Digitalisierungsbox VPN und Routing
Hallo zusammen,
ich komme nicht weiter und hoffe hier Hilfe zu finden. Ich vermute das was mit dem Routing nicht stimmt.
Ich habe von der Telekom eine Digitalisierungsbox.
Ich baue mit dem Shrewsoft Client eine VPN Verbindung zu dieser Box auf. Tunnel ist auch enabled. Also steht.
Nur kann ich kein Server und Client erreichen.
Zu meiner Konfiguration.
Die Digibox hat die 192.168.1.1
Dahinter steckt noch ein Lancom Router(192.168.0.1) der als DHCP und DNS fungiert.
In der Digibox habe ich folgende VPN Einstellungen vorgenommen:
IP-Poolname IP-Adressbereich Primärer DNS-Server Sekundärer DNS-Server
VPN 192.168.1.201 - 192.168.1.206 192.168.0.1 192.168.0.100
Als lokale IP habe ich die 192.168.1.254 vergeben
Das Routing in der Box sieht folgendermaßen aus:
Ziel-IP-Adresse Netzmaske Gateway Schnittstelle Metrik Routentyp
0.0.0.0 255.255.255.255 0.0.0.0 WAN_ETHOA35-5-1 0 Host-Route über Schnittstelle
0.0.0.0 0.0.0.0 0.0.0.0 WAN_DTAG INTERNET-ZUGANG 1 Standardroute über Gateway
192.168.0.0 255.255.255.0 192.168.0.254 LAN_EN1-4 0 Netzwerkroute via Schnittstelle
192.168.1.0 255.255.255.0 192.168.1.1 BRIDGE_BR0 0 Netzwerkroute via Schnittstelle
ich komme nicht weiter und hoffe hier Hilfe zu finden. Ich vermute das was mit dem Routing nicht stimmt.
Ich habe von der Telekom eine Digitalisierungsbox.
Ich baue mit dem Shrewsoft Client eine VPN Verbindung zu dieser Box auf. Tunnel ist auch enabled. Also steht.
Nur kann ich kein Server und Client erreichen.
Zu meiner Konfiguration.
Die Digibox hat die 192.168.1.1
Dahinter steckt noch ein Lancom Router(192.168.0.1) der als DHCP und DNS fungiert.
In der Digibox habe ich folgende VPN Einstellungen vorgenommen:
IP-Poolname IP-Adressbereich Primärer DNS-Server Sekundärer DNS-Server
VPN 192.168.1.201 - 192.168.1.206 192.168.0.1 192.168.0.100
Als lokale IP habe ich die 192.168.1.254 vergeben
Das Routing in der Box sieht folgendermaßen aus:
Ziel-IP-Adresse Netzmaske Gateway Schnittstelle Metrik Routentyp
0.0.0.0 255.255.255.255 0.0.0.0 WAN_ETHOA35-5-1 0 Host-Route über Schnittstelle
0.0.0.0 0.0.0.0 0.0.0.0 WAN_DTAG INTERNET-ZUGANG 1 Standardroute über Gateway
192.168.0.0 255.255.255.0 192.168.0.254 LAN_EN1-4 0 Netzwerkroute via Schnittstelle
192.168.1.0 255.255.255.0 192.168.1.1 BRIDGE_BR0 0 Netzwerkroute via Schnittstelle
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 630597
Url: https://administrator.de/forum/digitalisierungsbox-vpn-und-routing-630597.html
Ausgedruckt am: 22.12.2024 um 15:12 Uhr
8 Kommentare
Neuester Kommentar
Leider teilst du uns nicht mit welches VPN Protokoll du benutzt bzw. die DigiBos erfordert, aber bei Shrew raten wir mal des es IPsec mit IKEv1 ist, richtig ?!
Wenn ja scheiterst du mit an Sicherheit grenzender Wahrscheinlichkeit an der lokalen Windows Firewall an den Clients. Da du ja mit einer fremden, nicht lokalen (VPN) IP Adresse auf diese Clients zugreift blockiert die Windows Firewall grundsätzlichen diesen Traffic. Sie lässt rein nur lokale IP Adressen zu wenn du im Firewall Profil im Adressbereich diese IPs nicht zulässt.
Ein Ping Check scheitert auch grundsätzlich das die Firewall im Default ICMP Pakete (Ping, Traceroute usw.) komplett blockiert. Auch das musst du in der Firewall erst freigeben:
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Ohne Customizing der lokalen Client Firewall wirst du also immer scheitern. Zumindestens bei Winblows Clients. Was aber auch eigentlich hinreichend bekannt ist !!
Nur kann ich kein Server und Client erreichen.
Sind diese Clients Windows Rechner ?Wenn ja scheiterst du mit an Sicherheit grenzender Wahrscheinlichkeit an der lokalen Windows Firewall an den Clients. Da du ja mit einer fremden, nicht lokalen (VPN) IP Adresse auf diese Clients zugreift blockiert die Windows Firewall grundsätzlichen diesen Traffic. Sie lässt rein nur lokale IP Adressen zu wenn du im Firewall Profil im Adressbereich diese IPs nicht zulässt.
Ein Ping Check scheitert auch grundsätzlich das die Firewall im Default ICMP Pakete (Ping, Traceroute usw.) komplett blockiert. Auch das musst du in der Firewall erst freigeben:
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Ohne Customizing der lokalen Client Firewall wirst du also immer scheitern. Zumindestens bei Winblows Clients. Was aber auch eigentlich hinreichend bekannt ist !!
Kannst du denn das LAN Interface des Bintec pingen ?
Was sagt das Shrew Log ? Und...auch das Bintec Log wenn du dich via VPN einwählst ?? Irgendwelche Error Meldungen dort ? Wenn ja, welche ?
Die Logs sind doch immer die allererste Anlaufstelle !!
Es ist auch möglich das durch die fehlschlagende Windows Netzwerk Erkennung am virtuellen VPN Interface des Clients dies in der Firewall als Öffentlich dekalriert wird. Das musst du dann zwingend auf "Privates Netz" setzen. Ansonsten blockiert die lokale Firewall eingehende Pakete am Client.
Wenn der Tunnel fehlerfrei aufgebaut wird und beide Logs keine Errors zeigen kann es eigentlich nur die Firewall sein.
Routing passiert mit dem Tunnelaufbau immer dynamisch. Da muss man nix einstellen.
Hilfreich wäre ggf. nochmal der Output eines route print auf dem Client um zu sehen das das remote IP Netz auch in den Tunnel geroutet wird !
Das es in der Konfiguration fehlerlos klappt siehst du ja schon an den zig Anleitungen dazu im Netz:
https://miscdesign.de/vpn-digitalisierungsbox-shrew-soft/
https://www.router-forum.de/bintec/vpn-verbindung-zwischen-bintec-be-ip- ...
usw. usw.
Was sagt das Shrew Log ? Und...auch das Bintec Log wenn du dich via VPN einwählst ?? Irgendwelche Error Meldungen dort ? Wenn ja, welche ?
Die Logs sind doch immer die allererste Anlaufstelle !!
Es ist auch möglich das durch die fehlschlagende Windows Netzwerk Erkennung am virtuellen VPN Interface des Clients dies in der Firewall als Öffentlich dekalriert wird. Das musst du dann zwingend auf "Privates Netz" setzen. Ansonsten blockiert die lokale Firewall eingehende Pakete am Client.
Wenn der Tunnel fehlerfrei aufgebaut wird und beide Logs keine Errors zeigen kann es eigentlich nur die Firewall sein.
Routing passiert mit dem Tunnelaufbau immer dynamisch. Da muss man nix einstellen.
Hilfreich wäre ggf. nochmal der Output eines route print auf dem Client um zu sehen das das remote IP Netz auch in den Tunnel geroutet wird !
Das es in der Konfiguration fehlerlos klappt siehst du ja schon an den zig Anleitungen dazu im Netz:
https://miscdesign.de/vpn-digitalisierungsbox-shrew-soft/
https://www.router-forum.de/bintec/vpn-verbindung-zwischen-bintec-be-ip- ...
usw. usw.
Moin,
Was meinst Du damit? In dem 192.168.1.0 Netz hat Deine Digibox doch die 192.168.1.1?!?
Leider schreibst Du auch nichts von der weiteren Konfiguration. Verschlüsselung ist korrekt eingetragen? Lokale und entfernte Identitäten passen? DH und PFS stimmt? Mit dem Assistenten erstellt oder manuell?
Habe mit dem Shrew schon öfter mal gesehen, dass der sagt "Tunnel established" obwohl die Phase 2 nicht lief. Was zeigt er in der Digibox unter "Mehr anzeigen"->"Netzwerk"->"VPN" denn als Status an? Steht der grüne Pfeil nach oben oder bewegt sich der Pfeil noch auf und ab?
Dass Du das Webinterface über VPN nicht erreichst und auch die IP der Digibox über VPN nicht anpingen kannst, ist übrigens so gewollt. Wenn Du das möchtest, musst Du explizit für die VPN-Schnittstelle die Berechtigung erteilen unter "Home"->"Mehr anzeigen"->"Systemverwaltung"->"Administrativer Zugriff".
Grüße,
Torsten
Was meinst Du damit? In dem 192.168.1.0 Netz hat Deine Digibox doch die 192.168.1.1?!?
Leider schreibst Du auch nichts von der weiteren Konfiguration. Verschlüsselung ist korrekt eingetragen? Lokale und entfernte Identitäten passen? DH und PFS stimmt? Mit dem Assistenten erstellt oder manuell?
Habe mit dem Shrew schon öfter mal gesehen, dass der sagt "Tunnel established" obwohl die Phase 2 nicht lief. Was zeigt er in der Digibox unter "Mehr anzeigen"->"Netzwerk"->"VPN" denn als Status an? Steht der grüne Pfeil nach oben oder bewegt sich der Pfeil noch auf und ab?
Dass Du das Webinterface über VPN nicht erreichst und auch die IP der Digibox über VPN nicht anpingen kannst, ist übrigens so gewollt. Wenn Du das möchtest, musst Du explizit für die VPN-Schnittstelle die Berechtigung erteilen unter "Home"->"Mehr anzeigen"->"Systemverwaltung"->"Administrativer Zugriff".
Grüße,
Torsten
Aqui,
Hör damit auf, den Leuten vorzugaukeln, du hättest von IPSec Ahnung. Damit schadest du nicht nur den Mitlesern, dem Forum im Allgemeinen sondern auch dir selbst! Stell doch einfach mal selbst Fragen. Es gibt sicher Leute, die bereit wären, dir zu helfen.
BB
Zitat von @aqui:
Nun aber doch irgendwelche Fehler ?? Ist ja recht verwirrend.
Das ist keine Fehlermeldung. Die Meldung besagt ausschließlich, dass NAT-T nach nach Draft draft-ietf-ipsec-nat-t-ike-00 unterstützt wird. Der Vendor-ID Payload ist in IKEv1 für Erweiterungen vorgesehen.Vendor ID: 109.40.128.45:16354 (No Id) is 'draft-ietf-ipsec-nat-t-ike-00'
Komisch du hast doch oben geschrieben (Zitat): "Also die Logs zeigen keine Fehler an." ?!Nun aber doch irgendwelche Fehler ?? Ist ja recht verwirrend.
Die Fehlermeldungen lassen auf eine falsch konfigurierte Phase 1 im IPsec schliessen.
http://faq.bintec-elmeg.com/index.php?title=bintec_Router-Serien_und_be ...
Durch deine vollkommene Unkenntnis des Protokolls, kannst du keine Logs lesen. Das hält dich aber nicht davon ab, irgendwelche Fehler in Phase 1 zu diagnostizieren. Es ist ein Irrsinn, was du hier veranstaltest.http://faq.bintec-elmeg.com/index.php?title=bintec_Router-Serien_und_be ...
Hör damit auf, den Leuten vorzugaukeln, du hättest von IPSec Ahnung. Damit schadest du nicht nur den Mitlesern, dem Forum im Allgemeinen sondern auch dir selbst! Stell doch einfach mal selbst Fragen. Es gibt sicher Leute, die bereit wären, dir zu helfen.
BB