Willkommen in der Business Community

Die Telekom Community für Geschäftskunden

  • Sie sind hier:
  • Community 
    crumb.isLink
crumb.isFinalCrumb
crumb.getClass
crumb.css
crumb.separatorCss
crumb.getCss
crumb.finalCrumb
crumb.getText
crumb.getIsLink
crumb.getWrapperCss
crumb.type
crumb.url
crumb.getUrl
crumb.getType
crumb.hashCode
crumb.equals
crumb.toString
crumb.wrapperCss
crumb.text
crumb.getSeparatorCss
crumb.class
  • Geschäftskunden 
    crumb.isLink
crumb.isFinalCrumb
crumb.getClass
crumb.css
crumb.separatorCss
crumb.getCss
crumb.finalCrumb
crumb.getText
crumb.getIsLink
crumb.getWrapperCss
crumb.type
crumb.url
crumb.getUrl
crumb.getType
crumb.hashCode
crumb.equals
crumb.toString
crumb.wrapperCss
crumb.text
crumb.getSeparatorCss
crumb.class
  • Fragen & Diskussionen 
    crumb.isLink
crumb.isFinalCrumb
crumb.getClass
crumb.css
crumb.separatorCss
crumb.getCss
crumb.finalCrumb
crumb.getText
crumb.getIsLink
crumb.getWrapperCss
crumb.type
crumb.url
crumb.getUrl
crumb.getType
crumb.hashCode
crumb.equals
crumb.toString
crumb.wrapperCss
crumb.text
crumb.getSeparatorCss
crumb.class
  • Festnetz & Internet 
    crumb.isLink
crumb.isFinalCrumb
crumb.getClass
crumb.css
crumb.separatorCss
crumb.getCss
crumb.finalCrumb
crumb.getText
crumb.getIsLink
crumb.getWrapperCss
crumb.type
crumb.url
crumb.getUrl
crumb.getType
crumb.hashCode
crumb.equals
crumb.toString
crumb.wrapperCss
crumb.text
crumb.getSeparatorCss
crumb.class
  • Site-to-Site VPN zwischen Digitalisierungsbox Prem... 
    crumb.isLink
crumb.isFinalCrumb
crumb.getClass
crumb.css
crumb.separatorCss
crumb.getCss
crumb.finalCrumb
crumb.getText
crumb.getIsLink
crumb.getWrapperCss
crumb.type
crumb.url
crumb.getUrl
crumb.getType
crumb.hashCode
crumb.equals
crumb.toString
crumb.wrapperCss
crumb.text
crumb.getSeparatorCss
crumb.class
Aktueller Hinweis

Site-to-Site VPN zwischen Digitalisierungsbox Premium (be.IP - Bintec Elmeg) und Lancom 1784VA -

Gelöst

‎20.12.2018 20:30

Guten Abend,

derzeit versuche ich zwei Standorte per VPN zu verbinden, was jedoch nicht gelingt. Vielleicht kann mir hier jemand auf die Sprünge helfen...

Am Standort A steht ein LANCOM 1784VA an ADSL mit fester IP. Firmware:10.20.0298RU2

Am Standort B steht eine Digitalisierungsbox Premium an VDSL mit fester IP. Firmware: 10.2.01.104

 

Mittels LANconfig konfigurierte ich Standort A und mittels Webinterface Standort B - laut Anleitung:

https://www2.lancom.de/kb.nsf/fe78f8220e112ac5412569eb0032ecb0/ab4e41ce66f8ec2cc1257fd2002af950?Open...

 

Was beim Lancom-Assistenten auffiel, man fragt nicht nach: EIGENER BEZEICHNER. Auch wird keine PPP-Liste angelegt. Dies erledigte ich von Hand mit dem Passwort, welches man vorher mittels Assistenten generiert hat: Ich hoffe, dass war an der Stelle richtig?

 

Die Digibox versucht eine Verbindung aufzubauen, jedoch blockt der Lancom diese. Als Meldung in der Digibox erhält man

 

P1: peer 1 (Name des VPN) sa 45 (I): failed id fqdn(any:0,[0..9]="Lokale IPSec ID von Standort B") -> ip "WAN IP Standort A" (No proposal chosen)

 

Im Lancom steht: Kein übereinstimmendes Proposal gefunden (Passiver Verbindungsaufbau, IKE) [0x2203]

 

Demzufolge prüfte ich erst einmal das VPN im Lancom und passte folgendes an:

 

Management -> VPN -> IKE/IPSec -> IPSec-Proposals -> IPSec-Proposals …

Beide, durch den Assistenten angelegte IPSec-Proposlas sind wie folgt konfiguriert:

 

WIZ-TN-AESSHA256: Verschlüsselung: AES-CBC, Schlüssel-Länge: 256 bit, Authentifizierung: HMAC-SHA-256, Gültigkeitsdauer: 28.800 Sekunden / 2.000.000 kByte

 

WIZ-TN-AES256-SHA: Verschlüsselung: AES-CBC, Schlüssel-Länge: 256 bit, Authentifizierung: HMAC-SHA1, Gültigkeitsdauer: 28.800 Sekunden / 2.000.000 kByte

 

Das wiederum passt doch nicht mit der Konfiguration in der Digibox, oder? Daher passte ich diese an (und bezeichnete die auch neu):

 

WIZ-TN-AESSHA256 -> WIZ-TN-3DES-MD5: 3DES-CBC, Schlüssel-Länge: 168 bit, Authentifizierung: HMAC-MD5, Gültigkeitsdauer: 28.800 Sekunden / 2.000.000 kByte

 

WIZ-TN-AES256-SHA -> WIZ-TN-AES-MD5: Verschlüsselung: AES-CBC, Schlüssel-Länge: 128 bit, Authentifizierung: HMAC-MD5, Gültigkeitsdauer: 28.800 Sekunden / 2.000.000 kByte

 

Auch mit der Änderung kann die Digibox kein Tunnel zum Lancom aufbauen.

 

Stellt sich nun die Frage, was bei der Konfiguration nicht richtig ist. Was habe ich nicht beachtet oder ggf. überlesen? Eventuell kennt jemand das Problem und kann unterstützen?

 

Danke & viele Grüße

0 Kudos
Letzte Aktivität
am von
3.064 Ansichten
0 Kudos
3 Antworten
Alle anzeigen
1 AKZEPTIERTE LÖSUNG
Lösung

‎20.12.2018 20:54

Kommando zurück! Ich denke, ich habe die Lösung. Anstatt im Lancom die IPSec-Proposals auf MD5 (ein älteres Posting von Kalle2014: "MD5 gehört der Vergangenheit an." brachte mich auf die Idee) anzupassen, belies ich diese, wie der Assistent sie anlegte und änderte stattdessen das entsprechende Phase-1 und Phase-2-Profil in der Digibox ab:

wz_ike_1 -> Proposals: Verschlüsselung AES-256 / Authentifizierung SHA2 256 (Rest deaktiviert)
wz_ipsec_1 -> Proposals: Verschlüsselung AES-256 / Authentifizierung SHA1 (Rest deaktiviert)

Der Tunnel war binnen Sekunden etabliert. Auch nach Neustart der Gateways wurde der Tunnel aufgebaut.

Schönen Abend...

Lösung in ursprünglichem Beitrag anzeigen  

Letzte Aktivität
am von
3.048 Ansichten
3 Antworten
Alle anzeigen
«
»
« »
Lösung

‎20.12.2018 20:54

Kommando zurück! Ich denke, ich habe die Lösung. Anstatt im Lancom die IPSec-Proposals auf MD5 (ein älteres Posting von Kalle2014: "MD5 gehört der Vergangenheit an." brachte mich auf die Idee) anzupassen, belies ich diese, wie der Assistent sie anlegte und änderte stattdessen das entsprechende Phase-1 und Phase-2-Profil in der Digibox ab:

wz_ike_1 -> Proposals: Verschlüsselung AES-256 / Authentifizierung SHA2 256 (Rest deaktiviert)
wz_ipsec_1 -> Proposals: Verschlüsselung AES-256 / Authentifizierung SHA1 (Rest deaktiviert)

Der Tunnel war binnen Sekunden etabliert. Auch nach Neustart der Gateways wurde der Tunnel aufgebaut.

Schönen Abend...
Letzte Aktivität
am von
3.049 Ansichten
3 Antworten
Alle anzeigen
Telekom hilft Team

‎22.12.2018 13:22

Guten Tag @VC,


ich bitte um Entschuldigung, dass ich mich erst jetzt bei Ihnen melde.

Um so mehr freut es mich, dass Sie eine Lösung gefunden haben.

Vielen Dank, dass Sie sich die Mühe gemacht haben dies noch zu schreiben.


Freundliche Grüße und ein schönes Weihnachtsfest
Marita W.
Letzte Aktivität
am von
3.009 Ansichten
3 Antworten
Alle anzeigen
Antwort auf Marita W.

‎22.12.2018 14:08

Danke für die Rückantwort. Das passt schon, die Lösung fand ich unmittelbar nach dem Posting. So schnell wäre keine Antwort möglich Zwinkernd

Danke und ebenso eine schöne Weihnachtszeit. VG Michael

0 Kudos
Letzte Aktivität
am von
2.999 Ansichten
0 Kudos
3 Antworten
Alle anzeigen
«
»
« »
-->