8
Digitalisierungsbox VPN und Routing
Hallo zusammen,
ich komme nicht weiter und hoffe hier Hilfe zu finden. Ich vermute das was mit dem Routing nicht stimmt.
Ich habe von der Telekom eine Digitalisierungsbox.
Ich baue mit dem Shrewsoft Client eine VPN Verbindung zu dieser Box auf. Tunnel ist auch enabled. Also steht.
Nur kann ich kein Server und Client erreichen.
Zu meiner Konfiguration.
Die Digibox hat die 192.168.1.1
Dahinter steckt noch ein Lancom Router(192.168.0.1) der als DHCP und DNS fungiert.
In der Digibox habe ich folgende VPN Einstellungen vorgenommen:
IP-Poolname IP-Adressbereich Primärer DNS-Server Sekundärer DNS-Server
VPN 192.168.1.201 - 192.168.1.206 192.168.0.1 192.168.0.100
Als lokale IP habe ich die 192.168.1.254 vergeben
Das Routing in der Box sieht folgendermaßen aus:
Ziel-IP-Adresse Netzmaske Gateway Schnittstelle Metrik Routentyp
0.0.0.0 255.255.255.255 0.0.0.0 WAN_ETHOA35-5-1 0 Host-Route über Schnittstelle
0.0.0.0 0.0.0.0 0.0.0.0 WAN_DTAG INTERNET-ZUGANG 1 Standardroute über Gateway
192.168.0.0 255.255.255.0 192.168.0.254 LAN_EN1-4 0 Netzwerkroute via Schnittstelle
192.168.1.0 255.255.255.0 192.168.1.1 BRIDGE_BR0 0 Netzwerkroute via Schnittstelle
ich komme nicht weiter und hoffe hier Hilfe zu finden. Ich vermute das was mit dem Routing nicht stimmt.
Ich habe von der Telekom eine Digitalisierungsbox.
Ich baue mit dem Shrewsoft Client eine VPN Verbindung zu dieser Box auf. Tunnel ist auch enabled. Also steht.
Nur kann ich kein Server und Client erreichen.
Zu meiner Konfiguration.
Die Digibox hat die 192.168.1.1
Dahinter steckt noch ein Lancom Router(192.168.0.1) der als DHCP und DNS fungiert.
In der Digibox habe ich folgende VPN Einstellungen vorgenommen:
IP-Poolname IP-Adressbereich Primärer DNS-Server Sekundärer DNS-Server
VPN 192.168.1.201 - 192.168.1.206 192.168.0.1 192.168.0.100
Als lokale IP habe ich die 192.168.1.254 vergeben
Das Routing in der Box sieht folgendermaßen aus:
Ziel-IP-Adresse Netzmaske Gateway Schnittstelle Metrik Routentyp
0.0.0.0 255.255.255.255 0.0.0.0 WAN_ETHOA35-5-1 0 Host-Route über Schnittstelle
0.0.0.0 0.0.0.0 0.0.0.0 WAN_DTAG INTERNET-ZUGANG 1 Standardroute über Gateway
192.168.0.0 255.255.255.0 192.168.0.254 LAN_EN1-4 0 Netzwerkroute via Schnittstelle
192.168.1.0 255.255.255.0 192.168.1.1 BRIDGE_BR0 0 Netzwerkroute via Schnittstelle
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 630597
Url: https://administrator.de/contentid/630597
Ausgedruckt am: 22.11.2024 um 05:11 Uhr
8 Kommentare
Neuester Kommentar
Leider teilst du uns nicht mit welches VPN Protokoll du benutzt bzw. die DigiBos erfordert, aber bei Shrew raten wir mal des es IPsec mit IKEv1 ist, richtig ?!
Wenn ja scheiterst du mit an Sicherheit grenzender Wahrscheinlichkeit an der lokalen Windows Firewall an den Clients. Da du ja mit einer fremden, nicht lokalen (VPN) IP Adresse auf diese Clients zugreift blockiert die Windows Firewall grundsätzlichen diesen Traffic. Sie lässt rein nur lokale IP Adressen zu wenn du im Firewall Profil im Adressbereich diese IPs nicht zulässt.
Ein Ping Check scheitert auch grundsätzlich das die Firewall im Default ICMP Pakete (Ping, Traceroute usw.) komplett blockiert. Auch das musst du in der Firewall erst freigeben:
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Ohne Customizing der lokalen Client Firewall wirst du also immer scheitern. Zumindestens bei Winblows Clients. Was aber auch eigentlich hinreichend bekannt ist !!
Nur kann ich kein Server und Client erreichen.
Sind diese Clients Windows Rechner ?Wenn ja scheiterst du mit an Sicherheit grenzender Wahrscheinlichkeit an der lokalen Windows Firewall an den Clients. Da du ja mit einer fremden, nicht lokalen (VPN) IP Adresse auf diese Clients zugreift blockiert die Windows Firewall grundsätzlichen diesen Traffic. Sie lässt rein nur lokale IP Adressen zu wenn du im Firewall Profil im Adressbereich diese IPs nicht zulässt.
Ein Ping Check scheitert auch grundsätzlich das die Firewall im Default ICMP Pakete (Ping, Traceroute usw.) komplett blockiert. Auch das musst du in der Firewall erst freigeben:
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Ohne Customizing der lokalen Client Firewall wirst du also immer scheitern. Zumindestens bei Winblows Clients. Was aber auch eigentlich hinreichend bekannt ist !!
Leider kann ich nicht nur die Server und Clients nicht erreichen, sondern auch selbst den Router(Digibox) über die Weboberfläche nicht.
Firewall hab ich am Server mal testweise deaktiviert, ohne Erfolg.
Ich vermute immer noch das es entweder am Routing oder auch am VPN selbst liegt?
Liegt es vielleicht an Shrewsoft? Obwohl die VPN Verbindung steht, trotzdem noch was falsch konfiguriert sein kann?
Firewall hab ich am Server mal testweise deaktiviert, ohne Erfolg.
Ich vermute immer noch das es entweder am Routing oder auch am VPN selbst liegt?
Liegt es vielleicht an Shrewsoft? Obwohl die VPN Verbindung steht, trotzdem noch was falsch konfiguriert sein kann?
Kannst du denn das LAN Interface des Bintec pingen ?
Was sagt das Shrew Log ? Und...auch das Bintec Log wenn du dich via VPN einwählst ?? Irgendwelche Error Meldungen dort ? Wenn ja, welche ?
Die Logs sind doch immer die allererste Anlaufstelle !!
Es ist auch möglich das durch die fehlschlagende Windows Netzwerk Erkennung am virtuellen VPN Interface des Clients dies in der Firewall als Öffentlich dekalriert wird. Das musst du dann zwingend auf "Privates Netz" setzen. Ansonsten blockiert die lokale Firewall eingehende Pakete am Client.
Wenn der Tunnel fehlerfrei aufgebaut wird und beide Logs keine Errors zeigen kann es eigentlich nur die Firewall sein.
Routing passiert mit dem Tunnelaufbau immer dynamisch. Da muss man nix einstellen.
Hilfreich wäre ggf. nochmal der Output eines route print auf dem Client um zu sehen das das remote IP Netz auch in den Tunnel geroutet wird !
Das es in der Konfiguration fehlerlos klappt siehst du ja schon an den zig Anleitungen dazu im Netz:
https://miscdesign.de/vpn-digitalisierungsbox-shrew-soft/
https://www.router-forum.de/bintec/vpn-verbindung-zwischen-bintec-be-ip- ...
usw. usw.
Was sagt das Shrew Log ? Und...auch das Bintec Log wenn du dich via VPN einwählst ?? Irgendwelche Error Meldungen dort ? Wenn ja, welche ?
Die Logs sind doch immer die allererste Anlaufstelle !!
Es ist auch möglich das durch die fehlschlagende Windows Netzwerk Erkennung am virtuellen VPN Interface des Clients dies in der Firewall als Öffentlich dekalriert wird. Das musst du dann zwingend auf "Privates Netz" setzen. Ansonsten blockiert die lokale Firewall eingehende Pakete am Client.
Wenn der Tunnel fehlerfrei aufgebaut wird und beide Logs keine Errors zeigen kann es eigentlich nur die Firewall sein.
Routing passiert mit dem Tunnelaufbau immer dynamisch. Da muss man nix einstellen.
Hilfreich wäre ggf. nochmal der Output eines route print auf dem Client um zu sehen das das remote IP Netz auch in den Tunnel geroutet wird !
Das es in der Konfiguration fehlerlos klappt siehst du ja schon an den zig Anleitungen dazu im Netz:
https://miscdesign.de/vpn-digitalisierungsbox-shrew-soft/
https://www.router-forum.de/bintec/vpn-verbindung-zwischen-bintec-be-ip- ...
usw. usw.
Moin,
Was meinst Du damit? In dem 192.168.1.0 Netz hat Deine Digibox doch die 192.168.1.1?!?
Leider schreibst Du auch nichts von der weiteren Konfiguration. Verschlüsselung ist korrekt eingetragen? Lokale und entfernte Identitäten passen? DH und PFS stimmt? Mit dem Assistenten erstellt oder manuell?
Habe mit dem Shrew schon öfter mal gesehen, dass der sagt "Tunnel established" obwohl die Phase 2 nicht lief. Was zeigt er in der Digibox unter "Mehr anzeigen"->"Netzwerk"->"VPN" denn als Status an? Steht der grüne Pfeil nach oben oder bewegt sich der Pfeil noch auf und ab?
Dass Du das Webinterface über VPN nicht erreichst und auch die IP der Digibox über VPN nicht anpingen kannst, ist übrigens so gewollt. Wenn Du das möchtest, musst Du explizit für die VPN-Schnittstelle die Berechtigung erteilen unter "Home"->"Mehr anzeigen"->"Systemverwaltung"->"Administrativer Zugriff".
Grüße,
Torsten
Was meinst Du damit? In dem 192.168.1.0 Netz hat Deine Digibox doch die 192.168.1.1?!?
Leider schreibst Du auch nichts von der weiteren Konfiguration. Verschlüsselung ist korrekt eingetragen? Lokale und entfernte Identitäten passen? DH und PFS stimmt? Mit dem Assistenten erstellt oder manuell?
Habe mit dem Shrew schon öfter mal gesehen, dass der sagt "Tunnel established" obwohl die Phase 2 nicht lief. Was zeigt er in der Digibox unter "Mehr anzeigen"->"Netzwerk"->"VPN" denn als Status an? Steht der grüne Pfeil nach oben oder bewegt sich der Pfeil noch auf und ab?
Dass Du das Webinterface über VPN nicht erreichst und auch die IP der Digibox über VPN nicht anpingen kannst, ist übrigens so gewollt. Wenn Du das möchtest, musst Du explizit für die VPN-Schnittstelle die Berechtigung erteilen unter "Home"->"Mehr anzeigen"->"Systemverwaltung"->"Administrativer Zugriff".
Grüße,
Torsten
Also die Logs zeigen keine Fehler an.
Die Digibox zeigt unter VPN einen grünen Haken mit der Zahl 1(vermute die aktuell bestehenden Verbindungen darunter).
Die Pfeile sind beide da aber bewegen sich nicht.
Alles ist korrekt eingetragen.
Ich bin nach Anleitung vorgegangen. https://miscdesign.de/vpn-digitalisierungsbox-shrew-soft/
Die 192.168.1.254 ist die IPv4 Schnittstellenroute der Digibox.
Die Digibox zeigt unter VPN einen grünen Haken mit der Zahl 1(vermute die aktuell bestehenden Verbindungen darunter).
Die Pfeile sind beide da aber bewegen sich nicht.
Alles ist korrekt eingetragen.
Ich bin nach Anleitung vorgegangen. https://miscdesign.de/vpn-digitalisierungsbox-shrew-soft/
Die 192.168.1.254 ist die IPv4 Schnittstellenroute der Digibox.
Was bedeuten diese Logs? Die erscheinen bei der VPN Verbindung in der Digibox
15:37:02 Information/IPSec P1: peer 0 () sa 80 (R): Vendor ID: 109.40.128.45:16354 (No Id) is 'draft-ietf-ipsec-nat-t-ike-00'
15:37:02 Information/IPSec P1: peer 0 () sa 80 (R): Vendor ID: 109.40.128.45:16354 (No Id) is '16f6ca16e4a4066d83821a0f0aeaa862'
15:37:02 Information/IPSec P1: peer 0 () sa 80 (R): Vendor ID: 109.40.128.45:16354 (No Id) is 'draft-ietf-ipsec-nat-t-ike-02'
15:37:02 Information/IPSec P1: peer 0 () sa 80 (R): Vendor ID: 109.40.128.45:16354 (No Id) is 'draft-ietf-ipsec-nat-t-ike-03'
15:37:02 Information/IPSec P1: peer 0 () sa 80 (R): Vendor ID: 109.40.128.45:16354 (No Id) is '4a131c81070358455c5728f20e95452f'
15:37:02 Information/IPSec P1: peer 0 () sa 80 (R): Vendor ID: 109.40.128.45:16354 (No Id) is '4048b7d56ebce88525e7de7f00d6c2d380000000'
15:37:02 Information/IPSec P1: peer 0 () sa 80 (R): Vendor ID: 109.40.128.45:16354 (No Id) is 'Dead Peer Detection (DPD, RFC 3706)'
15:37:02 Information/IPSec P1: peer 0 () sa 80 (R): Vendor ID: 109.40.128.45:16354 (No Id) is '3b9031dce4fcf88b489a923963dd0c49'
15:37:02 Information/IPSec P1: peer 0 () sa 80 (R): Vendor ID: 109.40.128.45:16354 (No Id) is 'f14b94b7bff1fef02773b8c49feded26'
15:37:02 Information/IPSec P1: peer 0 () sa 80 (R): Vendor ID: 109.40.128.45:16354 (No Id) is '166f932d55eb64d8e4df4fd37e2313f0d0fd8451'
15:37:02 Information/IPSec P1: peer 0 () sa 80 (R): Vendor ID: 109.40.128.45:16354 (No Id) is '8404adf9cda05760b2ca292e4bff537b'
15:37:02 Information/IPSec P1: peer 0 () sa 80 (R): Vendor ID: 109.40.128.45:16354 (No Id) is '12f5f28c457168a9702d9fe274cc0100'
15:37:02 Information/IPSec P1: peer 0 () sa 80 (R): Vendor ID: 109.40.128.45:16354 (No Id) is 'draft-ietf-ipsec-nat-t-ike-00'
15:37:02 Information/IPSec P1: peer 0 () sa 80 (R): Vendor ID: 109.40.128.45:16354 (No Id) is '16f6ca16e4a4066d83821a0f0aeaa862'
15:37:02 Information/IPSec P1: peer 0 () sa 80 (R): Vendor ID: 109.40.128.45:16354 (No Id) is 'draft-ietf-ipsec-nat-t-ike-02'
15:37:02 Information/IPSec P1: peer 0 () sa 80 (R): Vendor ID: 109.40.128.45:16354 (No Id) is 'draft-ietf-ipsec-nat-t-ike-03'
15:37:02 Information/IPSec P1: peer 0 () sa 80 (R): Vendor ID: 109.40.128.45:16354 (No Id) is '4a131c81070358455c5728f20e95452f'
15:37:02 Information/IPSec P1: peer 0 () sa 80 (R): Vendor ID: 109.40.128.45:16354 (No Id) is '4048b7d56ebce88525e7de7f00d6c2d380000000'
15:37:02 Information/IPSec P1: peer 0 () sa 80 (R): Vendor ID: 109.40.128.45:16354 (No Id) is 'Dead Peer Detection (DPD, RFC 3706)'
15:37:02 Information/IPSec P1: peer 0 () sa 80 (R): Vendor ID: 109.40.128.45:16354 (No Id) is '3b9031dce4fcf88b489a923963dd0c49'
15:37:02 Information/IPSec P1: peer 0 () sa 80 (R): Vendor ID: 109.40.128.45:16354 (No Id) is 'f14b94b7bff1fef02773b8c49feded26'
15:37:02 Information/IPSec P1: peer 0 () sa 80 (R): Vendor ID: 109.40.128.45:16354 (No Id) is '166f932d55eb64d8e4df4fd37e2313f0d0fd8451'
15:37:02 Information/IPSec P1: peer 0 () sa 80 (R): Vendor ID: 109.40.128.45:16354 (No Id) is '8404adf9cda05760b2ca292e4bff537b'
15:37:02 Information/IPSec P1: peer 0 () sa 80 (R): Vendor ID: 109.40.128.45:16354 (No Id) is '12f5f28c457168a9702d9fe274cc0100'
Aqui,
Hör damit auf, den Leuten vorzugaukeln, du hättest von IPSec Ahnung. Damit schadest du nicht nur den Mitlesern, dem Forum im Allgemeinen sondern auch dir selbst! Stell doch einfach mal selbst Fragen. Es gibt sicher Leute, die bereit wären, dir zu helfen.
BB
Zitat von @aqui:
Nun aber doch irgendwelche Fehler ?? Ist ja recht verwirrend.
Das ist keine Fehlermeldung. Die Meldung besagt ausschließlich, dass NAT-T nach nach Draft draft-ietf-ipsec-nat-t-ike-00 unterstützt wird. Der Vendor-ID Payload ist in IKEv1 für Erweiterungen vorgesehen.Vendor ID: 109.40.128.45:16354 (No Id) is 'draft-ietf-ipsec-nat-t-ike-00'
Komisch du hast doch oben geschrieben (Zitat): "Also die Logs zeigen keine Fehler an." ?!Nun aber doch irgendwelche Fehler ?? Ist ja recht verwirrend.
Die Fehlermeldungen lassen auf eine falsch konfigurierte Phase 1 im IPsec schliessen.
http://faq.bintec-elmeg.com/index.php?title=bintec_Router-Serien_und_be ...
Durch deine vollkommene Unkenntnis des Protokolls, kannst du keine Logs lesen. Das hält dich aber nicht davon ab, irgendwelche Fehler in Phase 1 zu diagnostizieren. Es ist ein Irrsinn, was du hier veranstaltest.http://faq.bintec-elmeg.com/index.php?title=bintec_Router-Serien_und_be ...
Hör damit auf, den Leuten vorzugaukeln, du hättest von IPSec Ahnung. Damit schadest du nicht nur den Mitlesern, dem Forum im Allgemeinen sondern auch dir selbst! Stell doch einfach mal selbst Fragen. Es gibt sicher Leute, die bereit wären, dir zu helfen.
BB
