ravensen2k
Goto Top

kein Ping trotz bestehender VPN-Verbindung

Hallo, ich schildere mal kurz das szenario und danach das problem:

2 Firmen sind mit Lancom 1611+ über VPN Verbunden. Firma 1 ist direkt über dsl mit dem Internet verbunden, Firma 2 über eine Richtfunkstrecke. Bei Firma 2 wurde nach dem Router der die Funkverbindung aufbaut der 1611 drangehängt.

Firma1 hat lanseitig 10.1.1.1, wan feste ip.
firma2 hat am richtfunkrouter lanseitig 10.0.101.1, lancom wan 10.0.101.63 lan 192.168.115.203

Die VPN Verbindung funktioniert auch ohne Probleme aber jetzt kommt der knackpunkt:
wenn ich versuche von firma1, firma2 zu pingen geht das nicht, andersrum aber schon. ich komme aber über lanconfig oder lanmonitor an den router über die feste ip ran. wenn ich jetzt über telnet einen ping von firma 2 auf firma 1 mache. kann ich danach auch von firma 1 firma2 pingen und remotedesktop benutzen usw.

frage:
ehm ehm ehm häääää?
wie kriege ich es hin von firma 1 aus firma 2 pingen und rdp sitzungen aufzumachen ohne vorher über telnet von firma2 aus firma 1 pingen zu müssen?
ich hoffe die beschreibung und fragestellungen waren detailiert genug damit ihr mir weiterhelfen könnt.

vielen dank im voraus

Content-ID: 103921

Url: https://administrator.de/forum/kein-ping-trotz-bestehender-vpn-verbindung-103921.html

Ausgedruckt am: 23.12.2024 um 18:12 Uhr

aqui
aqui 12.12.2008 um 09:01:44 Uhr
Goto Top
Leider bist du recht unpräzise bei deinen Angaben so das eine qualifizierte Hilfe her schwer wird... face-sad
Hilfreich wäre die Angabe der Subnetzmakse bei deinen IP Adressen gewesen 10.1.1.1
Wenn beide Seiten eine Class A Subnetzmaske mit 8 Bit benutzen leigt hier der Fehler, denn damit hättest du auf beiden Seiten die gleiche IP Netzwerkkadresse 10.0.0.0 /8 und damit funktioniert kein einziges VPN wie jeder Laie weiss !!
Beide Seiten müssen zwangsweise unterschiedliche IP Netze haben sonst hast du doppelte IP Adressen und nichts funktioniert logischerweise...egal ob dein VPN zustandekommt oder nicht !!

Ferner hast du vermutlich zusätzlich noch ein Route oder NAT Problem am Richtfunkrouter sofern du die VPN Session von diesem durchschleifst... Dieser Router macht vermutlich NAT und benötigt dafür eine statische Portforwarding für alle Ports des VPN Protokolls was du benutzt, zu dem du ja auch nicht sagst ob das PPTP, L2TP oder IPsec oder... ist, so das man dir hier auch nur schwer helfen kann !!
raVensen2k
raVensen2k 12.12.2008 um 09:43:15 Uhr
Goto Top
ja, manchmal vergisst man einfach die wichtigsten sachen. sorry
wir benutzen ipsec im main mode.
10.1.1.0 /16
10.0.101.0 /24
192.168.115.0 /24

das witzige ist das wir firma 2 noch mit einem anderen standpunkt (der ebenfalls einen lancom 1611+ hat) verbunden haben und es da ohne probleme läuft. was bedeutet das es eigentlich nur ein problem an dem router der firma 1 liegen dürfte.
aqui
aqui 12.12.2008 um 10:36:27 Uhr
Goto Top
Witzig ist das nicht sondern logisch, denn diese 2te Firma hat vermutlich keinen davorliegenden zusätzlichen NAT Router wie du es hier hast... ??!!
OK, dann ist die IP Adressierung schonmal sauber. Es liegt dann sehr wahrscheinlich am Richtfunkrouter sofern dieser auch das NAT zum Internet macht ?? Oder dann eben an dem Router der das NAT zum Internet macht !
Du terminierst ja vermutlich den VPN Tunnel auf der 10.0.101.63, was bedeutet da 10.x.x.x eine RFC 1918 IP Adresse ist, das irgendwo NAT gemacht wird zum Internet !
Dort wo der NAT Prozess liegt können aber eingehende IPsec Pakete vom Internet die NAT Firewall nicht überwinden OHNE eine statische Port Weiterleitung, bleiben dort folglich also hängen und ein VPN Tunnel kommt nicht zustande und somit auch keine Verbindung !!

Hier, an diesem NAT Router, musst du ein statisches Port Forwarding auf die 10.0.101.63 eintragen mit folgenden Ports bei IPsec
UDP 500 (IKE)
UDP 4500 (Nat Traversal)
ESP (IP Protokoll Nummer 50, nicht UDP/TCP 50 !!!)

Dann sollte der Tunnel zustandekommen und deine VPN Verbindung laufen...
raVensen2k
raVensen2k 12.12.2008 um 12:48:18 Uhr
Goto Top
ich glaube ich hab mich da nicht ganz deutlich ausgedrückt.
die firma 2 die den richtfunkrouter hat, hat eine bestehende und voll funktionsfähige vpn verbindung zu einer weiteren firma (ich nenne sie zukünftig firma3) welche den selben router hat wie firma 1
die vpn verbindung zu firma 1 von der firma 2 mit dem richtfunkrouter kommt auch zustande, allerdings kann ich nur von firma2 aus firma 1 pingen. erst wenn ich firma 1 gepingt habe, kann ich firma2 von firma 1 aus pingen.
der vpn tunnel wird am lancomrouter terminiert da der richtfunkrouter von einer externen firma aufgestellt wurde, die die internetverbindung bereitstellt. auf den router habe ich keinen zugriff, habe lediglich von der externen firma die routingeinträge in den richtfunkrouter eintragen lassen.

firma 1 --------- WAN ---------- richtfunkrouter firma 2 ----- lancomrouter firma2
                                    |
                                    |
firma 3 --------- WAN ---------------

und da die vpn verbindungen eigentlich beide stehen und von firma 3 aus firma 2 ohne weiteres gepingt werden kann, weiss ich nicht so recht wo der fehler liegen soll. ich hoffe es ist jetzt klarer wo das problem liegt.
aqui
aqui 12.12.2008 um 23:50:09 Uhr
Goto Top
Ist schon höchst verwunderlich das ein gegenseitiges Pingen erst möglich ist wenn ein Ping das VPN gewissermassen triggert.
Das lässt eher auf ein Firmware Problem schliessen als auf einen Konfig Fehler...

Fakt ist aber das das Problem vermutlich an Fa.2 liegt und ein weiterer Fakt ist das der NAT Router auf den du keinen Zugriff hast zwangsweise ein Port Forwarding machen muss damit das VPN funktioniert.
Es wäre also schon wichtig zu wissen was die fremdfirma da konfiguriert hat !!

Ein weiterer Fakt ist das ein Port Forwarding nicht 2 mal mit dem gleichen Protokoll geschehen kann bei Fa. 2 !!

Dass Problem kannst du nur lösen indem du die VPN Sessions von Fa.2 aus initiierst, also das Fa. 2 der VPN Client ist und Fa.1 und Fa.3 der Server.
Ohne eine genau Konfig Kenntniss des Fremdrouters kommst du mit dem Problem nicht weiter...
raVensen2k
raVensen2k 15.12.2008 um 08:58:09 Uhr
Goto Top
ja ist echt ärgerlich sowas hinkriegen zu müssen ohne an alle router ran zu kommen.
ich werd dann mal deinen tipp versuchen und den tunnel von fa2 aus zu initiieren. zur not muss ich mal gucken ob ich vielleicht durch bitten und betteln an die zugangsdaten des routers komme ... glaube ich aber eher weniger dran.
aber schonmal vielen dank für deine hilfe =)
aqui
aqui 17.12.2008 um 11:46:36 Uhr
Goto Top
Jeder Router hat eine Passwort Recovery Methode face-wink