Hallo liebe Leute,

jetzt wo die Tage ein bisschen kälter werden hat vielleicht einer kurz Zeit mir dümmliche Fragen zu beantworten.


Kann der WMU9000VPN echtes Router zu Router VPN. Sprich 2 Intranets zu einem grossen Vereinigen ohne weitere VPN Software verwenden zu müssen. Mein Traum:

In Ort A hängt ein Intranet über den WMU9000VPN am Internet, in Ort B auch. Nun möchte ich aber auf einem Rechner an Ort A einen Datenbankserver an Ort B abfragen. z.B

OrtA: 192.168.100.1 anfrage an OrtB: 192.168.200.11

Sprich die Intranets verschmelzen per VPN. Ohne Software auf den Clients zu benötigen.


Vielen Dank für die Antwort. Wenn noch einer eine Anleitung oder details zur Funktionsweise hat wäre ich sehr sehr dankbar.

MfG consolex

Hi,

ja, das geht. Genau dafür wurde die IPSec Funktionalität im (W)MU-9000VPN implementiert. Achte bitte darauf, daß beide Router mindestens Firmware .43 besitzen.

Dann sollten beide Seiten eine Flatrate haben :) und auch einen (unterschiedlichen) dyndns Account.

Eine englische Anleitung ist im Handbuch (meines Erachtens) recht gut erklärt. Das Handbuch kannst Du hier bekommen: http://www.ovislink.de/9000VPNmanual.pdf

Bei Fragen meld Dich ruhig wieder!

Das Problem bei Deiner Konstellation könnte die Bandbreite sein: so eine Datenbankabfrage kann auch mal ziemlich umfangreich sein und da ja der Upstream in Deutschland meist recht gering ist...

Chris

So habe nun 2 der router. Einen WMU 9000 und einen MU

beide hängen an einem DynDNS Account und beide wurden 1:1
nach dem beispiel in der anleitung (Router2RouterVPN) konfiguriert.

An den ClientPCs ist doch bei einer Router 2 Router Verbindung keine zusätzliche Software mehr einzurichten.

Ausserdem geht aus der Anleitung nicht hervor, was unter


Local ID
Peer ID


einzutragen ist.

Wenn beide Router richtig konfiguriert sind sollte man doch einen rechner auf der anderen seite des tunnels pingen können? Oder?

Was gibt es zu beachten, hatte jemals einer erfolg beim herstellen eines vpn tunnels zu einem anderen vpn (Ovislink) router.

Ich dachte eben, bei zwei gleichen routern kann man nichts falschmachen.
Naja da kann man es mal wieder sehen.

Also vielen Dank für die Hilfe und das Gehör

MfG consolex

so dann antworte ich mir mal selber. Ich habe es jetzt hinbekommen, dass für ein paar minuten/stunden ein tunnel steht.

Wie aber bitte soll man euren Router in einem Büro als VPN Lösung verwenden indem normalos arbeiten, wenn der router ständig neu gestartet werden muss um den vpn tunnel (router2router) wieder herzustellen.

Hi,

lies doch mal http://support.21byte.de/viewtopic.php?t=155. Vielleicht sind da nützliche Hinweise dabei.

Chris

das ding funktioniert bei keinem menschen auf der welt stabil im router2router modus. Auch wenn auf der anderen Seite des Tunnels der selbe router hängt.

es geht schlichtweg nicht oder nur kurz, bis sich der tunnel nichtmehr aufbaut. Ich finde das Forum toll, denn Ihr versucht einem wirklich zu helfen, aber der router ist leider der letzte müll.


MFG ConsoleX

Hallo
Zu erst mal danke für die Infos die ich bisher in diesem Forum lesen konnte. (Schleim) :lol:

Aber trotz lese (das ja bekantlich Bilden soll) kann ich nicht wirklich finden was ich suche.

Also ich möchte auch gerne einen Tunnel von einem WMU 9000 zu einem WMU 9000 aufbauen.
Beide Firmware Version 1.01.044.
Beide eine DYNDNS (verschieden).
Dritte Stelle im IP-Bereich verschieden

Router1
Sichere lokale Gruppe
IP Adresse/Maske 192.168.XXX.0/24
Sichere entfernte Gruppe
IP Adresse/Maske 192.168.XX.0/24
Entferntes Secure Gateway
FQDN MXXX.XXXX.nu
Local ID nix
Peer ID nix
Verschlüsselung 3DES
Authentifizierung SHA1
Einkapselung Tunnel
PFS Enable
Pre-Shared Schlüssel XXXXXXXXXXXXX
Lebensdauer des Schlüssels 3600


So der zweite Router sieht genau so aus
Sichere lokale Gruppe und Sichere entfernte Gruppe
sind natürlich anders herrum.

Jetzt die Fragen?
Woran sehe ich das der Tunnel "Steht"?
B.Z. Wie wird er gestartet?
Wie ist das andere Netzwerk ansprech bar B.Z. sichtbar?

Ich weiß, einige werden mich als DAU verfluchen, aber auf die Frage "was steht auf Ihren Monitor" kommt nicht die Andwort "eine Kaffeetasse".
Habe nehmlich einen TFT :P

Hi, im Log unter VPN solltest du sehen, ob der Tunnel steht.
Und natürlich kannst du Adressen aus dem anderen Netz anpingen.

Hallo

unter VPN / IPSec SPI Informationen anzeigen / es erscheint nichts.
Unter Wartung / Protokoll / IPSec ist auch kein Eintrag.

Wann wird die Verbindung gestartet?
Sofort nach erstellen oder erst wenn die Verbindung "gebraucht" wird.

Sind noch irgent welche Einstellungen in Win (pro) nötig?
:oops:


mfg
Tapy

die Verbindung wird aufgebaut, sobald sie gebraucht wird.
Mach mal einen Ping auf den entfernten Router.
Auf die LAN IP und nicht auf den Dyndnsnamen!

noch mal Hallo

Ping auf Router und auf entfernte Rechner
100% packet loss
Ping aus dem Internet blockieren / deaktiviert

auf den Dyndnsnamen
0% packet loss

Zusammenfassung des IPSec VPN Tunnels

Interface ppp0 crypto map detail:

Crypto map "WXXXe" ipsec-isakmp
Match address 192.168.XXX.0/24 192.168.XX.0/24
Current peer: MXXX.XXXX.Xu
Transform-set={WXXXe}
Security association lifetime: 28800 seconds
PFS (Y/N): Y
ISAKMP authentication : Pre-share
ISAKMP Security association lifetime: 3600 seconds
Passive mode(Y/N) : N

Habe jetzt doch was im LOG stehen.
Kann aber nichts damit anfangen, Ihr vieleicht?

Datum Zeit Ereignis
Dec 6 08:37:47 WAN(WXXXe): max number of retransmissions (20) reached STATE_MAIN_I1. No response (or no acceptable response) to our first IKE message
Dec 6 08:37:47 WAN(WXXXe): starting keying attempt 97 of an unlimited number
Dec 6 08:37:47 WAN(WXXXe): initiating Main Mode to replace #808


Bin für jeden Tip dankbar.

mfg
Tapy

Tach

So Fehler erkannt und geheilt. :lol:

Aber jetzt habe ich eine richtige Sackgasse.

Könnte mir wohl jemand bei der entschlüsselung helfen?



Systemprotokoll vom ersten Rechner

Dec 6 21:15:27 WAN(Werne): responding to Main Mode
Dec 6 21:15:28 WAN(Werne): Peer ID is ID_IPV4_AXXR: '84.245.XXX.122'
Dec 6 21:15:28 WAN(Werne): sent MR3, ISAKMP SA established
Dec 6 21:15:28 WAN(Werne): responding to Quick Mode
Dec 6 21:15:29 WAN(Werne): IPsec SA established
Dec 6 21:15:57 WAN(Werne): received Delete SA payload: replace IPSEC State #329 in 10 seconds
Dec 6 21:15:57 WAN(Werne): received and ignored informational message
Dec 6 21:15:57 WAN(Werne): received Delete SA payload: deleting ISAKMP State #328


und ab hier Endlosschleife



Systemprotokoll vom zweiten Rechner

Dec 6 21:11:23 WAN(MP24): prepare command get failed -4
Dec 6 21:11:23 WAN(MP24): sent QI2, IPsec SA established
Dec 6 21:11:41 WAN(MP24): ignoring Delete SA payload: PROTO_IPSEC_ESP SA not found (maybe expired)
Dec 6 21:11:41 WAN(MP24): received and ignored informational message
Dec 6 21:11:52 WAN(MP24): terminating SAs using this connection
Dec 6 21:11:52 WAN(MP24): deleting state (STATE_QUICK_I2)
Dec 6 21:11:52 WAN(MP24): deleting state (STATE_MAIN_I4)
Dec 6 21:11:52 WAN(MP24): deleting connection
Dec 6 21:11:52 WAN(MP24): initiating Main Mode
Dec 6 21:11:53 WAN(MP24): WARNING: compute_dh_shared(): for OAKLEY_GROUP_MODP1536 took 209648 usec
Dec 6 21:11:53 WAN(MP24): Peer ID is ID_IPV4_ADDR: '82.83.24.95'
Dec 6 21:11:53 WAN(MP24): ISAKMP SA established
Dec 6 21:11:53 WAN(MP24): initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS+UP
Dec 6 21:11:54 WAN(MP24): prepare command get failed -4

und ab hier Endlosschleife



Informationen zum IPSec SPI (Security Parameters Index)

SPI Transforms Dir Source IP Policy
----------------------------- ------------------ --- --------------- ----------
esp0xd676cfe5@82.83.XX.95 ESP_3DES_HMAC_SHA1 in 84.245.XXX.122
esp0xd676cfe6@82.83.XX.95 ESP_3DES_HMAC_SHA1 in 84.245.XXX.122
tun0x1135@82.83.XX.95 IPIP in 84.245.XXX.122 192.168.XX.0/24->192.168.XXX.0/24
tun0x1137@82.83.XX.95 IPIP in 84.245.XXX.122 192.168.XX.0/24->192.168.XXX.0/24
tun0x1136@84.245.XXX.122 IPIP out 82.83.XX.95
tun0x1138@84.245.XXX.122 IPIP out 82.83.XX.95
esp0xdc6b03d3@84.245.XXX.122 ESP_3DES_HMAC_SHA1 out 82.83.XX.95
esp0xdc6b03d4@84.245.XXX.122 ESP_3DES_HMAC_SHA1 out 82.83.XX.95




Kann jemat damit was anfangen?
UND mir dann auch noch helfen?


Danke im vorraus

Tapy

haste mal ein Log, das Zeitlich von beiden Router auf die Sekunde übereinstimmt?

So kann ich das nicht an Ovislink schicken.

Malzeit

Also wie schon geschrieben ist es eine Endlosschleife.

ABER

Gestern haben wir mal die Verschlüsselung von 3DES auf AES128
und SHA1 auf MD5 gewechselt, siehe da der Tunnel lief.
Nach weiteren Testen haben wir die Verschlüsselung wieder "Hoch" gesetzt und auch dann lief er stabil.

Wir haben dann noch ein paar Test`s (so 30 min)gemacht und den Abend dann unter "Erfolg" gebucht.

Aber zu früh gefreut, heute morgen wieder die Endlosfehlerschleife.
Denke mal das es was mit der 24h Zwangstrennung zu tun hat.
Aber warum macht der Tunnel kein Reconekt?

Noch eine frage, die bisher keiner so richtig beantwortet hat.

Wie "sehe" ich die Rechner von meinem gegenüber.
Den Router und auch eine D-Box kann ich über den Exe. sehen und auch bedienen.
Die Rechner nicht.

Sorry wenn sich jemand über "so viele" Postings gestört fühlen mag (komm doch nicht mit jedem KLEINSCHEIß) aber ich denke nur so kann man auf Fehlern (anderer) lernen.

Danke für euer "Hirnschmalz" :roll:

Tapy