IKEv2 vpn unter tp-link er605 einrichten.

[Octane]

Guten Tag,
Vor einiger Zeit habe ich mir einen tp-link omada er605 Router gekauft. In den Einstellungen habe ich gesehen, dass ich ein ikev2 vpn Server einstellen kann. Das trifft sich natürlich sehr gut, da ich so keine zusatz Software auf meinen Clients installieren muss. Ich habe also versucht mit folgenden Einstellungen das vpn einzurichten: https://www.tp-link.com/us/support/faq/3447/ . Allerdings funktioniert das ganze jetzt nicht.

Ich bin natürlich nicht blöd und habe das local subnet zu meinem geändert: 192.168.64.1 . Die anderen Standardeinstellung verstehe auch. Allerdings habe ich noch keine Ahnung von den Phase 1 und Phase 2 setting, vorallem der ip-adresspool verwirrt mich. Bei den proposal's weiß ich nicht, wie ich die richtigen für meine Clients auswählen soll.

Alternativ wäre ich auch mit einer Lösung über ein raspberry pi zufrieden, es sollte nur ipsec ikev2 sein.

Mit freundlichen Grüßen

 

[blurrrr]

Hi

Allerdings habe ich noch keine Ahnung von den Phase 1 und Phase 2 setting

Da wird etwas an Proposals ausgewählt, was von Deinen Endgeräten auch unterstützt wird, ist sicherlich alles nachzuschlagen. Sollte halt nicht "zu alt" sein (sofern das da überhaupt noch angeboten wird, "sha1-aes128-dh2" z.B. wäre schon ziemlich alt).

vorallem der ip-adresspool verwirrt mich

Warum? Das ist ein eigener Pool, welcher nur zwecks Transfer genutzt wird. Von A (Quelle) nach B (Ziel) über C (VPN-Netz mit eigenem IP-Pool).

Wenn etwas nicht funktioniert, wäre es sicherlich hilfreich, einfach mal einen Blick in die Logs des Routers zu werfen. Bei P1/P2 kann es bei den Proposals durchaus mal sein, dass Server und Client zu keiner Übereinstimmung kommen, dann solltest Du in den Logs aber auch sehen, warum das so ist und kannst das Problem entsprechend angehen

 

[Boxenluder]

@Octane Ich würde mich erstmal darüber informieren, ob Dein Internetzugang über eine öffentliche IPv4 verfügt. Häufig wird heutezutage mangels IPv4-Adressen auf DS-Lite zurückgegriffen und im Mobilfunksektor auf CGN.

Über https://ipv6-test.com kannst Du Dir schnell einen Überblick verschaffen.

 

[Octane]

Erstmal vielen Dank für die schnelle Hilfe, ich bin schon mal ein ganzes Stück weiter gekommen.

Warum? Das ist ein eigener Pool, welcher nur zwecks Transfer genutzt wird. Von A (Quelle) nach B (Ziel) über C (VPN-Netz mit eigenem IP-Pool).

Ok verstehe der ip-adresspool legt ein neues Netzwerk an, das nur zwecks der vpn Verbindung benötigt wird, richtig?

Wenn etwas nicht funktioniert, wäre es sicherlich hilfreich, einfach mal einen Blick in die Logs des Routers zu werfen.

Die sind leider leer, also zum Thema vpn, derzeit finde ich nur Logos vom DHCP dort.

Da wird etwas an Proposals ausgewählt, was von Deinen Endgeräten auch unterstützt wird, ist sicherlich alles nachzuschlagen.

Hast du vielleicht irgendwelche Tipps, wo ich das nachlesen kann oder wonach ich suchen soll? Das einzige was ich gefunden habe ist das hier: https://r1.community.samsung.com/t5/galaxy-a/ipsec-vpn-setup/td-p/20241408
Leider steht da aber es sei ein tab a7 lite, aber ich nutze ein tab s8 und ein s21. Ich habe es trotzdem mal ausprobiert, aber ohne Erfolg.

Zudem stellt sich mir die Frage: Ich habe in den Phase 1 und den Phase 2 setting je 4 Felder für proposal. Müssen nun alle proposals unterstützt werden, oder hat man nur die Möglichkeit alternative proposals anzugeben, wenn die ersten nicht unterstützt werden?

@Octane Ich würde mich erstmal darüber informieren, ob Dein Internetzugang über eine öffentliche IPv4 verfügt. Häufig wird heutezutage mangels IPv4-Adressen auf DS-Lite zurückgegriffen und im Mobilfunksektor auf CGN.

Über https://ipv6-test.com kannst Du Dir schnell einen Überblick verschaffen.

Ja ich habe eine öffentliche ipv4, das steht auch im Router, aber ich nutze meine Domain.

Mit freundlichen Grüßen

 

[blurrrr]

Ok verstehe der ip-adresspool legt ein neues Netzwerk an, das nur zwecks der vpn Verbindung benötigt wird, richtig?

Genau.

Die sind leider leer, also zum Thema vpn, derzeit finde ich nur Logos vom DHCP dort.

Sicher, dass die Pakete dort überhaupt ankommen? Eventuell auch eine Möglichkeit, dass das Logging bzgl. VPN erhöht wird?

Hast du vielleicht irgendwelche Tipps, wo ich das nachlesen kann oder wonach ich suchen soll?

Ich bin z.B. über jenen hier gestolpert: https://community.tp-link.com/en/business/forum/topic/556140. Grundsätzlich kannst Du aber mögliche Proposals im Router konfigurieren, mitunter muss man sich da einfach etwas durcharbeiten, bis man etwas passendes für beide Seiten gefunden hat.

Zudem stellt sich mir die Frage: Ich habe in den Phase 1 und den Phase 2 setting je 4 Felder für proposal. Müssen nun alle proposals unterstützt werden, oder hat man nur die Möglichkeit alternative proposals anzugeben, wenn die ersten nicht unterstützt werden?

Das sieht eher nach einer Auswahl an alternativen Proposals aus.

Ja ich habe eine öffentliche ipv4, das steht auch im Router, aber ich nutze meine Domain.

Und ein entsprechender A-Record zeigt auch auf die statische IP (und es ist ganz sicher nicht nur eine Webweiterleitung oder sowas)?

 

[Octane]

Moin, ich hatte leider in der letzten Zeit keine Zeit mich um mich um mein Heimnetz zu kümmern, deshalb kommt dieses Update leider erst jetzt.
Nach etwas rumprobieren habe ich den Remote id type auf ip-adress gestellt und ich konnte mich mit dem vpn verbinden und auch auf die Geräte im entsprechenden LAN zugreifen. Allerdings nicht mehr auf das Internet. Schnell stellte sich heraus, dass ein Proxy Server eine Lösung war, um wieder auf Webseiten zuzugreifen, allerdings erhalte ich dann keine WhatsApp Nachricht, Emails und ähnliches mehr. Durch einen Netzwerk analysieren konnte ich herausfinden, dass mein Gerät zwar eine private IP hat, allerdings keine subnet-Maske und kein Standard-gateway.

Ich gehe daher davon aus, dass das so richtig eingerichtet ist, aber der Router halt eben nicht in der Lage ist dem Client die richtigen Daten über den Tunnel senden um Routen möglich zu machen, beziehungsweise das so geplant ist um das Gerät irgendwie in ein subnetzt mit einer anderen ip Adresse einzubinden.

Über Lösungsvorschläge würde ich mich natürlich trotzdem freuen, ansonsten wäre die nächste frage, ob ihr Software für einen ipsec ikev2 preshared key server kennt, welche z.b. auf einen raspberry laufen kann und welche das wäre.

Mit freundlichen Grüßen

 

[Stationary]

Ich habe also versucht mit folgenden Einstellungen das vpn einzurichten: https://www.tp-link.com/us/support/faq/3447/ .

Der thread läuft zwar schon eine Weile, aber geht das nur mir so, daß ich das Beispiel auf der tplink-Seite etwas merkwürdig finde, da als Serveradresse keine IPv4 aus dem öffentlichen Bereich und auch keine DynDNS angegeben ist, sondern eine 192.168.1.x-Adresse? Das soll vermutlich nur ein schlecht gewähltes Beispiel sein, aber in den Server-Eintrag gehört eine eine öffentliche IPv4 oder die DynDNS-Adresse.
Das hast Du sicherlich berücksichtigt?

 

[Barungar]

@Stationary Naja, man wollte halt keine echten öffentlichen IPv4 nehmen, weil das gefährlich ist und man sowas in Anleitungen nicht tut. Es gibt genug DAUs, die eine Anleitung ohne selbst zu denken, einfach durchspielen. Genau dafür und deswegen gibt es RFC 5737 mit der IPv4 Documentation Adress Range.
Ist also ein echter FAIL von tp-Link, wenn man Netzwerk-Ausrüster "sein will", sollte man auch wissen, wie man eine Dokumentaion RFC-konform schreibt.

 

[Stationary]

Genau das meine ich eben…schlecht gewähltes Beispiel.