Router-welchen?Habe Arcor-dsl WLAN-Modem100

Guten Morgen!
Ich habe hier drei PCs in einem WLAN-Netzwerk, wovon einer mit dem LAN-Kabel verbunden ist. Dieser ist seit zwei Wochen mit "Lancom Advanced VPN Client Version 2.01" eingerichtet und wird oft benutzt, um auf einen Server, der in einer anderen Stadt liegt, zuzugreifen.
Ich habe vor zwei Jahren, als ich zu Arcor wechselte, den Router "Arcor-dsl WLAN-Modem100" erhalten. Dieser hat bis jetzt eigentlich gut funktiniert.
Seit gut zwei Wochen muß jedoch dieser "Lancom"- Rechner zum arbeiten stundenlang ins Netz. Bei der Einwahl muß ich allerdings mehrfach den Router aus- und einschalten (auch den Rechner mal neustarten) bis ich die gewünschte Verbindung erhalte. Ich bekomme oft die Fehlermeldung "IKE-Fehler". Habe da schon bei Google nachgeguckt - das ist mir zu hoch...

Würde denn ein neuer Router Abhilfe schaffen? Ich habe gelesen,dass mein obiger Router ziemlich Kack* sein soll. Stimmt das?
Wäre ein Lancom-Router sinnvoll?
Wie installiere ich dann Arcor wieder? Die wollen doch ihre eigenen Router zu Installieren verwenden...Fragen über Fragen...

Vielleicht kann mir jemand einen Rat geben.
Danke schon mal.

 

Hi !
Kauf dir auf keine fall den Speedport 700v von T-onlein
der macht sich selber platt wenn man das W-Lan nicht
abgemeldet wird . Vielleicht lieht das auch an dem Netgear USB WG111.
Außerdem hat die Software einen Bug .(Kein WEP)



mcc++

 

Hallo,

nachfolgend erstmal einige Fragen:
1.) Hat die Verbindung zum Server schon einmal funktioniert?
2.) Wie lautet die exakte Fehlermeldung? (bspw. "IKE-Fehler (Phase 1) Kontakt zur Gegenseite verloren")
3.) Kannst du uns vllt. mitteilen, wie IPSec konfiguriert ist? (Transportmodus + ESP)
4.) Ist die Client-Software in der Lage mit NAT (Network Address Translation) umzugehen? (siehe auch RFC 3947 - Negotiation of NAT-Traversal in the IKE)

Ich denke nicht, dass es pauschal am Router liegt (der kann selber IPSec). Eventuell ist es nur ein Firewall- bzw. NAT-Problem. (In der Firewall sollte bei diesem Router standardmäßig UDP-Port 500 freigegeben sein für IKE).

BTW: Habe denselben Router, aber noch nie IPSec benötigt und somit auch noch keinen Client bzw. Server installiert. Bin aber mit dem Teil soweit zufrieden (bis auf das im Vergleich zum "richtigen" Zyxel fehlende QoS).

MfG Pentoxus

EDIT: Noch eine Frage, läuft die Client-Software im Aggressive oder im Main Mode?

 

Vielen Dank erst einmal für Deine Antwort!

Zu1)ja - aber auch mit gelegentlichen aber seltenen iKE-Fehler
2)IKE-Fehler Phase 1
3)wo kann ich da nachgucken?
4) und EDIT-Frage) Wie kriege ich das heraus?

Mir fällt eben noch etwas ein: ich habe auf diesem PC seit etwa 10 Tagen den Kaspersky drauf. Kann der etwas damit zutun haben, dieser Kasper?

 

Hi,

zu 3) am besten denjenigen Fragen, der das VPN auf der Serverseite administriert. Aber wenn es schon funktioniert hat, sollte es meines Erachtens ESP + Transportmodus sein. Die Benutzung des AH (Authentication Header) würde bei gerouteten Netzen überhaupt nicht funktionieren, da ständig die IP-Adressen getauscht werden und dann bei fehlerhafter Authentifizierung die Verbindung abgebrochen werden würde.

zu 4) Vllt. gibt es seitens Lancom eine Dokumentation / Readme-Datei, in der das geklärt wird.

zu 5 (Edit)) Siehe 4 bzw. wenn es irgendwelche Optionen gibt, da mal reinschauen (dürfte wohl aber Aggressive Mode [schätze mal, dass das dem IPSec Quick Mode entsprechen soll] sein, da es sonst auch nicht funktionieren dürfte).

@ Kaspersky:

Welche Version? Nur der Virenscanner oder inkl. Personal Firewall?
Wenn mit Personal Firewall, dann die mal testweise deaktivieren.

Werde noch etwas weiter recherchieren, was den IKE-Fehler 1 hervorrufen könnte (in Richtung NAT und Firewall). Ich denke immer noch, dass dort der Fehler steckt.

MfG Pentoxus

 

Hi,

hatte noch ein paar Fehler in den Erläuterungen (leider kann man seit geraumer Zeit nach über einer Stunde seinen eigenen Beitrag nicht mehr editieren):

- Aggressive Mode bzw. Main Mode erstellen die Security Assoziation für IKE. Dies schlägt bei dir schon fehl.
- Der Quick Mode ist die zweite Phase des Internet Key Exchange (IKE)

- Authentication Header macht keine Probleme beim Routing sondern bei NAT.
- Und zu allem Überfluss habe ich noch den Transport- mit dem Tunnelmodus verwechselt :blush:

Also sinnvoll für DSL-Verbindungen wäre folgende Kombination:

- IKE-Phase 1:
Aggressive Mode: ist zwar unsicherer, aber die eigene IP-Adresse (da dynamisch) ist ja noch nicht bekannt.

- IPSec:
im Tunnelmodus mit ESP ohne AH, wegen des NAT-Problems.


Noch ein Link (vielleicht hilft er ja zumindest fürs Verständnis):

http://rolfaugstein.com/content/view/18/57/

Hier wären v.a. die Bereiche über NAT-T und IPSec über TCP von Bedeutung.

MfG Pentoxus

PS: Ich bleibe dran und versuche noch Weiteres in Erfahrung zu bringen. Aber wie schon oben geschrieben, habe ich selber noch kein IPSec über NAT konfigurieren müssen.

EDIT:

Kannst du mal schauen, ob Port 500 per NAT auf deinen Rechner geforwarded wird, und in die Firewall, ob UDP 500 auch wirklich freigegeben ist?

 

Danke erstmal für Deine ausführlichen Antworten!
Eine Deaktivierung von Kaspersky (ich verwende nur den "Antivirus 6.0") hat gestern abend nichts gebracht, wir konnten aber aus Zeitgründen nur einen Versuch starten. Demnächst probieren wir es noch einmal.

Du meinst beim Firewall (MS, eine andere verwende ich nicht) bei "Port hinzufügen" Häkchen setzen bei "UDP" und dann die Portnumer "500" eingeben? Welchen "Name" soll ich da einsetzen?

Deine anderen Fragen kann ich noch nicht beantworten. Da muß ich den Techniker der auch die Gegenseite programmiert hat, löchern.

Ich melde mich dann nochmal.
Danke, erstmal.

 

Hi,

meinte die Firewall im Router, aber gut, dass du die MS-Firewall erwähnst. Vielleicht einfach mal deaktivieren (an die hatte ich gar nicht gedacht, da die bei mir eh immer deaktiviert ist.)

Kaspersky Antivirus brauchst du nicht zu deaktivieren, denn da ist keine Firewall, die irgendwelche Ports blockieren könnte.

1. [Wie du die Router-Firewall konfigurieren kannst]

- Browser starten
- IP-Adresse des Routers in die Adressleiste
- Zugangsdaten eingeben
- unter "Erweiterte Einrichtung" auf "Firewall" klicken
- "Filterset Internet-LAN" auf "Regeln - Übersicht" klicken

Dort sollte unter Regel Nummer 1 etwa folgendes stehen:

Ursprungs-IP:
beliebige oder die IP des IPSec-Gateways auf der Gegenseite

Ziel-IP:
beliebige oder explizit dein Rechner, wenn andere in dem LAN kein IPSec nutzen dürfen.

Dienst:
IKE(UDP:500)

Aktion:
Weiterleiten

Protokoll:
Ohne


2. [Wie du die NAT-Weiterleitung von Port 500 auf deinen Rechner legen kannst]

- Wieder im Router-Hauptmenü
- "Erweiterte Einstellungen" --> "NAT"
- Modus --> "Nur SUA" (ist am Einfachsten zu erläutern)
- auf "Details bearbeiten klicken"

bei erste und letze Portnummer 500 eintragen
und bei IP-Adresse die IP-Adresse deines Rechners.

Gruß


EDIT: Habe gerade noch etwas gesehen. Es gibt ein Preset für IPSecTunnel_ESP. Das müsste sicher auch freigegeben werden in der Firewall.

Habe noch ein Paar Sceenies gemacht:

Hauptseite der Router-Config:


Firewall (Internet - LAN):


IKE-Freigabe - die müsste bearbeitet werden (hierzu auf die Ziffer links im Bild klicken):


IPSec (Tunnel ESP) hinzufügen:


Hoffe, ich konnte helfen.

MfG

 

Ahhh, Danke!

Ich glaube, dank Deiner exakten Angaben kann ich da weiterarbeiten!

Ich komme jedoch erst wieder am Dienstag dazu - also bitte in der Zwischenzeit keine Antworten von mir erwarten!
Thx erstmal!