4
IPsec-Client kann PC hinter IPsec-Server nicht erreichen
Hallo Leute,
habe hier einen IPsec-Server auf einem MikroTik-CHR (Virtuelle Maschine) zum Einwählen mobiler Clients eingerichtet.
Die VPN-Einwahl erfolgt per PSK + User-Authentifizierung (Xauth) gegen einen Radius-Server.
Die Einwahl erfolgt problemlos und der VPN-Client bekommt eine VPN-IP aus dem konfigurierten
IP-Pool.
Der VPN-Client soll über den VPN-Tunnel Geräte/PCs in einem bestimmten IP-Netz erreichen,
jedoch kann der VPN-Client zurzeit einen Test-PC (der also "hinter" dem VPN-Server angeschlossen ist) nicht anpingen.
VPN-Clients bekommen IPs aus dem Netz 10.0.0.0/24, es soll mit dem Netz 172.16.75.0/24 kommuniziert werden können.
Per "Wireshark" habe ich gesehen, dass die ICMP-Echo-Pakete beim Test-Client ankommen und diese auch mit ICMP-Reply-Paketen
antwortet und diese ICMP-Reply-Pakete sogar so wie es sein soll bis zum VPN-Server geroutet werden. Im Grunde müsste der
VPN-Server die Antworte-Pakete des Test-Clients (also die ICMP-Reply-Pakete) jetzt nur noch an den VPN-Client "ausliefern"....
aber stattdessen antwortet er mit "Destination unreachable (Network unreachable)" (ist im Wireshark-Mitschnitt zu sehen).
Bin da etwas überfragt, warum der VPN-Server, der das VPN-Netz (also das Ziel-Netz der ICMP-Reply-Pakete) ja selbst verwaltet,
mit dem Ziel-Netz 10.0.0.0/24 nichts anfangen kann und einfach "sagt" er würde das Ziel-Netz nicht kennen.
Einen Screenshot vom Wireshark-Mitschnitt bzw. eines Ausschnitts habe ich mit angehangen.
Man kann sehen, dass der VPN-Client mit der 10.0.0.149 den Test-PC mit der 172.16.75.251 anpingt,
der Test-PC dann antwortet und danach der VPN-Server (die 192.168.99.1) mit "Destination unreachable (Network unreachable)" antwortet.
Kann jemand von Euch weiterhelfen?
habe hier einen IPsec-Server auf einem MikroTik-CHR (Virtuelle Maschine) zum Einwählen mobiler Clients eingerichtet.
Die VPN-Einwahl erfolgt per PSK + User-Authentifizierung (Xauth) gegen einen Radius-Server.
Die Einwahl erfolgt problemlos und der VPN-Client bekommt eine VPN-IP aus dem konfigurierten
IP-Pool.
Der VPN-Client soll über den VPN-Tunnel Geräte/PCs in einem bestimmten IP-Netz erreichen,
jedoch kann der VPN-Client zurzeit einen Test-PC (der also "hinter" dem VPN-Server angeschlossen ist) nicht anpingen.
VPN-Clients bekommen IPs aus dem Netz 10.0.0.0/24, es soll mit dem Netz 172.16.75.0/24 kommuniziert werden können.
Per "Wireshark" habe ich gesehen, dass die ICMP-Echo-Pakete beim Test-Client ankommen und diese auch mit ICMP-Reply-Paketen
antwortet und diese ICMP-Reply-Pakete sogar so wie es sein soll bis zum VPN-Server geroutet werden. Im Grunde müsste der
VPN-Server die Antworte-Pakete des Test-Clients (also die ICMP-Reply-Pakete) jetzt nur noch an den VPN-Client "ausliefern"....
aber stattdessen antwortet er mit "Destination unreachable (Network unreachable)" (ist im Wireshark-Mitschnitt zu sehen).
Bin da etwas überfragt, warum der VPN-Server, der das VPN-Netz (also das Ziel-Netz der ICMP-Reply-Pakete) ja selbst verwaltet,
mit dem Ziel-Netz 10.0.0.0/24 nichts anfangen kann und einfach "sagt" er würde das Ziel-Netz nicht kennen.
Einen Screenshot vom Wireshark-Mitschnitt bzw. eines Ausschnitts habe ich mit angehangen.
Man kann sehen, dass der VPN-Client mit der 10.0.0.149 den Test-PC mit der 172.16.75.251 anpingt,
der Test-PC dann antwortet und danach der VPN-Server (die 192.168.99.1) mit "Destination unreachable (Network unreachable)" antwortet.
Kann jemand von Euch weiterhelfen?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1280333524
Url: https://administrator.de/contentid/1280333524
Ausgedruckt am: 24.11.2024 um 11:11 Uhr
4 Kommentare
Neuester Kommentar
Dann weiß dein VPN-Server nicht, dass sich der VPN-Client nicht hinterm VPN-Tunnel befindet = Network Unreachable.
Check die statischen Routen auf deinem VPN-Server, da ein VPN-Tunnel keine conncted Route ist. Oder du nattest durch den Tunnel…
VG
Check die statischen Routen auf deinem VPN-Server, da ein VPN-Tunnel keine conncted Route ist. Oder du nattest durch den Tunnel…
VG
Das weiß ich ja bereits. Der VPN-Server sagt, dass er das VPN-Netz nicht kennt,
obwohl er selbst das Netz verwaltet und auch die VPN-IPs verteilt, wenn sich ein VPN-Client einwählt.
Im gesamten Netzwerk wird kein NAT gemacht. Das ist hier ein Testaufbau, den ich später bei jemandem
umsetzen soll.
Ich muss auf dem VPN-Server selbst eine statische Route für das VPN-Netz anlegen? Auf welchen Router
würde diese Route dann zeigen? Der VPN-Server verwaltet das Netz do h selbst, er muss es nicht weiterleiten zu
einem anderen Router.
obwohl er selbst das Netz verwaltet und auch die VPN-IPs verteilt, wenn sich ein VPN-Client einwählt.
Im gesamten Netzwerk wird kein NAT gemacht. Das ist hier ein Testaufbau, den ich später bei jemandem
umsetzen soll.
Ich muss auf dem VPN-Server selbst eine statische Route für das VPN-Netz anlegen? Auf welchen Router
würde diese Route dann zeigen? Der VPN-Server verwaltet das Netz do h selbst, er muss es nicht weiterleiten zu
einem anderen Router.
Das Problem ist behoben. Man muss auf dem VPN-Server selbst ein Bridge-Interface erstellen und
diesem Bridge-Interface eine IP-Adresse aus dem VPN-Netz also zum Beispiel die 10.0.0.1/24 zuweisen.
Ohne VPN-Interface wird der Antwort-Traffic des Test-PCs einfach verworfen.
Interessant finde ich, dass der VPN-Client vor der Erstellung des Bridge-Interface (mit 10.0.0.1/24 als IP-Konfiguration)
bereits die 10.0.0.1 anpingen konnte, nachdem er sich eingewählt hatte.
Na das werden IPsec-Interna sein, wo mir das Hintergrundwissen fehlt. Ist aktuell nicht weiter schlimm,
es funktioniert jetzt alles wie gewünscht.
diesem Bridge-Interface eine IP-Adresse aus dem VPN-Netz also zum Beispiel die 10.0.0.1/24 zuweisen.
Ohne VPN-Interface wird der Antwort-Traffic des Test-PCs einfach verworfen.
Interessant finde ich, dass der VPN-Client vor der Erstellung des Bridge-Interface (mit 10.0.0.1/24 als IP-Konfiguration)
bereits die 10.0.0.1 anpingen konnte, nachdem er sich eingewählt hatte.
Na das werden IPsec-Interna sein, wo mir das Hintergrundwissen fehlt. Ist aktuell nicht weiter schlimm,
es funktioniert jetzt alles wie gewünscht.
WinBox Screenshots deines IPsec Setups wären ganz hilfreich...
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Bzw. IKEv2:
IPsec IKEv2 Standort VPN Vernetzung mit Cisco, pfSense OPNsense und Mikrotik
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Bzw. IKEv2:
IPsec IKEv2 Standort VPN Vernetzung mit Cisco, pfSense OPNsense und Mikrotik
