Shrew Soft VPN Client an Lancom VPN Router

LANCOM 1781VAW VPN-Router over ISDN (4x RJ-45, COM-Port, VDSL2+, USB)

Zum Verbinden des Shrew Soft VPN Clients (v2.2.2) an einen Lancom VPN Router (LCOS 9.10, LCMS 9.20) können folgende Einstellungen verwendet werden:

Am Router den Setup-Assistenten via LANconfig starten und den Eintrag Einwahl-Zugang bereitstellen (RAS, VPN) auswählen. Dann den Assistenten durchlaufen und dabei das Häkchen bei Beschleunigen Sie das Konfigurieren mit 1-Click-VPN entfernen, außerdem einen Fully Qualified Username (= Benutzername) sowie einen Preshared Key (= Passwort) definieren. Alle anderen Einstellungen können (müssen nicht) bei Bedarf angepasst werden.

Am Client eine neue Verbindung im VPN Access Manager anlegen:

  • General:
    • Host Name or IP Address = (öffentliche) Adresse des Routers;
  • Authentication:
    • Authentication Method = Mutal PSK;
    • Local Identity:
      • Identification Type = User Fully Qualified Domain Name, UFQDN String = <Benutzername>;
      • Remote Identity: Identification Type = User Fully Qualified Domain Name, UFQDN String = <Benutzername>;
      • Credentials: Pre Shared Key = <Passwort>;
  • Phase 1:
    • Exchange Type = aggressive,
    • DH Exchange = group 2,
    • Cipher Algorithm = aes,
    • Cipher Key Length = 256,
    • Hash Algorithm = sha1;
  • Phase 2:
    • Transform Algorithm = esp-aes,
    • Transform Key Length = 256,
    • HMAC Algorithm = sha1,
    • PFS Exchange = group 2;

Kommentare

DANKE! Hat mir sehr geholfen!Viele Grüße

Philipp

Hi,

... brings nicht hin, immer negotiation timeout :-( Muss unseren 1781VAW Router mit mit WebConfig konfigurieren, da es kein OS X LanConfig gibt (?). Auf dem Router läuft aus Sicherheitsgründen LCOS 10.12. Das UI des VPN Assistenten sieht hier auf einmal ganz anders aus als unter 9.10 (z.B. kriegt man die 1-Click Option gar nicht zu Gesicht). Kann es sein, dass es mit dem ShrewSoft Client gar nicht mehr gehen soll, vielleicht um die Leute dazu zu bringen den NCP Lancom advanced VPN Client zu kaufen?

Danke und Gruß keltas

Hallo Keltas. Für LCOS 10.x habe ich den Shrew Soft VPN Client bisher nicht getestet. Es kann aber gut sein, dass sich durch ein Firmware-Upgrade spezifische Parameter ändern. Sicherlich steckt dann Absicht dahinter. Aber ob hierfür technische oder wirtschaftliche Gründe vorliegen, entzieht sich meiner Kenntnis.

Bei mir hat nach langem Probieren folgendes mit ner 10er LCOS geholfen:

Einfach eine IKEv1 per Oneclick einrichten. Danach Benutzername und PW aus der INI auslesen. Die anderen Einstellungen kann man aus der Anleitung von oben übernehmen. -> Tunnel enabled

Danke für den Hinweis, nach dieser Vorgehensweise funktionierte die Einwahl bei mir sofort mit aktuellster Firmware (10.12.0382RU9).

Hallo, vielen Dank für die Anleitung und auch den letzten Hinweis, dass es grundsätzlich auch mit den aktuellen Versionen klappen sollte. Ich habe allerdings immer noch nur Timeout :/

Wäre cool, wenn ihr mal mit eurer exportierten Shrew-Konfigdatei vergleichen würdet und mir sagt was ich flasch über tragen habe:

n:version:4s:network-host:Gateway AUS DER VPN.inin:network-ike-port:500s:client-auto-mode:pulln:network-mtu-size:1380s:client-iface:virtualn:client-addr-auto:1s:network-natt-mode:enablen:network-natt-port:4500n:network-natt-rate:15s:network-frag-mode:enablen:network-frag-size:540n:network-dpd-enable:1n:client-banner-enable:1n:network-notify-enable:1n:client-dns-used:1n:client-dns-auto:1n:client-dns-suffix-auto:1n:client-splitdns-used:1n:client-splitdns-auto:1n:client-wins-used:1n:client-wins-auto:1s:auth-method:mutual-psks:ident-client-type:ufqdns:ident-server-type:ufqdns:ident-client-data:IkeIdStr AUS DER VPN.inis:ident-server-data:IkeIdStr AUS DER VPN.inib:auth-mutual-psk:SECRET AUS DER VPN.inis:phase1-exchange:aggressiven:phase1-dhgroup:2s:phase1-cipher:aesn:phase1-keylen:256s:phase1-hash:sha1n:phase1-life-secs:86400n:phase1-life-kbytes:0n:vendor-chkpt-enable:0s:phase2-transform:esp-aesn:phase2-keylen:256s:phase2-hmac:sha1s:ipcomp-transform:disabledn:phase2-pfsgroup:2n:phase2-life-secs:3600n:phase2-life-kbytes:0s:policy-level:auton:policy-nailed:0n:policy-list-auto:1

 

Vielen Dank

 

 

Neuen Kommentar hinzufügen