IPSec mit Cisco WRV210 und Shrew Client

Hallo und guten Tag! Da ich nun mittlerweile drei Wochen an diesem Problem bastel und nicht voran komme, so ziemlich alle HowTo's durchgearbeitet habe - hoffe ich, dass ich hier noch ein wenig Hilfe finden kann...

Das Problem ist einfach geschildert:
gewünscht ist eine IPSec VPN Verbindung zwischen dem Shrew-Client und einem Cisco WRV210.
Mit einigen Grundeinstellungen bekomme ich auch einen Tunnel aufgebaut; allerdings ist weder ein Trace noch ein Ping auf das gegenüberliegende Netzwerksegment möglich. Gegenüberliegend meint, dass ich weder vom Client-Netz noch vom Host-Netz einen Ping / Trace absetzen kann.

Konfiguration Client:
Win Vista 32bit, in einer Domäne eingebunden, IP-Segment unterschiedlich zum gewünschten Host, Shrew Client 2.1.5

Konfiguration Host:
DynDNS, Router WRV210 (der allerdings - Default - als Gateway eingerichtet ist), IPSec mit einem Tunnel eingerichtet (der ja auch - lt. Client - verbunden wird), Windows 2008 SBS Domäne

Die Verbindung steht, jedoch ist ein Tracert / Ping nicht möglich, Meldung: Zeitüberschreitung der Anforderung
Wird die Verbindung zum Zielnetz getrennt, meldet der Trace: Zielnetz nicht erreichbar.

Log-Dateien gibt es natürlich auch, ich habe mir mal ein paar kleine Meldungen herausgepickt:

IKE Service
...
10/08/05 11:20:24 K< : recv pfkey ACQUIRE UNSPEC message
10/08/05 11:20:24 ii : - id = 123
10/08/05 11:20:24 ii : - type = IPSEC
10/08/05 11:20:24 ii : - dir = OUTBOUND
10/08/05 11:20:24 ii : - src = 192.168.16.109:0/32
10/08/05 11:20:24 ii : - dst = 192.168.16.0:0/24
...

IPSeC Service
...
10/08/05 11:27:05 ii : inspecting ARP request ...
10/08/05 11:27:05 !! : ARP packet has invalid header
...

Alle relevanten Ports sind geöffnet, die Firewall am WRV210 habe ich zu Testzwecken ausgeschaltet; dort habe ich auch Regeln eingeschaltet, die sowohl TCP als auch UPD 500 / 4500 Trigger aus dem Netz zulassen.

Kann mir jemand weiterhelfen, welche Daten werden noch benötigt?

Vielen Dank! Gruss, Fusseler

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 148396

Url: https://administrator.de/contentid/148396

Ausgedruckt am: 25.11.2024 um 20:11 Uhr

9 Kommentare

Neuester Kommentar

UDP 500 und 4500 ist nur die halbe Miete ! Produktivdaten laufen über einen ESP Tunnel (IP Protokoll 50)
Siehe HIER !
Letzlich ist das aber alles irrelevant weil das niemals auf einem VPN Router geblockt wird !
Zeigt die Situation auch bei dir denn wie du ja selber schreibst kommt der VPN Tunnel problemlos zustande.
Sehr hilfreich wäre hier mal ein Output von ipconfig bei aktivem VPN Client um die IP Adress Zuweisung zu sehen und ebenso ein route print um die aktuelle Routing Tabelle zu sehen bei aktivem Client.
Leider enthälst du uns das vor.

Wie immer sieht diese Verhalten nach einem Firewall Problem aus.
Bedenke das der Client aus einem Fremdnetz kommt und solche Pakete an der lokalen Firewall der remoten Rechner geblockt werden. Du musst also bei dieen Diensten Datei- Druckersharung, RDP usw. im erweiterten Menü die lokale FW freischalten oder mit "Alle Computer inkl. Internet" diesen Dienst für alle IP Adressen generell freischalten.
Eine 2te Fehlerquelle ist das ICMP Echo nicht aktiviert ist auf den remoten Maschinen ! Auch hier musst du in der Firewall in den erweiterten Einstellungen unter "ICMP" den Haken setzen bei "Auf eingehende Echoanforderungen antworten !".
Ein einfacher Test ist immer die loakle LAN IP des VPN Routers anzupingen. Da dort keine Firewall ist in der Regel solte auf diesen Ping immer eine Antwort kommen.
Für alle anderen Geräte gilt das oben gesagte.
Für deine IP Adressierung im Netz solltest du unbedingt #comment-toc5 DAS_hier beachten !
Auch wenn es nicht für den WRV ist ist dies ein Leitfaden für die Einrichtung des Clients:
http://www.shrew.net/support/wiki/HowtoLinksys !
Bedenke auch das sich kein andere IPsec VPN Client zusätzlich auf dem Client Rechner befinden sollte um eine Wechelwirkung zu vermeiden. Also alles ausser dem Shrew besser über die Systemsteuerung Software deinstallieren !
Die o.a. Fehlermeldung zeigt auch eher nicht auf ein VPN Problem sondern auf ein ARP Problem im Protokollheader !!
Ggf. solltest du hier mal miot dem Wireshark sniffern und dir das genau ansehen !

Hallo aqui,

Danke für schnelle Reaktion!
1) Firewalls auf dem lokalen Client und dem Host-Router sind ausgeschaltet. Der Router auf Clientseite "sperrt nicht", so unser Systemhaus.
2) Output ipconfig bei Tunnelverbindung

Windows-IP-Konfiguration
Ethernet-Adapter LAN-Verbindung* 14:

Verbindungsspezifisches DNS-Suffix:
Verbindungslokale IPv6-Adresse . : fe80::9c7a:43e0:b947:f3d5%21
IPv4-Adresse . . . . . . . . . . : 192.168.16.109
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . :

Ethernet-Adapter LAN-Verbindung 3:

Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:

Ethernet-Adapter LAN-Verbindung:

Verbindungsspezifisches DNS-Suffix: host-domain.de
Verbindungslokale IPv6-Adresse . : fe80::39a9:b898:7994:4391%10
IPv4-Adresse . . . . . . . . . . : 192.168.146.100
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.146.254

Tunneladapter LAN-Verbindung* 6:

Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:

Tunneladapter LAN-Verbindung* 7:

Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:

Tunneladapter LAN-Verbindung* 12:

Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:

Tunneladapter LAN-Verbindung* 16:

Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix: host-domain.de

Tunneladapter LAN-Verbindung* 18:

Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:

3) Route Print Output bei Tunnelverbindung

Schnittstellenliste
21 ...aa aa aa aa aa 00 ...... Shrew Soft Virtual Adapter
16 ...00 ff 2f 06 ef 2a ...... TAP-Win32 Adapter V8
10 ...00 19 99 4c 2a 33 ...... Intel(R) 82566DM-2 Gigabit Network Connection
1 ........................... Software Loopback Interface 1
20 ...00 00 00 00 00 00 00 e0 isatap.{2F06EF2A-0777-4E46-8009-6576D02BE2CE}
11 ...00 00 00 00 00 00 00 e0 6TO4 Adapter
18 ...00 00 00 00 00 00 00 e0 6TO4 Adapter
22 ...00 00 00 00 00 00 00 e0 isatap.pb-elektro.de
41 ...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #5

IPv4-Routentabelle

Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 192.168.146.254 192.168.146.100 20
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 306
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 306
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
192.168.16.0 255.255.255.0 Auf Verbindung 192.168.16.109 31
192.168.16.109 255.255.255.255 Auf Verbindung 192.168.16.109 286
192.168.16.255 255.255.255.255 Auf Verbindung 192.168.16.109 286
192.168.146.0 255.255.255.0 Auf Verbindung 192.168.146.100 376
192.168.146.0 255.255.255.0 Auf Verbindung 192.168.16.109 31
192.168.146.100 255.255.255.255 Auf Verbindung 192.168.146.100 276
192.168.146.255 255.255.255.255 Auf Verbindung 192.168.146.100 276
192.168.146.255 255.255.255.255 Auf Verbindung 192.168.16.109 286
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 306
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.146.100 276
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.16.109 286
255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.146.100 276
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.16.109 286

St„ndige Routen:
Keine

IPv6-Routentabelle

Aktive Routen:
If Metrik Netzwerkziel Gateway
1 306 ::1/128 Auf Verbindung
10 276 fe80::/64 Auf Verbindung
21 286 fe80::/64 Auf Verbindung
10 276 fe80::39a9:b898:7994:4391/128
Auf Verbindung
21 286 fe80::9c7a:43e0:b947:f3d5/128
Auf Verbindung
1 306 ff00::/8 Auf Verbindung
10 276 ff00::/8 Auf Verbindung
21 286 ff00::/8 Auf Verbindung

St„ndige Routen:
Keine

4) ICMP hattest Du bereits in einem anderen Tutorial erwähnt, ist auf lokaler Seite ausgeschaltet - und auf Host-Seite. Allerdings - kann ich ja nichtmal den WRV210 anpingen bzw. einen Traceroute erhalten (was bei offenem Tunnel gehen müsste?!).
Was auch die Frage des VPN - Router anpingens beantwortet: keine Antwort "Zeit überschritten".

5) Das IP-Netzdesign ist wie folgt gewählt:
192.168.16.0 - Host-Netz
192.168.146.0 - Client-Netz

6) Das Tutorial von Shrew zum Linksys hatte ich auch schon durchgearbeitet; ohne Erfolg.
Im Unterschied zum vorgestellten Router kann der WRV210 übrigens nur Tunnel, nicht Gruppen.

7) Es gibt keinen anderen IPSec Client auf dem System (auch keine Restbestände, das System ist "jungfräulich").

8) OK, mache ich. Rückmeldung kommt.

Welche Daten brauchst Du noch, um mir Lösungsansätze zu geben?

Danke und Gruss, Fusseler

kleiner Fehler: host-domain.de ist client-domain.de (.de ist von unserem Systemhaus eingerichtet und wird über DNS-Routings nicht an externe DNS-Server gegeben), sorry.
Was aus dem Wireshark-Sniff könnte zur Fehlerlokalisation interessant sein?

Welches IP Netz ist lokal am VPN Router definiert ?? Ist das ebenfalls die 192.168.16.0 /24 oder nutzt du dort eine anderes IP Netz ?

Für den Wireshark Trace wäre nur ein ARP ins VPN Netz interessant, denn laut Fehlermeldung oben gibt es dort einen Protokollfehler. Ohne erfolgreichen ARP ist natürlich keinerlei Zugriff ins remote Netz möglich, das ist logisch, da die layer 2 Adressen nicht aufgelöst werden können !!
Es ist also mal sinnig zu erfahren WO der Fehler im ARP paket liegt !

Client Netz: 192.168.146.0 (Subnetz: 255.255.255.0)
Host Netz: 192.168.16.0 (Subnetz: 255.255.255.0)
IP VPN Router: 192.168.16.254

Ergänzung zum ARP (aus Trace-Log IPSec)
10/08/05 14:04:26 ii : inspecting ARP request ...
10/08/05 14:04:26 !! : ARP packet has invalid header
10/08/05 14:04:36 ii : inspecting ARP request ...
10/08/05 14:04:36 DB : policy not found
10/08/05 14:04:36 ii : ignoring ARP request for 192.168.146.254, no policy found

Der Sniff zeigt für genau diesen Moment:
Broadcasts auf / für unterschiedliche lokale IP's
und ein Paket an rhnb.dnsname.local mit IP Antwort auf MAC-Adresse xyz
(kann ich hier irgendwie Bilder hochladen?)
Ein ARP mit Verweis auf das Zielnetz ist nicht zu finden.

Bilder kannst du hochladen wenn du den Originalthread mit Klick auf "Bearbeiten" editrierst, das Bild als jpeg etc. hochlädst und den den gesendeten URL cut and pastest. Den kannst du dann hier in einer Antwort einfügen.
In jedem Dokument, PM, Antwort etc. wird bei diesem URL dann immer das Bild ausgegeben.
Ganz einfach...wenn man denn mal die FAQs liest

Danke, bin morgen Früh wieder "am Platz".

Nachdem ich die MTU noch stärker beschränkt habe kam die Verbindung zustande. Es sind die berühmten Kleinigkeiten...
Danke für Hilfe, Beitrag geschlossen.
Wenn ich mal Muse habe erstelle ich eine "HowTo".

gelöst Frage Netzwerke LAN, WAN, Wireless

Mehr von Fusseler

VPN mit IPhone und Cisco WRV210Fusseler - 6 Kommentare

Anwendung konnte nicht gestartet werden - COMCTLp.dllFusseler - 2 Kommentare

Variableninhalt im DOS-Batch kürzenFusseler - 10 Kommentare

Heiß diskutiert