TwoCom Online-Forum

[marci]

Hallo Leute,
mal ne Frage:

Habe einen 2600er Router. Der ist ganz normal konfiguriert. Bei der alten Firmware (Auslieferungszustand) hat es funktioniert, das ich auf meinen PC den VPN Client von Nortel (Extranet Client) angeschmissen habe und eine Verbindung zu unserem (Firmen) Server im internet hergestellt habe. (Also kein VPN mit dem Router, der ist wie gesagt ganz normal I-Net konfiguriert) Mit der neuen Firmware funktioniert es nicht mehr. Auch ein Einstellen des VPN Client Rechners in die DMZ hat keinen Erfolg gebracht. Wenn ich z.B. eine ISDN Verbindung an dem VPN Client PC mit einer ISDN Karte aufbaue, geht die VPN Verbindung zu unserem Firmenserver .. Jetzt hier die Frage: Woran kann das liegen? Habe auch schon versucht Port 500 und 1723 direkt auf die IP des VPN Client Rechners umzusetzen.. Kein Erfolg...
Woran liegt das? Das typische NAT Problem? Frage ist nur: Warum hat es mit der ersten Version funktioniert? (2.2.0??)

Gruss Marci

[Elwood]

Hallo marci,

Habe einen 2600er Router. Der ist ganz normal konfiguriert. Bei der alten Firmware (Auslieferungszustand) hat es funktioniert, das ich auf meinen PC den VPN Client von Nortel (Extranet Client) angeschmissen habe und eine Verbindung zu unserem (Firmen) Server im internet hergestellt habe. (Also kein VPN mit dem Router, der ist wie gesagt ganz normal I-Net konfiguriert) Mit der neuen Firmware funktioniert es nicht mehr. Auch ein Einstellen des VPN Client Rechners in die DMZ hat keinen Erfolg gebracht. Wenn ich z.B. eine ISDN Verbindung an dem VPN Client PC mit einer ISDN Karte aufbaue, geht die VPN Verbindung zu unserem Firmenserver .. Jetzt hier die Frage: Woran kann das liegen? Habe auch schon versucht Port 500 und 1723 direkt auf die IP des VPN Client Rechners umzusetzen.. Kein Erfolg...
Woran liegt das? Das typische NAT Problem? Frage ist nur: Warum hat es mit der ersten Version funktioniert? (2.2.0??)

ein aehnliches Problem hatte ich mit der Alcatel Secure VPN Clientsoftware (Release 3 und 4) mit meinem Vigor 2200E, Release 2.2 - mit dem neuen Release 2.2.3 konnte ich es noch nicht testen.

Ein wenig ausserhalb des Beitrages: was verwendest Du fuer einen Nortel Server? Eigentlich habe ich hier einen Alcatel OmniAccess 210 herumstehen, aber der Hersteller hat den Tod der VPN-Serie beschlossen. Die feine Ironie: das Geraet wurde erst Mitte dieses Jahres auf den Markt geworfen. Jetzt bin ich auf der Suche nach einem Nachfolger und Nortel fand ich ganz nett. Wie sind Deine Erfahrungen mit dem Server und der Client-Software?

[Elwood]

Hallo marci,

Habe einen 2600er Router. Der ist ganz normal konfiguriert. Bei der alten Firmware (Auslieferungszustand) hat es funktioniert, das ich auf meinen PC den VPN Client von Nortel (Extranet Client) angeschmissen habe und eine Verbindung zu unserem (Firmen) Server im internet hergestellt habe. (Also kein VPN mit dem Router, der ist wie gesagt ganz normal I-Net konfiguriert) Mit der neuen Firmware funktioniert es nicht mehr. Auch ein Einstellen des VPN Client Rechners in die DMZ hat keinen Erfolg gebracht. Wenn ich z.B. eine ISDN Verbindung an dem VPN Client PC mit einer ISDN Karte aufbaue, geht die VPN Verbindung zu unserem Firmenserver .. Jetzt hier die Frage: Woran kann das liegen? Habe auch schon versucht Port 500 und 1723 direkt auf die IP des VPN Client Rechners umzusetzen.. Kein Erfolg...
Woran liegt das? Das typische NAT Problem? Frage ist nur: Warum hat es mit der ersten Version funktioniert? (2.2.0??)

ein aehnliches Problem hatte ich mit der Alcatel Secure VPN Clientsoftware (Release 3 und 4) mit meinem Vigor 2200E, Release 2.2 - mit dem neuen Release 2.2.3 konnte ich es noch nicht testen.

Ein wenig ausserhalb des Beitrages: was verwendest Du fuer einen Nortel Server? Eigentlich habe ich hier einen Alcatel OmniAccess 210 herumstehen, aber der Hersteller hat den Tod der VPN-Serie beschlossen. Die feine Ironie: das Geraet wurde erst Mitte dieses Jahres auf den Markt geworfen. Jetzt bin ich auf der Suche nach einem Nachfolger und Nortel fand ich ganz nett. Wie sind Deine Erfahrungen mit dem Server und der Client-Software?

Hallo,

vielleicht mag das ja noch jemandem ausser mir helfen:

Die Nortel VPN-Clientsoftware mochte bei einem anderen Teilnehmer des Forums nicht mit einem Vigor zusammenarbeiten. Bildlich ausgedrueckt: Clientsoftware <-> Vigor <-> Internet <-> VPN Gateway (Nortel, Alcatel, Cisco oder sonst was)

ein aehnliches Problem hatte ich mit der Alcatel Secure VPN Clientsoftware (Release 3 und 4) mit meinem Vigor 2200E, Release 2.2 - mit dem neuen Release 2.2.3 konnte ich es noch nicht testen.

mit meinem Vigor 2200E (Firmware 2.2.3) laeuft nun der Alcatel Secure VPN Client 4.0 ohne Probleme - mal abgesehen von den Macken der Software unter Win2k. Der VPN-Client enthaelt keine besondere Magie, sondern pfeift nur ganz normales Ipsec. Moeglicherweise laesst sich das Ergebnis auch auf andere Software (Nortel, Cisco oder FreeS/Wan) uebertragen.

Schoenen Feierabend,
Elwood.

[marci]

Hallo Elwood,
also was wir mit an unseren RAS Einwahlservern hängen haben weiss ich nicht. (mehr) Bin irgendwie auf die Client Administration verschlagen worden. Nortel funktioniert als Client an sich recht gut unter NT4,W2k und XP (Aktueller VPN Client vorausgesetzt) Wir setzen den VPN Client firmenweit i.d.R. mit 128 bit Verschlüsselungstiefe ein (ausser ein paar unserer User sind in Embargo Länder - da entweder gar keine Verschlüsselung oder nur 56 bit) Als Authentifikation benutzen wir RSA Secure ID Karten mit wechselnden Token jede Minute. Funktioniert an sich schon viele Jahre reibungslos - wir haben ca. 10000 RAS User. Meine Meinung ist - das der Router kein IPSec Pass Trough beherrscht (nicht umsetzt), oder die NAT bzw. die PAT mit Port 500, 1723 oder UDP 10000 nicht sauber klar kommt. (Forwarding)
Normalerweise setzen wir Bintec Router ein, meine Idee war, um ein bischen Geld zu sparen auf Vigor´s umzusteigen zumindest für unsere Teleworker... Naja.. Aber so kann ich natürlich den Vigor nicht freigeben.. Also werden wir wohl erst mal bei den Bintec bleiben..
Ich muss halt mal die Ports tracen und gucken ob der Port 500 überhaupt sein "hello" rüberbringt. Aber zur Zeit hab ich viel zu tun mit der Migration auf W2k/XP.. Also ist das Thema erst mal auf Eis gelegt

[Elwood]

Hallo Elwood,
also was wir mit an unseren RAS Einwahlservern hängen haben weiss ich nicht. (mehr) Bin irgendwie auf die Client Administration verschlagen worden. Nortel funktioniert als Client an sich recht gut unter NT4,W2k und XP (Aktueller VPN Client vorausgesetzt) Wir setzen den VPN Client firmenweit i.d.R. mit 128 bit Verschlüsselungstiefe ein (ausser ein paar unserer User sind in Embargo Länder - da entweder gar keine Verschlüsselung oder nur 56 bit) Als Authentifikation benutzen wir RSA Secure ID Karten mit wechselnden Token jede Minute. Funktioniert an sich schon viele Jahre reibungslos - wir haben ca. 10000 RAS User. Meine Meinung ist - das der Router kein IPSec Pass Trough beherrscht (nicht umsetzt), oder die NAT bzw. die PAT mit Port 500, 1723 oder UDP 10000 nicht sauber klar kommt. (Forwarding)
Normalerweise setzen wir Bintec Router ein, meine Idee war, um ein bischen Geld zu sparen auf Vigor´s umzusteigen zumindest für unsere Teleworker... Naja.. Aber so kann ich natürlich den Vigor nicht freigeben.. Also werden wir wohl erst mal bei den Bintec bleiben..
Ich muss halt mal die Ports tracen und gucken ob der Port 500 überhaupt sein "hello" rüberbringt. Aber zur Zeit hab ich viel zu tun mit der Migration auf W2k/XP.. Also ist das Thema erst mal auf Eis gelegt

High Marci,

vermutlich werde ich in den naechsten Wochen auf Nortel (Contivity 1700) umsatteln und natuerlich habe ich das zweifelhafte Vergnuegen fuer die Server- und die Clientseite verantwortlich zu sein.

NAT-Probleme: vermutlich kommen die meisten Router mit den TCP (6) und UDP (17) Paketen zurecht. Aber PPTP will nunmal auch GRE (47) und IPsec lechzt nach den ESP (50) und AH (51). Allerdings ist meine Erfahrung eher, das irgendwo eine nette kleine vergessene Firewall (sei es als Hardware oder Zonealarm) sitzt. Die toetet dann recht zuverlaessig das IPsec.

Bintec: davon habe ich hier auch einige ISDN-Router fuer die ISDN-Standleitung rumstehen, die alten Ascend Pipelines funktionierten frueher nur mit Waehlleitungen zuverlaessig. Die Bintecs sind wirklich schweineteuer, aber die harte Ware ist ordentlich verarbeitet und sehr stabil.

Nortel-Client und Vigor: zumindest mit dem 2k2 duerfte es mit der neuen Betafirmware 2.2.3 keine Probleme geben. Mehr kann ich Dir aber erst sagen, wenn das Gateway - zumindest als Teststellung - in meine Haende gefallen ist. Falls Du die Vigoren bei mir kaufst, kann ich Dir dann sicher exzellenten Support fuer Nortel geben hehehe

Viel Erfolg und schoenes Wochenende.

[marci]

Wer bist Du denn, und wo kann ich bei Dir kaufen?
Naja, davon mal abgesehen: Ich kann das auch nur weitergeben, für den EInkauf haben wir unsere Kaufleute Aber ich gebe Dich gerne als Händlerreferenz für Vigors weiter )