12
Kleine Nachilfe in Sachen Routing VPN
Hallo Zusammen,
ich habe ein kleines Problem. Ich habe einen Draytek DualWan -Router 2925, wo WAN1 und WAN2 von einer Frite versorgt werden, im Router betrieb:
Frite1 = 1.1 auf Wan1 Draytek mit 1.2
Frite2 = 2.1 auf Wan2 Daytek mit 2.2
Nun habe ich einen VPN über eine externe Frite über Lan to Lan mit der Frite2 aufgebaut. So weit so gut!
Nun sollte man denken, dass wen ich über das entfernte Netz einen Pink auf 2.1 setze sollte das gehen. Jo geht! Weiterhin sollte man denken, dass alle anderen angeschloßenen Lan fähigen Geräte auch Pingbar sind. Also ich einen Ping auf die 2.2 gesetzt! Hmmm da kommt aber keine Antwort. Ich also in der Frite2 geschaut unter Netzwerk und da steht an Lan1 ist das Gerät 2.2 angeschloßen!
Daher jetzt die Frage, warum lässt die sich nicht pingen?
Wo liegt mein Denkfehler?
Danke
PS: Bitte jetzt keine Belehrungen zum Thema NAT auf NAT usw. Hier spielen noch anderen Gründe mit, warum die Friten im Routerbetrieb laufen! Es geht nicht um die Konzeption, sondern nur, warum ich über die VPN die 2.2 nicht erreichen kann!
ich habe ein kleines Problem. Ich habe einen Draytek DualWan -Router 2925, wo WAN1 und WAN2 von einer Frite versorgt werden, im Router betrieb:
Frite1 = 1.1 auf Wan1 Draytek mit 1.2
Frite2 = 2.1 auf Wan2 Daytek mit 2.2
Nun habe ich einen VPN über eine externe Frite über Lan to Lan mit der Frite2 aufgebaut. So weit so gut!
Nun sollte man denken, dass wen ich über das entfernte Netz einen Pink auf 2.1 setze sollte das gehen. Jo geht! Weiterhin sollte man denken, dass alle anderen angeschloßenen Lan fähigen Geräte auch Pingbar sind. Also ich einen Ping auf die 2.2 gesetzt! Hmmm da kommt aber keine Antwort. Ich also in der Frite2 geschaut unter Netzwerk und da steht an Lan1 ist das Gerät 2.2 angeschloßen!
Daher jetzt die Frage, warum lässt die sich nicht pingen?
Wo liegt mein Denkfehler?
Danke
PS: Bitte jetzt keine Belehrungen zum Thema NAT auf NAT usw. Hier spielen noch anderen Gründe mit, warum die Friten im Routerbetrieb laufen! Es geht nicht um die Konzeption, sondern nur, warum ich über die VPN die 2.2 nicht erreichen kann!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 423631
Url: https://administrator.de/contentid/423631
Printed on: April 24, 2024 at 05:04 o'clock
12 Comments
Latest comment
Moin...
aha... du hast selber gemerkt, das dein aufbau doof ist!
gut...
was hast du den eingetragen in dein VPN, welche Netzte sollen den erreichbar sein? /24 oder nur eine IP
Frank
PS: Bitte jetzt keine Belehrungen zum Thema NAT auf NAT usw. Hier spielen noch anderen Gründe mit, warum die Friten im Routerbetrieb laufen! Es geht nicht um die Konzeption, sondern nur, warum ich über die VPN die 2.2 nicht erreichen kann!
aha... du hast selber gemerkt, das dein aufbau doof ist!
gut...
was hast du den eingetragen in dein VPN, welche Netzte sollen den erreichbar sein? /24 oder nur eine IP
Frank
192.168.2.0/24 und 192.168.78.0/24
Habe gerade noch mal mit AVM telefoniert. Die waren auch ein wenig ratlos, aber bemüht, muss man ja sagen! Die wollen sich interne auch noch mal um das Problem kümmern. Bin gespannt!
über das entfernte Netz einen Pink auf 2.1 setze
Was bitte ist ein "Pink" ?!dass alle anderen angeschloßenen Lan fähigen Geräte auch Pingbar sind.
Hast du denn Geräte im Koppelnetz deiner Router Kaskade, sprich im .2.1er Netz ??Dort sollten sich eigentlich keine Geräte befinden, denn die Koppelnetze der Kaskade von WAN 1 und 2 auf die jeweiligen FBs sollten reine Punkt zu Punkt Netze sein !!
Geräte im lokalen LAN des Dual WAN Routers kannst du nicht pingen ! Logisch, denn das verhindert die NAT Firewall an den beiden WAN 1 und 2 Port !
Ping auf die 2.2 gesetzt! Hmmm da kommt aber keine Antwort.
Ist doch auch logisch ! Denk mal bitte selber etwas nach !!Normal wäre das ein öffentlicher WAN Port des Dual WAN Routers und da blockt die Firewall wie bei allen NAT Routern üblich sicherlich eingehende ICMP Requests (Pings).
Wo liegt mein Denkfehler?
In der Fehleinschätzung bzw. Nichtwissen der Funktion von Firewalls in NAT Routern !Generell stellt sich hier die Frage warum du sinnfrei das VPN am Eingangsrouter terminierst und nicht auf dem Dual WAN Router selber ?!
Dann hättest du die Frickelei mit dem doppelten NAT und allem anderen gar nicht erst !
https://www.draytek.de/VPN-Draytek-2960-3900-und-Fritzbox-6490.html
Jetzt hast du mich auf eine Idee gebracht! Klar ICMP Pakete werden geblockt. Ich habe mich so auf den PING konzentriert, dass ich darauf überhaupt nicht gekommen bin. boooor....
Habe jetzt einfach mal den Webserver über die 2.2 angesprochen und siehe da es geht!
Sorry aber leider sieht manchmal den Wald vor lauter Bäumen nicht...
Alles Gut... Danke
Habe jetzt einfach mal den Webserver über die 2.2 angesprochen und siehe da es geht!
Sorry aber leider sieht manchmal den Wald vor lauter Bäumen nicht...
Alles Gut... Danke
Ich habe mich so auf den PING konzentriert,
Ping ist ICMP ! Weisst du ja aber sicher selber ?!Habe jetzt einfach mal den Webserver über die 2.2 angesprochen
Gruselig !Du meinst doch wohl hoffentlich NICHT damit den Webserver des Routers zur Konfig ? Das wäre fataler Leichtsinn wenn man das WebGUI des Routers über das Internet erreichen könnte !
Kann man nur hoffen für dich das es das NICHT ist ?!
Sorry aber leider sieht manchmal den Wald vor lauter Bäumen nicht...
Deshalb immer cool bleiben, nachdenken und strategisch vorgehen beim Troubleshooting !! 
Case closed.
Nein, natürlich nicht die GUI des DrayTek. Ich meine die Website im Apache...
Hast du denn im WAN Transfernetz .2.0 /x zum kaskadierten Router noch Endgeräte angeschlossen ??
Nein, warum?
Weil es nicht ganz klar ist wo der Webserver steht ??
Aber vermutlich hast du dein IPsec VPN über die .2.2 WAN IP etabliert und bist dann via VPN auf einen lokalen Webserver gegangen, richtig ?
Das wäre dann das zu erwartende, korrekte Verhalten.
Aber vermutlich hast du dein IPsec VPN über die .2.2 WAN IP etabliert und bist dann via VPN auf einen lokalen Webserver gegangen, richtig ?
Das wäre dann das zu erwartende, korrekte Verhalten.
Richtig. Die WAN Frite arbeitet als Router mit Offenen DMZ Port auf 2 2 am Dualwan Port1 des Draytek. Dort ist ebenfalls der DMZ Port frei, der alles zum IPfire schickt. Ipfire hat Port 80 und 443 offen und ab zum Apache.
Ich weiß etwas verworren die Sache. Aber es läuft ist save und dass alles auseinander zu reißen würde nur zu viel Arbeit machen.
Ich weiß etwas verworren die Sache. Aber es läuft ist save und dass alles auseinander zu reißen würde nur zu viel Arbeit machen.
Ich weiß etwas verworren die Sache.
In der Tat...klingt alles sehr gruselig. Wo kommt denn jetzt die IPFire her ??Eine kleine Skizze hätte hier mehr gesagt als 1000 Worte. Aber egal...
Solange alles rennt ists OK.
Hauptsache DU hast dann noch den Überblick und nicht alles offen im Internet ?!
