15
LANCOM 1721 VPN Routing geht nicht obwohl VPN zum ext. Gateway geht
Hallo Gemeinde,
habe ein Problem und finde nicht die Lösung.
Sensario:
Über meinen LANCOM lauft ein aktives Routing zum entfernten Gateway. Hierzu soll ein weiteres Netzwerk geroutet werden über dasselbe GW.
Das Routing über das Gateway in das Netzwerk 172.20.0.0/24 geht.
Gebe ich ein weiteres Routing über dasselbe Gateway in das Netzwerk 172.16.0.0/24 und ich kann es nicht pingen! :-o
Folgendes habe ich eingerichtet:
Routing-Tabelle (entferntes Netzwerk/172.16.0.0/24)
Firewall-Station (IP-Netzwerk ergänzt/172.16.0.0/24)
Verbindungsliste (Extranet mit Gateway eingetragen/172.16.0.0/24 + 62.0.1.2)
Warum läuft das eine und das andere nicht? Was habe ich übersehen?
Danke Vorab!
absurt
habe ein Problem und finde nicht die Lösung.
Sensario:
Über meinen LANCOM lauft ein aktives Routing zum entfernten Gateway. Hierzu soll ein weiteres Netzwerk geroutet werden über dasselbe GW.
Das Routing über das Gateway in das Netzwerk 172.20.0.0/24 geht.
Gebe ich ein weiteres Routing über dasselbe Gateway in das Netzwerk 172.16.0.0/24 und ich kann es nicht pingen! :-o
Folgendes habe ich eingerichtet:
Routing-Tabelle (entferntes Netzwerk/172.16.0.0/24)
Firewall-Station (IP-Netzwerk ergänzt/172.16.0.0/24)
Verbindungsliste (Extranet mit Gateway eingetragen/172.16.0.0/24 + 62.0.1.2)
Warum läuft das eine und das andere nicht? Was habe ich übersehen?
Danke Vorab!
absurt
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 218042
Url: https://administrator.de/contentid/218042
Ausgedruckt am: 22.11.2024 um 18:11 Uhr
15 Kommentare
Neuester Kommentar
Dazu benötigst du ein paar mehr Konfigurationsänderungen.
LANCOM hat dazu einen Eintrag in der Knowledgebase https://www2.lancom.de/kb.nsf/1275/232DB632F29665DBC1256ED1004B4C64?Open ...
LANCOM hat dazu einen Eintrag in der Knowledgebase https://www2.lancom.de/kb.nsf/1275/232DB632F29665DBC1256ED1004B4C64?Open ...
1
Ja, danke tikayevent, hatte ich jedoch schon ausprobiert. Jedoch kann ich natürlich nur meine Seite "einrichten". Ich komme ja schon auf das Netzwerk 172.20.0.0 jedoch nicht auf 172.16.0.0
Ansonsten ist es das selbe Gateway mit denselben Konfigurationen.
Ansonsten ist es das selbe Gateway mit denselben Konfigurationen.
Hi Absurd,
Da gibt es einen großen Haken in deinem Szenario:
Wenn du über ein VPN in ein privates Gateway routest ist das ein kompletter Vorgang.
Eine läppische Routenerweiterung in ein weiteres unbekanntes privates Netzwerk kann gar nicht gehen.
Für so ein Netz brauchst du wieder einen Zugang. Der fehlt.
Der Router macht das einzig richtige: Er zeigt dir einen mittleren Finger. Routen in private Netze geht nicht übers Internet.
Gruß
Netman
Da gibt es einen großen Haken in deinem Szenario:
Wenn du über ein VPN in ein privates Gateway routest ist das ein kompletter Vorgang.
Eine läppische Routenerweiterung in ein weiteres unbekanntes privates Netzwerk kann gar nicht gehen.
Für so ein Netz brauchst du wieder einen Zugang. Der fehlt.
Der Router macht das einzig richtige: Er zeigt dir einen mittleren Finger. Routen in private Netze geht nicht übers Internet.
Gruß
Netman
Dann brauchst du auf deiner Seite nichts ändern, bis auf die Routingtabelle und aus 172.20.0.0/wasweißich 172.16.0.0/12 draus machen. Wenn es dann nicht geht, dann ist das Gateway am anderen Ende des Tunnels nicht richtig konfiguriert. Du brauchst ja auch eine Rückroute, sonst weiß die Gegenstelle nicht, wohin mit der Antwort.
Hallo,
also entweder Du bist zu nervös, oder ich habe es nicht kapiert!
Ich würde es eben etwas verständlicher schreiben, Du weißt wo was ist, wir nicht, aber wir sollen uns da hineindenken!!!
Seite A (ich selber oder mein Netzwerk)
172.16.1.0/24
Gateway IP Router: 172.16.1.1/24
Seite B (entferntes Netzwerk)
172.20.1.0/24
Gateway IP Router: 172.20.1.1/24
So das funktioniert auf jeden Fall!
So und nun noch zu dem ganzen mit dem VPN, also wenn Du schon sagst dass alles via VPN miteinander verbunden ist,
dann doch wohl auch ein mal ein Wort darüber verlieren welche VPN Methode eingesetzt wird, oder?
So und private IP Adressen lassen sich nicht über das Internet routen!!!!
Also hat auch höchstwahrscheinlich Dein VPN nie funktioniert, denn dafür braucht man statische und öffentliche IP
Adressen oder zwei DynDNS Accounts.
Gruß
Dobby
also entweder Du bist zu nervös, oder ich habe es nicht kapiert!
Das Routing über das Gateway in das Netzwerk 172.20.0.0/24 geht.
Wohin geht es denn? und in welchem Netzwerk bist Du?Gebe ich ein weiteres Routing über dasselbe Gateway in das Netzwerk 172.16.0.0/24 und ich kann es nicht pingen! :-o
Ja und wo ist das denn nun genau?Routing-Tabelle (entferntes Netzwerk/172.16.0.0/24)
???Firewall-Station (IP-Netzwerk ergänzt/172.16.0.0/24)
Ist das jetzt Deine Seite?Verbindungsliste (Extranet mit Gateway eingetragen/172.16.0.0/24 + 62.0.1.2)
???Ich würde es eben etwas verständlicher schreiben, Du weißt wo was ist, wir nicht, aber wir sollen uns da hineindenken!!!
Seite A (ich selber oder mein Netzwerk)
172.16.1.0/24
Gateway IP Router: 172.16.1.1/24
Seite B (entferntes Netzwerk)
172.20.1.0/24
Gateway IP Router: 172.20.1.1/24
So das funktioniert auf jeden Fall!
So und nun noch zu dem ganzen mit dem VPN, also wenn Du schon sagst dass alles via VPN miteinander verbunden ist,
dann doch wohl auch ein mal ein Wort darüber verlieren welche VPN Methode eingesetzt wird, oder?
So und private IP Adressen lassen sich nicht über das Internet routen!!!!
Also hat auch höchstwahrscheinlich Dein VPN nie funktioniert, denn dafür braucht man statische und öffentliche IP
Adressen oder zwei DynDNS Accounts.
Gruß
Dobby
Hi ebenfalls!
wenn ich über meinen Router das entfernte Gateway (IKE Schlüssel und Identität) auf dieser Seite auf die 2 Netzwerke die dahinter liegen zugreigen, muss ich doch nur das 2 Netzwerk routen?!
wenn ich über meinen Router das entfernte Gateway (IKE Schlüssel und Identität) auf dieser Seite auf die 2 Netzwerke die dahinter liegen zugreigen, muss ich doch nur das 2 Netzwerk routen?!
Okay, etwas einfacher 
SEITE A (mein Netzwerk)
Netzwerk 0: 192.184.0.0/24
Gateway 0: 178.x.x.x
VPN
Verbindungs-Liste: beide entf. IP mit GW eingetragen
Verbindungs-Parameter: kein PFS, IKE-Gruppe 2
IKE-Schlüssel mit loc. ID (178.x.x.x) und entf. Id. (62.x.x.x)
SEITE B (entf. Netzwerk)
Netzwerk 1: 172.16.1.0/24
und
Netzwerk 2: 172.20.1.0/24
Gateway 1: 62.x.x.x
Der Weg zum Netzwerk 1 geht (Mailserver)
Der Weg zum Netzwerk 2 geht nicht (Applikationen)
Für mich dache ich, Verbindung und Routing ergänzen, der Gateway mit VPN bleint und los....
SEITE A (mein Netzwerk)
Netzwerk 0: 192.184.0.0/24
Gateway 0: 178.x.x.x
VPN
Verbindungs-Liste: beide entf. IP mit GW eingetragen
Verbindungs-Parameter: kein PFS, IKE-Gruppe 2
IKE-Schlüssel mit loc. ID (178.x.x.x) und entf. Id. (62.x.x.x)
SEITE B (entf. Netzwerk)
Netzwerk 1: 172.16.1.0/24
und
Netzwerk 2: 172.20.1.0/24
Gateway 1: 62.x.x.x
Der Weg zum Netzwerk 1 geht (Mailserver)
Der Weg zum Netzwerk 2 geht nicht (Applikationen)
Für mich dache ich, Verbindung und Routing ergänzen, der Gateway mit VPN bleint und los....
Und in dem dahinter liegenden Netzwerk muss selbstverständlich auch die richtige Konfiguration fürs Routen sein.
Also in dem Falle:
172.z.x.y --- WAN-VPN --- 172.20.x.y --- LAN ---172.16.x.y
edit:
Der erste Router von der Gegenstelle kennt ja das 192.184 Netz , das ja gar nicht zu einem privaten Netzwerk gehört. Der zweite Router kennt es nicht. Die Pakete würden sofort ins Internet geroutet.
Also in dem Falle:
172.z.x.y --- WAN-VPN --- 172.20.x.y --- LAN ---172.16.x.y
Verbindungsliste (Extranet mit Gateway eingetragen/172.16.0.0/24 + 62.0.1.2)
Firewall-Station (IP-Netzwerk ergänzt/172.16.0.0/24)
Was das sagt? Glaskugel antworte bitte. Es liest sich wie ein ein öffentliches Gateway. Und eine Brandstation mit der Adresse eines ganzen Netzes.Firewall-Station (IP-Netzwerk ergänzt/172.16.0.0/24)
edit:
Der erste Router von der Gegenstelle kennt ja das 192.184 Netz , das ja gar nicht zu einem privaten Netzwerk gehört. Der zweite Router kennt es nicht. Die Pakete würden sofort ins Internet geroutet.
> Firewall-Station (IP-Netzwerk ergänzt/172.16.0.0/24)
Was das sagt? Glaskugel antworte bitte. Es liest sich wie ein ein öffentliches Gateway. Und eine Brandstation mit der Adresse
eines ganzen Netzes.
Es ist kein öffentliches Netzwerk! Wenn Routig 1 passt, warum nicht Routing 2? Das ist meine Frage gewesen... Das GW ist rein fiktiv.Was das sagt? Glaskugel antworte bitte. Es liest sich wie ein ein öffentliches Gateway. Und eine Brandstation mit der Adresse
eines ganzen Netzes.
Oha... wirklich 192.184.0.0 ?? Du benutzt damit ein offizell von der IANA zugewiesenes IP Netzwerk in den USA:
NetRange: 192.184.0.0 - 192.184.3.255
CIDR: 192.184.0.0/22
OrgName: InstaVPS
OrgId: IL
Address: 179 Social Hall Ave.
Address: Suite 200
City: Salt Lake City
StateProv: UT
PostalCode: 84111
Country: US
RegDate: 2010-09-07
Updated: 2013-02-20
Ref: http://whois.arin.net/rest/org/IL
Nicht wirklich gut ! Eigentlich solltest du hier dann kein Deutsch sprechen im Forum ! Besser du korrigierst das ?!
Zurück zu deinem Problem:
NetRange: 192.184.0.0 - 192.184.3.255
CIDR: 192.184.0.0/22
OrgName: InstaVPS
OrgId: IL
Address: 179 Social Hall Ave.
Address: Suite 200
City: Salt Lake City
StateProv: UT
PostalCode: 84111
Country: US
RegDate: 2010-09-07
Updated: 2013-02-20
Ref: http://whois.arin.net/rest/org/IL
Nicht wirklich gut ! Eigentlich solltest du hier dann kein Deutsch sprechen im Forum ! Besser du korrigierst das ?!
Zurück zu deinem Problem:
- Sind die beiden IP Netze 172.16.1.0/24 und 172.20.1.0/24 an einem Router ?
- Ist an diesem Route eine Route für dein 192.184.0.0/24 eingetragen oder routest du dynamisch ?
- Gibt es an dem Router an "B" ggf. Accesslisten oder eine Firewall die den Zugang zu blockieren ?
- Haben Endgeräte im 172.20.1.0/24 Netz diesen Router auch als Gateway eingetragen ?
- Haben Endgeräte im 172.20.1.0/24 Netz eine entsprechende Regel in der lokalen Firewall die Zugriff von 192.184.0.0/24 erlaubt ?
- Was sagt ein Traceroute oder Pathping ins 172.20.1.0/24 (z.B. LAN Port Router) wo stoppt der ?
Hi aqui,
tracert auf 172.16.0.0 (bsp. 172.16.3.4) hört nach meinen Router auf, "Zeitüberschreitung der Anforderung", kommt nicht auf das entf. GW
Danke!
Oha... wirklich 192.184.0.0 ?? Du benutzt damit ein offizell von der IANA zugewiesenes IP Netzwerk in den USA:
NSA lässt Grüßen Zurück zu deinem Problem:
Ja, so wurde es mir gesagt- Sind die beiden IP Netze 172.16.1.0/24 und 172.20.1.0/24 an einem Router ?
* Ist an diesem Route eine Route für dein 192.184.0.0/24 eingetragen oder routest du dynamisch ?
statisch, sticky und DMZ maskiert* Gibt es an dem Router an "B" ggf. Accesslisten oder eine Firewall die den Zugang zu blockieren ?
Ja, sollte jedoch über den VPN frei sein* Haben Endgeräte im 172.20.1.0/24 Netz diesen Router auch als Gateway eingetragen ?
Nein, nur im Router* Haben Endgeräte im 172.20.1.0/24 Netz eine entsprechende Regel in der lokalen Firewall die Zugriff von 192.184.0.0/24
erlaubt ?
Im Router ist die Regel eingestellterlaubt ?
* Was sagt ein Traceroute oder Pathping ins 172.20.1.0/24 (z.B. LAN Port Router) wo stoppt der ?
tracert auf 172.20.0.0 (bsp. 172.20.1.2) ist sauber bis zum Endpunkt (über 4 Stationen)tracert auf 172.16.0.0 (bsp. 172.16.3.4) hört nach meinen Router auf, "Zeitüberschreitung der Anforderung", kommt nicht auf das entf. GW
All diese Fragen solltest du sicher klären sonst raten wir hier fröhlich weiter !
Nur zu, ich brache auch eine Lösung!Danke!
vielleicht solltest Du wirklich mal die die unglücklich vergebene offizielle IP-Adresse im internen Netz ändern, sonst sitzt Du noch bis Weihnachten an der Lösung...
Gruß, Arch Stanton
Gruß, Arch Stanton
1
Nur mal so aus Neugierde - wenn du die 172.16.0.0 auf deiner Seite einträgst, wer ändert dann die Tunnel Config auf der anderen Seite?
VG,
Thomas
1
@absurt
Oha, da sind aber eine Menge, könnte...sollte...müsste...wurde mir gesagt drin !! Das musst du wasserdicht klären und nicht so rumeiern und raten ! Auch nur eine einzige dieser o.g. Bedingungen die nicht stimmt und schon funktioniert es nicht.
Die Frage nach der Einstellung der lokalen Rechner Firewall die du mit "Im Router ist die Regel eingestellt" ist natürlich Blödsinn aber das leuchtet dir sicher auch selber ein denn....
Was nützt eine entsprechende Regel auf dem Router wenn die lokale Rechner Firewall es dann doch wieder blockt !
Also auch das kontrollieren.
Das das Traceroute zu 172.16.0.0 beim Router aufhört zeigt dir ganz sicher das dort oder am Next Hop die Routing Tabelle fehlerhaft ist und eine Route ins 172.16er Netz fehlt !
Bitte poste mal die Routing Tabelle show ip route dieser beiden Router hier.
Eine Fehlerlösung nur rein durch raten oder die Kristallkugel willst du nicht wirklich, oder ??
Oha, da sind aber eine Menge, könnte...sollte...müsste...wurde mir gesagt drin !! Das musst du wasserdicht klären und nicht so rumeiern und raten ! Auch nur eine einzige dieser o.g. Bedingungen die nicht stimmt und schon funktioniert es nicht.
Die Frage nach der Einstellung der lokalen Rechner Firewall die du mit "Im Router ist die Regel eingestellt" ist natürlich Blödsinn aber das leuchtet dir sicher auch selber ein denn....
Was nützt eine entsprechende Regel auf dem Router wenn die lokale Rechner Firewall es dann doch wieder blockt !
Also auch das kontrollieren.
Das das Traceroute zu 172.16.0.0 beim Router aufhört zeigt dir ganz sicher das dort oder am Next Hop die Routing Tabelle fehlerhaft ist und eine Route ins 172.16er Netz fehlt !
Bitte poste mal die Routing Tabelle show ip route dieser beiden Router hier.
Eine Fehlerlösung nur rein durch raten oder die Kristallkugel willst du nicht wirklich, oder ??
Erst einmal vielen Dank für die Unterstützung!
Mein IT Verstand geht doch noch zu 100% !
Wenn die Gegenseite einen Fehler bei der FW macht kann ich es lange problieren.
Fazit, Routingtabelle und Verbindungsliste genügt wenn der VPN schon richtig funktioniert!
@aqui
@thomas
dein Kommentar hat mir gezeigt, dass ich auf den richigen Weg war: Die Gegenseite hat's verpennt!
Danke auch dir!
Grüße
absurt
Mein IT Verstand geht doch noch zu 100% !
Wenn die Gegenseite einen Fehler bei der FW macht kann ich es lange problieren.
Fazit, Routingtabelle und Verbindungsliste genügt wenn der VPN schon richtig funktioniert!
@aqui
Die Frage nach der Einstellung der lokalen Rechner Firewall die du mit "Im Router ist die Regel eingestellt" ist
natürlich Blödsinn aber das leuchtet dir sicher auch selber ein denn....
Was nützt eine entsprechende Regel auf dem Router wenn die lokale Rechner Firewall es dann doch wieder blockt !
Also auch das kontrollieren.
auf meiner Konfing-Seite war ja alles korrekt, somit keine Einstellungsfehler!natürlich Blödsinn aber das leuchtet dir sicher auch selber ein denn....
Was nützt eine entsprechende Regel auf dem Router wenn die lokale Rechner Firewall es dann doch wieder blockt !
Also auch das kontrollieren.
Eine Fehlerlösung nur rein durch raten oder die Kristallkugel willst du nicht wirklich, oder ??
Wenn ich nur das OK von der Gegenseite bekommt "alles muss gehen!" dann habe ich an mir selbst gezweifelt! Also weiter gehts!@thomas
dein Kommentar hat mir gezeigt, dass ich auf den richigen Weg war: Die Gegenseite hat's verpennt!
Danke auch dir!
Grüße
absurt
