Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DynVPN mit Lancom

Hallo
Astarouser

ich stehe vor dem Problem das ich einen VPN-Tunnel zwischen der ASG und einem LANCOM Router(1611+) aufbauen möchte.
Der Lancom sitzt in einem Dynamischen Netz welches nicht direkt von außen erreichbar ist (UMTS Einwahl mit 10er Netz welches geNATet wird).
Habe schon alles mögliche versucht aber der LANCOM will sich nicht mit der Astaro verbinden.
Zunächst muss ja der LANCOM der Astaro die IP mitteilen die ja wie schon geschrieben dynamisch ist.
Auch hier sehe ich ein Problem, denn der LANCOM wird evtl. eine 10.x.y.z Adresse an die Astaro senden welche damit nicht viel anfangen kann.
Es stellt sich die Frage ob der LANCOM überhaupt eine IP-Adressübermittlung starten muss?
Im LANCOM hat man mehrere Optionen zum übermitteln der LANCOM-seitigen IP (ICMP / UDP)
Hat jemand schon eine solche Konfiguration laufen? Also die Astaro als statischer Router und ein LANCOM der über eine dynamische Verbindung aufbaut?
(der Aufbau muss ja logischer Weiße vom LANCOM aus gestartet werden - die Astaro muss auf die Verbindung warten)

Auch wären die VPN/IPSEC Parameter interessant welche eingetragen wurden (LANCOM-seitig als auch auf der Astaro)
Die Art der Verbindung wäre mir egal (ob jetzt mit PSK oder Zertifikat)
Wenn mit Zertifikat dann wäre noch schön zu wissen wie?
(also ob man das Astarocert in den LANCOM lädt oder / und vom LANCOM auch eines in die Astaro)

Besten dank im Vorraus.

Andreas Krisch


This thread was automatically locked due to age.
  • Hallo Andreas, willkommen im User Forum!!

    Ich habe mal bei der SUCHEN Funktion 'Lancom' eingegeben und einige Infos gefunden. Vielleicht ist da ja schon etwas hilfreiches für Dich dabei?
    LANCOM 1811/1611+ => ASTARO V8.x VPN Kopplung ....
    Site2Site Astaro-> Lancom 1711

    Viel Erfolg!

    Grüße, Karsten
  • Hallo
    danke für die Hinweise (über die Suche bin ich auch schon auf die o.g. Beiträge gestoßen)
    Ich denke das es nur noch an Kleinigkeiten hängt.
    Die Astaro verweigert das Zertifikat.
    Hier mal ein Auszug aus dem Log der Astaro :
    2011:08:23-10:39:19 exchange pluto[19950]: "D_Mobile User"[1] 10.234.23.1 #71: responding to Main Mode from unknown peer 10.234.23.1
    2011:08:23-10:39:20 exchange pluto[19950]: "D_Mobile User"[1] 10.234.23.1 #71: ignoring informational payload, type IPSEC_INITIAL_CONTACT
    2011:08:23-10:39:20 exchange pluto[19950]: "D_Mobile User"[1] 10.234.23.1 #71: Peer ID is ID_DER_ASN1_DN: 'C=x, L=y, O=z'
    2011:08:23-10:39:20 exchange pluto[19950]: "D_Mobile User"[1] 10.234.23.1 #71: crl not found
    2011:08:23-10:39:20 exchange pluto[19950]: "D_Mobile User"[1] 10.234.23.1 #71: certificate status unknown
    2011:08:23-10:39:20 exchange pluto[19950]: "D_Mobile User"[1] 10.234.23.1 #71: no suitable connection for peer 'C=x, L=y, O=z' 


    Die Peer IDs stimmen (umgekehrte Reihenfolge im LANCOM) hier habe ich als Platzhalter nur "xyz" reingeschrieben.
    Evtl. ist ja auch der Zertifikatstyp falsch?


    Ich denke wenn man die Zertifikate richtig in den Griff bekommt sollte es kein Problem mehr sein.

    Mit dem PSK Ansatz bin ich nicht so weit gekommen weil die Astaro 1 PSK Schlüssel verwendet und der LANCOM 2 (PSK und Passwort)

    Mit freundlichen Gruß
    Andreas Krisch
  • Hallo,

    sowohl x509 Zertifikate, wie auch PSK funktionieren zwischen Lancom und Astaro. Bei Zertifikaten verwende ich für site2site Verbindungen als VPNid Hostnamen und für RemoteAccess Emailadressen als VPNid. In der Konfiguration des Lancom verndest du dann entsprechend Hostnamen oder Emailadressen als lokale und entfernte Identität.
    Schau dir per ssh/telnet die Ausgabe von "show vpn cert" an, dort sollte im letzten Abschnitt der "Subject alternate name" angezeigt werden.

    Richtest du eine PSK Verbindung ein so trägt der Lancom Assistent in der PPP-Tabelle ein Passwort ein, ist aber für MainMode Verbindungen irrelevant und wird vom Lancom auch nicht gesendet.
    Es sollte auch das Remote-LAN nicht in der "NetBios Routing-Tabelle" auftauchen falls die Funktion aktiviert ist, denn dann werden trotz konfigurierter MainMode Verbindung die dynamischen Athentifizierungs-Pakete gesendet und die Verbindung schlägt fehl.

    Viel Erfolg

    passi