IPsec-Client kann PC hinter IPsec-Server nicht erreichen

Hallo Leute,

habe hier einen IPsec-Server auf einem MikroTik-CHR (Virtuelle Maschine) zum Einwählen mobiler Clients eingerichtet.

Die VPN-Einwahl erfolgt per PSK + User-Authentifizierung (Xauth) gegen einen Radius-Server.

Die Einwahl erfolgt problemlos und der VPN-Client bekommt eine VPN-IP aus dem konfigurierten
IP-Pool.

Der VPN-Client soll über den VPN-Tunnel Geräte/PCs in einem bestimmten IP-Netz erreichen,
jedoch kann der VPN-Client zurzeit einen Test-PC (der also "hinter" dem VPN-Server angeschlossen ist) nicht anpingen.

VPN-Clients bekommen IPs aus dem Netz 10.0.0.0/24, es soll mit dem Netz 172.16.75.0/24 kommuniziert werden können.

Per "Wireshark" habe ich gesehen, dass die ICMP-Echo-Pakete beim Test-Client ankommen und diese auch mit ICMP-Reply-Paketen
antwortet und diese ICMP-Reply-Pakete sogar so wie es sein soll bis zum VPN-Server geroutet werden. Im Grunde müsste der
VPN-Server die Antworte-Pakete des Test-Clients (also die ICMP-Reply-Pakete) jetzt nur noch an den VPN-Client "ausliefern"....
aber stattdessen antwortet er mit "Destination unreachable (Network unreachable)" (ist im Wireshark-Mitschnitt zu sehen).

Bin da etwas überfragt, warum der VPN-Server, der das VPN-Netz (also das Ziel-Netz der ICMP-Reply-Pakete) ja selbst verwaltet,
mit dem Ziel-Netz 10.0.0.0/24 nichts anfangen kann und einfach "sagt" er würde das Ziel-Netz nicht kennen.

Einen Screenshot vom Wireshark-Mitschnitt bzw. eines Ausschnitts habe ich mit angehangen.

Man kann sehen, dass der VPN-Client mit der 10.0.0.149 den Test-PC mit der 172.16.75.251 anpingt,
der Test-PC dann antwortet und danach der VPN-Server (die 192.168.99.1) mit "Destination unreachable (Network unreachable)" antwortet.

Kann jemand von Euch weiterhelfen?
wireshark-capture

Content-Key: 1280333524

Url: https://administrator.de/contentid/1280333524

Ausgedruckt am: 19.10.2021 um 21:10 Uhr

Mitglied: chgorges
Lösung chgorges 19.09.2021 aktualisiert um 16:04:57 Uhr
Goto Top
Dann weiß dein VPN-Server nicht, dass sich der VPN-Client nicht hinterm VPN-Tunnel befindet = Network Unreachable.
Check die statischen Routen auf deinem VPN-Server, da ein VPN-Tunnel keine conncted Route ist. Oder du nattest durch den Tunnel…

VG
Mitglied: Gohla2019
Gohla2019 19.09.2021 um 16:20:10 Uhr
Goto Top
Das weiß ich ja bereits. Der VPN-Server sagt, dass er das VPN-Netz nicht kennt,
obwohl er selbst das Netz verwaltet und auch die VPN-IPs verteilt, wenn sich ein VPN-Client einwählt.

Im gesamten Netzwerk wird kein NAT gemacht. Das ist hier ein Testaufbau, den ich später bei jemandem
umsetzen soll.

Ich muss auf dem VPN-Server selbst eine statische Route für das VPN-Netz anlegen? Auf welchen Router
würde diese Route dann zeigen? Der VPN-Server verwaltet das Netz do h selbst, er muss es nicht weiterleiten zu
einem anderen Router.
Mitglied: Gohla2019
Gohla2019 19.09.2021 um 16:38:25 Uhr
Goto Top
Das Problem ist behoben. Man muss auf dem VPN-Server selbst ein Bridge-Interface erstellen und
diesem Bridge-Interface eine IP-Adresse aus dem VPN-Netz also zum Beispiel die 10.0.0.1/24 zuweisen.

Ohne VPN-Interface wird der Antwort-Traffic des Test-PCs einfach verworfen.

Interessant finde ich, dass der VPN-Client vor der Erstellung des Bridge-Interface (mit 10.0.0.1/24 als IP-Konfiguration)
bereits die 10.0.0.1 anpingen konnte, nachdem er sich eingewählt hatte.

Na das werden IPsec-Interna sein, wo mir das Hintergrundwissen fehlt. Ist aktuell nicht weiter schlimm,
es funktioniert jetzt alles wie gewünscht.
Mitglied: aqui
aqui 19.09.2021 um 19:30:59 Uhr
Goto Top
Heiß diskutierte Beiträge
question
Windows 11 Upgrade nicht möglichben1300Vor 1 TagFrageWindows 1114 Kommentare

Guten Morgen ! ich habe einen Gaming PC, mit folgende Spezifikationen: Leider kann ich diesen nicht auf Windows 11 upgraden: Welche Optionen bleiben mir, um ...

question
Was ich benötige ist ein guter Wechselrahmen 5,25"Lefty0815Vor 1 TagFrageFestplatten, SSD, Raid8 Kommentare

Hallo an alle, ich such mir noch einen Wolf :-) Was ich benötige ist ein Wechselrahmen 5,25" für eine zwei oder drei 3,5Zoll Festplatten (SATA ...

question
Exchange Server - Wege, anonymes Senden zu verbietenDerWoWussteVor 1 TagFrageExchange Server11 Kommentare

Ich grüße Euch! Ziel 1: Alle PCs sollen Warnmeldungen per E-Mail geskriptet und anonym versenden können. In diesen Skripten handelt das Computerkonto und im Skript ...

question
Neuinstallation NetzwerkBurQueVor 14 StundenFrageNetzwerkgrundlagen13 Kommentare

Hallo ich hab die Aufgabe bekommen ein Netzwerk in einem neuen Gebäude einzurichten bzw. mir dazu Gedanken zu machen. Raumsituation. Im Keller steht ein Serverschrank ...

question
WLAN Lösung für Gästehaus Vereinjohannes-meyerVor 23 StundenFrageLAN, WAN, Wireless8 Kommentare

Hallo, ich betreue die IT eines Vereins, der zwei Gebäude mit Gästebetrieb betreibt. Es sind regelmäßig an die 30 bis 50 Geräte verbunden. Ich hab ...

question
SMTP Relay Server gelöst MacLeodVor 1 TagFrageExchange Server10 Kommentare

Hallo zusammen. Vorwort: Habe das hier bei Exchange eingeteilt, betrifft aber Mailserver Versand allgemein. Bei einem Kunden mit einem Kerio Mailserver werden neben dem üblichen ...

question
Multi-WAN-Netzwerk fürs StudentenwohnheimHutzeljaegerVor 8 StundenFrageLAN, WAN, Wireless17 Kommentare

Hallo allerseits. Für die Internetversorgung unseres Studentenwohnheims muss ich nun sehen, dass ich eine kostengünstige Lösung eines Multi-WAN Netzwerks hinbekomme, wohl am besten per Multi-WAN-Bonding. ...

question
Drei Fragen zum Internet Explorer gelöst UserUWVor 23 StundenFrageWebbrowser4 Kommentare

1) Der IE lässt sich unter Windows 10 deaktivieren, aber nicht physisch deinstallieren. Heißt das, dass IE-Funktionalitäten "unter der Haube" auch von Windows 10 genutzt ...