kreis drehen... face-sad
Was du beim SP versuchen kannst ist dort UDP 500 und UDP 4500 zu forwarden. Solche billigen Provider Schrottrouter forwarden oftmals dann die fehlenden Komponenten wie ESP oder auch GRE (bei PPTP).
Das muss man aber ausprobieren.
Wenn das stimmt was in dem oben zitierten Thread steht geht es nicht und dann muss IPsec natürlich scheitern. Klar, denn der ESP Tunnel transportiert die eigentlichen VPN Daten.

Ein Tip um das zu testen. Schliesse statt des Lancom temporär testweise einen Wireshark Sniffer mit gleicher IP Adresse am Speedport an.
Dann eröffnest du eine IPsec VPN Verbindung von remote und snifferst die mit. Wenn du dort eingehende ESP Pakete siehst, dann kann der SP das. Siehst du die nicht...Pech.
Besser ist es eh den SP durch ein nur Modem wie z.B. das Vigor 130 zu ersetzen.
Mitglied: Finchen961988
Finchen961988 21.02.2018 um 15:30:14 Uhr
Goto Top
Also ich habe mit den KD gesprochen, es kommt nu ein Modem davor, sodass der Lancom als Router arbeitet und ich auch die vollen Funktionalitäten nutzen kann.

Ja nutzloser Duchlauferhitzer ist hier die Richtige aussage, da der Kunde neu ist, denke ich der der vorher da war, hatte die Synapsen nicht zusammen oder keine Lust etwas anzupassen!