LANCOM 1721 VPN Routing geht nicht obwohl VPN zum ext. Gateway geht
Hallo Gemeinde,
habe ein Problem und finde nicht die Lösung.
Sensario:
Über meinen LANCOM lauft ein aktives Routing zum entfernten Gateway. Hierzu soll ein weiteres Netzwerk geroutet werden über dasselbe GW.
Das Routing über das Gateway in das Netzwerk 172.20.0.0/24 geht.
Gebe ich ein weiteres Routing über dasselbe Gateway in das Netzwerk 172.16.0.0/24 und ich kann es nicht pingen! :-o
Folgendes habe ich eingerichtet:
Routing-Tabelle (entferntes Netzwerk/172.16.0.0/24)
Firewall-Station (IP-Netzwerk ergänzt/172.16.0.0/24)
Verbindungsliste (Extranet mit Gateway eingetragen/172.16.0.0/24 + 62.0.1.2)
Warum läuft das eine und das andere nicht? Was habe ich übersehen?
Danke Vorab!
absurt
habe ein Problem und finde nicht die Lösung.
Sensario:
Über meinen LANCOM lauft ein aktives Routing zum entfernten Gateway. Hierzu soll ein weiteres Netzwerk geroutet werden über dasselbe GW.
Das Routing über das Gateway in das Netzwerk 172.20.0.0/24 geht.
Gebe ich ein weiteres Routing über dasselbe Gateway in das Netzwerk 172.16.0.0/24 und ich kann es nicht pingen! :-o
Folgendes habe ich eingerichtet:
Routing-Tabelle (entferntes Netzwerk/172.16.0.0/24)
Firewall-Station (IP-Netzwerk ergänzt/172.16.0.0/24)
Verbindungsliste (Extranet mit Gateway eingetragen/172.16.0.0/24 + 62.0.1.2)
Warum läuft das eine und das andere nicht? Was habe ich übersehen?
Danke Vorab!
absurt
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 218042
Url: https://administrator.de/forum/lancom-1721-vpn-routing-geht-nicht-obwohl-vpn-zum-ext-gateway-geht-218042.html
Ausgedruckt am: 23.12.2024 um 09:12 Uhr
15 Kommentare
Neuester Kommentar
Dazu benötigst du ein paar mehr Konfigurationsänderungen.
LANCOM hat dazu einen Eintrag in der Knowledgebase https://www2.lancom.de/kb.nsf/1275/232DB632F29665DBC1256ED1004B4C64?Open ...
LANCOM hat dazu einen Eintrag in der Knowledgebase https://www2.lancom.de/kb.nsf/1275/232DB632F29665DBC1256ED1004B4C64?Open ...
Hi Absurd,
Da gibt es einen großen Haken in deinem Szenario:
Wenn du über ein VPN in ein privates Gateway routest ist das ein kompletter Vorgang.
Eine läppische Routenerweiterung in ein weiteres unbekanntes privates Netzwerk kann gar nicht gehen.
Für so ein Netz brauchst du wieder einen Zugang. Der fehlt.
Der Router macht das einzig richtige: Er zeigt dir einen mittleren Finger. Routen in private Netze geht nicht übers Internet.
Gruß
Netman
Da gibt es einen großen Haken in deinem Szenario:
Wenn du über ein VPN in ein privates Gateway routest ist das ein kompletter Vorgang.
Eine läppische Routenerweiterung in ein weiteres unbekanntes privates Netzwerk kann gar nicht gehen.
Für so ein Netz brauchst du wieder einen Zugang. Der fehlt.
Der Router macht das einzig richtige: Er zeigt dir einen mittleren Finger. Routen in private Netze geht nicht übers Internet.
Gruß
Netman
Dann brauchst du auf deiner Seite nichts ändern, bis auf die Routingtabelle und aus 172.20.0.0/wasweißich 172.16.0.0/12 draus machen. Wenn es dann nicht geht, dann ist das Gateway am anderen Ende des Tunnels nicht richtig konfiguriert. Du brauchst ja auch eine Rückroute, sonst weiß die Gegenstelle nicht, wohin mit der Antwort.
Hallo,
also entweder Du bist zu nervös, oder ich habe es nicht kapiert!
Ich würde es eben etwas verständlicher schreiben, Du weißt wo was ist, wir nicht, aber wir sollen uns da hineindenken!!!
Seite A (ich selber oder mein Netzwerk)
172.16.1.0/24
Gateway IP Router: 172.16.1.1/24
Seite B (entferntes Netzwerk)
172.20.1.0/24
Gateway IP Router: 172.20.1.1/24
So das funktioniert auf jeden Fall!
So und nun noch zu dem ganzen mit dem VPN, also wenn Du schon sagst dass alles via VPN miteinander verbunden ist,
dann doch wohl auch ein mal ein Wort darüber verlieren welche VPN Methode eingesetzt wird, oder?
So und private IP Adressen lassen sich nicht über das Internet routen!!!!
Also hat auch höchstwahrscheinlich Dein VPN nie funktioniert, denn dafür braucht man statische und öffentliche IP
Adressen oder zwei DynDNS Accounts.
Gruß
Dobby
also entweder Du bist zu nervös, oder ich habe es nicht kapiert!
Das Routing über das Gateway in das Netzwerk 172.20.0.0/24 geht.
Wohin geht es denn? und in welchem Netzwerk bist Du?Gebe ich ein weiteres Routing über dasselbe Gateway in das Netzwerk 172.16.0.0/24 und ich kann es nicht pingen! :-o
Ja und wo ist das denn nun genau?Routing-Tabelle (entferntes Netzwerk/172.16.0.0/24)
???Firewall-Station (IP-Netzwerk ergänzt/172.16.0.0/24)
Ist das jetzt Deine Seite?Verbindungsliste (Extranet mit Gateway eingetragen/172.16.0.0/24 + 62.0.1.2)
???Ich würde es eben etwas verständlicher schreiben, Du weißt wo was ist, wir nicht, aber wir sollen uns da hineindenken!!!
Seite A (ich selber oder mein Netzwerk)
172.16.1.0/24
Gateway IP Router: 172.16.1.1/24
Seite B (entferntes Netzwerk)
172.20.1.0/24
Gateway IP Router: 172.20.1.1/24
So das funktioniert auf jeden Fall!
So und nun noch zu dem ganzen mit dem VPN, also wenn Du schon sagst dass alles via VPN miteinander verbunden ist,
dann doch wohl auch ein mal ein Wort darüber verlieren welche VPN Methode eingesetzt wird, oder?
So und private IP Adressen lassen sich nicht über das Internet routen!!!!
Also hat auch höchstwahrscheinlich Dein VPN nie funktioniert, denn dafür braucht man statische und öffentliche IP
Adressen oder zwei DynDNS Accounts.
Gruß
Dobby
Und in dem dahinter liegenden Netzwerk muss selbstverständlich auch die richtige Konfiguration fürs Routen sein.
Also in dem Falle:
172.z.x.y --- WAN-VPN --- 172.20.x.y --- LAN ---172.16.x.y
edit:
Der erste Router von der Gegenstelle kennt ja das 192.184 Netz , das ja gar nicht zu einem privaten Netzwerk gehört. Der zweite Router kennt es nicht. Die Pakete würden sofort ins Internet geroutet.
Also in dem Falle:
172.z.x.y --- WAN-VPN --- 172.20.x.y --- LAN ---172.16.x.y
Verbindungsliste (Extranet mit Gateway eingetragen/172.16.0.0/24 + 62.0.1.2)
Firewall-Station (IP-Netzwerk ergänzt/172.16.0.0/24)
Was das sagt? Glaskugel antworte bitte. Es liest sich wie ein ein öffentliches Gateway. Und eine Brandstation mit der Adresse eines ganzen Netzes.Firewall-Station (IP-Netzwerk ergänzt/172.16.0.0/24)
edit:
Der erste Router von der Gegenstelle kennt ja das 192.184 Netz , das ja gar nicht zu einem privaten Netzwerk gehört. Der zweite Router kennt es nicht. Die Pakete würden sofort ins Internet geroutet.
Oha... wirklich 192.184.0.0 ?? Du benutzt damit ein offizell von der IANA zugewiesenes IP Netzwerk in den USA:
NetRange: 192.184.0.0 - 192.184.3.255
CIDR: 192.184.0.0/22
OrgName: InstaVPS
OrgId: IL
Address: 179 Social Hall Ave.
Address: Suite 200
City: Salt Lake City
StateProv: UT
PostalCode: 84111
Country: US
RegDate: 2010-09-07
Updated: 2013-02-20
Ref: http://whois.arin.net/rest/org/IL
Nicht wirklich gut ! Eigentlich solltest du hier dann kein Deutsch sprechen im Forum ! Besser du korrigierst das ?!
Zurück zu deinem Problem:
NetRange: 192.184.0.0 - 192.184.3.255
CIDR: 192.184.0.0/22
OrgName: InstaVPS
OrgId: IL
Address: 179 Social Hall Ave.
Address: Suite 200
City: Salt Lake City
StateProv: UT
PostalCode: 84111
Country: US
RegDate: 2010-09-07
Updated: 2013-02-20
Ref: http://whois.arin.net/rest/org/IL
Nicht wirklich gut ! Eigentlich solltest du hier dann kein Deutsch sprechen im Forum ! Besser du korrigierst das ?!
Zurück zu deinem Problem:
- Sind die beiden IP Netze 172.16.1.0/24 und 172.20.1.0/24 an einem Router ?
- Ist an diesem Route eine Route für dein 192.184.0.0/24 eingetragen oder routest du dynamisch ?
- Gibt es an dem Router an "B" ggf. Accesslisten oder eine Firewall die den Zugang zu blockieren ?
- Haben Endgeräte im 172.20.1.0/24 Netz diesen Router auch als Gateway eingetragen ?
- Haben Endgeräte im 172.20.1.0/24 Netz eine entsprechende Regel in der lokalen Firewall die Zugriff von 192.184.0.0/24 erlaubt ?
- Was sagt ein Traceroute oder Pathping ins 172.20.1.0/24 (z.B. LAN Port Router) wo stoppt der ?
Nur mal so aus Neugierde - wenn du die 172.16.0.0 auf deiner Seite einträgst, wer ändert dann die Tunnel Config auf der anderen Seite?
VG,
Thomas
@absurt
Oha, da sind aber eine Menge, könnte...sollte...müsste...wurde mir gesagt drin !! Das musst du wasserdicht klären und nicht so rumeiern und raten ! Auch nur eine einzige dieser o.g. Bedingungen die nicht stimmt und schon funktioniert es nicht.
Die Frage nach der Einstellung der lokalen Rechner Firewall die du mit "Im Router ist die Regel eingestellt" ist natürlich Blödsinn aber das leuchtet dir sicher auch selber ein denn....
Was nützt eine entsprechende Regel auf dem Router wenn die lokale Rechner Firewall es dann doch wieder blockt !
Also auch das kontrollieren.
Das das Traceroute zu 172.16.0.0 beim Router aufhört zeigt dir ganz sicher das dort oder am Next Hop die Routing Tabelle fehlerhaft ist und eine Route ins 172.16er Netz fehlt !
Bitte poste mal die Routing Tabelle show ip route dieser beiden Router hier.
Eine Fehlerlösung nur rein durch raten oder die Kristallkugel willst du nicht wirklich, oder ??
Oha, da sind aber eine Menge, könnte...sollte...müsste...wurde mir gesagt drin !! Das musst du wasserdicht klären und nicht so rumeiern und raten ! Auch nur eine einzige dieser o.g. Bedingungen die nicht stimmt und schon funktioniert es nicht.
Die Frage nach der Einstellung der lokalen Rechner Firewall die du mit "Im Router ist die Regel eingestellt" ist natürlich Blödsinn aber das leuchtet dir sicher auch selber ein denn....
Was nützt eine entsprechende Regel auf dem Router wenn die lokale Rechner Firewall es dann doch wieder blockt !
Also auch das kontrollieren.
Das das Traceroute zu 172.16.0.0 beim Router aufhört zeigt dir ganz sicher das dort oder am Next Hop die Routing Tabelle fehlerhaft ist und eine Route ins 172.16er Netz fehlt !
Bitte poste mal die Routing Tabelle show ip route dieser beiden Router hier.
Eine Fehlerlösung nur rein durch raten oder die Kristallkugel willst du nicht wirklich, oder ??