Lancom VPN mit lokaler WAN-IP, NAT-T und dynamic VPN

Bei einem Lancom 1721 vpn (annex b) in verbindung mit einem 1781a gibt es merkwürdige Phänomene, wenn einer davon hinter einem Router sitzt und eine lokale WAN-IP hat. In diesem Fall hatte der 1721VPN über einen anderen Router Internetzugang über eine lokale IP. Die beiden Geräte sind auf VPN IPSec konfiguriert und auf _nicht_ dynamisches VPN eingestellt, da die IPS über Dyndns mit Hostnamen verknüpft sind. Aufgrund eines etwas wilden „Bugs“ oder Feature von LCOS ab 8.0.xxx wird bei einem aktivierten Netbios über IP (unter Kommunikation -> PPP-Liste -> VPN-Verbindung -> NetBIOS über IP aktivieren) das VPN auf dynamisch gezwungen. Das führte dazu, dass die Verbindung nicht zu stande kam, da eines der dynamischen Authentifizierungspaketen es nicht durch das NAT schaffte. Verschiedene Timeouts und unterschiedliche Protokollfehler kommen dadurch zustande. z.b:

VPN: no dynamic VPN authentication packet recevied so far for …

Zusätzlich wurde auf Seite des Lancom ohne direkte WAN-Anbdingung NAT-Traversal aktiviert. Aufbau Netzbeziehungen (SAs) wurde auf „Immer alle gemeinsam“ gsetzt. IKE Main Mode. Damit NAT-T funktioniert müssen außerdem die IPSec Proposals auf ESP gesetzt (d.h. keine AH Auth, da diese nicht mit NAT-T funktioniert).

Praktisch zum Debuggen auf dem Lancom per terminal:

trace + vpn-status

Kommentieren ist momentan nicht möglich.