19
Site2Site m0n0wall und Fritz!box
Ich habe einen VPN-Tunnel zwichen einer Fritzbox (Niederlassung Ex-IP: 22.22.22.51) und einer m0n0wall (Zentrale Ex-IP: 11.11.11.214) aufgebaut.
Die Fritzbox zeigt den Tunnel als verbunden an.
Die m0n0wall bestätigt den Tunnel im Protokoll:
Die m0n0wall hat die Version 1.33.
Ziel ist es, dass alle Rechner in der Niederlassung die Freigeben usw. in der Zentrall sehen bzw. erreichen und umgekehrt.
Jetzt zu meinen Problem:
Es geht kein ping und weder aus der Niederlassung noch aus der Zentralle findet ein Datenaustausch statt.
Meine Vermutung ist, dass der Monowall noch eine oder auch mehrere Regeln fehlen.
Gegebenen Falls kann ich auch noch das Fritzboxscript und die IPSec Einstellungen der m0n0wall veröffentlichen, wenn dies nötig ist.
Ich bedanke mich schon im Voraus für Eure Unterstützung.
Vielen Dank für die Antwort! Beim Log von der m0n0wall bin ich skeptisch geworden. Werde die Einstellungen noch mal neu machen.
Die Fritzbox zeigt den Tunnel als verbunden an.
Feb 19 16:12:26 racoon: INFO: IPsec-SA established: ESP/Tunnel 11.11.11.214[500]->22.22.22.51[500] spi=528052251(0x1f79701b)Feb 19 16:12:26 racoon: INFO: IPsec-SA established: ESP/Tunnel 22.22.22.51->11.11.11.214 spi=87374972(0x5353c7c)Feb 19 16:12:26 racoon: INFO: respond new phase 2 negotiation: 11.11.11.214[500]<=>22.22.22.51[500]Feb 19 16:12:25 racoon: INFO: ISAKMP-SA established 11.11.11.214[500]-22.22.22.51[500] spi:1978a2ecf3c2b494:a0807b9b28b091c6Feb 19 16:12:25 racoon: WARNING: ignore INITIAL-CONTACT notification, because it is only accepted after phase1.Feb 19 16:12:25 racoon: NOTIFY: couldn't find the proper pskey, try to get one by the peer's address.Feb 19 16:12:25 racoon: INFO: received Vendor ID: DPDFeb 19 16:12:25 racoon: INFO: received Vendor ID: draft-ietf-ipsra-isakmp-xauth-06.txtFeb 19 16:12:25 racoon: INFO: begin Aggressive mode.Feb 19 16:12:25 racoon: INFO: respond new phase 1 negotiation: 11.11.11.214[500]<=>22.22.22.51[500]Die m0n0wall hat die Version 1.33.
Ziel ist es, dass alle Rechner in der Niederlassung die Freigeben usw. in der Zentrall sehen bzw. erreichen und umgekehrt.
Jetzt zu meinen Problem:
Es geht kein ping und weder aus der Niederlassung noch aus der Zentralle findet ein Datenaustausch statt.
Meine Vermutung ist, dass der Monowall noch eine oder auch mehrere Regeln fehlen.
Gegebenen Falls kann ich auch noch das Fritzboxscript und die IPSec Einstellungen der m0n0wall veröffentlichen, wenn dies nötig ist.
Ich bedanke mich schon im Voraus für Eure Unterstützung.
Vielen Dank für die Antwort! Beim Log von der m0n0wall bin ich skeptisch geworden. Werde die Einstellungen noch mal neu machen.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 230499
Url: https://administrator.de/contentid/230499
Ausgedruckt am: 26.11.2024 um 12:11 Uhr
19 Kommentare
Neuester Kommentar
Dieses Tutorial zu dem Thema hast du gelesen ??
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Wenn du das alles beherzigtst funktioniert es auf Anhieb !
NOTIFY: couldn't find the proper pskey... ist nicht wirklich gut ! Das sagt das eine Seite keinen Key sprich Passwort konfiguriert hat. Vermutlich bricht dann die Phase 2 ab, was man am reinitialisieren der Phase 1 danach auch sehen kann...
Mit anderen Worten, es kommt gar VPN Tunnel zustande bei dir, was auch das Nichtfunktionieren des Pings untermauert.
Auf der Monowall/pfSense musst du lediglich UDP 500, UDP 4500 und das ESP Protokoll, also die klassische IPsec Suite auf die WAN Port IP erlauben in den Firewall Regeln, mehr ist nicht zu tun. Steht auch so oben im Tutorial.
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Wenn du das alles beherzigtst funktioniert es auf Anhieb !
NOTIFY: couldn't find the proper pskey... ist nicht wirklich gut ! Das sagt das eine Seite keinen Key sprich Passwort konfiguriert hat. Vermutlich bricht dann die Phase 2 ab, was man am reinitialisieren der Phase 1 danach auch sehen kann...
Mit anderen Worten, es kommt gar VPN Tunnel zustande bei dir, was auch das Nichtfunktionieren des Pings untermauert.
Auf der Monowall/pfSense musst du lediglich UDP 500, UDP 4500 und das ESP Protokoll, also die klassische IPsec Suite auf die WAN Port IP erlauben in den Firewall Regeln, mehr ist nicht zu tun. Steht auch so oben im Tutorial.
1
Habe jetzt alles nochmal wie im Toutorial eingegeben und die Ports freigegeben. Das Ergebnis ist, das die Fritzbox der Meinung ist, dass das VPN steht.
Die Monowall gibt dieses Ergebnis:
Feb 21 13:34:33 racoon: INFO: IPsec-SA established: ESP/Tunnel 11.11.11.214[500]->22.22.22.51[500] spi=4223995203(0xfbc50d43)
Feb 21 13:34:33 racoon: INFO: IPsec-SA established: ESP/Tunnel 22.22.22.51->11.11.11.214 spi=19179301(0x124a725)
Feb 21 13:34:32 racoon: INFO: respond new phase 2 negotiation: 11.11.11.214[500]<=>22.22.22.51[500]
Feb 21 13:34:32 racoon: INFO: ISAKMP-SA established 11.11.11.214[500]-22.22.22.51[500] spi:4a49e7b74be9d671:b43555c55517494e
Feb 21 13:34:32 racoon: WARNING: ignore INITIAL-CONTACT notification, because it is only accepted after phase1.
Feb 21 13:34:32 racoon: WARNING: No ID match.
Feb 21 13:34:32 racoon: INFO: received Vendor ID: DPD
Feb 21 13:34:32 racoon: INFO: received Vendor ID: draft-ietf-ipsra-isakmp-xauth-06.txt
Feb 21 13:34:32 racoon: INFO: begin Aggressive mode.
Feb 21 13:34:32 racoon: INFO: respond new phase 1 negotiation: 11.11.11.214[500]<=>22.22.22.51[500]
Was bedeutet : racoon: WARNING: No ID match.?
Bei My identifer: User FQDN -> email@frima.com
Ist das OK?
Die Monowall gibt dieses Ergebnis:
Feb 21 13:34:33 racoon: INFO: IPsec-SA established: ESP/Tunnel 11.11.11.214[500]->22.22.22.51[500] spi=4223995203(0xfbc50d43)
Feb 21 13:34:33 racoon: INFO: IPsec-SA established: ESP/Tunnel 22.22.22.51->11.11.11.214 spi=19179301(0x124a725)
Feb 21 13:34:32 racoon: INFO: respond new phase 2 negotiation: 11.11.11.214[500]<=>22.22.22.51[500]
Feb 21 13:34:32 racoon: INFO: ISAKMP-SA established 11.11.11.214[500]-22.22.22.51[500] spi:4a49e7b74be9d671:b43555c55517494e
Feb 21 13:34:32 racoon: WARNING: ignore INITIAL-CONTACT notification, because it is only accepted after phase1.
Feb 21 13:34:32 racoon: WARNING: No ID match.
Feb 21 13:34:32 racoon: INFO: received Vendor ID: DPD
Feb 21 13:34:32 racoon: INFO: received Vendor ID: draft-ietf-ipsra-isakmp-xauth-06.txt
Feb 21 13:34:32 racoon: INFO: begin Aggressive mode.
Feb 21 13:34:32 racoon: INFO: respond new phase 1 negotiation: 11.11.11.214[500]<=>22.22.22.51[500]
Was bedeutet : racoon: WARNING: No ID match.?
Bei My identifer: User FQDN -> email@frima.com
Ist das OK?
Das "racoon: WARNING: No ID match" bedeutet: Hier stimmen die ID-Types nicht überein !
Die pfSense steht auf Email email@frima.com, die Fritzbox auf der Gegenseite steht auf DNS oder IP aber eben nicht auf Email.
Damit hast du einen ID Type Mismatch und die Phase 2 müsste eigentlich abbrechen und der Tunnel kommt damit nicht zustande.
Pass das also an auf beiden Seiten. Email oder DNS aber nie unterschiedlich. Dann klappt das sofort.
Die pfSense steht auf Email email@frima.com, die Fritzbox auf der Gegenseite steht auf DNS oder IP aber eben nicht auf Email.
Damit hast du einen ID Type Mismatch und die Phase 2 müsste eigentlich abbrechen und der Tunnel kommt damit nicht zustande.
Pass das also an auf beiden Seiten. Email oder DNS aber nie unterschiedlich. Dann klappt das sofort.
Danke für die Antwort. Das hatte ich auch so verstanden. Ich habe das Fritzbox Script aus dem Toutorial genommen. In der Zeile 18 steht:
Das habe ich 1 zu 1 übernommen. Weiß nicht woran es liegen kann. m0n0wall sagt auch:
Also hat er ein Problem mit der Phase1!?!
fqdn = "Email email@frima.com"; //irgendeine e-mail Adresse, muss aber die gleiche sein, wie später bei m0n0wall unter My identifierDas habe ich 1 zu 1 übernommen. Weiß nicht woran es liegen kann. m0n0wall sagt auch:
WARNING: ignore INITIAL-CONTACT notification, because it is only accepted after phase1.Also hat er ein Problem mit der Phase1!?!
Das sieht danach aus !
Hast du diese Tipps mal beherzigt ??:
Site to Site VPN IPSec PfSense -- Fritzbox Tunnel down nach Disconnect oder Reboot
Du solltest statt der M0n0wall die große Schwester pfSense einsetzten ! pfSense hat ein besser gepflegtes VPN integriert und weniger Fehler. Zudem bietet sie erhebliche Vorteile beim Troubleshooting !
M0n0wall macht eigentlich nur noch Sinn wenn man eine performante Firewall auf minimaler Hardware einsetzen will oder muss.
1. Wahl sollte deshalb immer pfSense sein wenn man mit einigermaßen adäquater Hardware ausgestatte ist wie z.B. einem ALIX Board.
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Mit den obigen Tips zur FB Integration sollte das aber auf Anhieb klappen !
Hast du diese Tipps mal beherzigt ??:
Site to Site VPN IPSec PfSense -- Fritzbox Tunnel down nach Disconnect oder Reboot
Du solltest statt der M0n0wall die große Schwester pfSense einsetzten ! pfSense hat ein besser gepflegtes VPN integriert und weniger Fehler. Zudem bietet sie erhebliche Vorteile beim Troubleshooting !
M0n0wall macht eigentlich nur noch Sinn wenn man eine performante Firewall auf minimaler Hardware einsetzen will oder muss.
1. Wahl sollte deshalb immer pfSense sein wenn man mit einigermaßen adäquater Hardware ausgestatte ist wie z.B. einem ALIX Board.
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Mit den obigen Tips zur FB Integration sollte das aber auf Anhieb klappen !
Hallo aqui,
danke für die Infos. ich habe den von Dir empfohlenen Artikel angeschaut. Soweit ich das sehe, muss die m0n0wall neu aufgesetzt oder durch die pfSence ersetzt werden.
Schade, ich hoffte einen einfachen Weg zum site2site VPN zu finden. Ich habe die m0n0wall neu gebootet und es bleibt dabei.
Ich melde mich nächste Woche noch mal.
Vielen Dank!!!
danke für die Infos. ich habe den von Dir empfohlenen Artikel angeschaut. Soweit ich das sehe, muss die m0n0wall neu aufgesetzt oder durch die pfSence ersetzt werden.
Schade, ich hoffte einen einfachen Weg zum site2site VPN zu finden. Ich habe die m0n0wall neu gebootet und es bleibt dabei.
racoon: WARNING: No ID match.Ich melde mich nächste Woche noch mal.
Vielen Dank!!!
Na ja wenn du ein ALIX Board hast dann flasht du dir eben schnell das CF neu, das dauert keine 3 Minuten...ebenso ein USB Stick 
Vermutlich kommst du so schneller an Ziel, denn an dem oben zitierten Thread kannst du ja klar sehen das ein IPsec VPN zw. FB und Monowall (sprich pfSense) generell kein Thema ist !
Vermutlich kommst du so schneller an Ziel, denn an dem oben zitierten Thread kannst du ja klar sehen das ein IPsec VPN zw. FB und Monowall (sprich pfSense) generell kein Thema ist !
1
Hallo Aqui,
jetzt habe ich die pfsense aufgebaut und drei Schnittstellen eingerichtet. LAN; WAN; DMZ. Ich habe die Firewall Rules von der Monowall 1 zu 1 übertragen. LAN und WAN arbeiten gut, nur die DMZ funktioniert nicht. In der DMZ ist nur ein Rechner, der ohne Contentfilter auf z.B. Facebook usw. zugreifen darf. Leider pingt die DMZ Schnittstelle und der Rechner nicht. Kein Internet an Client verfügbar. Ich habe folgende Rollen eingestellt.
Rules DMZ
IPv4 ICMP DMZnet * DMZnet * * none ping erlauben
IPv4* DMZnet * !LANnet * * none DMZ verbieten ins LAN
IPv4UDP DMZnet * * 53(DNS) * none DNS erlauben
IPv4TCP DMZnet 80 * 80 * none HTTp Outbound erlauben
IPv4TCP DMZnet 443 * 443 * none HTTPS Outbound erlauben
IPSec VPN habe ich auch angelegt:
Bin mir bei einigen Einstellungen nicht sicher:
Phase 1
General information: das ist alles klar
Phase 1 proposal (Authentication) da habe ich noch Fragen
Authentication method Mutual PSK ????
My identifier Kann keine FQDN auswählen, habe "User distinguished Name" genommen
Policy Generation Default ????
Proposal Checking Default ????
Advanced Options
NAT Traversal Enable ?????
Phase 2 ist wieder alles klar!!!
Im Log kommt ein Fehler:
racoon: [site2site]: [22.22.22.51] ERROR: notification INITIAL-CONTACT received in aggressive exchange.
Ich denke in der Phase1 ist noch was falsch. Ich hoffe jemand kann mir helfen.
jetzt habe ich die pfsense aufgebaut und drei Schnittstellen eingerichtet. LAN; WAN; DMZ. Ich habe die Firewall Rules von der Monowall 1 zu 1 übertragen. LAN und WAN arbeiten gut, nur die DMZ funktioniert nicht. In der DMZ ist nur ein Rechner, der ohne Contentfilter auf z.B. Facebook usw. zugreifen darf. Leider pingt die DMZ Schnittstelle und der Rechner nicht. Kein Internet an Client verfügbar. Ich habe folgende Rollen eingestellt.
Rules DMZ
IPv4 ICMP DMZnet * DMZnet * * none ping erlauben
IPv4* DMZnet * !LANnet * * none DMZ verbieten ins LAN
IPv4UDP DMZnet * * 53(DNS) * none DNS erlauben
IPv4TCP DMZnet 80 * 80 * none HTTp Outbound erlauben
IPv4TCP DMZnet 443 * 443 * none HTTPS Outbound erlauben
IPSec VPN habe ich auch angelegt:
Bin mir bei einigen Einstellungen nicht sicher:
Phase 1
General information: das ist alles klar
Phase 1 proposal (Authentication) da habe ich noch Fragen
Authentication method Mutual PSK ????
My identifier Kann keine FQDN auswählen, habe "User distinguished Name" genommen
Policy Generation Default ????
Proposal Checking Default ????
Advanced Options
NAT Traversal Enable ?????
Phase 2 ist wieder alles klar!!!
Im Log kommt ein Fehler:
racoon: [site2site]: [22.22.22.51] ERROR: notification INITIAL-CONTACT received in aggressive exchange.
Ich denke in der Phase1 ist noch was falsch. Ich hoffe jemand kann mir helfen.
Habe neue Logeinträge entdeckt. Aufgefallen sind mir folgende Zeilen:
LAN-Netz : 192.168.137.0
Adresse der pfSence im LAN 192.168.137.166
Netz in der Zweigstelle: 192.168.10.0
Es wird der Verkehr von einer Einstellung geblockt.
Das VPN wird in der pfSence als verbunden angezeigt.
Die Frage ist, welche Regeln verhindern den Verkehr. Am LAN oder WAN Interface?
Ich bin leider als Netzwerker etwas unerfahren und benötige Unterstützung!!!!
racoon: ERROR: such policy already exists. anyway replace it: 192.168.137.166/32 192.168.137.0/24 proto=any dir=outracoon: ERROR: such policy already exists. anyway replace it: 192.168.137.0/24 192.168.137.166/32 proto=any dir=inracoon: ERROR: such policy already exists. anyway replace it: 192.168.137.0/24 192.168.10.0/24 proto=any dir=outracoon: ERROR: such policy already exists. anyway replace it: 192.168.10.0/24 192.168.137.0/24 proto=any dir=inLAN-Netz : 192.168.137.0
Adresse der pfSence im LAN 192.168.137.166
Netz in der Zweigstelle: 192.168.10.0
Es wird der Verkehr von einer Einstellung geblockt.
Das VPN wird in der pfSence als verbunden angezeigt.
Die Frage ist, welche Regeln verhindern den Verkehr. Am LAN oder WAN Interface?
Ich bin leider als Netzwerker etwas unerfahren und benötige Unterstützung!!!!
Weder noch... Das LAN Interface lässt per Default alles durch sofern du das lokale LAN nicht auf eins der OPTx Interfaces gelegt hast und vergessen hast dort Regeln zu definieren.
Das WAN Interface ist daran vollkommen unbeteiligt, denn das "sieht" logischerweise nur den IPsec Tunnel aber nicht die Daten die da drin sind.
Folglich bleibt also nur die FW Regeln des VPN Tunnel Interfaces und des LAN Interfaces die du checken solltest.
Such nach der Fehlermeldung, dann findest du zuhauf Tips wie man das löst ! Z.B.:
https://forum.pfsense.org/index.php?topic=10141.0
Hast du alle Hinweise im o.a. Tutorial umgesetzt ? Mit der dort geposteten Konfig funktioniert alles wunderbar und ohne Fehlermeldungen.
Irgendwo hast du also was übersehen....
Das WAN Interface ist daran vollkommen unbeteiligt, denn das "sieht" logischerweise nur den IPsec Tunnel aber nicht die Daten die da drin sind.
Folglich bleibt also nur die FW Regeln des VPN Tunnel Interfaces und des LAN Interfaces die du checken solltest.
Such nach der Fehlermeldung, dann findest du zuhauf Tips wie man das löst ! Z.B.:
https://forum.pfsense.org/index.php?topic=10141.0
Hast du alle Hinweise im o.a. Tutorial umgesetzt ? Mit der dort geposteten Konfig funktioniert alles wunderbar und ohne Fehlermeldungen.
Irgendwo hast du also was übersehen....
Das Tutoriell funktioniert!
Habe den Tunnel aufgebaut und kann jetzt von der Zentrale in die Filiale pingen und umgekehrt.
Dazu musste ich mit „route add“ die Route aufbauen, da der Tunnel nicht durch Standartgateway geht.
Ich habe auch in der MMC Active Directory-Standorte und Dienste die Sites eingetragen und die Subnets angelegt.
Jedoch sind immer noch nicht die Freigaben auf den Rechnern zu sehen. In der Filiale kann Outlook auch den Exchange (in der Zentrale) nicht finden. Ich denke es liegt an den verschiedenen Subnetzen.
Welche Einstellungen muss ich noch im AD oder sonst wo vornehmen um zu erreichen, dass alle Rechner in der Netzwerkübersicht in beiden Standorten auftauchen und z.B. Remote Desktop funktioniert?
Habe den Tunnel aufgebaut und kann jetzt von der Zentrale in die Filiale pingen und umgekehrt.
Dazu musste ich mit „route add“ die Route aufbauen, da der Tunnel nicht durch Standartgateway geht.
Ich habe auch in der MMC Active Directory-Standorte und Dienste die Sites eingetragen und die Subnets angelegt.
Jedoch sind immer noch nicht die Freigaben auf den Rechnern zu sehen. In der Filiale kann Outlook auch den Exchange (in der Zentrale) nicht finden. Ich denke es liegt an den verschiedenen Subnetzen.
Welche Einstellungen muss ich noch im AD oder sonst wo vornehmen um zu erreichen, dass alle Rechner in der Netzwerkübersicht in beiden Standorten auftauchen und z.B. Remote Desktop funktioniert?
Das Tutoriell funktioniert!
Was erwartest du ?? Das wir die Kollegen hier verar.... Das ist alles wasserdicht ausprobiert... !Dazu musste ich mit „route add“ die Route aufbauen,
Das ist eigentlich Blödsinn und passiert immer dynamisch wenn man alles richtig konfiguriert hat. Aber egal...Hauptsache ist ja es klappt bei dir !!Jedoch sind immer noch nicht die Freigaben auf den Rechnern zu sehen
Automatisch wirst du die auch nie sehen ! Name Service basiert auf UDP Broadcasting und das kann Router Grenzen per se nicht überwinden !Hier wirst du also mit statischer Definition leben müssen oder es lokal in die hosts Datei am Client eintragen müssen.
In der Filiale kann Outlook auch den Exchange (in der Zentrale) nicht finden.
Das kannst du sehr einfach und schnell verifizieren:Kannst du vom Outlook Client in der Filiale den Exchange Server anpingen ???
Wenn ja ist es kein Routing oder Netzwerk Problem !!
Ich denke es liegt an den verschiedenen Subnetzen.
Nein, das ist natürlich Blödsinn !! Wenn die im Routing bekannt sind und viel wichtiger noch in den Firewall Regeln, hast du doch eine transparente Kommunikation in alle diese Subnetze !? Vergiss das also ganz schnelll wieder ! Ping und Traceroute (tracert) sind hier wie immer deine besten Freunde.Wie gesag: Alles was sich pingen kann, das kann sich auch erreichen !! Damit ist die IP Erreichbarkeit sichergestellt.
Was du in Winblows alles klicken musst damit man bunte Bilder siehst müssen die dir Windows Experten verklickern hier.
Vielen Dank für die schnelle Antwort. Leider ist es so, dass ich vom Client in der Zentrale nicht in die Filiale pingen kann wenn, ich nicht mit "route add" die Route angelegt habe.
Nach dem ich "rote add ziel mask 255.255.255.0 pfSenseIP metric xyz" ausgeführt habe weiss der Client das er über die pfsense gehen muss. Die pfsense ist nicht als Standard Gateway an den Clients eingetragen.
Ist die pfsense als Gateway eingetragen funktioniert ping sofort.
Das ist so aber nicht gewollt, da die pfsense nur vpn machen soll und als Ausfallreseve vorgesehen ist.
Sobalt ich das Standard Gateway in der Schnittstelle eintragen habe geht kein tracert oder ping, denn tracert geht übers eingetragene Gateway.
Was muss ich machen um so hin zubekommen?
Nach dem ich "rote add ziel mask 255.255.255.0 pfSenseIP metric xyz" ausgeführt habe weiss der Client das er über die pfsense gehen muss. Die pfsense ist nicht als Standard Gateway an den Clients eingetragen.
Ist die pfsense als Gateway eingetragen funktioniert ping sofort.
Das ist so aber nicht gewollt, da die pfsense nur vpn machen soll und als Ausfallreseve vorgesehen ist.
Sobalt ich das Standard Gateway in der Schnittstelle eintragen habe geht kein tracert oder ping, denn tracert geht übers eingetragene Gateway.
Was muss ich machen um so hin zubekommen?
Nach dem ich "rote add ziel mask 255.255.255.0 pfSenseIP metric xyz" ausgeführt habe weiss der Client das er über die pfsense gehen muss. Die pfsense ist nicht als Standard Gateway an den Clients eingetragen.
Aha...OK du hast leider mit keinem Wort erwähnt das du 2 Gateways hast.Niemals trägt man am Client selber eine statische Route ein wie du es gemacht hast ! Immer am Router !!
Gehe also auf das Standardgateway was am Client eingestellt ist und stelle DORT einen statische Route auf das remote Netz ein.
Router sollen routen aber niemals Clients !
Am Client macht man es nur als absoluten Notbehelf wenn man einen billigen Dummrouter hat der keine statischen Routen kann (wie z.B. ein Speedport)
Fazit: Am Standardgateway diese statische Route hinzufügen und alles wird gut !
1
Das war der entscheidene Hinweis! Super Arbeit! Wir haben sogar 3 Gatways und das Standard Gateway ist eine Smoothwall. Dort habe ich die Startische Route hinzugefügt, mit:
http://mcandrew.org/?p=35
Ich möchte mich noch einmal für die sehr hilfreichen und auch lustigen Komentare bedanken.
Wie immer kommt man HIER schlauer raus wie man hier reingegangen ist
.
Von der Netzwerkseite steht das site2site VPN.
Nur eine Fragen noch:
Wie ich Netzwerkfreigaben sichtbar mache, habe ich noch nicht heraus gefunden.
Wo und wie trage ich die oben genannten Statischen Definitionen ein?
http://mcandrew.org/?p=35
Ich möchte mich noch einmal für die sehr hilfreichen und auch lustigen Komentare bedanken.
Wie immer kommt man HIER schlauer raus wie man hier reingegangen ist
.Von der Netzwerkseite steht das site2site VPN.
Nur eine Fragen noch:
Wie ich Netzwerkfreigaben sichtbar mache, habe ich noch nicht heraus gefunden.
Wo und wie trage ich die oben genannten Statischen Definitionen ein?
Das Forum sagt: "Danke für die Blumen"
Deine Fragen:
1.) Netzwerkfreigaben beruhen ohne DNS auf reinen UDP Broadcasts. Wie jeder Netzwerker weiss werden UDP Broadcasts per se NICHT über Routergrenzen sprich geroutete Netze geforwardet. Eine Grundlage der TCP/IP Kommunikation in Netzen. (...und wieder was gelernt )
Es gibt Tricks mit DHCP Forwardern oder Relays (sog. "IP Helper" Adressen) zu arbeiten. Das ist aber HW abhängig und deine HW muss das supporten.
2.) Ansonsten kannst du die Namen nur statisch lokal am Client in die hosts oder /lmhosts// Datei eintragen wenn du statt IP Adressen mit Namen arbeiten willst:
XP-Home mit 2 Kabelgebundenen und WLAN PCs
Das sind deine Optionen...
Deine Fragen:
1.) Netzwerkfreigaben beruhen ohne DNS auf reinen UDP Broadcasts. Wie jeder Netzwerker weiss werden UDP Broadcasts per se NICHT über Routergrenzen sprich geroutete Netze geforwardet. Eine Grundlage der TCP/IP Kommunikation in Netzen. (...und wieder was gelernt
)Es gibt Tricks mit DHCP Forwardern oder Relays (sog. "IP Helper" Adressen) zu arbeiten. Das ist aber HW abhängig und deine HW muss das supporten.
2.) Ansonsten kannst du die Namen nur statisch lokal am Client in die hosts oder /lmhosts// Datei eintragen wenn du statt IP Adressen mit Namen arbeiten willst:
XP-Home mit 2 Kabelgebundenen und WLAN PCs
Das sind deine Optionen...
Danke noch einmal für die Hilfe.
Von der Zweigstelle aus sind, nach dem ich die DNS Server aus der Zentrale auf den Clients eingetragen habe, alle Rechner (Filiale und Zentrale) im Netzwerk sichtbar. In der Zweigstelle ist als Gadeway die Fritzbox eingetragen.
In der Zentrale ist das Standartgadeway ein anderer Router (Smoothwall). Da funktioniert es noch nicht.
Ich habe auf der Smoothwall eine statische Route angelegt.
Die Smoothwall kann jetzt das Filial-Netz anpingen.
Von einem Client in der Zentrale kommt: Antwort von "IPSmootwall": Zielport nicht erreichbar (ping)
Tracert: IPSmoothwall meldet: Zielport nicht erreichbar.
Ich werde zu diesen Thema eine neue Anfrage stellen.
Das Site2Site VPN funktioniert und deshalb ist diese Anfrage geschlossen.
Vielen Dank ganz speziell an senior aqui
yo soy aqua
Von der Zweigstelle aus sind, nach dem ich die DNS Server aus der Zentrale auf den Clients eingetragen habe, alle Rechner (Filiale und Zentrale) im Netzwerk sichtbar. In der Zweigstelle ist als Gadeway die Fritzbox eingetragen.
In der Zentrale ist das Standartgadeway ein anderer Router (Smoothwall). Da funktioniert es noch nicht.
Ich habe auf der Smoothwall eine statische Route angelegt.
vi /etc/rc.d/rc.sysinitroute add -net X.X.X.X netmask X.X.X.X gw X.X.X.X dev eth0Die Smoothwall kann jetzt das Filial-Netz anpingen.
Von einem Client in der Zentrale kommt: Antwort von "IPSmootwall": Zielport nicht erreichbar (ping)
Tracert: IPSmoothwall meldet: Zielport nicht erreichbar.
Ich werde zu diesen Thema eine neue Anfrage stellen.
Das Site2Site VPN funktioniert und deshalb ist diese Anfrage geschlossen.
Vielen Dank ganz speziell an senior aqui
yo soy aqua
In der Zentrale ist das Standartgadeway ein anderer Router (Smoothwall). Da funktioniert es noch nicht.
Klar und zu erwarten, denn dort fehlt eine statische Route in das remote Netz !Traceroute und Pathping sind hier wie immer deine Freunde !!
Ich habe auf der Smoothwall eine statische Route angelegt.
Igitt...so kompliziert geht das da ?! Bei pfSense ist das ein Mausklick im GUI:Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Von einem Client in der Zentrale kommt: Antwort von "IPSmootwall": Zielport nicht erreichbar (ping)
Auch klar, denn auf der Smoothwall fehlt vermutlich eine Regel das ICMP Protokoll http://de.wikipedia.org/wiki/Internet_Control_Message_Protocol passieren zu lassen ?! Ping und Traceroute nutzen ICMP.Ich werde zu diesen Thema eine neue Anfrage stellen.
Warum ?Vielen Dank ganz speziell an senior aqui
Immer gerne wieder...
Das war der entscheidene Tip:
Mit den Änderungen an der Smoothwall klapte es jetzt. Eine neue Regel:
Edit /etc/rc.d/rc.firewall.up
After the section on "# Allow packets that we know about through ..."
Add:
Quelle: http://51sec.blogspot.de/2011/11/add-static-route-in-smoothwall.html
Damit wird wird jeglicher "Verkehr" von "Intern" nach "Intern" erlaubt.
Den DNS-Server aus der Niederlassung, in diesen Fall die Fritzbox, bei den Rechnern in der Zentrale eingetragen und die Welt ist in Ordnung.
Vielen Dank noch einmal für die so hilfreiche Unterstützung, somit habe ich mein erstes Site2Site VPN zu laufen gebracht.
Ich denke in der näheren Zukunft werde ich die Smoothwall durch eine pfSence mit dem neuen Board APU.1C ersetzen.
Auch klar, denn auf der Smoothwall fehlt vermutlich eine Regel das ICMP Protokoll http://de.wikipedia.org/wiki/Internet_Control_Message_Protocol passieren zu lassen ?!
Mit den Änderungen an der Smoothwall klapte es jetzt. Eine neue Regel:
Edit /etc/rc.d/rc.firewall.up
After the section on "# Allow packets that we know about through ..."
Add:
- Allow packets from green to green
Quelle: http://51sec.blogspot.de/2011/11/add-static-route-in-smoothwall.html
Damit wird wird jeglicher "Verkehr" von "Intern" nach "Intern" erlaubt.
Den DNS-Server aus der Niederlassung, in diesen Fall die Fritzbox, bei den Rechnern in der Zentrale eingetragen und die Welt ist in Ordnung.
Vielen Dank noch einmal für die so hilfreiche Unterstützung, somit habe ich mein erstes Site2Site VPN zu laufen gebracht.
Ich denke in der näheren Zukunft werde ich die Smoothwall durch eine pfSence mit dem neuen Board APU.1C ersetzen.
