Fl0

Hi,

P1: peer 3 (...) sa 10 ®: failed ip x.x.x.x <- ip y.y.y.y (No proposal chosen)

The Phase 1 Negotation fails. As I can see you use the ID type "IP".

You should use the ID type "ASN.1-DN (Distinguished Name)" if you use certificates.

Try to set the identical ID type on both sides (bintec & client) and check again.

Otherwise take a look at the following FAQ from bintec:

IPSec phase 1 authentication details

"

The authentication of IPSec peers will fail when different proposals (AES, 3DES, Blowfish,...) and/or different modes (id-protect, aggressive) are used. The example below shows the error message of a failed IPSec connection:

11:32:45 INFO/IPSEC: P1: peer 1 (PSKs) sa 5306 (I): failed id der_asn1_dn(any:0,[0..99]=C=de, ST=Bavaria, L=Nuremberg, O=Support, CN=R1200) -> ip 111.222.111.222 (No proposal chosen)

In case of different modes (id-protect, aggressive) the solution is to choose an "id-protect" profile for "IKE (Phase 1) Defaults".

"

If it's not working, you should post a longer debug.

@Crash2001:

Welchen Hintergrund hatte deine Idee mit dem DHCP-Relay-Agent?

Kanal 11 ist vollkommen in Ordnung..

Aber eins ist mir noch unklar: Welches Gerät spielt denn DHCP?

edit:

Tritt das Verhalten in beiden Richtungen auf, sprich:

Roaming von Lancom -> Speedport & Roaming von Speedport -> Lancom?

Sorry, ich muss mich revidieren:

Die Wi-Fi erlaubt auch 40MHz im 2.4GHz Band, allerdings ist dann das Feature "20/40 coexistence management" zwingend erforderlich & ich weiß nicht wie es da beim TP-Link TL-WA901ND aussieht.

Das Problem mit 802.11n ist, dass die Kanalbreite doppelt so groß ist wie bei den älteren Standards und somit eigentlich nur Platz für 2 802.11n Netze in dem vorhandenen Bereich ist.

Vorsicht..

Dass die Kanalbreite bei 802.11n (im 2,4 GHz) 40MHz ist, trifft nur auf nicht WiFi-zertifizierte APs zu.

Laut Standard darf bei 802.11n im 2,4 GHZ-Band die Kanalbreite nur auf 20 MHz laufen -> also geht der Brutto-Durchsatz von 300 Mbits schon mal auf 144,4 Mbits runter (bei 2 Streams).

Der Netto-Durchsatz entschpricht gaaanz grob geschätzt der Häfte des Brutto-Durchsatzes, also ~ 72 Mbits.

Durch 8, um auf Mbyte/s zu kommen -> ~ 9Mbyte/s

Evtl liegt dort der Hund begraben..

Hi,

- "Ist die Angabe des BS überhaupt wichtig für die Aufgabe?"

Nicht unbedingt. Es gibt z.B. IPSec-Client Programme, die auf verschiedenen Betriebssystemen laufen, z.B. der NCP-Client oder OpenSwan.

- "Kann ein End-to-End VPN Router keine Site-to-Site?"

Wenn zwei Router IPSec implementiert haben, können diese grundsätzlich Site-to-Site Verbindungen aufbauen. "End" bedeutet im Normalfall Client (z.B. ein PC), "Side" bedeutet LAN.

• Site-to-Site: LAN zu LAN Verbindung, z.B. das LAN in der Zentrale und das LAN in der Außenstelle werden über die beiden Router gekoppelt.
  
• End-to-Side: Clienteinwahl in ein LAN, z.B. Mitarbeiter X wählt sich von unterwegs mit seinem Laptop über UMTS in das Firmen-LAN ein.
  
• End-to-End: Clienteinwahl zu einem anderen Client, z.B. auf einem Exchange-Server, welcher IPSec kann.
  

Voraussetzung für End-to-End ist:

- dass einer der beiden Clients eine öffentliche IP-Adresse besitzt

oder

- dass die Router die IPSec-Anfragen an den Client weiterleiten.

Gruß

Fl0

@ JackC: yes Ein RS232bw reicht vollkommen.

Zu der Aussage "Support hat die Kiste nicht mehr" kann ich nur sagen: stimmt nicht!

Die R1200 Geräte werden offiziell bis zum 30.04.2014 supported (laut Homepage)!

Wenn du richtig Power brauchst, RXL12500!

Ist ja cool, danke für deinen Einsatz!

Könntest du das noch verifizieren? Das interessiert mich nämlich brennend

Lass mich raten: Dir wurde ein Speedport W723V zugeschickt?

Es gibt schon Speedports, welche als reines VDSL-Modem laufen, z.B.: Speedport W721V, W722V, W920V, 300HS

Diese gennanten Geräte sind allerdings schon "End of Sale" und werden offiziell nicht mehr vertrieben.

Vielleicht findest du aber was in Ebay, Amazon, etc.

Meines Wissens nach übernehmen diese Speedports das VLAN-Tagging, d.h. man muss am dahintergeschalteten Router kein VLAN Tag 7 mehr einrichten.

LG

Fl0

ok, sehe gerade du machst es über Webinterface. Hier die Einstellung dafür.

[ATTACH=CONFIG]4997[/ATTACH]

Hier bitte drauf achten, dass die Schnittstelle richtig ausgewählt wird.

"WAN_ETHOA50-0" ist das Modem-Interface und nicht das WAN-Interface, über welches du rein kommst.

Du meintest:

"Kunden schicken uns über https://sub.meinedomäne.de:9836 Daten"

Bitte versuch mal nur http:// und nicht https://

So, und jetzt debug her

Ob es bei professionellen Loadbalancern eventuell eine Einstellung dafür gibt, dass http-Request entsprechend immer über eine bestimmte Leitung geschickt werden und dementsprechend die Antwort auch darüber kommt, weiß ich jetzt nicht - wäre aber durchaus denkbar.

"Load-Balancing mit Special Session Handling" ist das Zauberwort.

Das heißt, dass z.B. ausgehende HTTPS-Verbindungen (Online-Banking) über eine beliebige, im Load-Balancing befindliche Leitung nach draußen gehen. Diese Session wird gespeichert und wird mit einem Timeout versehen.

Somit brechen HTTPS-Verbindungen nicht mehr ab, weil diese nicht mehr über mehrere, verschiedene Quell-IP-Adressen des Routers abgesendet werden.

Additional kann man beliebigen Traffic anhand von erweiterten Routen fest an ein WAN-Interface klatschen.

Seltsam: Erst geht PC1. Nachdem du die Geräte neu an einen anderen Switch angeschlossen hat, geht nur noch PC2.

Die Frage muss ich einfach stellen: Du hast nicht zufällig einen IP-Adress-Konflikt in deinem Netzwerk?

Hast du schon die LWL angeschlossen?

Unbedingt nachfragen, ob UDP Port 4500 verwendet wird (wenn ESP via NAT-T in UDP gekapselt wird).

Hallo,

mal was ganz anderes: Hat das Gerät mit der IP 192.168.0.40 den R3002 als Defaultgateway eingetragen?

Nicht, dass es an der Rückroute scheitert. Wäre cool, wenn du den Debug posten könntest.

Gruß Fl0

Kannst du deinem WLAN-Router nicht sagen, dass er im 2,4 GHz Frequenzband mit einer Bandbreite von 40 MHz arbeiten soll?

LG

Fl0

Hi,

"Jedoch wird die VPN Verbindung nicht sauber aufgebaut bzw. ein Teil der Verbindung vom "BackUp" Router abgefangen."

Woran erkennst du das?

Läuft der IPSec-Tunnel stabil, wenn der BackUp-Router offline ist?

Zusätzliche Hinweise zu VPN-Tunneln:

Funkwerk Enterprise Communications [Automatisches Router-Backup (Redundanz) mit BRRP]

Grüße

Fl0

Schau dir das mal an:

Öffentlicher Internet-Zugang per WLAN HotSpot – gesetzeskonform

Kombiniert mit dem WLAN-Controller ist das eine super Lösung! Läuft bei uns wie geschmiert.

Du hast eben die Möglichkeit, mehrere SSIDs anzulegen z.B. eine für die Mitarbeiter (VLAN-ID 2) und eine für die Gäste (VLAN-ID 3). Dann kannst du dem Router sagen, dass er alles, was über die Gast-SSID reinkommt, über einen externen RADIUS-Server laufen soll.

Den Traffic könnte man anschließend mit einer Stateful Inspection Firewall reglementieren, sodass Gäste nur Zugriff aufs Internet haben dürfen.

Grüße

Fl0

Der Client hat seinen Router als Gateway drin.

Woher soll der Client wissen, dass das Zielnetz, in das er pingen will, über den RAS-Server zu erreichen ist?

Dann könnte es durchaus aufgrund von nicht offenen Ports und ähnlichen Gangeleien, wie z.B. keine Weiterleitung von GRE, sein, dass das gar nicht so funktioniert, wie du dir das vorstellst.

Dachte ich mir auch zuerst, aber da die VPN-PPTP Verbindung steht und auch ein Ping auf die Gegenstelle (Router im Homeoffice) erfolgreich ausgeführt wird, sollte es daran !normalerweise! nicht scheitern..

"Ping vom Quellnetz ins Zielnetz -> OK"

Also scheint es ja erstmal zu funktionieren.

"Ping vom Zielnetz in Quellnetz -> nicht OK."

Welchen Gateway hat der Client mit dem du gepingt hast?

Könntest du anstatt einen Ping mal ein Trace machen, um zu sehen welchen Weg der Client aus dem Zielnetz geht?

Ein Netzwerkplan wäre ganz schick.

Mit einem ordentlichen Router kannst du dir den dahintergeschalteten Router sparen. Du könntest auf LAN-Port 1 das 192.168.1.0/24 Netz legen und auf LAN-Port 2 das 192.168.2.0/24 Netz. Per Firewall könnten die Netze dann voneinander getrennt werden.

Auf dem Router konfigurierst du dann ein PPTP-Interface und gibst diesem Interface eine Route die ins 192.168.2.0/24 Netz über LAN-Port 2 routet. Am besten wäre aber du benutzt IPSec für die verschlüsselte Verbindung, ist sicherer als PPTP.

Sein Heimnetz hat folgendes Netz 192.168.1.0/24. Wir haben dann (Aufgrund gewünschter Netztrennung) hinter seinen eigentlichen Router noch einen Router gehangen, der eine PPTP-Verbindung zum Server in der Firma aufbaut. Hinter diesem Router ist das Netz 192.168.2.0/24.

Also sieht es so aus:

[internet] <-----> [Router1]<--192.168.1.0/24-->[Router2]<--192.168.2.0/24

Welcher Router macht jetzt was?

2. Kannst du nicht alles vom Bintec Router auf die Fritzbox umziehen und den Bintec quasi sterben lassen?

Niemals!

Was hast du für einen Bintec?