5
Kein VPN via WLAN mit Lancom Advanced Client
Hallo zusammen,
ich habe ein seltsames Problem mit dem Lancom Advanced Client auf dem Notebook eines Kunden.
Folgende Konstellation:
Notebook
- Netzwerkkarte 10/100 mit Realtek Chipsatz
- WLAN-Karte (Chipsatz unbekannt)
- Windows XP Pro auf neuestem Stand
- WLAN wird vom Lancom Client konfiguriert
Router 1
Speedport 700 von der Telekom
Router 2
Lancom 1711
Auf dem Lancom-Router, der in der Firma steht, ist ein VPN-Tunnel eingerichtet. Dieser funktioniert auch problemlos. Die gewünschten Zugriffe sind von außen möglich.
Über die Kabelverbindung ist die Benutzung des Tunnels kein Problem. Kabel anschließen, verbinden und gut ist.
Wir möchten aber auch gerne eine Verbindung via WLAN realisieren. Das funktioniert gar nicht. Folgende Phänomene treten auf:
Kabel drin und WLAN an
-> Es wird die LAN-Verbindung benutzt (soweit, so gut, ist die schnellere Verbindung),
Kabel drin und Client auf WLAN eingestellt
-> Der Client zeigt einen hübschen rot-grünen Balken an und behauptet, er nutze die WLAN-Verbiundung. Tatsächlich wird aber weiterhin die Kabelverbinung benutzt, wie ich durch einfaches Ziehen des Kabels feststellen konnte,
kein Kabel drin
-> Tunnel wird nicht aufgebaut. IKE-Fehler (Phase 1)
Die Fehlermeldung, die im Protokoll steht, verwirrt mich am meisten. Dort steht "WPA authentication error". Das kann aber nicht sein, da die WLAN-Verbindung vom Prinzip problemlos funktioniert.
Das Ganze lief schon einmal für zwei Tage. Allerdings lief es nur, wenn beide Karten aktiviert waren. Wurde die LAN-Karte deaktiviert, war auch keine Verbindung via WLAN möglich. Aber wir haben auf der Terasse gesessen und die Verbindung benutzt. Also es funktionierte sicher. Jetzt ist keinerlei Verbindung mehr möglich.
Jemand eine Idee oder sogar eine Lösung?
Liebe Grüße
Erik
ich habe ein seltsames Problem mit dem Lancom Advanced Client auf dem Notebook eines Kunden.
Folgende Konstellation:
Notebook
- Netzwerkkarte 10/100 mit Realtek Chipsatz
- WLAN-Karte (Chipsatz unbekannt)
- Windows XP Pro auf neuestem Stand
- WLAN wird vom Lancom Client konfiguriert
Router 1
Speedport 700 von der Telekom
Router 2
Lancom 1711
Auf dem Lancom-Router, der in der Firma steht, ist ein VPN-Tunnel eingerichtet. Dieser funktioniert auch problemlos. Die gewünschten Zugriffe sind von außen möglich.
Über die Kabelverbindung ist die Benutzung des Tunnels kein Problem. Kabel anschließen, verbinden und gut ist.
Wir möchten aber auch gerne eine Verbindung via WLAN realisieren. Das funktioniert gar nicht. Folgende Phänomene treten auf:
Kabel drin und WLAN an
-> Es wird die LAN-Verbindung benutzt (soweit, so gut, ist die schnellere Verbindung),
Kabel drin und Client auf WLAN eingestellt
-> Der Client zeigt einen hübschen rot-grünen Balken an und behauptet, er nutze die WLAN-Verbiundung. Tatsächlich wird aber weiterhin die Kabelverbinung benutzt, wie ich durch einfaches Ziehen des Kabels feststellen konnte,
kein Kabel drin
-> Tunnel wird nicht aufgebaut. IKE-Fehler (Phase 1)
Die Fehlermeldung, die im Protokoll steht, verwirrt mich am meisten. Dort steht "WPA authentication error". Das kann aber nicht sein, da die WLAN-Verbindung vom Prinzip problemlos funktioniert.
Das Ganze lief schon einmal für zwei Tage. Allerdings lief es nur, wenn beide Karten aktiviert waren. Wurde die LAN-Karte deaktiviert, war auch keine Verbindung via WLAN möglich. Aber wir haben auf der Terasse gesessen und die Verbindung benutzt. Also es funktionierte sicher. Jetzt ist keinerlei Verbindung mehr möglich.
Jemand eine Idee oder sogar eine Lösung?
Liebe Grüße
Erik
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 60153
Url: https://administrator.de/contentid/60153
Printed on: April 24, 2024 at 00:04 o'clock
5 Comments
Latest comment
Unter Windows kannst du niemals beide Adapter aktiv haben wenn diese im gleichen IP Netz arbeiten sollten ! Das Problem ist das du dann beide Adapter in einem und demselben IP Netz betreibst und damit kann Windows nicht umgehen, da es dann nicht mehr weiss wo es die Packete forwarden soll.
Du musst also zwangsweise IMMER einen der Adapter deaktivieren, denn es darf immer nur der eine ODER der andere Adapter aktiv sein sofern du auf einem IP Netz arbeitest und nicht beide Adapter in unterschiedlichen IP Netzen hast.
Das Einfachste ist das man, wie du es auch schon gemacht hast, das LAN Kabel einfach nicht anschliesst, damit ist dann nur WLAN aktiv. Bei LAN Betrieb sollte man das WLAN über die Fn Tasten oder den Hardwareschalter deaktivieren. Sofern der Laptop beides nicht hat geht es nur über die Windows Funktion deaktivieren.
Die Fehlermeldungen sind widersprüchlich so wie du sie gepostet hast.... Das WPA Problem lässt auf ein Problem des WLAN selber schliessen (Verschlüsselung am AP), das IKE Problem auf ein Problem des VPN selber (Passwort). Das eine kann das andere bewirken....
Wegen fehlender Details deinerseits muss man ab jetzt leider raten.....
1.) WPA Problem:
Kannst du über die WLAN Verbindung den AP pingen bzw. funktioniert die WLAN Verbindung sauber ??? (Internetzugriff ok etc..)
Eine sauber funktionierenden WLAN Verbindung ist Voraussetzung für den Zugang das ist klar....
Beide WLANs sollten unterschiedliche eindeutige SSIDs haben falls die Verschlüsselung in beiden WLANs unterschiedlich ist !!! Dasgleiche gilt für die Schlüsselverfahren WEP/WPA.
2.) VPN Problem (IKE)
Anhand der Fehlermeldung kann man vage schliessen das der VPN Client IPsec als VPN Protokoll nutzt ??? Ist dem so ???
Du musst dann natürlich auf dem Router ein entsprechendes Port Forwarding konfigurieren. Wenn du bzw. der VPN Client wirklich IPsec im ESP Modus benutzt muss dies ein Forwarding von UDP Port 500 sein (IKE Protokoll) und gleichzeitig vom ESP Protokoll (Encapsulation Security Payload) Das ist die Protokollnummer 50 (Achtung nicht TCP 50 !)
Oft wird das auch als VPN Passthrough betitelt. Das muss dein Router supporten sonst ist der VPN Betrieb generell nicht möglich !
Der Router MUSS diese Protokolle lokal auf die WLAN IP des Clients forwarden, diese Einstellung ist also statisch im Router. Damit sollte der Client dann natürlich besser eine feste IP haben. Sollte die sich ggf. bei DHCP Betrieb einmal ändern laufen die PFW Einträge auf dem Router ins Leere....
Vermutlich ?! ist Letzteres bei dir der Fall !!!
Du musst also zwangsweise IMMER einen der Adapter deaktivieren, denn es darf immer nur der eine ODER der andere Adapter aktiv sein sofern du auf einem IP Netz arbeitest und nicht beide Adapter in unterschiedlichen IP Netzen hast.
Das Einfachste ist das man, wie du es auch schon gemacht hast, das LAN Kabel einfach nicht anschliesst, damit ist dann nur WLAN aktiv. Bei LAN Betrieb sollte man das WLAN über die Fn Tasten oder den Hardwareschalter deaktivieren. Sofern der Laptop beides nicht hat geht es nur über die Windows Funktion deaktivieren.
Die Fehlermeldungen sind widersprüchlich so wie du sie gepostet hast.... Das WPA Problem lässt auf ein Problem des WLAN selber schliessen (Verschlüsselung am AP), das IKE Problem auf ein Problem des VPN selber (Passwort). Das eine kann das andere bewirken....
Wegen fehlender Details deinerseits muss man ab jetzt leider raten.....
1.) WPA Problem:
Kannst du über die WLAN Verbindung den AP pingen bzw. funktioniert die WLAN Verbindung sauber ??? (Internetzugriff ok etc..)
Eine sauber funktionierenden WLAN Verbindung ist Voraussetzung für den Zugang das ist klar....
Beide WLANs sollten unterschiedliche eindeutige SSIDs haben falls die Verschlüsselung in beiden WLANs unterschiedlich ist !!! Dasgleiche gilt für die Schlüsselverfahren WEP/WPA.
2.) VPN Problem (IKE)
Anhand der Fehlermeldung kann man vage schliessen das der VPN Client IPsec als VPN Protokoll nutzt ??? Ist dem so ???
Du musst dann natürlich auf dem Router ein entsprechendes Port Forwarding konfigurieren. Wenn du bzw. der VPN Client wirklich IPsec im ESP Modus benutzt muss dies ein Forwarding von UDP Port 500 sein (IKE Protokoll) und gleichzeitig vom ESP Protokoll (Encapsulation Security Payload) Das ist die Protokollnummer 50 (Achtung nicht TCP 50 !)
Oft wird das auch als VPN Passthrough betitelt. Das muss dein Router supporten sonst ist der VPN Betrieb generell nicht möglich !
Der Router MUSS diese Protokolle lokal auf die WLAN IP des Clients forwarden, diese Einstellung ist also statisch im Router. Damit sollte der Client dann natürlich besser eine feste IP haben. Sollte die sich ggf. bei DHCP Betrieb einmal ändern laufen die PFW Einträge auf dem Router ins Leere....
Vermutlich ?! ist Letzteres bei dir der Fall !!!
Hallo zusammen,
erstmal danke für die ausführliche Antwort.
Es geht aber auch nicht, wenn nur ein Adapter aktiv ist. Bzw. es geht immer auf der LAN-Karte und nie auf der WLAN-Karte, auch wenn das Kabel gezogen oder die Karte deaktiviert ist.
Yupp! Deshalb rätsle ich ja. ;)
Ooops, das wollte ich doch reinschreiben. Sorry. Ja, die WLAN-Verbindung funktioniert. Das macht ja die Meldung so vollständig absurd. IKE-Fehler kommt im Fenster, in dem der Verbindungsaufbau grafisch dargestellt wird. Ich vermute, dass der kommt, weil es keine passendere Meldung für den Fehler gibt.
Es gibt nur ein WLAN. Auf der anderen Seite des Tunnels steht der Lancom 1711 ohne WLAN. Insofern kann das nicht zu Problemen kommen.
Nein, ich benutze den NAT-T-Modus. Ich weiß, dass das nicht maximal sicher ist. Aber das sollte für den Zweck reichen. Der Kunde handelt mit Backsaaten und nicht mit Atomraketen. ;) Außerdem brauchen wir das sowieso so, da das vor allem vom Hotel aus funktionieren soll. Und ich glaube kaum, dass die Hotels willens und in der Lage sind, für jeden Gast den Router neu zu konfigurieren. ;)
Vermutlich ?! ist Letzteres bei dir der Fall
!!!
Wenn der Router das Problem wäre, dann würde ja auch die LAN-Verbindung nicht gehen. Die geht aber problemlos. Also ist prinzipiell der Client und auch der Lancom-Router auf der anderen Seite richtig eingerichtet. Auch von meinem Büro aus habe ich keinerlei Probleme den Tunnel aufzubauen und zu nutzen.
Mit WLAN hat es einen Tag lang funktioniert und seit dem nie wieder. Ich habe alles, was mir einfiel, probiert und noch ein paar absurde Sachen mehr. Bei vollständig einwandfreiem WLAN-Betrieb kann kein VPN-Tunnel aufgebaut werden.
Und im Verbindungsprotokoll steht WPA Authentication Error. Aber wenn WPA nicht korrekt eingerichtet wäre, dann ginge ja die ganze Verbindung nicht. Ich kann aber surfen und Emails abrufen. Alles läuft in gewohnter Geschwindigkeit. Also kein Grund, an der Verbindung zu zweifeln. Warum dann dieser Fehler?
Der Client selbst managed die WLAN-Verbindung. D. h. hier ist der key und alles weitere über das Netz eingetragen. Wenn da ein Fehler wäre, dann ginge es ja gar nicht. Der Client zeigt mir auch eine Verbindung mit fast 90% Geschwindigkeit an. Alles in bester Ordnung. Das Einzige, was nicht gehen will, ist die VPN-Verbindung.
Das wollte ich ja auch schon im ersten Posting erwähnen. Ich stehe ein wenig unter Druck mit der Geschichte. Die Windows-Firewall ist aus. Versuchsweise habe ich auch mal die Firewall im Router ausgeschaltet. Letzteres hatte leider nicht den gewünschten Effekt.
Was mich am meisten stutzig macht, ist, dass ich das ja nicht zum ersten Mal mache. Normalerweise geht das mit Lancom so, dass man den Router aufstellt, die Clients installiert, alles konfiguriert und läuft. Wenn es nicht läuft, geht man halt nochmal alle Einstellungen durch und sucht den Fehler. Gefunden und läuft.
Seltsam.
Liebe Grüße
Erik
erstmal danke für die ausführliche Antwort.
Unter Windows kannst du niemals beide
Adapter aktiv haben wenn diese im gleichen IP
Netz arbeiten sollten ! Das Problem ist das
du dann beide Adapter in einem und demselben
IP Netz betreibst und damit kann Windows
nicht umgehen, da es dann nicht mehr weiss wo
es die Packete forwarden soll.
Adapter aktiv haben wenn diese im gleichen IP
Netz arbeiten sollten ! Das Problem ist das
du dann beide Adapter in einem und demselben
IP Netz betreibst und damit kann Windows
nicht umgehen, da es dann nicht mehr weiss wo
es die Packete forwarden soll.
Es geht aber auch nicht, wenn nur ein Adapter aktiv ist. Bzw. es geht immer auf der LAN-Karte und nie auf der WLAN-Karte, auch wenn das Kabel gezogen oder die Karte deaktiviert ist.
Die Fehlermeldungen sind
widersprüchlich so wie du sie gepostet
widersprüchlich so wie du sie gepostet
Yupp! Deshalb rätsle ich ja. ;)
1.) WPA Problem:
Kannst du über die WLAN Verbindung den
AP pingen bzw. funktioniert die WLAN
Verbindung sauber ??? (Internetzugriff ok
etc..)
Kannst du über die WLAN Verbindung den
AP pingen bzw. funktioniert die WLAN
Verbindung sauber ??? (Internetzugriff ok
etc..)
Ooops, das wollte ich doch reinschreiben. Sorry. Ja, die WLAN-Verbindung funktioniert. Das macht ja die Meldung so vollständig absurd. IKE-Fehler kommt im Fenster, in dem der Verbindungsaufbau grafisch dargestellt wird. Ich vermute, dass der kommt, weil es keine passendere Meldung für den Fehler gibt.
Beide WLANs sollten unterschiedliche
eindeutige SSIDs haben falls die
Verschlüsselung in beiden WLANs
unterschiedlich ist !!! Dasgleiche gilt
für die Schlüsselverfahren
WEP/WPA.
eindeutige SSIDs haben falls die
Verschlüsselung in beiden WLANs
unterschiedlich ist !!! Dasgleiche gilt
für die Schlüsselverfahren
WEP/WPA.
Es gibt nur ein WLAN. Auf der anderen Seite des Tunnels steht der Lancom 1711 ohne WLAN. Insofern kann das nicht zu Problemen kommen.
2.) VPN Problem (IKE)
Anhand der Fehlermeldung kann man vage
schliessen das der VPN Client IPsec als VPN
Protokoll nutzt ??? Ist dem so ???
Du musst dann natürlich auf dem Router
ein entsprechendes Port Forwarding
konfigurieren. Wenn du bzw. der VPN Client
wirklich IPsec im ESP Modus benutzt muss
Anhand der Fehlermeldung kann man vage
schliessen das der VPN Client IPsec als VPN
Protokoll nutzt ??? Ist dem so ???
Du musst dann natürlich auf dem Router
ein entsprechendes Port Forwarding
konfigurieren. Wenn du bzw. der VPN Client
wirklich IPsec im ESP Modus benutzt muss
Nein, ich benutze den NAT-T-Modus. Ich weiß, dass das nicht maximal sicher ist. Aber das sollte für den Zweck reichen. Der Kunde handelt mit Backsaaten und nicht mit Atomraketen. ;) Außerdem brauchen wir das sowieso so, da das vor allem vom Hotel aus funktionieren soll. Und ich glaube kaum, dass die Hotels willens und in der Lage sind, für jeden Gast den Router neu zu konfigurieren. ;)
Vermutlich ?! ist Letzteres bei dir der Fall
!!!
Wenn der Router das Problem wäre, dann würde ja auch die LAN-Verbindung nicht gehen. Die geht aber problemlos. Also ist prinzipiell der Client und auch der Lancom-Router auf der anderen Seite richtig eingerichtet. Auch von meinem Büro aus habe ich keinerlei Probleme den Tunnel aufzubauen und zu nutzen.
Mit WLAN hat es einen Tag lang funktioniert und seit dem nie wieder. Ich habe alles, was mir einfiel, probiert und noch ein paar absurde Sachen mehr. Bei vollständig einwandfreiem WLAN-Betrieb kann kein VPN-Tunnel aufgebaut werden.
Und im Verbindungsprotokoll steht WPA Authentication Error. Aber wenn WPA nicht korrekt eingerichtet wäre, dann ginge ja die ganze Verbindung nicht. Ich kann aber surfen und Emails abrufen. Alles läuft in gewohnter Geschwindigkeit. Also kein Grund, an der Verbindung zu zweifeln. Warum dann dieser Fehler?
Der Client selbst managed die WLAN-Verbindung. D. h. hier ist der key und alles weitere über das Netz eingetragen. Wenn da ein Fehler wäre, dann ginge es ja gar nicht. Der Client zeigt mir auch eine Verbindung mit fast 90% Geschwindigkeit an. Alles in bester Ordnung. Das Einzige, was nicht gehen will, ist die VPN-Verbindung.
Das wollte ich ja auch schon im ersten Posting erwähnen. Ich stehe ein wenig unter Druck mit der Geschichte. Die Windows-Firewall ist aus. Versuchsweise habe ich auch mal die Firewall im Router ausgeschaltet. Letzteres hatte leider nicht den gewünschten Effekt.
Was mich am meisten stutzig macht, ist, dass ich das ja nicht zum ersten Mal mache. Normalerweise geht das mit Lancom so, dass man den Router aufstellt, die Clients installiert, alles konfiguriert und läuft. Wenn es nicht läuft, geht man halt nochmal alle Einstellungen durch und sucht den Fehler. Gefunden und läuft.
Seltsam.
Liebe Grüße
Erik
Dann bleibt eigentlich fast nur noch ein MTU Problem am WLAN Interface des Laptops. Die solltest du testweise mal runtersetzen auf 1392 oder einen ähnlichen Wert und dann versuchen das VPN aufzubauen...
Programme wie Improve TCP oder Dr. TCP helfen dabei:
http://www.aidex.de/software/improve-tcp/
bzw.
http://www.broadbandreports.com/drtcp
Programme wie Improve TCP oder Dr. TCP helfen dabei:
http://www.aidex.de/software/improve-tcp/
bzw.
http://www.broadbandreports.com/drtcp
Hallo zusammen,
nun die Lösung des Problems:
Ich hatte der WLAN-Karte für das lokale Netz eine feste IP gegeben, da DHCP via WLAN in dem Fall recht lange dauerte. Die IP lag allerdings in einem anderen Netz als die des VPN. Trotzdem hat das den Effekt gehabt, dass die VPN-Verbindung zustande kam.
Sehr geholfen bei der Analyse hat mir Folgendes:
Man kann, sofern freigeschaltet, auch aus der Ferne mit ssh auf den Router zugreifen. Unter Linux einfach auf der shell "ssh externe-router-ip2" eingeben. Dyndns geht natürlich auch. Dann Passwort und man ist auf der root-shell des routers. Hier gibt man "trace # vpn-st" ein, um einen vpn trace zu starten. Danach versucht man, die Verbindung herzustellen und kann auf der shell nachlesen, was denn beim router so ankommt und was er so antwortet. Naja, ein wenig Fachkenntnis brauchts, um das zu verstehen. ;)
Die Logik, warum ich der WLAN-Karte keine feste IP geben darf, obwohl das im LANCOM-Client so vorgesehen ist, habe ich nicht verstanden. Vielleicht ist ja jemand schlauer. ;)
Liebe Grüße
Erik
nun die Lösung des Problems:
Ich hatte der WLAN-Karte für das lokale Netz eine feste IP gegeben, da DHCP via WLAN in dem Fall recht lange dauerte. Die IP lag allerdings in einem anderen Netz als die des VPN. Trotzdem hat das den Effekt gehabt, dass die VPN-Verbindung zustande kam.
Sehr geholfen bei der Analyse hat mir Folgendes:
Man kann, sofern freigeschaltet, auch aus der Ferne mit ssh auf den Router zugreifen. Unter Linux einfach auf der shell "ssh externe-router-ip2" eingeben. Dyndns geht natürlich auch. Dann Passwort und man ist auf der root-shell des routers. Hier gibt man "trace # vpn-st" ein, um einen vpn trace zu starten. Danach versucht man, die Verbindung herzustellen und kann auf der shell nachlesen, was denn beim router so ankommt und was er so antwortet. Naja, ein wenig Fachkenntnis brauchts, um das zu verstehen. ;)
Die Logik, warum ich der WLAN-Karte keine feste IP geben darf, obwohl das im LANCOM-Client so vorgesehen ist, habe ich nicht verstanden. Vielleicht ist ja jemand schlauer. ;)
Liebe Grüße
Erik
Das ist aus IP Sicht auch unverständlich und ggf. Lancom spezifisch. Danke fürs Feedback !
