gohla2019
Goto Top

IPsec-Client kann PC hinter IPsec-Server nicht erreichen

Hallo Leute,

habe hier einen IPsec-Server auf einem MikroTik-CHR (Virtuelle Maschine) zum Einwählen mobiler Clients eingerichtet.

Die VPN-Einwahl erfolgt per PSK + User-Authentifizierung (Xauth) gegen einen Radius-Server.

Die Einwahl erfolgt problemlos und der VPN-Client bekommt eine VPN-IP aus dem konfigurierten
IP-Pool.

Der VPN-Client soll über den VPN-Tunnel Geräte/PCs in einem bestimmten IP-Netz erreichen,
jedoch kann der VPN-Client zurzeit einen Test-PC (der also "hinter" dem VPN-Server angeschlossen ist) nicht anpingen.

VPN-Clients bekommen IPs aus dem Netz 10.0.0.0/24, es soll mit dem Netz 172.16.75.0/24 kommuniziert werden können.

Per "Wireshark" habe ich gesehen, dass die ICMP-Echo-Pakete beim Test-Client ankommen und diese auch mit ICMP-Reply-Paketen
antwortet und diese ICMP-Reply-Pakete sogar so wie es sein soll bis zum VPN-Server geroutet werden. Im Grunde müsste der
VPN-Server die Antworte-Pakete des Test-Clients (also die ICMP-Reply-Pakete) jetzt nur noch an den VPN-Client "ausliefern"....
aber stattdessen antwortet er mit "Destination unreachable (Network unreachable)" (ist im Wireshark-Mitschnitt zu sehen).

Bin da etwas überfragt, warum der VPN-Server, der das VPN-Netz (also das Ziel-Netz der ICMP-Reply-Pakete) ja selbst verwaltet,
mit dem Ziel-Netz 10.0.0.0/24 nichts anfangen kann und einfach "sagt" er würde das Ziel-Netz nicht kennen.

Einen Screenshot vom Wireshark-Mitschnitt bzw. eines Ausschnitts habe ich mit angehangen.

Man kann sehen, dass der VPN-Client mit der 10.0.0.149 den Test-PC mit der 172.16.75.251 anpingt,
der Test-PC dann antwortet und danach der VPN-Server (die 192.168.99.1) mit "Destination unreachable (Network unreachable)" antwortet.

Kann jemand von Euch weiterhelfen?
wireshark-capture

Content-Key: 1280333524

Url: https://administrator.de/contentid/1280333524

Ausgedruckt am: 19.03.2024 um 10:03 Uhr

Mitglied: chgorges
Lösung chgorges 19.09.2021 aktualisiert um 16:04:57 Uhr
Goto Top
Dann weiß dein VPN-Server nicht, dass sich der VPN-Client nicht hinterm VPN-Tunnel befindet = Network Unreachable.
Check die statischen Routen auf deinem VPN-Server, da ein VPN-Tunnel keine conncted Route ist. Oder du nattest durch den Tunnel…

VG
Mitglied: Gohla2019
Gohla2019 19.09.2021 um 16:20:10 Uhr
Goto Top
Das weiß ich ja bereits. Der VPN-Server sagt, dass er das VPN-Netz nicht kennt,
obwohl er selbst das Netz verwaltet und auch die VPN-IPs verteilt, wenn sich ein VPN-Client einwählt.

Im gesamten Netzwerk wird kein NAT gemacht. Das ist hier ein Testaufbau, den ich später bei jemandem
umsetzen soll.

Ich muss auf dem VPN-Server selbst eine statische Route für das VPN-Netz anlegen? Auf welchen Router
würde diese Route dann zeigen? Der VPN-Server verwaltet das Netz do h selbst, er muss es nicht weiterleiten zu
einem anderen Router.
Mitglied: Gohla2019
Gohla2019 19.09.2021 um 16:38:25 Uhr
Goto Top
Das Problem ist behoben. Man muss auf dem VPN-Server selbst ein Bridge-Interface erstellen und
diesem Bridge-Interface eine IP-Adresse aus dem VPN-Netz also zum Beispiel die 10.0.0.1/24 zuweisen.

Ohne VPN-Interface wird der Antwort-Traffic des Test-PCs einfach verworfen.

Interessant finde ich, dass der VPN-Client vor der Erstellung des Bridge-Interface (mit 10.0.0.1/24 als IP-Konfiguration)
bereits die 10.0.0.1 anpingen konnte, nachdem er sich eingewählt hatte.

Na das werden IPsec-Interna sein, wo mir das Hintergrundwissen fehlt. Ist aktuell nicht weiter schlimm,
es funktioniert jetzt alles wie gewünscht.
Mitglied: aqui
aqui 19.09.2021 um 19:30:59 Uhr
Goto Top