2500We LAN-LAN-Kopplung mit IPSec

maassen

Neuer User
Mitglied seit
8 Nov 2005
Beiträge
4
Punkte für Reaktionen
0
Punkte
0
Hallo zusammen,
betreibe an zwei Standorten jeweils einen 2500We V2.54 dt., die über VPN miteinander verbunden sind. Derzeit funktioniert´s nur mit PPTP. Sobald ich auf die Schiene IPSec oder L2TP mit IPSec wechsle, klappt NIX mehr.

Interessante Beobachtung: Die IPSec-Konfiguration auf beiden Routern muß auch im Fall der Nutzung von PPTP identisch sein (obwohl natürlich nicht genutzt), sonst geht auch bei PPTP NIX mehr...-mehr als seltsam!

Gibt´s jemanden, der das Problem gelöst hat? Existieren spezielle Regeln zur Erzeugung der IPSec-Keys? (Man darf z. B. kein " verwenden)?

Über ein paar Infos würde ich mich sehr freuen.

Vielen Dank.
Werner
 
Hallo,

ein paar mehr Informationen wären hilfreich.

was präzise heißt "geht NIX mehr"? Wird die Verbindung schon gar nicht aufgebaut? Oder fließen keine Daten? Gibts keine IP Adresse? Nutzt Du DHCP oder feste IP Adressen? Wie ist RIP konfugiriert? Steht unten rechts im LANLAN Profile "Private IP" oder "Public IP"? Nutzt Du nur LANLAN Profile oder sind auch DialIn User konfiguriert? Was sagt die VPN Status Seite?

Was meinst du mit "IPSEC Konfiguration"? Den IKE Pre-shared Key? Oder PAP/CHAP Authentifizierung? Die braucht man für PPTP und L2TP.

Sind im Control Setup alle VPN Services aktiviert? Sind im LANLAN Profile alle Keys/Nutzernamen/Passwörter richtig drin?. Die beiden Router nutzen auch sicher unterschiedliche Subnetze? Passen die Konfigurationen im General Setup dazu?

Ich betreibe mit einem Arbeitskollegen auch zuweilen ein LANLAN Profile mit 2 Vigor2500 und kann sagen: Für PPTP braucht DEFINITV keine IPSec Konfiguration (IKE etc) angepasst zu werden. Wie das in den einzelnen Routern eingestellt ist, ist völlig egal. Erst wenn man wirklich IPSec/L2TP nutzt, sind die IKE Einstellungen im General Setup und im LANLAN Profile von Bedeutung.

Viele Grüße

Frank
 
Hallo,
vielen Dank für die schnelle Antwort.
Hier einige Infos, die evtl. weiterhelfen:
0. Vorweg geschickt: PPTP-Verbindung läuft einwandfrei, daher denke ich daß die ganze IP-Konfig i.O. ist.
1. "NIX mehr" heißt: Verbindung wird nicht aufgebaut
2. Ich nutze DHCP, die IP Nr. der beteiligten PCs liegen in zwei verschiedenen Subnetzen. (192.168.1.0 und 192.168.3.0)
3. Router haben jeweils xxx.xxx.x.1
4. DynDNS wird genutzt und funktioniert
5. RIP steht auf "Beide Richtungen" und "Ver. 2"
6. "NAT aus"
7. Nutze nur LAN2LAN-Profile
8. VPN-Status-Seite zeigt bei PPTP korrekte Verbindung (mit IP-Adressen)
9. VPN-Status-Seite bei IPSec zeigt KEINE Verbindung an
10. Mit "IPSec-Konfiguration" meine ich im wesentlichen den Key bzw. dessen Erzeugung. Kann ich mir den aussuchen? Was muß ich beachten? Länge sprich Zeichenanzahl?
11. VPN-Services alle aktiviert.

Danke für die Hilfe.
Schönen Gruß
Werner
 
Hallo,

habe gerade nochmal im Handbuch für den 2500 nachgelesen. Was meinst Du mit "IKE Pre-Shared Key" erzeugen lassen? Dazu habe ich nichts gefunden und kann mich auch nicht daran erinnern. Ich habe den immer bei der Konfiguration eingeben. Wenn man irgendwo im Vigor Keys erzeugen lassen kann (das will ich nicht ausschließen), wird er wahrscheinlich immer zufällige Folgen nehmen und damit immer unterschiedliche Keys. Damit wird sich nie eine VPN Verbindung aufbauen lassen, denn Pre-Shared Keys müssen auf beiden Seiten identisch sein (deswegen ja auch Pre-Shared = vorher verteilt).

Im Handbuch des Vigors ist ein Beispiel für ein LAN-to-LAN Setup mit L2TP über IPSEC angegeben. Es ist allerdings etwas merkwürdig beschrieben.
Dort stellen sie in der allgemeinen VPN Konfiguration (VPN and Remote Access Setup > VPN IKE / IPSec Setup) den IKE Pre Shared Key ein, und zwar wohl in beiden Routern den gleichen, obwohl das nicht ganz deutlich wird.
Die Konfiguration der LAN-to-LAN Profile auf beiden Seiten unterscheiden sich dann nur noch in den L2TP Nutzernamen/Passwörtern: Was bei dem einen Dial-Out, ist bei dem anderen Dial-In und umgekehrt (klingt logisch). Die IKE Keys werden hier nicht mehr separat eingegeben, jedenfalls wird es nicht beschrieben.

Durch Konfiguration von IKE Keys direkt im LAN-to-LAN Profil hat man die Möglichkeit hat, unterschiedliche Keys für die Verbindungen und für die Server/Client Seite festzulegen. Bei einer Konfiguration nur übers generelle Setup müssten ja alle IKE Keys in allen potenziellen VPN Partnern gleich sein: Das wäre grober Unfug. Aber für den Fall, das direkt im LAN-to-LAN Profil keiner drin ist, wird wahrscheinlich der generelle genommen. Ich würde den generellen IKE Key als "lokalen" Key und damit als Key fürs Dial-In nehmen und für Dial-Out separat den des anderen Routers eingeben.

Wie immer gilt natürlich auch für IKE Keys: Eine möglichst chaotische Buchstaben/Zahlenfolge ist immer gut.

Viele Grüße
 
Hi,

da hätte ich dann noch nur zwei Fragen:

1. Wie lang darf (soll) der Key sein? Hängt wohl von der IPSec-Methode ab, oder? (Mit "Key erzeugen" meinte ich übrigens eher Key eingeben)
2. Welche IPSec-Methode habt Ihr bei Eurer Verbindung genutzt? Ich würde gerne hohe Sicherheit nutzen (sprich mit Datenverschlüsselung z.B 3DES, 168bit)

Schönen Gruß
Werner
 
Hallo,

bei IKE ist es so, genau wie bei WPA und WPA2, dass der eigegebene String NICHT identisch ist mit dem Key. Eingeben tut man nur eine Art Passwort, dass zur Berechnung des Keys benutzt wird. D.h., der für die Verbindung genutzt Key ist immer gleich lang, was auch immer man eintippt.
Aber da man den Key mit Hilfe dieses Passwortes ja berechnen kann, ist ein möglichst langes und möglichst chaotisches natürlich besser: Wenn nämlich jemand einfach alle Kombinationen aus sämmtlichen erlaubten Zeichen durchprobieren will, dann hat er mehr zu tun, bis er einen Treffer landet.

Ich kenne den erlaubten Zeichenraum für IKE nicht, aber Groß- und Kleinbuchstaben sowie Zahlen gehen mit Sicherheit. Möglicherweise auch die "international üblichen Sonderzeichen" wie ",.-;:_!§$%&/()=?+*#". Ich habe mal kurz uber die Wiki Seite von IKE drüber geschaut. Es sieht so aus, als ob sogar alle 255 ASCII Zeichen erlaubt sind, aber das weiß ich nicht genau.

Also 8 Zeichen munter gemischt sollten es schon sein. Im Vigor Handbuch das Beispiel ist "ABC123". Das halte ich nicht für passend.

Übrigens: Bei WEP entspricht der eingegebene Key tatsächlich dem Verbindungsschlüssel. Deshalb ist dort auch die Länge fest vorgegeben.

Viele Grüße

Frank
 
...die Sache läuft. Vielen Dank für Deine Hilfe.
MfG
Werner
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.