Shrew VPN Client mit WLAN, Problem gelöst aber verstehe nicht wieso
Hallo zusammen,
es geht um einen Standort mit aktuell einem PC.
Dieser PC geht über einen Vodafone LTE Router ins Internet.
Der PC hängt direkt mit einem LAN Kabel am LAN Port des Routers.
Dieser PC baut mittels dem Shrew VPN Client eine VPN Verbindung zum Büro auf.
Funktioniert alles dufte.
Jetzt wurde da heute ein zweiter PC in Betrieb genommen, dieser allerdings mit WLAN, weil der in einem anderem Raum steht.
An dem PC hängt ein ASUS WLAN Adapter.
Hier wurde ebenfalls der Shrew VPN Client installiert und genauso eingerichtet wie auf dem erstem PC, außer dass dieser logischerweise eine andere virtuelle IP bekommen hat.
Der Tunnel wird auch aufgebaut, allerdings bekommt man keine Daten durch den Tunnel -> auch ein ping funktioniert nicht.
Nach ewigem Gesuche, habe ich das Problem allerdings gefunden.
Sobald ich in Shrew NAT Traversal deaktiviert habe funktionierte es.
Mit aktiviertem NAT Traversal nicht.
Aber:
Auf dem ersten PC funktioniert es nur mit aktiviertem NAT Traversal?
Wieso überhaupt NAT-T ist soweit bekannt, dies ist auch der Grund, weshalb ich nicht kapiere, wie der WLAN PC ohne NAT-T überhaupt Daten durch den Tunnel bekommt.
Die PCs gehen schlussendlich über den gleichen Router ins Internet, wieso kann der eine nur so und der andere nur so??
Über eine kurze Erklärung würde ich mich freuen.
Danke
es geht um einen Standort mit aktuell einem PC.
Dieser PC geht über einen Vodafone LTE Router ins Internet.
Der PC hängt direkt mit einem LAN Kabel am LAN Port des Routers.
Dieser PC baut mittels dem Shrew VPN Client eine VPN Verbindung zum Büro auf.
Funktioniert alles dufte.
Jetzt wurde da heute ein zweiter PC in Betrieb genommen, dieser allerdings mit WLAN, weil der in einem anderem Raum steht.
An dem PC hängt ein ASUS WLAN Adapter.
Hier wurde ebenfalls der Shrew VPN Client installiert und genauso eingerichtet wie auf dem erstem PC, außer dass dieser logischerweise eine andere virtuelle IP bekommen hat.
Der Tunnel wird auch aufgebaut, allerdings bekommt man keine Daten durch den Tunnel -> auch ein ping funktioniert nicht.
Nach ewigem Gesuche, habe ich das Problem allerdings gefunden.
Sobald ich in Shrew NAT Traversal deaktiviert habe funktionierte es.
Mit aktiviertem NAT Traversal nicht.
Aber:
Auf dem ersten PC funktioniert es nur mit aktiviertem NAT Traversal?
Wieso überhaupt NAT-T ist soweit bekannt, dies ist auch der Grund, weshalb ich nicht kapiere, wie der WLAN PC ohne NAT-T überhaupt Daten durch den Tunnel bekommt.
Die PCs gehen schlussendlich über den gleichen Router ins Internet, wieso kann der eine nur so und der andere nur so??
Über eine kurze Erklärung würde ich mich freuen.
Danke
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 221908
Url: https://administrator.de/contentid/221908
Ausgedruckt am: 24.11.2024 um 22:11 Uhr
1 Kommentar
Da hast du vollkommen Recht. Das Verhalten ist so unlogisch und nicht zu erklären.
Der LTE Router macht unter Garantie NAT und damit ist wenn man IPsec VPNs benutzt NAT Traversal zwingend erforderlich, denn sonst wird IPsec ESP gar nicht erst über die NAT Firewall transportiert. Das Prozedere ist jedem netzwerker klar….
Man kann nur vermuten das das Problem am Vodafone Billigrouter liegt oder an deren IP Adressierung selber.
Leider schreibst du nicht WELCHE IP Adressierung der LTE Router im Mobilnetz benutzt bzw. Vodafone dort benutzt.
Ein Blick ins Router Setup hätte das geklärt.
Es ist möglich das Vodafone dort eine private IP Adressierung mit RFC 1918 IP Adressen im Mobilnetzwerk nutzt und damit dann zentral ein NAT macht. Da der Router auch NAT macht ist das dann doppeltes NAT.
Nutzt er hingegen öffentliche IPs im Mobilfunknetz passiert die NAT Umwandlung nur einmal im Router.
Vermutlich kommt der Router beim Cachen der ESP Sessions durcheinander. Warum er dann aber Clients ohne NAT einfach "durchschleift" hört sich nach einem Firmware Bug an.
Um das genauer zu analysieren kommst du um einen Wireshark Trace eines bzw. des zweiten IPsec Aufbaus nicht drum rum !
Das zeigt dir dann ganz genau an was da passiert und was der Router da treibt.
Der LTE Router macht unter Garantie NAT und damit ist wenn man IPsec VPNs benutzt NAT Traversal zwingend erforderlich, denn sonst wird IPsec ESP gar nicht erst über die NAT Firewall transportiert. Das Prozedere ist jedem netzwerker klar….
Man kann nur vermuten das das Problem am Vodafone Billigrouter liegt oder an deren IP Adressierung selber.
Leider schreibst du nicht WELCHE IP Adressierung der LTE Router im Mobilnetz benutzt bzw. Vodafone dort benutzt.
Ein Blick ins Router Setup hätte das geklärt.
Es ist möglich das Vodafone dort eine private IP Adressierung mit RFC 1918 IP Adressen im Mobilnetzwerk nutzt und damit dann zentral ein NAT macht. Da der Router auch NAT macht ist das dann doppeltes NAT.
Nutzt er hingegen öffentliche IPs im Mobilfunknetz passiert die NAT Umwandlung nur einmal im Router.
Vermutlich kommt der Router beim Cachen der ESP Sessions durcheinander. Warum er dann aber Clients ohne NAT einfach "durchschleift" hört sich nach einem Firmware Bug an.
Um das genauer zu analysieren kommst du um einen Wireshark Trace eines bzw. des zweiten IPsec Aufbaus nicht drum rum !
Das zeigt dir dann ganz genau an was da passiert und was der Router da treibt.