Solved
Digibox Premium Lan2Lan mit Fehlermeldung
9 years ago
Hallo,
wir kämpfen seit Wochen mit der Digibox Premium und nun mit einer Lan2Lan Verbindung. Wir hatten extra den Telekom Installationsservice gebucht und die ersten beiden Techniker hatten nur Ahnung von der Digibox aber nicht von der Premium. Der dritte Techniker war wenigstens für die Premium geschult, aber nach 6 Stunden bauen funktionierte noch nicht alles.
Was für ein Wahnsinn!
Der Vertrieb hatte uns 5 IP 120 Telefone mit dazu verkauft und es wäre auch kein Problem ein Telefon am Homearbeitsplatz hinzustellen, waren seine Worte. Leider ist bei der Digibox nichts einfach und problemlos.
Die IP120 haben keinen eingebauten VPN -Client und können deshalb nur mit einer Lan2Lan Verbindung angebunden werden und bei einem Homearbeitsplatz sind technischen Voraussetzungen da eher schwierig.
Nun wollen wir hinter der Homearbeitsplatz-Fritzbox einen Lancom 1711 Router anschließen. Der Soll die Lan2Lan Verbindung zur Digibox aufbauen und an den Lancom werden das Telefon und das Notebook angeschlossen.
Bei der Digibox und dem Lancom wurde eine L2L mit dem VPN -Assistenten eingerichtet und Phase1 und 2 entsprechend angepasst.
Als Grundgerüst diente die Anleitung: https://www2.lancom.de/kb.nsf/1275/7E7491249EBCA4E8C1257E9600305615?OpenDocument
Ich sehe in der Digibox (Monitoring/Internes Protokoll) die reinkommende Anfrage, bekomme dann aber ein NAT: Access denied (siehe Bild)
Wenn ich den VPN -Assistenten benutzt habe, muss ich dann noch eine NAT-Regel per Hand einrichten und wenn ja, was?
Ich hoffe jemand hat einen Tipp!
Vielen Dank, Marcus Beier
842
35
This could help you too
6 years ago
248
0
2
2 years ago
212
0
2
6 months ago
162
0
4
9 years ago
@Kalle2014 weiß da eventuell was.
28
Answer
from
9 years ago
Das "kompliziert" - Problem lässt sich lösen, denn dagegen hilft z.B. eine kurze Einweisung.
Und was die Trennung von Netzen betrifft, so gibt es genau in diesem Punkt einen großen Unterschied zw. einer Fritzbox und den bintec Routern.
Denn die bintec be.IP Serie (incl. deren OEM - Produkte) unter stützt VLAN und ermöglicht es, jedem der 5 LAN Ports ein eigenes Netzsegment zuzuordnen und über die Firewall zu trennen.
Answer
from
9 years ago
Hallo Patrick,
warum ich die Lösung mit dem zweiten Router garnicht so schlecht finde, habe ich als Antwort bei Kraulekopf geschrieben. Vielleicht sehe ich es ja falsch, wer weiß.
Eine Anleitung wäre fantastisch, aber wie kann ich Dir meine Mailadresse zukommen lassen? Sie hier im Forum zu posten wird wahrscheinlich nicht gerne gesehen
Das mit der Trace-Ausgabe werde ich gleich morgen mal probieren. Vielen Dank für den Tipp!
Grüße, Marcus
Answer
from
9 years ago
Hallo Kraulekopf, nur ein Router hat natürlich einen gewissen Hardware-spar-charme, aber ich gebe auch folgendes zu bedenken: Bei der IPsec Lan2Lan geht standardmäßig der gesamte Traffic durch den Kanal, also auch das privatsufen der Tochter und der geschäftliche Datenverkehr des Mannes. Der zweite Router würde da eine saubere Trennung bieten. Klar ist es komplizierter einzurichten, aber den Privatverkehr will ich nicht unbedingt durch die Firma schicken. Außerdem habe ich keinen Weg gefunden die Fritzbox mit den wenigen Einstellmöglichkeiten an die komplizierte Digibox anzubinden. Haben Sie das schon mal zum Laufen bekommen, den das wäre interessant wie? Grüße, Marcus
Hallo Kraulekopf,
nur ein Router hat natürlich einen gewissen Hardware-spar-charme, aber ich gebe auch folgendes zu bedenken:
Bei der IPsec Lan2Lan geht standardmäßig der gesamte Traffic durch den Kanal, also auch das privatsufen der Tochter und der geschäftliche Datenverkehr des Mannes.
Der zweite Router würde da eine saubere Trennung bieten. Klar ist es komplizierter einzurichten, aber den Privatverkehr will ich nicht unbedingt durch die Firma schicken.
Außerdem habe ich keinen Weg gefunden die Fritzbox mit den wenigen Einstellmöglichkeiten an die komplizierte Digibox anzubinden.
Haben Sie das schon mal zum Laufen bekommen, den das wäre interessant wie?
Grüße, Marcus
bintec = Digibox
Gibt hier eine schöne Beschreibung: http://www.router-forum.de/board-bintec-funkwerk-enterprise-communications/thread-vpn-verbindung-zwischen-bintec-und-avm-fritzbox-64371-page-1.html
Ich sehe bei der Lösung mit 2 Routern nur einen kritischen Punkt: die Priorisierung der VoIP Daten. Die Fritzbox macht das bei jedem VoIP Datenstrom, den sie selbst erzeugt. Ich bezweifle, ob sie das auch bei einem VoIP Datenstrom von einem anderen Router macht. Wenn die Fritzbox dann z.B. mal mit Entertain gut ausgelastet ist, könnte es zu einer schlechten Sprachqualität am IP120 führen.
Unlogged in user
Answer
from
9 years ago
@marcus_beier
Die beiden Pakete, die denied werden, sind ICMP Anfragen. So lange der Tunnel nicht steht ist das auch völlig korrekt.
Für den UDP Port 500 war NAT auch geöffnet und wird wegen einem Timeout wieder geschlossen.
4
Answer
from
9 years ago
Hallo @marcus_beier,
mein Angebot steht noch. Im LANconfig Programm ein Trace des VPN -Status anfertigen. Dann sehen wir woran es liegt oder ob die Digibox garnicht antwortet.
MfG
Patrick
Answer
from
9 years ago
Hallo Patrick,
vielen Dank für das Angebot!
Wo kann ich im Lanconfig den ein Trace des VPN -Status machen lassen?
Außer Meldung/Systemereignisse habe ich nichts gefunden.
Der Lancom ist ein 1711 VPN mit Firmware 8.82.01 RU1.
Vielen Dank, Marcus
Answer
from
9 years ago
Hallo Micknik, vielen Dank für die schnelle Antwort! Leider sehe ich nicht mehr als Fehlermeldung bei der Digibox. Immerhin weiß ich das der Lancom ein Request schickt, nur warum dieser abgelehnt wird, erschließt sich mir noch nicht. Dann muss ich wohl weiter suchen und experimentieren. Danke, Marcus
Hallo Micknik, vielen Dank für die schnelle Antwort!
Leider sehe ich nicht mehr als Fehlermeldung bei der Digibox. Immerhin weiß ich das der Lancom ein Request schickt, nur warum dieser abgelehnt wird, erschließt sich mir noch nicht.
Dann muss ich wohl weiter suchen und experimentieren.
Danke, Marcus
Welche Firmware ist denn überhaupt auf der Digibox installiert?
Was siehst Du bei aktiviertem Vollzugriff unter Monitoring -> IPSec?
Für genaueres Debugging solltest Du einen syslog Server einrichten, auf der Ebene "Debug" siehst Du dann deutlich mehr Infos.
Einfach einen anderen Router kaufen löst das Problem auch nicht, auch der will erst einmal konfiguriert werden...
Unlogged in user
Answer
from
Accepted Solution
accepted by
9 years ago
Hallo @PatrickKnott und @Kalle2014!
Das war es (fast)!
Bei den Standorten muss die IPsec Lan2Lan Schnittstelle eingetragen werden, aber zusätzlich muss auch unter Endgeräte --> Elmeg Systemtelefone --> ElmegIP die Schnittstelle von LAN auf den anderen Standort geändert werden.
Mi diesen beiden Änderungen könnte ich nun das Telefon über den Lancom mit der IPsec VPN -Verbindung an der Digibox registrieren und telefonieren.
Es scheint auch alles zu funktionieren, wie bei den anderen Telefone am Hauptstandort.
Ich möchte mich echt bei euch für die Geduld bedanken!
Also Zusammengefasst für andere mit dem gleichen Problem:
Ich habe am Hauptstandort eine Digibox Premium und vom Nebenstandort mit einer Fritzbox soll ein Elmeg Systemtelefon IP120 an die Digibox am Hauptstandort angebunden werden.
Die Fritzbox hat zu wenige IPsec Einstellungsmöglichkeiten (soll aber auch irgendwie gehen), weshalb ich hinter die Fritzbox einen zweiten Router geschaltet habe. Ich habe es mit einem Lancom 1711 und einer Digibox probiert. Mit den zwei Digiboxen kann man es mit dem VPN -Assistenten machen. Vorsicht, bei unterschiedlichen Firmwareständen werden unterschiedliche Proposals von den Assistenten verwendet!
Den Lancom Router habe ich mit Hilfe von PatrickKnott (vielen Dank dafür) anbinden können.
Das Telefon hat sich trotz voller VPN -Tunnelfunktionalität nicht an der Telefonanlage registriert und der entscheidende Hinweis kam vom Kalle2013 und PatrickKnott. Der entfernte Standort muss bei den VoIP-Einstellungen --> Standort hinzugefügt werden und dann habe ich noch rausgefunden, dass bei den Telefoneinstellungen die Schnittstelle (Endgeräte --> Elmeg Systemtelefone --> ElmegIP die Schnittstelle von LAN auf den anderen Standort ändern) für die Kommunikation geändert werden muss.
Vielleicht hilft es ja jemanden, der etwas ähnlich verbasteltes vor hat. Es funktioniert in dieser Konstallation, aber mit viel Mühen.
Grüße, Marcus
0
Unlogged in user
Ask
from