Vigor 2820n VPN IPsec LAN to LAN (WIE?)

Lan2Lan, VPN, SSL-VPN, Remote DialIn, statische Routen, Radius Setup

Moderatoren: TommyTC, alf, Petrus, andreastc, DSL-Hexe, nobody

Vigor 2820n VPN IPsec LAN to LAN (WIE?)

Beitragvon Fergison5 » Mo 20.07.2009 - 19:21

Hi @ All,
ich kann mir vorstellen, dass es einige gibt, die jetzt wieder müde lächeln.
Aber ich kann versichern, dass ich seit 7 Wochen nichts anderes mache, als Handbücher, Anleitungen und Foren zu lesen, seitenweise alles auszudrucken - bin aber keinen Schritt weiter.
Es geht um folgendes Problem:
Bisher hatte ich einen Zyxel P334 als Router, mit dem ich einen VPN Tunnel mit IPSec zu meinem Kumpel (mit Zyxel Zywall 2 Plus als Router) auf den Rechner aufbauen konnte.
Alles über DynDNS und unserem gemeinsamen Schlüssel für IPsec.
Er hatte einen Ordner freigegeben, ich eben so, so konnten wir problemlos Daten miteinander austauschen.
Nun war aber der Zyxel kaputt und ich wollte mir etwas gutes tun und bin statt bei Zyxel zu bleiben zu DrayTek gewechselt und habe mir den 2820n zugelegt.
Das Einrichten für Alice ging ja alles schnell - aber mit dem VPN komme ich nicht weiter.
Ich habe mir auch hier die *.pdf-Anleitung für VPN gezogen, aber die bezieht sich leider nur auf den 2600/2900/2910 ist vom Mai 2007.
Nun ist die Oberfläche der deutschen Firmware 3.3.1 doch sehr unterschiedlich zur Anleitung.
Schon allein die Frage, ob ich für den Tunnel bei VPN/Lan-zu-LAN 2 Profile anlegen muss, einen für rein und einen für raus, oder ob alles in einem Profil eingetragen werden kann, konnte ich bisher nirgendwo raus lesen.

Die bisherige Konfiguration am Zyxel war folgendermaßen:
--------------------------------------------------------------------
Lokale Adresse: 192.168.769.704 (its a fake :lol: )
Remote Adreesse: 192.168.701.704 (its a fake :lol: )
Remote Adresse Ende/Maske: 255.255.255.255
Encapsulation: Tunnel
Algorithmus: ESP-DES-SHA1
IPSec Eingabemodus: IKE
DNS-Server(für IPSec VPN): 0.0.0.0
Eigene IP-Adresse: 0.0.0.0
Lokal-ID-Typ: Domain-Name
Lokal-Inhalt: IcHierMeinPC.dyndns.org (its a fake :lol: )
Peer-ID-Typ: Domain-Name
Peer-Inhalt: DaDerAnderePC.dyndns.org (its a fake :lol: )
Verschlüsselungsalgorithmus: DES
Authentifizierungsalgorithmus: SHA1
Negotiationmodus: Haupt
Authentifizierungsalgorithmus: MD5
SA Lebenszeit: 28800
Ausgetauschter Schlüssel: NaJaEbenUnserAusgetauschterSchlüssel
Perfect Forward Secrecy(PFS): kein
IPSec Algorithmus: IKE-ESP-DES-SHA1
--------------------------------------------------------------------------
Ich hoffe, die Profis können mit diesen Angaben genügend anfangen, und mir bitte, bitte Tipps geben, in welcher Maske ich diese Angaben bei meinem Vigor eingeben muss.
Oder müssen sogar/auch die Werte in der Zywall geändert werden, damit die beiden Router sich verstehen?
Hoffentlich habe ich mit dem Kauf des Vigor keinen Griff ins Klo gemacht, aber das glaube ich weniger. Bin halt 'n DAU. :oops:
---------------------------

Danke, Danke, Danke schon mal jetzt für jeden Beitrag!!!!

---------------------------
Fergison5
Fergison5
Grünschnabel
 
Beiträge: 3
Registriert: So 19.07.2009 - 13:13

Beitragvon ernschd » Di 21.07.2009 - 08:33

Hi,

so wie ich das verstanden habe, baut Dein Router die Verbindung auf?
Du musst beim Draytek immer nur eine LAN-zu-LAN Verbindung konfigurieren. Hier ein Beispiel, wie ich es mit einem Pre-Shared Key einrichten würde:

Allgemein
Anrufrichtung: raus.
Immer in Betrieb: je nach Bedarf ja oder nein.
Einstellungen zum Rauswählen
Verbindung zum VPN-Server über: IPSec Tunnel
Server-IP/Host-Name: hier verwenden wir eine feste IP, vielleicht versuchst Du es mit DaDerAnderePC.dyndns.org
IKE Authentifizierungsmethode: Pre-Shared Key
IPSec Sicherheitsmethode: Hoch(ESP) – 3DES mit Authentifizierung
Erweitert
IKE Phase 1 Modus: Aggressive mode
IKE Phase 1 Key Lifetime: 28800
IKE Phase 2 Key Lifetime: 3600
Perfect Forward Secret: aktiv
TCP/IP Netzwerk-Einstellungen
Remote Gateway-IP: 0.0.0.0
Remote Netzwerk-IP: 192.168.701.0
Remote Netzwerk-Maske: 255.255.255.255
RIP Richtung: inaktiv
Im NAT-Betrieb, betrachte entfernte Subnetze als: private IP

Aber ich kann Dir auf jedem Fall die Telefonnummer des Draytek-Support ans Herz legen, die Mitarbeiter sind (meist) sehr kompetent und hilfsbereit.

Gruß,
Ernschd
ernschd
User
 
Beiträge: 10
Registriert: Do 15.05.2008 - 13:50

Hallo Ernschd!

Beitragvon Fergison5 » Di 21.07.2009 - 17:44

Erst einmal mein Dank für die schnelle Antwort!

ernschd hat geschrieben:Hi,
so wie ich das verstanden habe, baut Dein Router die Verbindung auf?

Wie jetzt? Ich denke schon...
Vielleicht habe ich das alles nicht ausreichend erläutert?
Wenn ich meinen PC anschalte, hatte ich mit den geschilderten Zyxel-Einstellungen die Möglichkeit, über das DynDNS-Konto direkt auf den Ordner des PC meines Bekannten zuzugreifen, d.h. Daten rein kopieren oder von ihm auf meinen PC runter zuladen. Genau so hatte er Zugriff auf den freigegebenen Ordner meines PC.
Du musst beim Draytek immer nur eine LAN-zu-LAN Verbindung konfigurieren.

Als jeweils eine für rein, und eine für raus?
Hier ein Beispiel, wie ich es mit einem Pre-Shared Key einrichten würde:
Allgemein
Anrufrichtung: raus.
Immer in Betrieb: je nach Bedarf ja oder nein.
Einstellungen zum Rauswählen
Verbindung zum VPN-Server über: IPSec Tunnel
Server-IP/Host-Name: hier verwenden wir eine feste IP, vielleicht versuchst Du es mit DaDerAnderePC.dyndns.org

Genau, hier sollte m.E. die Peer-ID der Gegenstelle rein.
IKE Authentifizierungsmethode: Pre-Shared Key
IPSec Sicherheitsmethode: Hoch(ESP) – 3DES mit Authentifizierung
Erweitert
IKE Phase 1 Modus: Aggressive mode
IKE Phase 1 Key Lifetime: 28800
IKE Phase 2 Key Lifetime: 3600
Perfect Forward Secret: aktiv

... und was ist da mit Locale ID ? Muss da nicht mein DynDNS.org Kennung rein?
TCP/IP Netzwerk-Einstellungen
Remote Gateway-IP: 0.0.0.0
Remote Netzwerk-IP: 192.168.701.0

...also die Gegenstelle ?
Remote Netzwerk-Maske: 255.255.255.255
RIP Richtung: inaktiv
Im NAT-Betrieb, betrachte entfernte Subnetze als: private IP

den Eintrag gibt es leider nicht, nur NAT oder Routing
Aber ich kann Dir auf jedem Fall die Telefonnummer des Draytek-Support ans Herz legen, die Mitarbeiter sind (meist) sehr kompetent und hilfsbereit.

Da ich schon wieder den ganzen Nachmittag an den Settings gebastelt habe und immer noch nichts funktioniert, werde ich morgen mal den Telefon-Support bemühen. Meine beiden Mails wurden mehr als nichtssagend beantwortet, ein regelrechtes Armutszeugnis. Es kann ja nun nicht jeder IT-Technik studiert haben, nur um einen Vigor einstellen zu können. (hatte ich zu mindestens gedacht...)
Na ja, noch einmal meinen Dank für die Hilfe. Wenn es nichts wird, schalte ich das Teil ab und hole mir wieder einen Router von Zyxel.
---------------------------
Schönen Abend noch,
Fergison5
Fergison5
Grünschnabel
 
Beiträge: 3
Registriert: So 19.07.2009 - 13:13

Beitragvon nobody » Di 21.07.2009 - 19:36

Wenn Die anleitung nicht stimmen sollte:
Nimm die anleitung vom 2950 - das müsste hinkommen.

Eigentlich sollte das gehen, ich habe auch eine Verbindung zu einem Zywall.

aber:
Wenn modus "main" dann musst du eine statische IP haben.
wenn dyndns adressen verwendet werden musst Du den agressive modus nehmen, und, auch hier etwas an dem Zyxel profil ändern.

IKE Phase 1 und 2 Lifetime müssen zueinander passen.
Verbindung bei Draytek: "Call Direction: Both"
sowohl bei der ein wie auch bei der ausgehenden Verbindung den gleich PSK verwenden.

LocalID: hier kann stehen, was Du möchtest, wenn Du gerne den dyndns namen einträgst, warum nicht, wenn der zyxel router auf der gegenseite das erwartet.
nobody
Hardcore-Poster
 
Beiträge: 1332
Registriert: So 19.09.2004 - 16:45

Beitragvon ernschd » Mi 22.07.2009 - 09:59

Wenn Du auf beiden Routern jeweils eine Verbindung für Rein und Raus konfigurieren würdest, woher sollen die beiden wissen, welcher rein und welcher raus wählt?
Von daher musst Du einen Router als "Server", und einen als "Client" konfigurieren, also einer, der sich auf dem entfernten Router einwählt (Raus), und der andere lässt ihn logischerweise auf sich einwählen (Rein).

Die Einstellungen, die ich Dir vorgeschlagen habe, sind für die Einwahl des Vigor auf den Zyxel Zywall 2 Plus.

Den Email-Support kannst Du vergessen, aber wenn Du sie am Telefon hast, kannst Du sie so lange löchern, bis Du alle Einstellungen verstanden hast :wink:

Wie nobody geschrieben hat, kannst Du bei Locale ID reinschreiben, was Du willst, so lange auf beiden Seiten das gleiche steht.

TCP/IP: ja, die interne IP der Gegenstelle.

Ich kenne die Zyxel-Router nicht, aber versuche mal, bei einen Netgear-Router eine VPN-Verbindung einzurichten, danach wirst Du Draytek lieben :D
ernschd
User
 
Beiträge: 10
Registriert: Do 15.05.2008 - 13:50

Beitragvon nobody » Mi 22.07.2009 - 11:54

Da stimme ich ernschd zu, netgear ist ein s*$§%&ss!.

aber, man gewöhnt sich gerne an das, was man kennt. Kommt was neues, hat man keine lust sich auf die jeweils andere denke der entwickler einzustellen, und, gerät leicht in die Gefahr voreilig etwas als schlecht einzustufen - das ist normal.

aber auch: will man zwei router unterschiedlicher hersteller koppeln, ist das leider immer ein mehraufwand, da man die tücken beider Geräte kennen muss.
Ggf. beim zyxel das profil erstmal löschen und ein neues machen.

ägerlich beim draytek (besser bei netgear):
nur schwierig herausfindbar, warum eine VPN verbindung nicht geht. Im UI des routers sieht man leider nur, dass es nicht geht. Auch die ausgabe des protokolls über das telnet interface ist mager und kryptisch.
nobody
Hardcore-Poster
 
Beiträge: 1332
Registriert: So 19.09.2004 - 16:45

Danke

Beitragvon Fergison5 » Mi 22.07.2009 - 14:45

Bin gerade nach hause gekommen, muss ja auch noch arbeiten...
Werde nun allen Hinweisen nachgehen. Man verzeihe mir, wenn ich etwas "maulig" war, wegen Vigor. Kann ja sein, das es noch schlimmer geht... :cry:
-------------
Fergison5
Fergison5
Grünschnabel
 
Beiträge: 3
Registriert: So 19.07.2009 - 13:13


Zurück zu Fernzugriff und Netzwerkkopplung

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste

cron