.titleBar { margin-bottom: 5px!important; }

2500We LAN-LAN-Kopplung mit IPSec

Dieses Thema im Forum "DrayTek" wurde erstellt von maassen, 26 Dez. 2005.

  1. maassen

    maassen Neuer User

    Registriert seit:
    8 Nov. 2005
    Beiträge:
    4
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo zusammen,
    betreibe an zwei Standorten jeweils einen 2500We V2.54 dt., die über VPN miteinander verbunden sind. Derzeit funktioniert´s nur mit PPTP. Sobald ich auf die Schiene IPSec oder L2TP mit IPSec wechsle, klappt NIX mehr.

    Interessante Beobachtung: Die IPSec-Konfiguration auf beiden Routern muß auch im Fall der Nutzung von PPTP identisch sein (obwohl natürlich nicht genutzt), sonst geht auch bei PPTP NIX mehr...-mehr als seltsam!

    Gibt´s jemanden, der das Problem gelöst hat? Existieren spezielle Regeln zur Erzeugung der IPSec-Keys? (Man darf z. B. kein " verwenden)?

    Über ein paar Infos würde ich mich sehr freuen.

    Vielen Dank.
    Werner
     
  2. frank_m24

    frank_m24 IPPF-Urgestein

    Registriert seit:
    20 Aug. 2005
    Beiträge:
    17,571
    Zustimmungen:
    1
    Punkte für Erfolge:
    36
    Ort:
    Niederrhein
    Hallo,

    ein paar mehr Informationen wären hilfreich.

    was präzise heißt "geht NIX mehr"? Wird die Verbindung schon gar nicht aufgebaut? Oder fließen keine Daten? Gibts keine IP Adresse? Nutzt Du DHCP oder feste IP Adressen? Wie ist RIP konfugiriert? Steht unten rechts im LANLAN Profile "Private IP" oder "Public IP"? Nutzt Du nur LANLAN Profile oder sind auch DialIn User konfiguriert? Was sagt die VPN Status Seite?

    Was meinst du mit "IPSEC Konfiguration"? Den IKE Pre-shared Key? Oder PAP/CHAP Authentifizierung? Die braucht man für PPTP und L2TP.

    Sind im Control Setup alle VPN Services aktiviert? Sind im LANLAN Profile alle Keys/Nutzernamen/Passwörter richtig drin?. Die beiden Router nutzen auch sicher unterschiedliche Subnetze? Passen die Konfigurationen im General Setup dazu?

    Ich betreibe mit einem Arbeitskollegen auch zuweilen ein LANLAN Profile mit 2 Vigor2500 und kann sagen: Für PPTP braucht DEFINITV keine IPSec Konfiguration (IKE etc) angepasst zu werden. Wie das in den einzelnen Routern eingestellt ist, ist völlig egal. Erst wenn man wirklich IPSec/L2TP nutzt, sind die IKE Einstellungen im General Setup und im LANLAN Profile von Bedeutung.

    Viele Grüße

    Frank
     
  3. maassen

    maassen Neuer User

    Registriert seit:
    8 Nov. 2005
    Beiträge:
    4
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo,
    vielen Dank für die schnelle Antwort.
    Hier einige Infos, die evtl. weiterhelfen:
    0. Vorweg geschickt: PPTP-Verbindung läuft einwandfrei, daher denke ich daß die ganze IP-Konfig i.O. ist.
    1. "NIX mehr" heißt: Verbindung wird nicht aufgebaut
    2. Ich nutze DHCP, die IP Nr. der beteiligten PCs liegen in zwei verschiedenen Subnetzen. (192.168.1.0 und 192.168.3.0)
    3. Router haben jeweils xxx.xxx.x.1
    4. DynDNS wird genutzt und funktioniert
    5. RIP steht auf "Beide Richtungen" und "Ver. 2"
    6. "NAT aus"
    7. Nutze nur LAN2LAN-Profile
    8. VPN-Status-Seite zeigt bei PPTP korrekte Verbindung (mit IP-Adressen)
    9. VPN-Status-Seite bei IPSec zeigt KEINE Verbindung an
    10. Mit "IPSec-Konfiguration" meine ich im wesentlichen den Key bzw. dessen Erzeugung. Kann ich mir den aussuchen? Was muß ich beachten? Länge sprich Zeichenanzahl?
    11. VPN-Services alle aktiviert.

    Danke für die Hilfe.
    Schönen Gruß
    Werner
     
  4. frank_m24

    frank_m24 IPPF-Urgestein

    Registriert seit:
    20 Aug. 2005
    Beiträge:
    17,571
    Zustimmungen:
    1
    Punkte für Erfolge:
    36
    Ort:
    Niederrhein
    Hallo,

    habe gerade nochmal im Handbuch für den 2500 nachgelesen. Was meinst Du mit "IKE Pre-Shared Key" erzeugen lassen? Dazu habe ich nichts gefunden und kann mich auch nicht daran erinnern. Ich habe den immer bei der Konfiguration eingeben. Wenn man irgendwo im Vigor Keys erzeugen lassen kann (das will ich nicht ausschließen), wird er wahrscheinlich immer zufällige Folgen nehmen und damit immer unterschiedliche Keys. Damit wird sich nie eine VPN Verbindung aufbauen lassen, denn Pre-Shared Keys müssen auf beiden Seiten identisch sein (deswegen ja auch Pre-Shared = vorher verteilt).

    Im Handbuch des Vigors ist ein Beispiel für ein LAN-to-LAN Setup mit L2TP über IPSEC angegeben. Es ist allerdings etwas merkwürdig beschrieben.
    Dort stellen sie in der allgemeinen VPN Konfiguration (VPN and Remote Access Setup > VPN IKE / IPSec Setup) den IKE Pre Shared Key ein, und zwar wohl in beiden Routern den gleichen, obwohl das nicht ganz deutlich wird.
    Die Konfiguration der LAN-to-LAN Profile auf beiden Seiten unterscheiden sich dann nur noch in den L2TP Nutzernamen/Passwörtern: Was bei dem einen Dial-Out, ist bei dem anderen Dial-In und umgekehrt (klingt logisch). Die IKE Keys werden hier nicht mehr separat eingegeben, jedenfalls wird es nicht beschrieben.

    Durch Konfiguration von IKE Keys direkt im LAN-to-LAN Profil hat man die Möglichkeit hat, unterschiedliche Keys für die Verbindungen und für die Server/Client Seite festzulegen. Bei einer Konfiguration nur übers generelle Setup müssten ja alle IKE Keys in allen potenziellen VPN Partnern gleich sein: Das wäre grober Unfug. Aber für den Fall, das direkt im LAN-to-LAN Profil keiner drin ist, wird wahrscheinlich der generelle genommen. Ich würde den generellen IKE Key als "lokalen" Key und damit als Key fürs Dial-In nehmen und für Dial-Out separat den des anderen Routers eingeben.

    Wie immer gilt natürlich auch für IKE Keys: Eine möglichst chaotische Buchstaben/Zahlenfolge ist immer gut.

    Viele Grüße
     
  5. maassen

    maassen Neuer User

    Registriert seit:
    8 Nov. 2005
    Beiträge:
    4
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hi,

    da hätte ich dann noch nur zwei Fragen:

    1. Wie lang darf (soll) der Key sein? Hängt wohl von der IPSec-Methode ab, oder? (Mit "Key erzeugen" meinte ich übrigens eher Key eingeben)
    2. Welche IPSec-Methode habt Ihr bei Eurer Verbindung genutzt? Ich würde gerne hohe Sicherheit nutzen (sprich mit Datenverschlüsselung z.B 3DES, 168bit)

    Schönen Gruß
    Werner
     
  6. frank_m24

    frank_m24 IPPF-Urgestein

    Registriert seit:
    20 Aug. 2005
    Beiträge:
    17,571
    Zustimmungen:
    1
    Punkte für Erfolge:
    36
    Ort:
    Niederrhein
    Hallo,

    bei IKE ist es so, genau wie bei WPA und WPA2, dass der eigegebene String NICHT identisch ist mit dem Key. Eingeben tut man nur eine Art Passwort, dass zur Berechnung des Keys benutzt wird. D.h., der für die Verbindung genutzt Key ist immer gleich lang, was auch immer man eintippt.
    Aber da man den Key mit Hilfe dieses Passwortes ja berechnen kann, ist ein möglichst langes und möglichst chaotisches natürlich besser: Wenn nämlich jemand einfach alle Kombinationen aus sämmtlichen erlaubten Zeichen durchprobieren will, dann hat er mehr zu tun, bis er einen Treffer landet.

    Ich kenne den erlaubten Zeichenraum für IKE nicht, aber Groß- und Kleinbuchstaben sowie Zahlen gehen mit Sicherheit. Möglicherweise auch die "international üblichen Sonderzeichen" wie ",.-;:_!§$%&/()=?+*#". Ich habe mal kurz uber die Wiki Seite von IKE drüber geschaut. Es sieht so aus, als ob sogar alle 255 ASCII Zeichen erlaubt sind, aber das weiß ich nicht genau.

    Also 8 Zeichen munter gemischt sollten es schon sein. Im Vigor Handbuch das Beispiel ist "ABC123". Das halte ich nicht für passend.

    Übrigens: Bei WEP entspricht der eingegebene Key tatsächlich dem Verbindungsschlüssel. Deshalb ist dort auch die Länge fest vorgegeben.

    Viele Grüße

    Frank
     
  7. maassen

    maassen Neuer User

    Registriert seit:
    8 Nov. 2005
    Beiträge:
    4
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    ...die Sache läuft. Vielen Dank für Deine Hilfe.
    MfG
    Werner