VPN mit Shrewsoft Client zu Lancom Router

[sakoti 11]

Hallo zusammen,

hat schon mal jemand einen VPN mit Shrewsoft zum Lancom Router aufbauen können?

Ich habe mir via Lancom Assitent ein entsprechendes Ini-File erstellt und die Daten dann in den Shrew Client übertragen. Ich habe im Shrewclient auch über die Policy ein Netz angegeben, in das geroutet werden soll.

 

Der Tunnel steht dort so lange auf enable, bis ich z.B. eine IP in diesem Netzwerk anpinge.

Dann steht im Shrew-Client

 

session terminated by gateway

tunnel disabled

detached from key daemon

 

Eine Verbindung wird auch aufgebaut, ABER im LANmonitor habe ich einen Fehler drinnen.

 

 

Keine Regel für ID's gefunden - unbekannte Verbindung oder fehlerhafte ID (z.B. IP-Netzwerkdefinition) (Passiver Verbindungsaufbau, IPSec) [0x3201]

 

Was kann ich machen an der Stelle. Das ist bestimmt nur eine Kleinigkeit, die da im Lancom noch eingestellt werden müsste. Danke.

bearbeitet 21. Januar 2015 von shafner

[testperson 1.677]

Hi,

 

generell funktioniert das ;) Was hast du denn im Shrew Soft Client konfiguriert? Funktioniert es ohne Probleme, wenn du alle Netze durch den Tunnel routest?

Passen die Firewall Regeln für die VPN Client Gegenstelle?

 

Deutlich einfacher sollte es allerdings, sein den Lancom Advanced VPN Client zu nutzen.

 

Gruß

Jan

[sakoti 11]

Hallo Jan,

im Client habe ich schon die Einstellung mit allen Netzen versucht, da klappt leider auch nicht.

 

mit dem Lancom Advanced Client hat alles geklappt. Aber der kostet ja auch pro Lizenz knapp 99.- und für 25 Stück knapp 2000.-

Da wäre viel Geld gespart, wenn es mit der freien Variante geht.

 

Die Firewall Regel sollte doch automatisch angepasst werden, wenn ich das VPN/RAS Profil mit dem Assistenten durchklicke oder irre ich mich da?

 

Habe aber auch schon aus der Knowledgebase von Lancom einen Artikel bzgl. Firewall Einstellungen angewandt und hat danach leider auch nicht geklappt.

 

Das hier war der KB:

https://www2.lancom.de/kb.nsf/1275/F0C3A3BB7932556DC1256DEF003B0915?OpenDocument

 

Muss die Regel dann nach oben geschoben werden bzgl. Priorität oder was ist da am besten?

bearbeitet 21. Januar 2015 von shafner

[testperson 1.677]

Hi,

 

wieviele Stunden hängst du schon an dem Problem? Arbeitest du kostenlos? ;)

Generell sollte der Assistent die Firewall korrekt einrichten.

 

Evtl. findest du hier noch etwas nützliches:

https://www2.lancom.de/kb.nsf/1275/F0C3A3BB7932556DC1256DEF003B0915?OpenDocument

https://www2.lancom.de/kb.nsf/1275/C49618D4B60FB7D5C125751B003C276F?OpenDocument

 

 

Ansonsten: "trace # vpn-status @ <CLIENTNAME>" und dann die Verbindung aufbauen. Wenn der Tunnel steht evtl. ein "show vpn" und gucken ob VPN / Firewall Regeln passen.

 

Gruß

Jan

[sakoti 11]

Bei Show vpn bekomme ich die Ausgabe

 

 

admin@CC_Router:/
> show vpn

VPN SPD and IKE configuration:

  # of connections = 1

  Connection #1                 0.0.0.0/0.0.0.0:0 <-> 192.168.24.25/255.255.255.                  255:0 any

    Name:                       LANCOM
    Unique Id:                  ipsec-0-LANCOM-pr0-l0-r0
    Flags:                      aggressive-mode
    Local  Network:             IPV4_ADDR_SUBNET(any:0, 0.0.0.0/0.0.0.0)
    Local  Gateway:             IPV4_ADDR(any:0, 0.0.0.0)
    Remote Gateway:             IPV4_ADDR(any:0, 109.43.2.66)
    Remote Network:             IPV4_ADDR(any:0, 192.168.24.25/255.255.255.255)
 

 

Stop, jetzt geht es; du hast mir jetzt echt sehr geholfen :-)

 

Bin bei der Ausgabe von show vpn auf die Remote-Network IP gestoßen (192.168.24.25)

Hatte bei mir am Shrew Client aber die 192.168.24.140 eingetragen... habe das geäöndert und jetzt klappt es.

 

Blöde Frage, muss ich für jeden VPN user ein eigenes Profil mit entsprechender IP anlegen?

bearbeitet 21. Januar 2015 von shafner

[testperson 1.677]

Hi,

 

ja du musst für jeden User ein Profil anlegen. Warum lässt du den Lancom Router nicht die IPs per IKE Config zuteilen? Dann sollten auch die automatisch generierten VPN Regeln funktionieren.

 

Gruß

Jan

[sakoti 11]

Wo stelle ich das ein?

 

Ansonsten müsste ich immer jeweils bei der IPv4 Routing Tabelle das Profil meines VPNs auswählen und dann die IP zuweisen oder?

[testperson 1.677]

Hi,

 

ja korrekt.

 

Wenn du den 1-Klick-Assistent genommen hast, sollte das eigentlich alles automagisch abgefragt und eingerichtet worden sein.. Außer du nutzt eine total veraltete Firmware..

 

Du musst eigentlich nur im LANconfig des Routers unter IPv4 -> Adressen: Erste Adresse, Letzte Adresse sowie DNS und WINS konfigurieren. Wenn dann im Client in der Site Configuration der Haken zur automatischen Konfiguration gesetzt ist, sollte das klappen.

 

Gruß

Jan

[sakoti 11]

Ja das passt wunderbar. Danke.

OneClick soll man nicht nutzen, was ich gelesen habe, wenn der ShrewClient zum Einsatz kommen soll.

Wo muss ich denn noch anpacken, wenn ich vom Client aus ein weiteres Subnet erreichen will?

Wenn ich unter Policy ein weiteres Subnet angebe, reicht das nocht nicht aus.

[testperson 1.677]

Hi,

 

wo hast du das denn gelesen? Solange man den Client entsprechen der Konfiguration im Router konfiguriert sollte es vollkommen egal sein, wie man das Profil erstellt ;)

 

Gruß

Jan

[sakoti 11]

Ok, gut zu wissen. Danke.

 

Kannst du mir auch weiterhelfen wegen dem anderen Subnet?

[testperson 1.677]

Hi,

 

dann musst du am Client das weitere Subnet in den Tunnel routen und am Router in der VPN-SA Regel für den Client das weitere Netz erlauben. Wie ist der Lancom mit dem weiteren Subnet verbunden?

Am einfachsten ist es das zu testen, wenn du erstmal alles in den Tunnel routest und wenn dann alles funktioniert, das Split Tunneling aktivierst. Generell würde ich aber immer alles in den Tunnel routen, da du dann den kompletten Traffic unter Kontrolle hast.

 

Gruß

Jan

[sakoti 11]

Hallo,

 

der Lancom ist mit jeweils einger konfigurierten Schnittstelle in das Subnet verbunden.

 

Ich finde keine VPN-SA Regel. Die sollte doch bei der Firewall IPv4 Regeln zu finden sein oder?

[testperson 1.677]

Steht die Firewallregelerzeugung im VPN Partner auf "Manuell" oder "Automatisch"?

Generell sollte die vom Assistenten auf "Manuell" stehen und eine entsprechende Regel vorhanden sein (Prio. 0 und rot; bzw. sollte der Haken bei "Für die Firewall aktiv" deaktiviert sein und bei "Für die VPN Regelerzeugung" angehakt sein).

[sakoti 11]

Ich habe für jedes meiner VPN Profile eine Regel in der Lancom Firewall drinnen, die sind alle rot und haben Prio 0.

Die Haken sind auch so gesetzt, bei firewall aktiv ist keiner drinnen und Regel Erzeugung für VPN ist ein Haken drinnen.

 

Dann steht die Erzeugung auf automatisch ?

 

Bei Stationen ist bei der Verbindungsquelle von allen Stationen erlaubt und als Verbindungs-Ziel ist mein Profil drinnen.

 

An welcher Stelle packe ich dann das zweite Netz mit rein?

 

Danke für deine Hilfe.