absurt
Goto Top

LANCOM 1721 VPN Routing geht nicht obwohl VPN zum ext. Gateway geht

Hallo Gemeinde,

habe ein Problem und finde nicht die Lösung.

Sensario:

Über meinen LANCOM lauft ein aktives Routing zum entfernten Gateway. Hierzu soll ein weiteres Netzwerk geroutet werden über dasselbe GW.
Das Routing über das Gateway in das Netzwerk 172.20.0.0/24 geht.
Gebe ich ein weiteres Routing über dasselbe Gateway in das Netzwerk 172.16.0.0/24 und ich kann es nicht pingen! :-o

Folgendes habe ich eingerichtet:

Routing-Tabelle (entferntes Netzwerk/172.16.0.0/24)
Firewall-Station (IP-Netzwerk ergänzt/172.16.0.0/24)
Verbindungsliste (Extranet mit Gateway eingetragen/172.16.0.0/24 + 62.0.1.2)

Warum läuft das eine und das andere nicht? Was habe ich übersehen?

Danke Vorab!
absurt

Content-ID: 218042

Url: https://administrator.de/forum/lancom-1721-vpn-routing-geht-nicht-obwohl-vpn-zum-ext-gateway-geht-218042.html

Ausgedruckt am: 23.12.2024 um 09:12 Uhr

tikayevent
tikayevent 27.09.2013 um 14:09:27 Uhr
Goto Top
Dazu benötigst du ein paar mehr Konfigurationsänderungen.

LANCOM hat dazu einen Eintrag in der Knowledgebase https://www2.lancom.de/kb.nsf/1275/232DB632F29665DBC1256ED1004B4C64?Open ...
absurt
absurt 27.09.2013 um 14:15:54 Uhr
Goto Top
Ja, danke tikayevent, hatte ich jedoch schon ausprobiert. Jedoch kann ich natürlich nur meine Seite "einrichten". Ich komme ja schon auf das Netzwerk 172.20.0.0 jedoch nicht auf 172.16.0.0
Ansonsten ist es das selbe Gateway mit denselben Konfigurationen.
MrNetman
MrNetman 27.09.2013 um 14:18:07 Uhr
Goto Top
Hi Absurd,

Da gibt es einen großen Haken in deinem Szenario:

Wenn du über ein VPN in ein privates Gateway routest ist das ein kompletter Vorgang.
Eine läppische Routenerweiterung in ein weiteres unbekanntes privates Netzwerk kann gar nicht gehen.

Für so ein Netz brauchst du wieder einen Zugang. Der fehlt.
Der Router macht das einzig richtige: Er zeigt dir einen mittleren Finger. Routen in private Netze geht nicht übers Internet.

Gruß
Netman
tikayevent
tikayevent 27.09.2013 um 14:19:10 Uhr
Goto Top
Dann brauchst du auf deiner Seite nichts ändern, bis auf die Routingtabelle und aus 172.20.0.0/wasweißich 172.16.0.0/12 draus machen. Wenn es dann nicht geht, dann ist das Gateway am anderen Ende des Tunnels nicht richtig konfiguriert. Du brauchst ja auch eine Rückroute, sonst weiß die Gegenstelle nicht, wohin mit der Antwort.
108012
108012 27.09.2013 aktualisiert um 14:26:55 Uhr
Goto Top
Hallo,

also entweder Du bist zu nervös, oder ich habe es nicht kapiert!

Das Routing über das Gateway in das Netzwerk 172.20.0.0/24 geht.
Wohin geht es denn? und in welchem Netzwerk bist Du?

Gebe ich ein weiteres Routing über dasselbe Gateway in das Netzwerk 172.16.0.0/24 und ich kann es nicht pingen! :-o
Ja und wo ist das denn nun genau?

Routing-Tabelle (entferntes Netzwerk/172.16.0.0/24)
???
Firewall-Station (IP-Netzwerk ergänzt/172.16.0.0/24)
Ist das jetzt Deine Seite?

Verbindungsliste (Extranet mit Gateway eingetragen/172.16.0.0/24 + 62.0.1.2)
???


Ich würde es eben etwas verständlicher schreiben, Du weißt wo was ist, wir nicht, aber wir sollen uns da hineindenken!!!

Seite A (ich selber oder mein Netzwerk)
172.16.1.0/24
Gateway IP Router: 172.16.1.1/24

Seite B (entferntes Netzwerk)
172.20.1.0/24
Gateway IP Router: 172.20.1.1/24

So das funktioniert auf jeden Fall!

So und nun noch zu dem ganzen mit dem VPN, also wenn Du schon sagst dass alles via VPN miteinander verbunden ist,
dann doch wohl auch ein mal ein Wort darüber verlieren welche VPN Methode eingesetzt wird, oder?

So und private IP Adressen lassen sich nicht über das Internet routen!!!!
Also hat auch höchstwahrscheinlich Dein VPN nie funktioniert, denn dafür braucht man statische und öffentliche IP
Adressen oder zwei DynDNS Accounts.

Gruß
Dobby
absurt
absurt 27.09.2013 um 14:24:04 Uhr
Goto Top
Hi ebenfalls!

wenn ich über meinen Router das entfernte Gateway (IKE Schlüssel und Identität) auf dieser Seite auf die 2 Netzwerke die dahinter liegen zugreigen, muss ich doch nur das 2 Netzwerk routen?!
absurt
absurt 27.09.2013 um 14:38:27 Uhr
Goto Top
Okay, etwas einfacher face-smile

SEITE A (mein Netzwerk)
Netzwerk 0: 192.184.0.0/24
Gateway 0: 178.x.x.x

VPN
Verbindungs-Liste: beide entf. IP mit GW eingetragen
Verbindungs-Parameter: kein PFS, IKE-Gruppe 2
IKE-Schlüssel mit loc. ID (178.x.x.x) und entf. Id. (62.x.x.x)


SEITE B (entf. Netzwerk)
Netzwerk 1: 172.16.1.0/24
und
Netzwerk 2: 172.20.1.0/24
Gateway 1: 62.x.x.x

Der Weg zum Netzwerk 1 geht (Mailserver)
Der Weg zum Netzwerk 2 geht nicht (Applikationen)

Für mich dache ich, Verbindung und Routing ergänzen, der Gateway mit VPN bleint und los.... face-sad
MrNetman
MrNetman 27.09.2013 aktualisiert um 14:48:38 Uhr
Goto Top
Und in dem dahinter liegenden Netzwerk muss selbstverständlich auch die richtige Konfiguration fürs Routen sein.
Also in dem Falle:
172.z.x.y --- WAN-VPN --- 172.20.x.y --- LAN ---172.16.x.y
Verbindungsliste (Extranet mit Gateway eingetragen/172.16.0.0/24 + 62.0.1.2)
Firewall-Station (IP-Netzwerk ergänzt/172.16.0.0/24)
Was das sagt? Glaskugel antworte bitte. Es liest sich wie ein ein öffentliches Gateway. Und eine Brandstation mit der Adresse eines ganzen Netzes.

edit:
Der erste Router von der Gegenstelle kennt ja das 192.184 Netz , das ja gar nicht zu einem privaten Netzwerk gehört. Der zweite Router kennt es nicht. Die Pakete würden sofort ins Internet geroutet.
absurt
absurt 27.09.2013 um 14:49:01 Uhr
Goto Top
> Firewall-Station (IP-Netzwerk ergänzt/172.16.0.0/24)
Was das sagt? Glaskugel antworte bitte. Es liest sich wie ein ein öffentliches Gateway. Und eine Brandstation mit der Adresse
eines ganzen Netzes.
Es ist kein öffentliches Netzwerk! Wenn Routig 1 passt, warum nicht Routing 2? Das ist meine Frage gewesen... Das GW ist rein fiktiv.
aqui
aqui 27.09.2013 aktualisiert um 14:53:55 Uhr
Goto Top
Oha... wirklich 192.184.0.0 ?? Du benutzt damit ein offizell von der IANA zugewiesenes IP Netzwerk in den USA:

NetRange: 192.184.0.0 - 192.184.3.255
CIDR: 192.184.0.0/22
OrgName: InstaVPS
OrgId: IL
Address: 179 Social Hall Ave.
Address: Suite 200
City: Salt Lake City
StateProv: UT
PostalCode: 84111
Country: US
RegDate: 2010-09-07
Updated: 2013-02-20
Ref: http://whois.arin.net/rest/org/IL


Nicht wirklich gut ! Eigentlich solltest du hier dann kein Deutsch sprechen im Forum ! Besser du korrigierst das ?!

Zurück zu deinem Problem:
  • Sind die beiden IP Netze 172.16.1.0/24 und 172.20.1.0/24 an einem Router ?
  • Ist an diesem Route eine Route für dein 192.184.0.0/24 eingetragen oder routest du dynamisch ?
  • Gibt es an dem Router an "B" ggf. Accesslisten oder eine Firewall die den Zugang zu blockieren ?
  • Haben Endgeräte im 172.20.1.0/24 Netz diesen Router auch als Gateway eingetragen ?
  • Haben Endgeräte im 172.20.1.0/24 Netz eine entsprechende Regel in der lokalen Firewall die Zugriff von 192.184.0.0/24 erlaubt ?
  • Was sagt ein Traceroute oder Pathping ins 172.20.1.0/24 (z.B. LAN Port Router) wo stoppt der ?
All diese Fragen solltest du sicher klären sonst raten wir hier fröhlich weiter !
absurt
absurt 27.09.2013 um 15:07:08 Uhr
Goto Top
Hi aqui,

Oha... wirklich 192.184.0.0 ?? Du benutzt damit ein offizell von der IANA zugewiesenes IP Netzwerk in den USA:
NSA lässt Grüßen face-wink

Zurück zu deinem Problem:
  • Sind die beiden IP Netze 172.16.1.0/24 und 172.20.1.0/24 an einem Router ?
Ja, so wurde es mir gesagt
* Ist an diesem Route eine Route für dein 192.184.0.0/24 eingetragen oder routest du dynamisch ?
statisch, sticky und DMZ maskiert
* Gibt es an dem Router an "B" ggf. Accesslisten oder eine Firewall die den Zugang zu blockieren ?
Ja, sollte jedoch über den VPN frei sein
* Haben Endgeräte im 172.20.1.0/24 Netz diesen Router auch als Gateway eingetragen ?
Nein, nur im Router
* Haben Endgeräte im 172.20.1.0/24 Netz eine entsprechende Regel in der lokalen Firewall die Zugriff von 192.184.0.0/24
erlaubt ?
Im Router ist die Regel eingestellt
* Was sagt ein Traceroute oder Pathping ins 172.20.1.0/24 (z.B. LAN Port Router) wo stoppt der ?
tracert auf 172.20.0.0 (bsp. 172.20.1.2) ist sauber bis zum Endpunkt (über 4 Stationen)
tracert auf 172.16.0.0 (bsp. 172.16.3.4) hört nach meinen Router auf, "Zeitüberschreitung der Anforderung", kommt nicht auf das entf. GW

All diese Fragen solltest du sicher klären sonst raten wir hier fröhlich weiter !
Nur zu, ich brache auch eine Lösung!

Danke!
Arch-Stanton
Arch-Stanton 27.09.2013 um 15:15:03 Uhr
Goto Top
vielleicht solltest Du wirklich mal die die unglücklich vergebene offizielle IP-Adresse im internen Netz ändern, sonst sitzt Du noch bis Weihnachten an der Lösung...

Gruß, Arch Stanton
Th0mKa
Th0mKa 29.09.2013 um 01:19:50 Uhr
Goto Top
Zitat von @absurt:
Nur zu, ich brache auch eine Lösung!

Nur mal so aus Neugierde - wenn du die 172.16.0.0 auf deiner Seite einträgst, wer ändert dann die Tunnel Config auf der anderen Seite?

VG,

Thomas
aqui
aqui 29.09.2013 um 09:50:34 Uhr
Goto Top
@absurt
Oha, da sind aber eine Menge, könnte...sollte...müsste...wurde mir gesagt drin !! Das musst du wasserdicht klären und nicht so rumeiern und raten ! Auch nur eine einzige dieser o.g. Bedingungen die nicht stimmt und schon funktioniert es nicht.

Die Frage nach der Einstellung der lokalen Rechner Firewall die du mit "Im Router ist die Regel eingestellt" ist natürlich Blödsinn aber das leuchtet dir sicher auch selber ein denn....
Was nützt eine entsprechende Regel auf dem Router wenn die lokale Rechner Firewall es dann doch wieder blockt !
Also auch das kontrollieren.

Das das Traceroute zu 172.16.0.0 beim Router aufhört zeigt dir ganz sicher das dort oder am Next Hop die Routing Tabelle fehlerhaft ist und eine Route ins 172.16er Netz fehlt !
Bitte poste mal die Routing Tabelle show ip route dieser beiden Router hier.
Eine Fehlerlösung nur rein durch raten oder die Kristallkugel willst du nicht wirklich, oder ??
absurt
absurt 02.10.2013 um 10:58:36 Uhr
Goto Top
Erst einmal vielen Dank für die Unterstützung!

Mein IT Verstand geht doch noch zu 100% ! face-smile

Wenn die Gegenseite einen Fehler bei der FW macht kann ich es lange problieren.

Fazit, Routingtabelle und Verbindungsliste genügt wenn der VPN schon richtig funktioniert!

@aqui
Die Frage nach der Einstellung der lokalen Rechner Firewall die du mit "Im Router ist die Regel eingestellt" ist
natürlich Blödsinn aber das leuchtet dir sicher auch selber ein denn....
Was nützt eine entsprechende Regel auf dem Router wenn die lokale Rechner Firewall es dann doch wieder blockt !
Also auch das kontrollieren.
auf meiner Konfing-Seite war ja alles korrekt, somit keine Einstellungsfehler!
Eine Fehlerlösung nur rein durch raten oder die Kristallkugel willst du nicht wirklich, oder ??
Wenn ich nur das OK von der Gegenseite bekommt "alles muss gehen!" dann habe ich an mir selbst gezweifelt! Also weiter gehts!

@thomas
dein Kommentar hat mir gezeigt, dass ich auf den richigen Weg war: Die Gegenseite hat's verpennt! face-smile
Danke auch dir!

Grüße
absurt