Fl0

Hi, The Phase 1 Negotation fails. As I can see you use the ID type "IP". You should use the ID type "ASN.1-DN (Distinguished Name)" if you use certificates. Try to set the identical ID type on both sides (bintec & client) and check again. Otherwise take a look at the following FAQ from bintec: IPSec phase 1 authentication details " The authentication of IPSec peers will fail when different proposals (AES, 3DES, Blowfish,...) and/or different modes (id-protect, aggressive) are used. The example below shows the error message of a failed IPSec connection: 11:32:45 INFO/IPSEC: P1: peer 1 (PSKs) sa 5306 (I): failed id der_asn1_dn(any:0,[0..99]=C=de, ST=Bavaria, L=Nuremberg, O=Support, CN=R1200) -> ip 111.222.111.222 (No proposal chosen) In case of different modes (id-protect, aggressive) the solution is to choose an "id-protect" profile for "IKE (Phase 1) Defaults". " If it's not working, you should post a longer debug.

@Crash2001: Welchen Hintergrund hatte deine Idee mit dem DHCP-Relay-Agent?

Kanal 11 ist vollkommen in Ordnung.. Aber eins ist mir noch unklar: Welches Gerät spielt denn DHCP? edit: Tritt das Verhalten in beiden Richtungen auf, sprich: Roaming von Lancom -> Speedport & Roaming von Speedport -> Lancom?

Sorry, ich muss mich revidieren: Die Wi-Fi erlaubt auch 40MHz im 2.4GHz Band, allerdings ist dann das Feature "20/40 coexistence management" zwingend erforderlich & ich weiß nicht wie es da beim TP-Link TL-WA901ND aussieht.

Vorsicht.. Dass die Kanalbreite bei 802.11n (im 2,4 GHz) 40MHz ist, trifft nur auf nicht WiFi-zertifizierte APs zu. Laut Standard darf bei 802.11n im 2,4 GHZ-Band die Kanalbreite nur auf 20 MHz laufen -> also geht der Brutto-Durchsatz von 300 Mbits schon mal auf 144,4 Mbits runter (bei 2 Streams). Der Netto-Durchsatz entschpricht gaaanz grob geschätzt der Häfte des Brutto-Durchsatzes, also ~ 72 Mbits. Durch 8, um auf Mbyte/s zu kommen -> ~ 9Mbyte/s Evtl liegt dort der Hund begraben..

Hi, - "Ist die Angabe des BS überhaupt wichtig für die Aufgabe?" Nicht unbedingt. Es gibt z.B. IPSec-Client Programme, die auf verschiedenen Betriebssystemen laufen, z.B. der NCP-Client oder OpenSwan. - "Kann ein End-to-End VPN Router keine Site-to-Site?" Wenn zwei Router IPSec implementiert haben, können diese grundsätzlich Site-to-Site Verbindungen aufbauen. "End" bedeutet im Normalfall Client (z.B. ein PC), "Side" bedeutet LAN. Site-to-Site: LAN zu LAN Verbindung, z.B. das LAN in der Zentrale und das LAN in der Außenstelle werden über die beiden Router gekoppelt. End-to-Side: Clienteinwahl in ein LAN, z.B. Mitarbeiter X wählt sich von unterwegs mit seinem Laptop über UMTS in das Firmen-LAN ein. End-to-End: Clienteinwahl zu einem anderen Client, z.B. auf einem Exchange-Server, welcher IPSec kann. Voraussetzung für End-to-End ist: - dass einer der beiden Clients eine öffentliche IP-Adresse besitzt oder - dass die Router die IPSec-Anfragen an den Client weiterleiten. Gruß Fl0

@ JackC: yes Ein RS232bw reicht vollkommen. Zu der Aussage "Support hat die Kiste nicht mehr" kann ich nur sagen: stimmt nicht! Die R1200 Geräte werden offiziell bis zum 30.04.2014 supported (laut Homepage)!

Wenn du richtig Power brauchst, RXL12500!

Ist ja cool, danke für deinen Einsatz!

Könntest du das noch verifizieren? Das interessiert mich nämlich brennend

Lass mich raten: Dir wurde ein Speedport W723V zugeschickt? Es gibt schon Speedports, welche als reines VDSL-Modem laufen, z.B.: Speedport W721V, W722V, W920V, 300HS Diese gennanten Geräte sind allerdings schon "End of Sale" und werden offiziell nicht mehr vertrieben. Vielleicht findest du aber was in Ebay, Amazon, etc. Meines Wissens nach übernehmen diese Speedports das VLAN-Tagging, d.h. man muss am dahintergeschalteten Router kein VLAN Tag 7 mehr einrichten. LG Fl0

Hier bitte drauf achten, dass die Schnittstelle richtig ausgewählt wird. "WAN_ETHOA50-0" ist das Modem-Interface und nicht das WAN-Interface, über welches du rein kommst. Du meintest: "Kunden schicken uns über https://sub.meinedomäne.de:9836 Daten" Bitte versuch mal nur http:// und nicht https:// So, und jetzt debug her

"Load-Balancing mit Special Session Handling" ist das Zauberwort. Das heißt, dass z.B. ausgehende HTTPS-Verbindungen (Online-Banking) über eine beliebige, im Load-Balancing befindliche Leitung nach draußen gehen. Diese Session wird gespeichert und wird mit einem Timeout versehen. Somit brechen HTTPS-Verbindungen nicht mehr ab, weil diese nicht mehr über mehrere, verschiedene Quell-IP-Adressen des Routers abgesendet werden. Additional kann man beliebigen Traffic anhand von erweiterten Routen fest an ein WAN-Interface klatschen.

Seltsam: Erst geht PC1. Nachdem du die Geräte neu an einen anderen Switch angeschlossen hat, geht nur noch PC2. Die Frage muss ich einfach stellen: Du hast nicht zufällig einen IP-Adress-Konflikt in deinem Netzwerk? Hast du schon die LWL angeschlossen?

Unbedingt nachfragen, ob UDP Port 4500 verwendet wird (wenn ESP via NAT-T in UDP gekapselt wird).