Jump to content

VPN mit Shrewsoft Client zu Lancom Router


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

hat schon mal jemand einen VPN mit Shrewsoft zum Lancom Router aufbauen können?

Ich habe mir via Lancom Assitent ein entsprechendes Ini-File erstellt und die Daten dann in den Shrew Client übertragen. Ich habe im Shrewclient auch über die Policy ein Netz angegeben, in das geroutet werden soll.

 

Der Tunnel steht dort so lange auf enable, bis ich z.B. eine IP in diesem Netzwerk anpinge.

Dann steht im Shrew-Client

 

session terminated by gateway

tunnel disabled

detached from key daemon

 

Eine Verbindung wird auch aufgebaut, ABER im LANmonitor habe ich einen Fehler drinnen.

 

 

Keine Regel für ID's gefunden - unbekannte Verbindung oder fehlerhafte ID (z.B. IP-Netzwerkdefinition) (Passiver Verbindungsaufbau, IPSec) [0x3201]

 

Was kann ich machen an der Stelle. Das ist bestimmt nur eine Kleinigkeit, die da im Lancom noch eingestellt werden müsste. Danke.

bearbeitet von shafner
Link zu diesem Kommentar

Hi,

 

generell funktioniert das ;) Was hast du denn im Shrew Soft Client konfiguriert? Funktioniert es ohne Probleme, wenn du alle Netze durch den Tunnel routest?

Passen die Firewall Regeln für die VPN Client Gegenstelle?

 

Deutlich einfacher sollte es allerdings, sein den Lancom Advanced VPN Client zu nutzen.

 

Gruß

Jan

Link zu diesem Kommentar

Hallo Jan,

im Client habe ich schon die Einstellung mit allen Netzen versucht, da klappt leider auch nicht.

 

mit dem Lancom Advanced Client hat alles geklappt. Aber der kostet ja auch pro Lizenz knapp 99.- und für 25 Stück knapp 2000.-

Da wäre viel Geld gespart, wenn es mit der freien Variante geht.

 

Die Firewall Regel sollte doch automatisch angepasst werden, wenn ich das VPN/RAS Profil mit dem Assistenten durchklicke oder irre ich mich da?

 

Habe aber auch schon aus der Knowledgebase von Lancom einen Artikel bzgl. Firewall Einstellungen angewandt und hat danach leider auch nicht geklappt.

 

Das hier war der KB:

https://www2.lancom.de/kb.nsf/1275/F0C3A3BB7932556DC1256DEF003B0915?OpenDocument

 

Muss die Regel dann nach oben geschoben werden bzgl. Priorität oder was ist da am besten?

bearbeitet von shafner
Link zu diesem Kommentar

Hi,

 

wieviele Stunden hängst du schon an dem Problem? Arbeitest du kostenlos? ;)

Generell sollte der Assistent die Firewall korrekt einrichten.

 

Evtl. findest du hier noch etwas nützliches:

https://www2.lancom.de/kb.nsf/1275/F0C3A3BB7932556DC1256DEF003B0915?OpenDocument

https://www2.lancom.de/kb.nsf/1275/C49618D4B60FB7D5C125751B003C276F?OpenDocument

 

 

Ansonsten: "trace # vpn-status @ <CLIENTNAME>" und dann die Verbindung aufbauen. Wenn der Tunnel steht evtl. ein "show vpn" und gucken ob VPN / Firewall Regeln passen.

 

Gruß

Jan

Link zu diesem Kommentar

Bei Show vpn bekomme ich die Ausgabe

 

 

admin@CC_Router:/
> show vpn

VPN SPD and IKE configuration:

  # of connections = 1

  Connection #1                 0.0.0.0/0.0.0.0:0 <-> 192.168.24.25/255.255.255.                  255:0 any

    Name:                       LANCOM
    Unique Id:                  ipsec-0-LANCOM-pr0-l0-r0
    Flags:                      aggressive-mode
    Local  Network:             IPV4_ADDR_SUBNET(any:0, 0.0.0.0/0.0.0.0)
    Local  Gateway:             IPV4_ADDR(any:0, 0.0.0.0)
    Remote Gateway:             IPV4_ADDR(any:0, 109.43.2.66)
    Remote Network:             IPV4_ADDR(any:0, 192.168.24.25/255.255.255.255)
 

 

Stop, jetzt geht es; du hast mir jetzt echt sehr geholfen :-)

 

Bin bei der Ausgabe von show vpn auf die Remote-Network IP gestoßen (192.168.24.25)

Hatte bei mir am Shrew Client aber die 192.168.24.140 eingetragen... habe das geäöndert und jetzt klappt es.

 

Blöde Frage, muss ich für jeden VPN user ein eigenes Profil mit entsprechender IP anlegen?

bearbeitet von shafner
Link zu diesem Kommentar

Hi,

 

ja korrekt.

 

Wenn du den 1-Klick-Assistent genommen hast, sollte das eigentlich alles automagisch abgefragt und eingerichtet worden sein.. Außer du nutzt eine total veraltete Firmware..

 

Du musst eigentlich nur im LANconfig des Routers unter IPv4 -> Adressen: Erste Adresse, Letzte Adresse sowie DNS und WINS konfigurieren. Wenn dann im Client in der Site Configuration der Haken zur automatischen Konfiguration gesetzt ist, sollte das klappen.

 

Gruß

Jan

Link zu diesem Kommentar

Hi,

 

dann musst du am Client das weitere Subnet in den Tunnel routen und am Router in der VPN-SA Regel für den Client das weitere Netz erlauben. Wie ist der Lancom mit dem weiteren Subnet verbunden?

Am einfachsten ist es das zu testen, wenn du erstmal alles in den Tunnel routest und wenn dann alles funktioniert, das Split Tunneling aktivierst. Generell würde ich aber immer alles in den Tunnel routen, da du dann den kompletten Traffic unter Kontrolle hast.

 

Gruß

Jan

Link zu diesem Kommentar

Steht die Firewallregelerzeugung im VPN Partner auf "Manuell" oder "Automatisch"?

Generell sollte die vom Assistenten auf "Manuell" stehen und eine entsprechende Regel vorhanden sein (Prio. 0 und rot; bzw. sollte der Haken bei "Für die Firewall aktiv" deaktiviert sein und bei "Für die VPN Regelerzeugung" angehakt sein).

Link zu diesem Kommentar

Ich habe für jedes meiner VPN Profile eine Regel in der Lancom Firewall drinnen, die sind alle rot und haben Prio 0.

Die Haken sind auch so gesetzt, bei firewall aktiv ist keiner drinnen und Regel Erzeugung für VPN ist ein Haken drinnen.

 

Dann steht die Erzeugung auf automatisch ?

 

Bei Stationen ist bei der Verbindungsquelle von allen Stationen erlaubt und als Verbindungs-Ziel ist mein Profil drinnen.

 

An welcher Stelle packe ich dann das zweite Netz mit rein?

 

Danke für deine Hilfe.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...