2
VPN Problem mit Lancom und Unifi USG
Guten Morgen,
vorab als Info: Der Kunde wollte die Konfiguration so und daran lässt sich auch nichts ändern.
Ist-Situation:
Lancom Router (Modell hab ich grad nicht im Kopf) der die Verbindung zum Internet herstellt. Daran ist eine Telefonanlage (auf die die Telekom Zugriff braucht) und ein Unifi USG angeschlossen.
Am USG dann der Rest vom Netz.
IP-Kreis des Lancom ist 10.0.70.0/24, der vom USG 10.0.6.0/24. Lancom Router wurde von der Telekom als "Exposed Host" eingerichtet und fast alle Ports werden an das USG weitergeleitet. Das USG hat die IP 10.0.70.124 am WAN, der Router 10.0.70.1. Die Telekom kann das USG vom Router aus anpingen in dich den Router aus dem 10.0.6.0er Netz auch. Ja, ich weiß...doppeltes NAT ist sche...
Jetzt ergibt sich folgendes Problem:
Ich soll mit Windows Bordmitteln ein VPN aufbauen. Auf dem USG ist bereits alles eingerichtet (Radius Server, Benutzer, Shared Secret etc. Läuft als L2TP/IPSec). Die Telekom hat dann auf dem Router beobachtet, dass die Pakete vom Router an das USG weitergeleitet werden und auch vom USG beantwortet werden. Aber es passiert nix. Ich bekomm nur die Meldung die Netzwerkverbindung zwischen dem Computer und dem VPN-Server nicht hergestellt werden konnte, da der Remoteserver nicht antwortet. Das Verbindungsproblem wir möglicherweise verursacht, weil eines der Netzwerkgeräte (Firewall/NAT/Router) zwischen Ihrem Computer und dem Remoteserver nicht für das Zulassen von VPN-Verbindungen konfiguriert ist.
Laut Telekom geht die Antwort vom USG an den Router, aber der scheint die Antwort nicht ins WWW weiterzugeben..
Irgendwelche Ideen?
Danke schon mal
vorab als Info: Der Kunde wollte die Konfiguration so und daran lässt sich auch nichts ändern.
Ist-Situation:
Lancom Router (Modell hab ich grad nicht im Kopf) der die Verbindung zum Internet herstellt. Daran ist eine Telefonanlage (auf die die Telekom Zugriff braucht) und ein Unifi USG angeschlossen.
Am USG dann der Rest vom Netz.
IP-Kreis des Lancom ist 10.0.70.0/24, der vom USG 10.0.6.0/24. Lancom Router wurde von der Telekom als "Exposed Host" eingerichtet und fast alle Ports werden an das USG weitergeleitet. Das USG hat die IP 10.0.70.124 am WAN, der Router 10.0.70.1. Die Telekom kann das USG vom Router aus anpingen in dich den Router aus dem 10.0.6.0er Netz auch. Ja, ich weiß...doppeltes NAT ist sche...
Jetzt ergibt sich folgendes Problem:
Ich soll mit Windows Bordmitteln ein VPN aufbauen. Auf dem USG ist bereits alles eingerichtet (Radius Server, Benutzer, Shared Secret etc. Läuft als L2TP/IPSec). Die Telekom hat dann auf dem Router beobachtet, dass die Pakete vom Router an das USG weitergeleitet werden und auch vom USG beantwortet werden. Aber es passiert nix. Ich bekomm nur die Meldung die Netzwerkverbindung zwischen dem Computer und dem VPN-Server nicht hergestellt werden konnte, da der Remoteserver nicht antwortet. Das Verbindungsproblem wir möglicherweise verursacht, weil eines der Netzwerkgeräte (Firewall/NAT/Router) zwischen Ihrem Computer und dem Remoteserver nicht für das Zulassen von VPN-Verbindungen konfiguriert ist.
Laut Telekom geht die Antwort vom USG an den Router, aber der scheint die Antwort nicht ins WWW weiterzugeben..
Irgendwelche Ideen?
Danke schon mal
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 659286
Url: https://administrator.de/contentid/659286
Printed on: April 18, 2024 at 18:04 o'clock
2 Comments
Latest comment
Arbeiten beide Geräte in einer Router Kaskade ? Wenn ja sagt der Fehler "der Remoteserver nicht antwortet." immer klar das die L2TP Ports (UDP 500, UDP 4500, UDP 1702 und das ESP Protokoll) nicht oder nur unvollständig vom davor kaskadierten Router geforwardet werden.
Das ist sehr gut möglich, denn der Lancom ist selber ja auch aktiver VPN Router. Die VPN Clients haben in einer Kaskade ja immer die Lancom IP als VPN Zieladresse und der Lancom wird vermutlich diesen Traffic als an ihn gerichtet intepretieren und nicht forwarden. Du musst also zuerst sicher checken das wirklich alle IPsec Funktionen auf dem Lancom deaktiviert sind und explizit die obigen L2TP Ports dort geforwardet werden an die dahinter kaskadierte USG. Viel sinnvoller wäre das VPN auf dem Lancom zu termieren, das würde diese unsägliche Frickelei mit der Kaskade überflüssig machen. Aber egal, warum einfach machen...
Details dazu findest du, wie immer, auch HIER.
Dann strategisch vorgehen:
Um das wasserdicht zu verifizieren das das Port Forwarding der L2TP VPN Ports auf dem Lancom Router davor sauber klappt, stöpselst du die USG ab und stattdessen einen Wireshark PC mit gleicher IP an. Dann startest du eine L2TP Session von einem remoten Rechner und checkst ob diese L2TP Requests sauber am Wireshark ankommen.
Idealerweise überprüfst du mit diesem L2TP Client, der dann im 10.0.70er Koppelnetz angeschlossen ist, zusätzlich auch den sauber funktionierenden L2TP Zugriff auf die USG.
Damit hast du dann sichergestellt das a.) das Port Forwarding sauber klappt und b.) der L2TP VPN Zugriff sauber klappt.
Du kannst dann sicher sein das dann auch der L2TP VPN Zugriff produktiv sauber klappt !
Das ist sehr gut möglich, denn der Lancom ist selber ja auch aktiver VPN Router. Die VPN Clients haben in einer Kaskade ja immer die Lancom IP als VPN Zieladresse und der Lancom wird vermutlich diesen Traffic als an ihn gerichtet intepretieren und nicht forwarden. Du musst also zuerst sicher checken das wirklich alle IPsec Funktionen auf dem Lancom deaktiviert sind und explizit die obigen L2TP Ports dort geforwardet werden an die dahinter kaskadierte USG. Viel sinnvoller wäre das VPN auf dem Lancom zu termieren, das würde diese unsägliche Frickelei mit der Kaskade überflüssig machen. Aber egal, warum einfach machen...
Details dazu findest du, wie immer, auch HIER.
Dann strategisch vorgehen:
Um das wasserdicht zu verifizieren das das Port Forwarding der L2TP VPN Ports auf dem Lancom Router davor sauber klappt, stöpselst du die USG ab und stattdessen einen Wireshark PC mit gleicher IP an. Dann startest du eine L2TP Session von einem remoten Rechner und checkst ob diese L2TP Requests sauber am Wireshark ankommen.
Idealerweise überprüfst du mit diesem L2TP Client, der dann im 10.0.70er Koppelnetz angeschlossen ist, zusätzlich auch den sauber funktionierenden L2TP Zugriff auf die USG.
Damit hast du dann sichergestellt das a.) das Port Forwarding sauber klappt und b.) der L2TP VPN Zugriff sauber klappt.
Du kannst dann sicher sein das dann auch der L2TP VPN Zugriff produktiv sauber klappt !
Hab die Lösung inzwischen selbst gefunden:
https://docs.microsoft.com/en-US/troubleshoot/windows-server/networking/ ...
https://docs.microsoft.com/en-US/troubleshoot/windows-server/networking/ ...
