Nicht alle Geräte im Netz sind erreichbar
Problem wurde ohne Lösung ad acta gelegt. Kunde betrachtet das Problem nicht mehr als Problem.
brammer
Hallo,
mal wieder ein kleines Problem.
Folgende Situation.
Lokales Netz ---- Cisco 3900 als VPN Device ---- Internet ----- Cisco 877 VPN Gegenstelle ----- L2 Cisco 2960 Switch --- entferntes Netz
Also ein klassischer VPN Aufbau wie er wohl tausendfach in Betrieb ist.
Nur, im entfernten Netz sind nicht alle Endgeräte erreichbar.
Ich erreiche per netscan den Cisco 877 sowie einen Teil des entfernten Netzes, mit Ausnahme von 8 IP Adressen (aufeinander folgend) , darunter der Switch, die mitten im Netzwerk liegen.
Auch ein direkter Ping auf die Maschinen ist nicht möglich
Vom Router aus kann ich alle Endgeräte im Netz anpingen, inklusive Switch. Auf allen Geräten ist der Cisco 877 als Gateway eingetragen.
Ein Techniker vor Ort konnte alle Geräte über netscan erreichen.
Die SSH Verbindung vom Router zum Switch funktioniert ebenfalls nicht, allerdings vom Laptop des Technikers auf den Switch, das geht.
Der Router hat die IOS Version (c870-advipservicesk9-mz.150-1.M.bin)
Der Switch die IOS Version (c2960-lanbasek9-tar.122-50.SE.tar)
Auf dem Router sind keinerlei access-lists konfiguriert die irgendwas verbieten.
Es handelt sich um eine isoliertes Netz für das ein eigenständiger Internet Zugang (Marokkanische DSL Anbieter) besteht und das keinen Übergang zum übrigen Kunden Netz hat.
Bei dem DSL Modem handelt es sich um einen der üblichen Kastrierten Baumarkt Router der nur als Modem arbeitet.
Auf keiner der entfernten Geräte läuft eine Firewall.
Es handelt sich im wesentlichen um XP Embedded Systeme und Linux Rechner.
Wieso kann ich die Geräte, die defintiv angeschaltet sind nicht erreichen?
brammer
brammer
Hallo,
mal wieder ein kleines Problem.
Folgende Situation.
Lokales Netz ---- Cisco 3900 als VPN Device ---- Internet ----- Cisco 877 VPN Gegenstelle ----- L2 Cisco 2960 Switch --- entferntes Netz
Also ein klassischer VPN Aufbau wie er wohl tausendfach in Betrieb ist.
Nur, im entfernten Netz sind nicht alle Endgeräte erreichbar.
Ich erreiche per netscan den Cisco 877 sowie einen Teil des entfernten Netzes, mit Ausnahme von 8 IP Adressen (aufeinander folgend) , darunter der Switch, die mitten im Netzwerk liegen.
Auch ein direkter Ping auf die Maschinen ist nicht möglich
Vom Router aus kann ich alle Endgeräte im Netz anpingen, inklusive Switch. Auf allen Geräten ist der Cisco 877 als Gateway eingetragen.
Ein Techniker vor Ort konnte alle Geräte über netscan erreichen.
Die SSH Verbindung vom Router zum Switch funktioniert ebenfalls nicht, allerdings vom Laptop des Technikers auf den Switch, das geht.
Der Router hat die IOS Version (c870-advipservicesk9-mz.150-1.M.bin)
Der Switch die IOS Version (c2960-lanbasek9-tar.122-50.SE.tar)
Auf dem Router sind keinerlei access-lists konfiguriert die irgendwas verbieten.
Es handelt sich um eine isoliertes Netz für das ein eigenständiger Internet Zugang (Marokkanische DSL Anbieter) besteht und das keinen Übergang zum übrigen Kunden Netz hat.
Bei dem DSL Modem handelt es sich um einen der üblichen Kastrierten Baumarkt Router der nur als Modem arbeitet.
Auf keiner der entfernten Geräte läuft eine Firewall.
Es handelt sich im wesentlichen um XP Embedded Systeme und Linux Rechner.
Wieso kann ich die Geräte, die defintiv angeschaltet sind nicht erreichen?
brammer
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 156103
Url: https://administrator.de/contentid/156103
Ausgedruckt am: 22.11.2024 um 18:11 Uhr
4 Kommentare
Neuester Kommentar
Hallo brammer,
Als Profi wirst du ja sicher schon die grundlegenden Dinge wie sh ip route usw. auf beiden Routern gemacht haben um die Routing Tabelle zu checken gepaart mit einem traceroute usw.
Da du vom 877er alle Geräte pingen kannst sieht es ja erstmal so aus als ob lokal soweit alles OK ist. Das SSH nicht klappt ist ggf. ein Konfig Problem ?
Hast du
line vty 0 4
password Geheim
login local
transport input ssh
!
mit
username brammer password geheim
auf dem Switch konfiguriert ?
Ebenfalls sollte natürlich ein ip default gateway <ip_877> oder ip route 0.0.0.0 0.0.0.0 <ip_877> auf dem Switch nicht fehlen !
Bei VPNs hast du ja eine ACL auf dem Router der die entsprechenden IPs in den Tunnel schickt wenn die ACL matched. Wichtig ist hier der Befehl ip ssh source-interface xy , denn sonst kann es passieren das SSH die native WAN Interface IP nimmt und so nicht durch den Tunnel kommt.
Weitere Fragen sind komplett abhängig von der Konfig und ggf. debug outputs auf dem Router und daher schwer hier im Forum zu beantworten.
Ggf. solltest du hier mal ein ip oder icmp packet debugging laufen lassen um zu sehen ob IPs aus dem Tunnel überhaupt ankommen an den Endgeräten und viel wichtiger, ob die Endgeräte auch korrekt darauf antworten.
Sinn macht es auch bei den VPN ACLs einmal ein log dazu einzuschalten um zu checken ob die ACLs korrekt arbeiten.
Als Profi wirst du ja sicher schon die grundlegenden Dinge wie sh ip route usw. auf beiden Routern gemacht haben um die Routing Tabelle zu checken gepaart mit einem traceroute usw.
Da du vom 877er alle Geräte pingen kannst sieht es ja erstmal so aus als ob lokal soweit alles OK ist. Das SSH nicht klappt ist ggf. ein Konfig Problem ?
Hast du
line vty 0 4
password Geheim
login local
transport input ssh
!
mit
username brammer password geheim
auf dem Switch konfiguriert ?
Ebenfalls sollte natürlich ein ip default gateway <ip_877> oder ip route 0.0.0.0 0.0.0.0 <ip_877> auf dem Switch nicht fehlen !
Bei VPNs hast du ja eine ACL auf dem Router der die entsprechenden IPs in den Tunnel schickt wenn die ACL matched. Wichtig ist hier der Befehl ip ssh source-interface xy , denn sonst kann es passieren das SSH die native WAN Interface IP nimmt und so nicht durch den Tunnel kommt.
Weitere Fragen sind komplett abhängig von der Konfig und ggf. debug outputs auf dem Router und daher schwer hier im Forum zu beantworten.
Ggf. solltest du hier mal ein ip oder icmp packet debugging laufen lassen um zu sehen ob IPs aus dem Tunnel überhaupt ankommen an den Endgeräten und viel wichtiger, ob die Endgeräte auch korrekt darauf antworten.
Sinn macht es auch bei den VPN ACLs einmal ein log dazu einzuschalten um zu checken ob die ACLs korrekt arbeiten.