tt-none
Goto Top

LANCOM - Standortvernetzung über VPN

Hallo zusammen,

ich habe mich nun eine weile schon gespielt mit Google, Videos und der Lancom-Docu, aber leider komme ich nicht weiter.

Es gibt zwei Standorte mit je einem Internet-Anschluss (keine Modems vorgeschalten o.ä.)

  • Büro - LANCOM 1783VAW
IP-Bereich: 192.168.178.0
static Route: 192.168.10.0 - 255.255.255.0 - IP-Maskierung abgeschaltet


  • Fertigungshalle - LANCOM R883+
IP-Bereich: 192.168.10.0
static route: 192.168.178.0 - 255.255.255.0 - IP-Maskierung abgeschaltet

Diese sind beide bereits über VPN verbunden und ich erreiche aus der Fertigungshalle jede IP im 192.168.178.0 Netz.

Andersrum sieht es schlechter aus, aus dem 178er Netz erreiche ich nur die 192.168.10.1 (LANCOM R883+), aber keine der dahinterliegenden Geräte.

pathping und tracert liefern beide das selbe Bild:

Aus dem Büro: client -> 192.168.178.1 -> 192.168.10.1 -> timeout
Aus der Fertigungshalle: client -> 192.168.10.1 -> 192.168.178.1 -> 192.168.178.x

Vll. hat jemand einen Tipp für mich an welcher Stelle es noch haken kann.

Vielen Dank im voraus.

cheers None

Content-ID: 556172

Url: https://administrator.de/forum/lancom-standortvernetzung-ueber-vpn-556172.html

Ausgedruckt am: 23.12.2024 um 03:12 Uhr

erikro
erikro 10.03.2020 um 16:32:05 Uhr
Goto Top
Moin,

Firewall? Was sind das für Clients? Windows 10?

hth

Erik
TT-None
TT-None 10.03.2020 um 17:27:05 Uhr
Goto Top
Hallo Erik,

vielen Dank für die schnelle Antwort.

Firewall ist alles default bis auf ein paar Einträge von Mitarbeiter-VPNs, wenig spektakuläres.

Der Lancom in der Fertigungshalle ist gestern erst ans Netz gegangen und auch komplett default.

Ich hatte testweise schon auf beiden Routern Firewall-Regeln eingerichtet direkt für die VPN-Verbindungen (Regel für VPN-Netzbeziehungen) - ohne Erfolg.

Clients sind alle Windows 10.

lg
aqui
Lösung aqui 10.03.2020 aktualisiert um 18:11:12 Uhr
Goto Top
Nur mal nebenbei:
static Route: 192.168.10.0 - 255.255.255.0
ist vollkommender Unsinn und auch extrem kontraproduktiv in einer VPN Verbindung !
Lancom verwendet für einen Site to Site VPN Tunnel auch IPsec mit IKEv1 und da werden die IP Netze dynamisch beim Tunnelaufbau über die IPsec SAs ausgetauscht. Jede statische Route ist damit also völlig überflüssig und eher schädlich.
Die solltest du also besser dringenst entfernen. Steht deshalb auch nicht im Lancom VPN HowTo das man das machen muss.
aber keine der dahinterliegenden Geräte.
Das zumindest ist völlig normal und auch gewollt wenn es sich um Winblows Geräte handelt.
Die lokale Windows Firewall blockt erstmal generell ICMP (Ping, Traceroute) so das diese Geräte aus dem jeweils remoten Netz nicht pingbar sind.
Das muss man immer erst freischalten:
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Sinnvoller ist es also erstmal Drucker oder andere geräte ohne lokale Firewall zu pingen.
Desweiteren blockt die Windows Firewall generell per Default JEDEN Traffic der NICHT aus dem jeweils lokalen IP Netz kommt !
Auch hier muss man die TCP und UDP Ports entsprechend anfassen in der Konfig und die IP Ranges da auf "Belibig" oder das jeweilige remote Netz setzen !
fwportip
tikayevent
tikayevent 10.03.2020 um 19:40:36 Uhr
Goto Top
Hast du eventuell an der VPN-Gegenstelle eine Extranet-Adresse eingetragen?
erikro
erikro 11.03.2020 um 08:15:38 Uhr
Goto Top
Moin,

Zitat von @TT-None:
Clients sind alle Windows 10.

@aqui hat das notwendige dazu gesagt. Es ist die FW der Windosen.

Liebe Grüße

Erik
TT-None
TT-None 11.03.2020 um 10:21:12 Uhr
Goto Top
Danke für den Denkanstoß! Das war absolut korrekt.

Vielen herzlichen Dank