kein Ping trotz bestehender VPN-Verbindung
Hallo, ich schildere mal kurz das szenario und danach das problem:
2 Firmen sind mit Lancom 1611+ über VPN Verbunden. Firma 1 ist direkt über dsl mit dem Internet verbunden, Firma 2 über eine Richtfunkstrecke. Bei Firma 2 wurde nach dem Router der die Funkverbindung aufbaut der 1611 drangehängt.
Firma1 hat lanseitig 10.1.1.1, wan feste ip.
firma2 hat am richtfunkrouter lanseitig 10.0.101.1, lancom wan 10.0.101.63 lan 192.168.115.203
Die VPN Verbindung funktioniert auch ohne Probleme aber jetzt kommt der knackpunkt:
wenn ich versuche von firma1, firma2 zu pingen geht das nicht, andersrum aber schon. ich komme aber über lanconfig oder lanmonitor an den router über die feste ip ran. wenn ich jetzt über telnet einen ping von firma 2 auf firma 1 mache. kann ich danach auch von firma 1 firma2 pingen und remotedesktop benutzen usw.
frage:
ehm ehm ehm häääää?
wie kriege ich es hin von firma 1 aus firma 2 pingen und rdp sitzungen aufzumachen ohne vorher über telnet von firma2 aus firma 1 pingen zu müssen?
ich hoffe die beschreibung und fragestellungen waren detailiert genug damit ihr mir weiterhelfen könnt.
vielen dank im voraus
2 Firmen sind mit Lancom 1611+ über VPN Verbunden. Firma 1 ist direkt über dsl mit dem Internet verbunden, Firma 2 über eine Richtfunkstrecke. Bei Firma 2 wurde nach dem Router der die Funkverbindung aufbaut der 1611 drangehängt.
Firma1 hat lanseitig 10.1.1.1, wan feste ip.
firma2 hat am richtfunkrouter lanseitig 10.0.101.1, lancom wan 10.0.101.63 lan 192.168.115.203
Die VPN Verbindung funktioniert auch ohne Probleme aber jetzt kommt der knackpunkt:
wenn ich versuche von firma1, firma2 zu pingen geht das nicht, andersrum aber schon. ich komme aber über lanconfig oder lanmonitor an den router über die feste ip ran. wenn ich jetzt über telnet einen ping von firma 2 auf firma 1 mache. kann ich danach auch von firma 1 firma2 pingen und remotedesktop benutzen usw.
frage:
ehm ehm ehm häääää?
wie kriege ich es hin von firma 1 aus firma 2 pingen und rdp sitzungen aufzumachen ohne vorher über telnet von firma2 aus firma 1 pingen zu müssen?
ich hoffe die beschreibung und fragestellungen waren detailiert genug damit ihr mir weiterhelfen könnt.
vielen dank im voraus
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 103921
Url: https://administrator.de/forum/kein-ping-trotz-bestehender-vpn-verbindung-103921.html
Ausgedruckt am: 23.12.2024 um 18:12 Uhr
7 Kommentare
Neuester Kommentar
Leider bist du recht unpräzise bei deinen Angaben so das eine qualifizierte Hilfe her schwer wird...
Hilfreich wäre die Angabe der Subnetzmakse bei deinen IP Adressen gewesen 10.1.1.1
Wenn beide Seiten eine Class A Subnetzmaske mit 8 Bit benutzen leigt hier der Fehler, denn damit hättest du auf beiden Seiten die gleiche IP Netzwerkkadresse 10.0.0.0 /8 und damit funktioniert kein einziges VPN wie jeder Laie weiss !!
Beide Seiten müssen zwangsweise unterschiedliche IP Netze haben sonst hast du doppelte IP Adressen und nichts funktioniert logischerweise...egal ob dein VPN zustandekommt oder nicht !!
Ferner hast du vermutlich zusätzlich noch ein Route oder NAT Problem am Richtfunkrouter sofern du die VPN Session von diesem durchschleifst... Dieser Router macht vermutlich NAT und benötigt dafür eine statische Portforwarding für alle Ports des VPN Protokolls was du benutzt, zu dem du ja auch nicht sagst ob das PPTP, L2TP oder IPsec oder... ist, so das man dir hier auch nur schwer helfen kann !!
Hilfreich wäre die Angabe der Subnetzmakse bei deinen IP Adressen gewesen 10.1.1.1
Wenn beide Seiten eine Class A Subnetzmaske mit 8 Bit benutzen leigt hier der Fehler, denn damit hättest du auf beiden Seiten die gleiche IP Netzwerkkadresse 10.0.0.0 /8 und damit funktioniert kein einziges VPN wie jeder Laie weiss !!
Beide Seiten müssen zwangsweise unterschiedliche IP Netze haben sonst hast du doppelte IP Adressen und nichts funktioniert logischerweise...egal ob dein VPN zustandekommt oder nicht !!
Ferner hast du vermutlich zusätzlich noch ein Route oder NAT Problem am Richtfunkrouter sofern du die VPN Session von diesem durchschleifst... Dieser Router macht vermutlich NAT und benötigt dafür eine statische Portforwarding für alle Ports des VPN Protokolls was du benutzt, zu dem du ja auch nicht sagst ob das PPTP, L2TP oder IPsec oder... ist, so das man dir hier auch nur schwer helfen kann !!
Witzig ist das nicht sondern logisch, denn diese 2te Firma hat vermutlich keinen davorliegenden zusätzlichen NAT Router wie du es hier hast... ??!!
OK, dann ist die IP Adressierung schonmal sauber. Es liegt dann sehr wahrscheinlich am Richtfunkrouter sofern dieser auch das NAT zum Internet macht ?? Oder dann eben an dem Router der das NAT zum Internet macht !
Du terminierst ja vermutlich den VPN Tunnel auf der 10.0.101.63, was bedeutet da 10.x.x.x eine RFC 1918 IP Adresse ist, das irgendwo NAT gemacht wird zum Internet !
Dort wo der NAT Prozess liegt können aber eingehende IPsec Pakete vom Internet die NAT Firewall nicht überwinden OHNE eine statische Port Weiterleitung, bleiben dort folglich also hängen und ein VPN Tunnel kommt nicht zustande und somit auch keine Verbindung !!
Hier, an diesem NAT Router, musst du ein statisches Port Forwarding auf die 10.0.101.63 eintragen mit folgenden Ports bei IPsec
UDP 500 (IKE)
UDP 4500 (Nat Traversal)
ESP (IP Protokoll Nummer 50, nicht UDP/TCP 50 !!!)
Dann sollte der Tunnel zustandekommen und deine VPN Verbindung laufen...
OK, dann ist die IP Adressierung schonmal sauber. Es liegt dann sehr wahrscheinlich am Richtfunkrouter sofern dieser auch das NAT zum Internet macht ?? Oder dann eben an dem Router der das NAT zum Internet macht !
Du terminierst ja vermutlich den VPN Tunnel auf der 10.0.101.63, was bedeutet da 10.x.x.x eine RFC 1918 IP Adresse ist, das irgendwo NAT gemacht wird zum Internet !
Dort wo der NAT Prozess liegt können aber eingehende IPsec Pakete vom Internet die NAT Firewall nicht überwinden OHNE eine statische Port Weiterleitung, bleiben dort folglich also hängen und ein VPN Tunnel kommt nicht zustande und somit auch keine Verbindung !!
Hier, an diesem NAT Router, musst du ein statisches Port Forwarding auf die 10.0.101.63 eintragen mit folgenden Ports bei IPsec
UDP 500 (IKE)
UDP 4500 (Nat Traversal)
ESP (IP Protokoll Nummer 50, nicht UDP/TCP 50 !!!)
Dann sollte der Tunnel zustandekommen und deine VPN Verbindung laufen...
Ist schon höchst verwunderlich das ein gegenseitiges Pingen erst möglich ist wenn ein Ping das VPN gewissermassen triggert.
Das lässt eher auf ein Firmware Problem schliessen als auf einen Konfig Fehler...
Fakt ist aber das das Problem vermutlich an Fa.2 liegt und ein weiterer Fakt ist das der NAT Router auf den du keinen Zugriff hast zwangsweise ein Port Forwarding machen muss damit das VPN funktioniert.
Es wäre also schon wichtig zu wissen was die fremdfirma da konfiguriert hat !!
Ein weiterer Fakt ist das ein Port Forwarding nicht 2 mal mit dem gleichen Protokoll geschehen kann bei Fa. 2 !!
Dass Problem kannst du nur lösen indem du die VPN Sessions von Fa.2 aus initiierst, also das Fa. 2 der VPN Client ist und Fa.1 und Fa.3 der Server.
Ohne eine genau Konfig Kenntniss des Fremdrouters kommst du mit dem Problem nicht weiter...
Das lässt eher auf ein Firmware Problem schliessen als auf einen Konfig Fehler...
Fakt ist aber das das Problem vermutlich an Fa.2 liegt und ein weiterer Fakt ist das der NAT Router auf den du keinen Zugriff hast zwangsweise ein Port Forwarding machen muss damit das VPN funktioniert.
Es wäre also schon wichtig zu wissen was die fremdfirma da konfiguriert hat !!
Ein weiterer Fakt ist das ein Port Forwarding nicht 2 mal mit dem gleichen Protokoll geschehen kann bei Fa. 2 !!
Dass Problem kannst du nur lösen indem du die VPN Sessions von Fa.2 aus initiierst, also das Fa. 2 der VPN Client ist und Fa.1 und Fa.3 der Server.
Ohne eine genau Konfig Kenntniss des Fremdrouters kommst du mit dem Problem nicht weiter...