oce
Goto Top

Digitalisierungsbox VPN und Routing

Hallo zusammen,

ich komme nicht weiter und hoffe hier Hilfe zu finden. Ich vermute das was mit dem Routing nicht stimmt.
Ich habe von der Telekom eine Digitalisierungsbox.
Ich baue mit dem Shrewsoft Client eine VPN Verbindung zu dieser Box auf. Tunnel ist auch enabled. Also steht.
Nur kann ich kein Server und Client erreichen.

Zu meiner Konfiguration.

Die Digibox hat die 192.168.1.1
Dahinter steckt noch ein Lancom Router(192.168.0.1) der als DHCP und DNS fungiert.

In der Digibox habe ich folgende VPN Einstellungen vorgenommen:

IP-Poolname IP-Adressbereich Primärer DNS-Server Sekundärer DNS-Server
VPN 192.168.1.201 - 192.168.1.206 192.168.0.1 192.168.0.100
Als lokale IP habe ich die 192.168.1.254 vergeben

Das Routing in der Box sieht folgendermaßen aus:

Ziel-IP-Adresse Netzmaske Gateway Schnittstelle Metrik Routentyp
0.0.0.0 255.255.255.255 0.0.0.0 WAN_ETHOA35-5-1 0 Host-Route über Schnittstelle

0.0.0.0 0.0.0.0 0.0.0.0 WAN_DTAG INTERNET-ZUGANG 1 Standardroute über Gateway

192.168.0.0 255.255.255.0 192.168.0.254 LAN_EN1-4 0 Netzwerkroute via Schnittstelle

192.168.1.0 255.255.255.0 192.168.1.1 BRIDGE_BR0 0 Netzwerkroute via Schnittstelle

Content-ID: 630597

Url: https://administrator.de/forum/digitalisierungsbox-vpn-und-routing-630597.html

Ausgedruckt am: 22.12.2024 um 15:12 Uhr

aqui
aqui 11.12.2020 aktualisiert um 11:09:25 Uhr
Goto Top
Leider teilst du uns nicht mit welches VPN Protokoll du benutzt bzw. die DigiBos erfordert, aber bei Shrew raten wir mal des es IPsec mit IKEv1 ist, richtig ?!
Nur kann ich kein Server und Client erreichen.
Sind diese Clients Windows Rechner ?
Wenn ja scheiterst du mit an Sicherheit grenzender Wahrscheinlichkeit an der lokalen Windows Firewall an den Clients. Da du ja mit einer fremden, nicht lokalen (VPN) IP Adresse auf diese Clients zugreift blockiert die Windows Firewall grundsätzlichen diesen Traffic. Sie lässt rein nur lokale IP Adressen zu wenn du im Firewall Profil im Adressbereich diese IPs nicht zulässt.
Ein Ping Check scheitert auch grundsätzlich das die Firewall im Default ICMP Pakete (Ping, Traceroute usw.) komplett blockiert. Auch das musst du in der Firewall erst freigeben:
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Ohne Customizing der lokalen Client Firewall wirst du also immer scheitern. Zumindestens bei Winblows Clients. Was aber auch eigentlich hinreichend bekannt ist !!
oce
oce 11.12.2020 um 12:41:30 Uhr
Goto Top
Leider kann ich nicht nur die Server und Clients nicht erreichen, sondern auch selbst den Router(Digibox) über die Weboberfläche nicht.
Firewall hab ich am Server mal testweise deaktiviert, ohne Erfolg.
Ich vermute immer noch das es entweder am Routing oder auch am VPN selbst liegt?
Liegt es vielleicht an Shrewsoft? Obwohl die VPN Verbindung steht, trotzdem noch was falsch konfiguriert sein kann?
aqui
aqui 11.12.2020 aktualisiert um 13:45:04 Uhr
Goto Top
Kannst du denn das LAN Interface des Bintec pingen ?
Was sagt das Shrew Log ? Und...auch das Bintec Log wenn du dich via VPN einwählst ?? Irgendwelche Error Meldungen dort ? Wenn ja, welche ?
Die Logs sind doch immer die allererste Anlaufstelle !!
Es ist auch möglich das durch die fehlschlagende Windows Netzwerk Erkennung am virtuellen VPN Interface des Clients dies in der Firewall als Öffentlich dekalriert wird. Das musst du dann zwingend auf "Privates Netz" setzen. Ansonsten blockiert die lokale Firewall eingehende Pakete am Client.
Wenn der Tunnel fehlerfrei aufgebaut wird und beide Logs keine Errors zeigen kann es eigentlich nur die Firewall sein.
Routing passiert mit dem Tunnelaufbau immer dynamisch. Da muss man nix einstellen.
Hilfreich wäre ggf. nochmal der Output eines route print auf dem Client um zu sehen das das remote IP Netz auch in den Tunnel geroutet wird !
Das es in der Konfiguration fehlerlos klappt siehst du ja schon an den zig Anleitungen dazu im Netz:
https://miscdesign.de/vpn-digitalisierungsbox-shrew-soft/
https://www.router-forum.de/bintec/vpn-verbindung-zwischen-bintec-be-ip- ...
usw. usw.
PappaBaer2002
PappaBaer2002 11.12.2020 um 15:28:19 Uhr
Goto Top
Moin,

Zitat von @oce:
Als lokale IP habe ich die 192.168.1.254 vergeben

Was meinst Du damit? In dem 192.168.1.0 Netz hat Deine Digibox doch die 192.168.1.1?!?

Leider schreibst Du auch nichts von der weiteren Konfiguration. Verschlüsselung ist korrekt eingetragen? Lokale und entfernte Identitäten passen? DH und PFS stimmt? Mit dem Assistenten erstellt oder manuell?
Habe mit dem Shrew schon öfter mal gesehen, dass der sagt "Tunnel established" obwohl die Phase 2 nicht lief. Was zeigt er in der Digibox unter "Mehr anzeigen"->"Netzwerk"->"VPN" denn als Status an? Steht der grüne Pfeil nach oben oder bewegt sich der Pfeil noch auf und ab?

Dass Du das Webinterface über VPN nicht erreichst und auch die IP der Digibox über VPN nicht anpingen kannst, ist übrigens so gewollt. Wenn Du das möchtest, musst Du explizit für die VPN-Schnittstelle die Berechtigung erteilen unter "Home"->"Mehr anzeigen"->"Systemverwaltung"->"Administrativer Zugriff".

Grüße,
Torsten
oce
oce 13.12.2020 um 14:58:02 Uhr
Goto Top
Also die Logs zeigen keine Fehler an.
Die Digibox zeigt unter VPN einen grünen Haken mit der Zahl 1(vermute die aktuell bestehenden Verbindungen darunter).
Die Pfeile sind beide da aber bewegen sich nicht.
Alles ist korrekt eingetragen.
Ich bin nach Anleitung vorgegangen. https://miscdesign.de/vpn-digitalisierungsbox-shrew-soft/

Die 192.168.1.254 ist die IPv4 Schnittstellenroute der Digibox.
oce
oce 13.12.2020 aktualisiert um 15:45:06 Uhr
Goto Top
Was bedeuten diese Logs? Die erscheinen bei der VPN Verbindung in der Digibox

15:37:02 Information/IPSec P1: peer 0 () sa 80 (R): Vendor ID: 109.40.128.45:16354 (No Id) is 'draft-ietf-ipsec-nat-t-ike-00'
15:37:02 Information/IPSec P1: peer 0 () sa 80 (R): Vendor ID: 109.40.128.45:16354 (No Id) is '16f6ca16e4a4066d83821a0f0aeaa862'
15:37:02 Information/IPSec P1: peer 0 () sa 80 (R): Vendor ID: 109.40.128.45:16354 (No Id) is 'draft-ietf-ipsec-nat-t-ike-02'
15:37:02 Information/IPSec P1: peer 0 () sa 80 (R): Vendor ID: 109.40.128.45:16354 (No Id) is 'draft-ietf-ipsec-nat-t-ike-03'
15:37:02 Information/IPSec P1: peer 0 () sa 80 (R): Vendor ID: 109.40.128.45:16354 (No Id) is '4a131c81070358455c5728f20e95452f'
15:37:02 Information/IPSec P1: peer 0 () sa 80 (R): Vendor ID: 109.40.128.45:16354 (No Id) is '4048b7d56ebce88525e7de7f00d6c2d380000000'
15:37:02 Information/IPSec P1: peer 0 () sa 80 (R): Vendor ID: 109.40.128.45:16354 (No Id) is 'Dead Peer Detection (DPD, RFC 3706)'
15:37:02 Information/IPSec P1: peer 0 () sa 80 (R): Vendor ID: 109.40.128.45:16354 (No Id) is '3b9031dce4fcf88b489a923963dd0c49'
15:37:02 Information/IPSec P1: peer 0 () sa 80 (R): Vendor ID: 109.40.128.45:16354 (No Id) is 'f14b94b7bff1fef02773b8c49feded26'
15:37:02 Information/IPSec P1: peer 0 () sa 80 (R): Vendor ID: 109.40.128.45:16354 (No Id) is '166f932d55eb64d8e4df4fd37e2313f0d0fd8451'
15:37:02 Information/IPSec P1: peer 0 () sa 80 (R): Vendor ID: 109.40.128.45:16354 (No Id) is '8404adf9cda05760b2ca292e4bff537b'
15:37:02 Information/IPSec P1: peer 0 () sa 80 (R): Vendor ID: 109.40.128.45:16354 (No Id) is '12f5f28c457168a9702d9fe274cc0100'
aqui
aqui 13.12.2020, aktualisiert am 15.12.2020 um 09:21:52 Uhr
Goto Top
BitBurg
BitBurg 15.12.2020, aktualisiert am 27.12.2021 um 09:33:31 Uhr
Goto Top
Aqui,
Zitat von @aqui:
Vendor ID: 109.40.128.45:16354 (No Id) is 'draft-ietf-ipsec-nat-t-ike-00'
Komisch du hast doch oben geschrieben (Zitat): "Also die Logs zeigen keine Fehler an." ?!
Nun aber doch irgendwelche Fehler ?? Ist ja recht verwirrend. face-sad
Das ist keine Fehlermeldung. Die Meldung besagt ausschließlich, dass NAT-T nach nach Draft draft-ietf-ipsec-nat-t-ike-00 unterstützt wird. Der Vendor-ID Payload ist in IKEv1 für Erweiterungen vorgesehen.
Die Fehlermeldungen lassen auf eine falsch konfigurierte Phase 1 im IPsec schliessen.
http://faq.bintec-elmeg.com/index.php?title=bintec_Router-Serien_und_be ...
Durch deine vollkommene Unkenntnis des Protokolls, kannst du keine Logs lesen. Das hält dich aber nicht davon ab, irgendwelche Fehler in Phase 1 zu diagnostizieren. Es ist ein Irrsinn, was du hier veranstaltest.

Hör damit auf, den Leuten vorzugaukeln, du hättest von IPSec Ahnung. Damit schadest du nicht nur den Mitlesern, dem Forum im Allgemeinen sondern auch dir selbst! Stell doch einfach mal selbst Fragen. Es gibt sicher Leute, die bereit wären, dir zu helfen.

BB