osterhase09
Goto Top

Problem mit VPN-Verbindung - IPSec und Shrew-Client

Hallo zusammen,

irgendwie komme ich bei meinem Problem nicht so recht weiter.

Am Standort A, zu dem eine VPN-Verbindung aufgebaut werden soll, steht ein Linksys WRV210 Router, IP 192.168.178.1 / Subnet 255.255.255.0, Dynamische WAN-IP / Dyndns.

Am Standort B steht ein WinXP Client, IP 172.20.10.133 / Subnet 255.255.0.0, ebenfalls dynamische WAN-IP, mit dem Shrew-VPN-Client möchte ich eine Verbindung aufbauen.

Soweit die kurze Zusammenfassung, hier die Router-VPN Einstellungen von Standort A:

e83627b85e4d7b9301b4896d12c80fd8-linksys_vpn



Hier alle Client Einstellungen

5ea18dc23344994e874003c4cfdd6431-shrew_vpn



Verbindungsaufbau:
attached to key daemon ...
peer configured
iskamp proposal configured
esp proposal configured
client configured
pre-shared key configured
bringing up tunnel ...
network device configured
tunnel enabled

Soweit so gut. Den Router 192.168.178.1 kann ich anpingen, jedoch keines der Geräte in dem Netzwerk von Standort A. Windows-Firewalls auf den PCs sind alle ausgeschaltet, Pass-Through auf dem Router aktiviert.
Woran kann das liegen? Habt ihr Ideen?

Content-ID: 126636

Url: https://administrator.de/forum/problem-mit-vpn-verbindung-ipsec-und-shrew-client-126636.html

Ausgedruckt am: 22.12.2024 um 17:12 Uhr

corpse2001
corpse2001 07.10.2009 um 14:54:49 Uhr
Goto Top
Hallo,

gibts es in deinem Router irgentwo sowas wie "entfernte Netze über Proxy-ARP einbinden"?

mfg corpse2001
osterhase09
osterhase09 07.10.2009 um 15:07:21 Uhr
Goto Top
Hm... meinst Du sowas?
a856f7652999dc1c9c3a98da1b10b67b-linksys2

Das versteckt sich hinter dem Advanced-Button auf der IPSec Seite. Ansonsten kann ich noch statische Routen eintragen im Router.

das ist die Routingtabelle im Router

Destination LAN IP Subnet Mask Gateway Interface
217.0.118.103 255.255.255.255 0.0.0.0 WAN
192.168.178.0 255.255.255.0 0.0.0.0 LAN&Wireless
Default Route (*) 0.0.0.0 217.0.118.103 WAN
127.0.0.1 0.0.0.0 127.0.0.1 LOOPBACK
aqui
aqui 07.10.2009 um 17:30:54 Uhr
Goto Top
Haben die Rechner im 192.168.178.0er Netzwerk die du anpingen willst:
  • Den Default Gateway Eintrag auch auf den 192.168.178.1 er Router ?? (.178.0 sieht verdächtig nach einem Fritzbox Netz aus !!)
  • ICMP aktiviert in der Firewall ?? (In den erweiterten Eigenschaften der Firewall den Haken bei ICMP und dort "Auf eingehende Echo Anforderungen antworten" gesetzt !)
  • Ist die lokale Windows Firewall der zu pingenden Rechner entsprechend customized ?? Die Windows Firewall blockt normalerweise wenn du nichts machst alle Zugriffe die NICHT aus dem lokalen Netzwerk kommen, also folglich auch deinen VPN Ping ! Hier musst du die Windows Firewall entsprechend anpassen !!

Erst wenn du diese 3 Dinge entsprechend geprüft hast sollte ein Ping auch problemlos funktionieren !!
osterhase09
osterhase09 07.10.2009 um 19:18:23 Uhr
Goto Top
Zitat von @aqui:
Haben die Rechner im 192.168.178.0er Netzwerk die du anpingen willst:
  • Den Default Gateway Eintrag auch auf den 192.168.178.1 er Router ??
(.178.0 sieht verdächtig nach einem Fritzbox Netz aus !!)


Es ist ein ehemaliges Fritzbox-Netz, daher noch die typische IP Adresse. Aber die Fritzbox wurde jetzt eben durch den Linksys Router ersetzt.
Der Gateway-Eintrag ist gesetzt.

* ICMP aktiviert in der Firewall ?? (In den erweiterten Eigenschaften
der Firewall den Haken bei ICMP und dort "Auf eingehende Echo
Anforderungen antworten"
gesetzt !)

Vielleicht bin ich blind, aber die Einstellung finde ich irgendwie nicht....

-Block Anonymous Internet Requests
-Block Multicast

habe ich beides deaktiviert. ich kann den router auch ohne vpn anpingen, kein problem. auch durch den vpn tunnel kann ich ihn über die lokale ip 192.168.178.1 anpingen. Nur das netzwerk dahinter halt nicht...

* Ist die lokale Windows Firewall der zu pingenden Rechner
entsprechend customized ?? Die Windows Firewall blockt normalerweise
wenn du nichts machst alle Zugriffe die NICHT aus dem lokalen
Netzwerk kommen, also folglich auch deinen VPN Ping ! Hier musst du
die Windows Firewall entsprechend anpassen !!

Die XP Firewalls sind komplett deaktiviert.
aqui
aqui 08.10.2009 um 11:15:39 Uhr
Goto Top
.
"...ich kann den router auch ohne vpn anpingen, kein problem. " Das ist Unsinn und technisch gar nicht möglich, sofern du die 192.168.178.1 IP Adresse damit meinst !!!
Das ist ein RFC_1918 IP Netzwerk was im Internet NICHT geroutet und bei jedem Provider weggefiltert wird !
Wenn überhaupt, dann kannst du nur die WAN/DSL IP des Routers pingen, was man aber aus Sicherheitsgründen immer deaktivieren sollte im Betrieb später. Testweise ist es ok.

ICMP (Ping) aktiviert man unter den erweiterten Eigenschaften der LAN Verbindung -> Einstellung (Firewall) -> Erweitert -> Einstellung (ICMP) !
Hier den Haken bei "Eingehende Echoanforderungen zulassen" setzen.

Wer suchet der findet... !!
osterhase09
osterhase09 08.10.2009 um 13:16:35 Uhr
Goto Top
Sorry, hatte mich ungenau ausgedrückt. Gemeint war, dass ich (ohne aktive VPN Verbindung) den Router über die WAN IP anpingen kann (zu Testzwecken) . Bei aktiver VPN Verbindung funktioniert ping 192.168.178.1 auch problemlos. Aber die Client-PCs oder das NAS-System kann ich nicht anpingen. Auch aufs Webinterface vom NAS komme ich nicht.

Die ICMP Einstellungen ist bei allen Clients aktiviert. Daran liegt es also auch nicht...
aqui
aqui 09.10.2009 um 10:56:31 Uhr
Goto Top
Hat das NAS sicher einen default Gateway Eintrag auf die 192.168.178.1 ???
Das NAS sollte immer einen statischen IP und gateway Eintrag haben keinen per DHCP !

Ansonste wäre das Verhalten nicht zu erklären ??

Was sagt denn ein Traceroute (tracert) oder pathping auf die IP des NAS von remote ??
osterhase09
osterhase09 10.10.2009 um 19:24:00 Uhr
Goto Top
Ich habe es gerade noch mal kontrolliert - NAS hat als Gateway die 192.168.178.1 eingetragen und hat natürlich eine statische IP...
IP der NAS 192.168.178.19
IP des VPN Clients im Remote-Netzwerk 192.168.178.45

pathping 192.168.178.19

Routenverfolgung zu 192.168.178.19 über maximal 30 Abschnitte

0 ms-vm-05 [192.168.178.45]
1 * * *
Berechnung der Statistiken dauert ca. 25 Sekunden...
Quelle zum Abs. Knoten/Verbindung
Abs. Zeit Verl./Ges.= % Verl./Ges.= % Adresse
0 ms-vm-05 [192.168.178.45]
100/ 100 =100% |
1 --- 100/ 100 =100% 0/ 100 = 0% ms-vm-05 [0.0.0.0]

Ablaufverfolgung beendet.




Beim tracert zur NAS (192.168.178.19) sieht man nur " 1 * * * Zeitüberschreitung der Anforderung." über alle 30 Abschnitte.



Als vergleich pathping und tracert zum Router 192.168.178.1

tracert 192.168.178.1

Routenverfolgung zu 192.168.178.1 über maximal 30 Abschnitte

1 96 ms 101 ms 97 ms 192.168.178.1

Ablaufverfolgung beendet.


pathping 192.168.178.1

Routenverfolgung zu 192.168.178.1 über maximal 30 Abschnitte

0 ms-vm-05 [192.168.178.45]
1 192.168.178.1

Berechnung der Statistiken dauert ca. 25 Sekunden...
Quelle zum Abs. Knoten/Verbindung
Abs. Zeit Verl./Ges.= % Verl./Ges.= % Adresse
0 ms-vm-05 [192.168.178.45]
0/ 100 = 0% |
1 95ms 0/ 100 = 0% 0/ 100 = 0% 192.168.178.1

Ablaufverfolgung beendet.
aqui
aqui 10.10.2009 um 23:31:37 Uhr
Goto Top
Das ist in der Tat verwunderlich ! Interessant wäre nochmal ein route print vom VPN Client bei aktiviertem VPN.

Du solltest mal einen Sniffer an den WRV LAN Port hängen und checken ob die Pakete vom VPN Client überhaupt vom Router an das NAS geforwardet werden.
Alternativ ist es einfacher statt des NAS einen PC im Netz zu nehmen und den Sniffer darauf laufen zu lassen und dann diesen PC anzupingen ob hier überhaupt ICMP Pakete ankommen ??
Es ist auch möglich das der VPN Tunnel nicht sauber aufgebaut ist.
Bekommst du vom WRV irgendwelche Logs bzw. Logeinträge beim VPN Aufbau ??
osterhase09
osterhase09 11.10.2009 um 00:45:41 Uhr
Goto Top
Das Ergebnis von route print als Grafik, damit man das noch vernünftig lesen kann:

91cf81823f73284ba1fe88c725b182a6-route


Die Theorie, dass die Pakete garnicht am LAN Port ankommen, scheint mir recht plausibel. prüfen kann ich das leider erst in ca. einer Woche, wenn ich wieder an die Rechner dran komme.

Mit dem Linksys Quick VPN Tool funktioniert das ganze übrigens einwandfrei, aber der Client läuft ja nicht unter 64bit Systemen... daher dieser Weg.


Der WRV Router hat leider nur ein sehr abgespecktes Konfigurationsmenü, Log-Einträge kann man nur mit einem externen Viewer aufzeichnen. Auch diese Infos kann ich erst in ca. einer Woche liefern...


Ist es denkbar, dass die Probleme mit Shrew dadurch entstehen, dass ich für solche Fernwartungsaufgaben eine virtuelle Maschine nutze? (Netzwerkkarte im Bridge-Modus, virtualisiert mit Vmware-Server 2). Das könnte ich morgen mal noch auf einem WinXP x64 Rechner testen. Mit PPTP-VPNs und eben dem Linksys Tool läuft aber alles prima...
aqui
aqui 12.10.2009 um 09:51:44 Uhr
Goto Top
Nein, eine Bridge stört nicht, denn da wird im Layer 3 nichts beeinflusst. Schlimmer wäre es wenn du NAT machen würdest in der VM. Da das aber nicht der Fall ist ist das kein Thema !
Was höchstens sein kann ist das sich 2 VPN Clients stören sofern du beide auf einer Maschine installiert hast. Es ist also immer besser eine komplett zu deinstallieren und nur mit einer Client SW zur Zeit zu testen.

Hast du mal etwas mit den Verschlüsselungs Algorhytmen rumgetestet ?? Ältere Linlsys VPN Systeme supporten nur DES und 3DES. Der Client darf also kein AES oder sowas machen.
Es hilft nix, ohne Logs kommt man schwer weiter.....
Installier den Kiwi Syslog und schreib alles mit..dannshen wir in einer Woche mal weiter !
osterhase09
osterhase09 13.10.2009 um 14:05:49 Uhr
Goto Top
Andere Verschlüsselungsverfahren habe ich probiert, in zig verschiedenen Kombinationen...

Hatte gerade doch kurz die Möglichkeit, auf den Rechner zuzugreifen. Kiwi zeigt im Zeitraum des Aufbaus der VPN Verbindung und auch bei Ping Befehlen keine Informationen an.

Dann habe ich Wireshark mal installiert und geschaut, ob die ping-Befehle auch ankommen - scheint so!
c5b2a9003dd61cd490b439ce78949bd8-wireshark

die 192.168.178.19 hat das NAS, 100 der Client (lokal), 45 ist im VPN Client hinterlegt.
aqui
aqui 13.10.2009 um 18:42:48 Uhr
Goto Top
Nein scheinbar nicht... denn die .45 pingt die .100 (ICMP request) es kommt aber keinerlei Antwort (ICMP echo reply) von der .100 zurück !!
Das zeigt wenigstens dein o.a. Sniffer Trace !