VPN Aufbau funktioniert nicht mit eingetragenem Extranet

#1 Hallo,

ich habe ein Problem mit dem Aufbau eines VPN Tunnels.
Zum Einsatz kommen 2 LANCOM 3550.
Einer davon fungiert momentan als VPN- Server, der andere als Client, der per UMTS sich mit dem Server verbinden soll.
Das klappt soweit ganz gut.
Als Anhang erstmal der Plan, wie das Ganze aussehen soll.



Es soll also nach dem LANCOM- VPN evtl. noch ein weiteres VPN, z.B. über PPTP aufbebaut werden. Der ISA fungiert als PPTP- VPN Server.

Jetzt habe ich folgendes Problem:
Die Verbinung LANCOM-VPN über UMTS besteht, nur die PPTP Verbindung funktioniert nicht!
Bin ich in dem 10er Netz funktioniert sie aber.
Der ISA verwirft die Pakete, weil für ihn die Pakete auf der falschen Netzwerkkrte ankommen. Er bekommt Pakete von 192.168.1.x auf der externen Karte.

Ansich gibt es für mich da nur 2 Lösungen:

Entweder ich änder etwas am ISA, daß ihm so etwas egal ist, oder ich sorge dafür, daß das 1. Netz maskiert wird.
Diese Funktion dachte ich mit dem Extranet zu erreichen.
- Ist das richtig?
Trage ich ein Extranet in den 1. Lancom Router ein ommt die VPN Verbindung nicht mehr zusammen:
Meldung:

Zitat

[VPN-Status] 1900/01/03 01:18:06,820
IKE info: The remote server XXX.XXX.XXX.XXX:500 peer def-aggr-peer id <no_id> is En
igmatec IPSEC version 1.5.1
IKE info: The remote server XXX.XXX.XXX.XXX:500 peer def-aggr-peer id <no_id> suppo
rts NAT-T in mode draft
IKE info: The remote server XXX.XXX.XXX.XXX:500 peer def-aggr-peer id <no_id> suppo
rts NAT-T in mode draft
IKE info: The remote server XXX.XXX.XXX.XXX:500 peer def-aggr-peer id <no_id> suppo
rts NAT-T in mode rfc
IKE info: The remote server XXX.XXX.XXX.XXX:500 peer def-aggr-peer id <no_id> negot
iated rfc-3706-dead-peer-detection


[VPN-Status] 1900/01/03 01:18:06,820
IKE info: Phase-1 remote proposal 1 for peer def-aggr-peer matched with local pr
oposal 1


[VPN-Status] 1900/01/03 01:18:06,820
IKE log: 011806 Default dropped message from XXX.XXX.XXX.XXX port 500 due to notifi
cation type INVALID_ID_INFORMATION


[VPN-Status] 1900/01/03 01:18:06,830
IKE info: dropped message from peer unknown XXX.XXX.XXX.XXX port 500 due to notific
ation type INVALID_ID_INFORMATION

Irgend eine Idee, warum das mit dem Extranet nicht hinhaut?
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!

#2 Hallo HeVTIG!

Zitat

Die Verbinung LANCOM-VPN über UMTS besteht, nur die PPTP Verbindung funktioniert nicht!
Bin ich in dem 10er Netz funktioniert sie aber.

Habe ich das richtig verstanden, dass...
...du von deinem Notebook1 per VPN zu Notebook 2 (10'er Netz) und zu einem
entfernten LAN (192.168.1.0/24) verbinden möchtest?
...die Verbindung von Notebook2 -> Notebook1 funktioniert?

Mir fällt in diesem Fall ein IP-Problem ein. U.U. kommt das Notebook1 nicht ins 192'er Netz der Gegenseite weil es
ebenfalls eine IP aus dieser Range besitzt. I.d.R. wird dann eine APIPA zugewiesen, was aber nicht wirklich
weiterhilft.
Was passiert, wenn du Notebook1 eine andere LAN-IP (bspw. 192.168.2.x/24) zuteilst?

Das die Router GRE können bzw. für aus- und eingehende VPN-Verbindungen zertifiziert sind, nehme ich einfach mal an.

Falls es ein ISA Problem ist, muss ich leider passen. Ich habe keinerlei Ahnung über dessen Konfiguration.

Gruß,

Sepia

#3 Hallo Sepia,

vielen Dank für deine Antwort.

Zitat

Habe ich das richtig verstanden, dass...
...du von deinem Notebook1 per VPN zu Notebook 2 (10'er Netz) und zu einem
entfernten LAN (192.168.1.0/24) verbinden möchtest?
...die Verbindung von Notebook2 -> Notebook1 funktioniert?

Das Notebook2 steht da nur zum Test. Es ist halt letztendlich so, daß ich eine LAN-LAN Kopplung mit den 2 Routern per integriertem IPSEC herstelle.
IPSEC ist ja schön und gut, da ich aber plane Router zu nutzen, die eine Verbindung herstellen könnte ja jeder sich einfach an den Router stöpseln. Deshalb die Idee mit dem PPTP, da dort eine Authentifizierung notwendig ist, bevor man auf die internen Netzresourcen zugreifen kann.
Die Verbindung in das 10er Netz funktioniert einwandfrei.
Auch der PPTP VPN Server (der ISA) funktioniert vom 10er Netz aus.

Das Problem, was ich habe ist, daß der ISA die Verbindung blockt.
Im Protokoll sehe ich, daß mein Notebook1 auch dort mit seiner "echten(192.)" IP Adresse dort ankommt. Dem ISA hab ich aber gesagt, daß 192. auf der internen Seite ist. Jetzt kommt die Verbindungsanfrage von außen und er blockt es ab.

Es könnte eine Einstellung am ISA sein, oder aber ich müsste dafür sorgen, daß die IP von Notebook1 maskiert wird mit einer 10er Nummer.

Wenn ich die IP´s ändern könnte hätte ich kein Problem. Das Problem ist aber, daß letztendlich User das VPN nutzen sollen, die normalerweise in dem 192.er Netz arbeiten und nur Hauptbenutzerrechte haben.
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!

#4

Zitat

Das Problem, was ich habe ist, daß der ISA die Verbindung blockt.

OK, also eine Konfigurationsgeschichte des ISA-Servers. Ich habe gerade http://www.msisafaq.de/Anleitungen/2004/VPN/VPN_PPTP.htm
ergooglet. Hilft dir die dortige Anleitung vielleicht weiter?

Gruß,

Sepia

#5 Danke für den Link. Dort turne ich auch ständig wegen des ISA´s herum
Ich werd mal testen und berichten. Ich selber hoffe aber eher nicht am ISA, sondern eher am Router etwas verändern zu können.
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!