12
Lancom VPN IKEv2 nur einseitiger Ping hinter CGN
Hallo,
wir haben aktuell zwei Standorte:
Standort A: Zentrale Feste IP V4 - LANCOM 1781
Standort B: 100.64.0.0/8 -> Carrier GRade NAT Netz , Dynamische IP v4 - LANCOM 1640E
-(internen kommunikation zweier Netze A 192.168.1.0/24 und B 192.168.2.0/24)
Nun konnte ich bisher einen IPsec IKEv2 Tunnel zwischen A und B herstellen, Routen sind gesetzt. Firewall SA's ebenfalls.
Ping von A and B klappt, leider nicht umgekehrt.
1. Es handelt sich hier um zwei LANCOM modell. Hat es hier evtl. etwas mit dem CGN zu tun, das keine Pakete durchlässt?
2. Müssen spezielle IPv6 Broker genutzt werden?
3. Oder sind bei dem IKEv2 Tunnel andere SA Routing optionen zusäztlich nötig?
Vieklen Dank für eure Hilfe
wir haben aktuell zwei Standorte:
Standort A: Zentrale Feste IP V4 - LANCOM 1781
Standort B: 100.64.0.0/8 -> Carrier GRade NAT Netz , Dynamische IP v4 - LANCOM 1640E
-(internen kommunikation zweier Netze A 192.168.1.0/24 und B 192.168.2.0/24)
Nun konnte ich bisher einen IPsec IKEv2 Tunnel zwischen A und B herstellen, Routen sind gesetzt. Firewall SA's ebenfalls.
Ping von A and B klappt, leider nicht umgekehrt.
1. Es handelt sich hier um zwei LANCOM modell. Hat es hier evtl. etwas mit dem CGN zu tun, das keine Pakete durchlässt?
2. Müssen spezielle IPv6 Broker genutzt werden?
3. Oder sind bei dem IKEv2 Tunnel andere SA Routing optionen zusäztlich nötig?
Vieklen Dank für eure Hilfe
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 458575
Url: https://administrator.de/contentid/458575
Printed on: April 19, 2024 at 12:04 o'clock
12 Comments
Latest comment
Moinm,
Versuchst du die öffentlichen IP-Adressen anzupingen oder interne, private IP-Adressen vom jeweiligen Standort?
Ersteres kann eigentlich nur von Standort B nach Standort A funktionieren.
Zweiteres deutet daraufhin, dass dam LAMCOM noch eine Einstellung nicht korrekt ist. Oder evtl. eine Access-Liste den Ping (=ICMP) verhindert.
Gruß,
Dani
Ping von A and B klappt, leider nicht umgekehrt.
ich muss leider "doof" fragen:Versuchst du die öffentlichen IP-Adressen anzupingen oder interne, private IP-Adressen vom jeweiligen Standort?
Ersteres kann eigentlich nur von Standort B nach Standort A funktionieren.
Zweiteres deutet daraufhin, dass dam LAMCOM noch eine Einstellung nicht korrekt ist. Oder evtl. eine Access-Liste den Ping (=ICMP) verhindert.
Gruß,
Dani
Mahlzeit,
welche Routen hast du gesetzt?
Wenn du ein IPSECv2-VPN einrichtest und dazu bei Lancom den Assi nutzt, werden die Routen schon von selbst richtig konfiguriert.
Du musst eigentlich nur einstellen, dass der Anschluss mit CGN der Initiator ist.
Macht der 1640 am CGN-Anschluss die Einwahl oder ist der hinter einem weiteren Router angeschlossen?
Was ist das für ein Anschluss, Kabel oder LTE?
Wenn nicht, hast du das mal in einem Trace überprüft?
welche Routen hast du gesetzt?
Wenn du ein IPSECv2-VPN einrichtest und dazu bei Lancom den Assi nutzt, werden die Routen schon von selbst richtig konfiguriert.
Du musst eigentlich nur einstellen, dass der Anschluss mit CGN der Initiator ist.
Macht der 1640 am CGN-Anschluss die Einwahl oder ist der hinter einem weiteren Router angeschlossen?
Was ist das für ein Anschluss, Kabel oder LTE?
Ping von A and B klappt, leider nicht umgekehrt.
Sagt der Lanmonitor, dass das VPN steht?Wenn nicht, hast du das mal in einem Trace überprüft?
Hallo,
ich rede hier von einer reinen internen kommunikation zweier Netze A 192.168.1.0/24 und B 192.168.2.0/24
Der VPN Tunnel steht! Der ping von A nach B Klappt. Nur von B nach A nicht.
Der 1640 ist nur für das VPN zuständig und steht hinter einer Fritzbox 5490. Mit dem Transfernetz 192.168.11.0/24
Meine vermutung liegt nahe dass es aber an der Fritzbox liegt?
Lancom 1640, zeigt im lanmointor:
Nat kennung: lokales gateway, also nicht wie bei standort A entferntes gateway.
ich rede hier von einer reinen internen kommunikation zweier Netze A 192.168.1.0/24 und B 192.168.2.0/24
Der VPN Tunnel steht! Der ping von A nach B Klappt. Nur von B nach A nicht.
Der 1640 ist nur für das VPN zuständig und steht hinter einer Fritzbox 5490. Mit dem Transfernetz 192.168.11.0/24
Meine vermutung liegt nahe dass es aber an der Fritzbox liegt?
Lancom 1640, zeigt im lanmointor:
Nat kennung: lokales gateway, also nicht wie bei standort A entferntes gateway.
Moin,
Gruß,
Dani
Meine vermutung liegt nahe dass es aber an der Fritzbox liegt?
das kann eigentlich nicht sein, da du durch den VPN-Tunnel nur beiden LANCOM Router siehst. Alles andere dazwischen ist somit transparent. Kannst du mit einem Traceroute ganz gut sehen.Gruß,
Dani
Ja das stimmt, kann wirklich nicht sein.
Dann muss es also eher an einer Regel fürs IKEv2 liegen? haben bisher immer mit v1 gearbeitet.
PS:
Da ich eine route in das Transfernetz gesetzt habe über den lancom, komme ich auf die Fritzbox auch drauf. ein traceroute brachte folgendes:
Routenverfolgung zu 192.168.11.254 über maximal 30 Abschnitte
1 1 ms <1 ms <1 ms 192.168.1.1
2 * * * Zeitüberschreitung der Anforderung.
3 20 ms 20 ms 20 ms 192.168.11.254
Ablaufverfolgung beendet.
wo ist hier der hop auf die 192.168.2.1 also den Lancom auf standort B?
Dann muss es also eher an einer Regel fürs IKEv2 liegen? haben bisher immer mit v1 gearbeitet.
PS:
Da ich eine route in das Transfernetz gesetzt habe über den lancom, komme ich auf die Fritzbox auch drauf. ein traceroute brachte folgendes:
Routenverfolgung zu 192.168.11.254 über maximal 30 Abschnitte
1 1 ms <1 ms <1 ms 192.168.1.1
2 * * * Zeitüberschreitung der Anforderung.
3 20 ms 20 ms 20 ms 192.168.11.254
Ablaufverfolgung beendet.
wo ist hier der hop auf die 192.168.2.1 also den Lancom auf standort B?
Moin,
Gruß,
Dani
wo ist hier der hop auf die 192.168.2.1 also den Lancom auf standort B?
Wahrscheinlich der 2. HOP. Dieser beantwortet allerdings keine ICMP/ECHO Anfragen. Daher muss dort irgendwo noch ein Parameter in der Konfiguration falsch sien. Hab mit LANCOM praktisch nichts am Hut.Gruß,
Dani
Eigentlich brauchst du nur ein Portforwarding (Portfreigabe) auf der Fritzbox zum Lancom zu machen:
UDP500
UDP4500
ESP
Ich würde zur Fehlersuche den Lanmonitor für den 1640 starten und dort alles mit VPN tracen.
Dann siehst du sehr schnell, wo es hängt.
UDP500
UDP4500
ESP
Zitat von @aif-get:
Dann muss es also eher an einer Regel fürs IKEv2 liegen? haben bisher immer mit v1 gearbeitet.
Nein, da ist eigentlich nichts komplizierter geworden.Dann muss es also eher an einer Regel fürs IKEv2 liegen? haben bisher immer mit v1 gearbeitet.
Ich würde zur Fehlersuche den Lanmonitor für den 1640 starten und dort alles mit VPN tracen.
Dann siehst du sehr schnell, wo es hängt.
@goscho
Gruß,
Dani
Eigentlich brauchst du nur ein Portforwarding (Portfreigabe) auf der Fritzbox zum Lancom zu machen:
aus welchem Grund: Der VPN-Tunnel ist doch laut seiner Aussage aufgebaut und aktiv. Es scheint nur der Ping von B nach A nicht zu gehen.Gruß,
Dani
Zitat von @Dani:
@goscho
Tja, ob das tatsächlich stimmt?@goscho
Eigentlich brauchst du nur ein Portforwarding (Portfreigabe) auf der Fritzbox zum Lancom zu machen:
aus welchem Grund: Der VPN-Tunnel ist doch laut seiner Aussage aufgebaut und aktiv. Es scheint nur der Ping von B nach A nicht zu gehen.Wenn nichtmal ein Ping durchgeht, sollte irgendwas nicht stimmen und ich denke, dass nix durch den Tunnel geht.
Zitat von @goscho:
Wenn nichtmal ein Ping durchgeht, sollte irgendwas nicht stimmen und ich denke, dass nix durch den Tunnel geht.
@goscho
Tja, ob das tatsächlich stimmt?Eigentlich brauchst du nur ein Portforwarding (Portfreigabe) auf der Fritzbox zum Lancom zu machen:
aus welchem Grund: Der VPN-Tunnel ist doch laut seiner Aussage aufgebaut und aktiv. Es scheint nur der Ping von B nach A nicht zu gehen.Wenn nichtmal ein Ping durchgeht, sollte irgendwas nicht stimmen und ich denke, dass nix durch den Tunnel geht.
Ohje...
WENN tatsächlich die Kommunikation des Tunnels selbst nur einseitig möglich wäre (weshalb auch immer), würde ein Ping in keine Richtung funktionieren. Denn jenachdem aus welcher Richtung keine Pakete durchkämen, würden entweder die Ping-Anfragen oder die Antworten darauf verloren gehen.
Es ist also kein Port-Forwarding nötig, weil die Tunnelpakete an sich ja ganz offensichtlich bidirektional ankommen.
Dass man von A nach B pingen kann, von B nach A aber nicht ist zu 100% sicher ein Firewall-Problem am VPN-Router selbst, da es ja nur den Traffic innerhalb des Tunnels betrifft
Zitat von @goscho:
Wenn nichtmal ein Ping durchgeht, sollte irgendwas nicht stimmen und ich denke, dass nix durch den Tunnel geht.
Zitat von @Dani:
@goscho
Tja, ob das tatsächlich stimmt?@goscho
Eigentlich brauchst du nur ein Portforwarding (Portfreigabe) auf der Fritzbox zum Lancom zu machen:
aus welchem Grund: Der VPN-Tunnel ist doch laut seiner Aussage aufgebaut und aktiv. Es scheint nur der Ping von B nach A nicht zu gehen.Wenn nichtmal ein Ping durchgeht, sollte irgendwas nicht stimmen und ich denke, dass nix durch den Tunnel geht.
Der ping geht wie gesagt durch, ich kann von standort A den Lancom in Standort B erreichen.
Mir scheint bei den IKE2 SA Regeln irgendwas zu hapern.
Hintergrund: LANCOM setzt spezielle Firewall Regeln beim VPN aufbau. Konnte diese Problem schonmal lösen, durch das richtige setzen der SA's.
Bei IKE v2 sieht das wohl anders aus. Da greift einfach nichts. Ist hier evtl. ein LANCOM Fachmann an Board?
Okay, habs nun nach einem Trace herausfinden können.
Hier die Lösung:
Der Lancom hat ein zusätzliches Gastlan über IP Netze eingetragen bekommen. Dieses gastnetz hat die IP 192.168.0.1/24
Scheinbar Sortiert sortiert Lancom nach dieser Adresse und setz diese im Eth Paket als Source. Das heisst:
Ein Rechner mit der IP Adresse (Standort B)192.168.2.123 setzt beim ping auf (Standort A )192.168.1.1 als Source 192.168.0.1 , was natürlich komisch ist. Habe auch noch nicht ganz verstanden wieso das verhalten...
Durch ein setzen des Routing tags bzw das setezn der Route bei Srandort A auf 192.168.0.0/24 klappts dann.
Hier die Lösung:
Der Lancom hat ein zusätzliches Gastlan über IP Netze eingetragen bekommen. Dieses gastnetz hat die IP 192.168.0.1/24
Scheinbar Sortiert sortiert Lancom nach dieser Adresse und setz diese im Eth Paket als Source. Das heisst:
Ein Rechner mit der IP Adresse (Standort B)192.168.2.123 setzt beim ping auf (Standort A )192.168.1.1 als Source 192.168.0.1 , was natürlich komisch ist. Habe auch noch nicht ganz verstanden wieso das verhalten...
Durch ein setzen des Routing tags bzw das setezn der Route bei Srandort A auf 192.168.0.0/24 klappts dann.
