finnbiss
Goto Top

IP Sec VPN 2 x Digitalsierungsbox

Hallo Forum, Hallo MItstreiter,

Wie haben bei einem Kunden zwei Digitalsierungsboxen (Bintec- Elmeg) der Telekom mit jeweils festen IP Adressen. Neueste Firmware ist installiert
Per Wizard haben wir einen LAN-LAN IP sec VPN Tunnel aufgebaut , dieser ist auch aktiv und wird grün angezeigt.

So weit so gut:

Leider erreichen wir von beiden Seiten nicht das LAN des entfernten Standorts . Weder ping noch sonst etwas läuft.
Bei einem traccert kommen wir immer nur bis zur Box von welchem internen Netz wir die Anfrage senden.

Der Support der Boxen läuft über die Telekom, dieser ruft aber nicht zurück.

Hat jemand von Euch damit Erfahrungen ?
Meine Fragen dazu:
Müssen noch irgendwelche FW Regeln eingestellt werden ?
Macht der Wizard nur den Tunnel , aber nicht die ganze Konfig?

Danke für Eure Tips .

Wenn ihr mehr detaillierte Infos benötigt, kann ich diese hier gerne posten...

Danke Euch

Finnbiss

Content-ID: 318097

Url: https://administrator.de/contentid/318097

Ausgedruckt am: 08.11.2024 um 17:11 Uhr

Pjordorf
Pjordorf 17.10.2016 um 16:01:13 Uhr
Goto Top
Hallo,

Zitat von @Finnbiss:
Wie haben bei einem Kunden zwei Digitalsierungsboxen (Bintec- Elmeg) der Telekom mit jeweils festen IP Adressen. Neueste Firmware ist installiert
Und beide bedienen das gleiche LAN oder warum hat der Kunde 2?

Per Wizard haben wir einen LAN-LAN IP sec VPN Tunnel aufgebaut , dieser ist auch aktiv und wird grün angezeigt.
Habt ihr oder hat der Kunde gemacht?

Leider erreichen wir von beiden Seiten nicht das LAN des entfernten Standorts
IP Design der Standorte?
IP Design der VPN Verbindungen?
Routen?
Gateways?
Konfigs der beiden Kundenboxen?

Weder ping noch sonst etwas läuft.
was sagt ein Paketmittschnitt buw. der Wireshark?

Bei einem traccert kommen wir immer nur bis zur Box von welchem internen Netz wir die Anfrage senden.
Ist es wirklich ein Standort zu Standort VPN oder ein Client zu Standort VPN

Der Support der Boxen läuft über die Telekom, dieser ruft aber nicht zurück.
Was genaus hat jetzt die telekom damit zu tun? Wenn es in deren Wartung bzw. Hoheitsgebiet liegt, wie kommst du dann da rein um an der Konfig rumzuschrauben. Sicher das die Telekom da ein Problem hat?

Hat jemand von Euch damit Erfahrungen ?
VPN?
Bintec?
Telekom?
Digitalisierungsbox?

Wenn ihr mehr detaillierte Infos benötigt, kann ich diese hier gerne posten...
Warum müssen wir immer um Informationen betteln?

Gruß,
Peter
aqui
aqui 17.10.2016 aktualisiert um 16:36:01 Uhr
Goto Top
Leider erreichen wir von beiden Seiten nicht das LAN des entfernten Standorts . Weder ping noch sonst etwas läuft.
Das ist auch kein Wunder !
Die lokalen Firewalls (Windows) der Endgeräte blockieren ja per Default alles was lokal mit fremden Absender IPs am Rechner ankommt und Zugriff haben will.
Folglich natürlich auch alles was aus deinem remoten VPN Netzwerk kommt, denn = andere Absender IP !
ICMP Protokoll (Ping) ist ab Win 7 auch per Default in der Windows Firewall geblockt:
https://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
Fazit: Passe deine Firewalls an, dann funktioniert das auch sofort.

Weitere Infos zu dem Thema findest du wie immer hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
LordGurke
LordGurke 18.10.2016 um 01:06:24 Uhr
Goto Top
Zitat von @aqui:

Leider erreichen wir von beiden Seiten nicht das LAN des entfernten Standorts . Weder ping noch sonst etwas läuft.
Das ist auch kein Wunder !
Die lokalen Firewalls (Windows) der Endgeräte blockieren ja per Default alles was lokal mit fremden Absender IPs am Rechner ankommt und Zugriff haben will.

Aber warum antwortet dann der zweite Router, zu dem der Tunnel aufgebaut ist, nicht im Traceroute?
Theoretisch müsste es, wenn es ein Problem der lokalen Client-Firewalls ist, zwei Hops im Traceroute geben: Den lokalen Router und den Remote-Router (Tunnelendpunkt) und dann würde es erst abbrechen.

Kannst du Traceroutes zum jeweiligen Remote-Router machen, um Routing-Fehler auszuschließen?
Musst du eventuell die Route zum Remote-LAN noch manuell eintragen?