morpheus2010
Goto Top

VPN: Bestimmte IP Adressen nicht erreichbar

Hallo zusammen,

habe gerade meine Firewall USG 40 von Zyxel eingerichtet und das VPN mit IPSec zum Laufen gebracht.

IP Netz lokal: 192.168.0.0
IP Adresse des Zywall VPN Client: 192.168.188.53
Und lokale IP Adresse des Client Rechners: 192.168.43.212

Jetzt habe ich das Problem dass per VPN nur ganz wenige IPs erreichbar sind. Z.B. HP Drucker die am Netz hängen. Aber bei keinem Client oder dem Server der SBS 2011 Umgebung bekomme ich eine Rückmeldung.
Im lokalen Netz funktioniert alles wunderbar.

Wo könnte da der Fehler liegen?

Content-ID: 395333

Url: https://administrator.de/forum/vpn-bestimmte-ip-adressen-nicht-erreichbar-395333.html

Ausgedruckt am: 22.12.2024 um 13:12 Uhr

itisnapanto
itisnapanto 11.12.2018 um 15:07:59 Uhr
Goto Top
Moin ,

wie sehen denn die jeweiligen Subnetze aus ?

Eine Übersicht wie das Routing zwischen den Netzen eingerichtet ist , wäre auch noch interessant.


Gruss
aqui
aqui 11.12.2018 aktualisiert um 15:10:40 Uhr
Goto Top
Da stimmt ja irgendwas nicht !! Das ist ja offensichtlich !!
IP Netz lokal: 192.168.0.0
Adresse des Client Rechners: 192.168.43.212

Was für einen Prefix nutzt du (Subnetzmaske) ?? 24 Bit ??
Dann stimmen die Netze nicht ! Bei 16 Bit passt es wieder.
Irgendwie ist da was faul mit der IP Adressierung und oder Subnetzmaske ?

Wenn der Client aktiv ist IMMER route print eingeben ! (Winblows)
Das ist die Routing Tabelle und die sagt dir doch immer ganz genau WO die Pakete hingehen in die Zielnetze !
Traceroute (tracert) ist hier ebenfalls dein bester Freund !
Tips zum VPN IP Adress Design:
VPNs einrichten mit PPTP
morpheus2010
morpheus2010 11.12.2018 um 16:53:55 Uhr
Goto Top
Subnetmaske in der Zyxel USG 40 ist 255.255.255.0/24

Ich steige da leider nicht durch.

Anbei ein route print und die konfig des VPN Client.

Ansonsten ist das VPN eigentlich Default laut Zyxel Youtube Video eingerichtet. Eigentlich Idiotensicher face-big-smile
screenshot - 11_12 002
screenshot - 11_12
aqui
aqui 11.12.2018 um 18:29:14 Uhr
Goto Top
Ich steige da leider nicht durch.
Wo bitte denn steigst du nicht durch ?? Schon an der Subnetzmaske ?

Soweit ist die Konfig richtig.
Bei den Geräten die du nicht erreichen kannst remote, hast du da die lokale Firewall auf der Rechnung ??
Bei Winblows blockt die generell Ping (ICMP Protokoll) und auch generell alles was aus fremden IP Netzen kommt wie z.B. deinem VPN !
Hier musst du logischerweise die Firewall immer customizen !
morpheus2010
morpheus2010 11.12.2018 aktualisiert um 19:13:22 Uhr
Goto Top
Zitat von @aqui:

Ich steige da leider nicht durch.
Wo bitte denn steigst du nicht durch ?? Schon an der Subnetzmaske ?
Mit der ganzen IP Sache bei VPNs
Ich meine mir ist soweit schon klar, dass die Netze nicht kollidieren dürfen. Bis jetzt hatte ich immer Fritzbox mit Shrew am Start, das ging soweit. Jetzt habe ich den Zyxel Client wo ich die IP des Clients setzen muss und der Client an seinem LAN Interface auch nochmal ne eigene IP hat.
Sowie ich das verstehe spielt die Client IP die er in seinem Netz hat keine Rolle, sondern lediglich die IP die ich in der Zyxel VPN Client Software eingebe, da Sie ja einen neune Adapter emuliert.
Subnetzmaske und Remote LAN ist das Selbe wie in der Zyxel USG 40

Bei den Geräten die du nicht erreichen kannst remote, hast du da die lokale Firewall auf der Rechnung ??
hatte ich bisher nicht, aber macht von der Symptomatik her Sinn, da Drucker etc. ja erreichbar sind, die ja keine Firewall haben.
ABER: Mein Managed Switch 192.168.0.1 ist auch nicht aus dem VPN erreichbar. Was könnte da die Ursache sein?

Bei Winblows blockt die generell Ping (ICMP Protokoll) und auch generell alles was aus fremden IP Netzen kommt wie z.B. deinem VPN !
Aber warum hatte ich nie vorher Probleme als ich die Fritte benutzt habe. Da musste ich an den Firewalls der Rechner nichts machen und habe auch den Server ohne Probleme erreicht.
aqui
Lösung aqui 11.12.2018 um 19:36:31 Uhr
Goto Top
Mit der ganzen IP Sache bei VPNs
Was denn ganz genau. Vielleicht können wir etwas Licht ins Dunkel für dich bringen....
Das hast du dazu gelesen ?:
VPNs einrichten mit PPTP
dass die Netze nicht kollidieren dürfen
Richtig ! Im gesamten ! Design dürfen die niemals doppelt vorkommen ! IP Netze müssen einzigartig sein !
Bis jetzt hatte ich immer Fritzbox mit Shrew am Start, das ging soweit.
Ist auch ein Allerwelts Klassiker...
etzt habe ich den Zyxel Client wo ich die IP des Clients setzen muss
Ist auch in der Tat komplett unüblich. So recht verstehe ich den Sinn auch nicht. Wenn überhaupt setzt man den Pool aus dem die Clients IP bekommen aber einzelne IPs sind irgendwie sinnfrei. Das kann dir wohl auch nur Zyxel beantworten...oder der Kollege @sk hier aus dem Forum face-wink
on der Symptomatik her Sinn, da Drucker etc. ja erreichbar sind, die ja keine Firewall haben.
Genau deshalb sollte man die auch immer pingen zum Funktionstest. Wenns damit klappt aber mit Winblows nicht ist's zu 98% die lokale Winblows Firewall !
Jedenfalls für ICMP (Ping)solltest du sie mal freimachen:
https://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen

icmp-firewall

Mein Managed Switch 192.168.0.1 ist auch nicht aus dem VPN erreichbar.
Dem hast du garantiert vergessen ein Default Gateway oder eine Default Route (wenns ein L3 Switch ist) einzutragen !!! Der Klassiker.
Damit fehlt ihm die Rückroute und nix geht in fremde IP Netze face-wink
Da musste ich an den Firewalls der Rechner nichts machen
Kann eigentlich nicht sein... Etwas muss man immer machen.
Gut möglich aber auch das die USG erheblich striktere Firewall regeln hat !! Sie ist eine Firewall !! Dort gelten auch entsprechende Regeln auf dem virtuellen VPN Interface. Hast du das beachtet.
Siehe dazu auch HIER !:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
bzw.
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Vergiss das nicht !
Die FB ist ein Router OHNE jegliche Firewall auf dem VPN da ist im Genesdatz zur FW alles erlaubt ! Bei der FW ist im Gegenzug immer alles verboten und muss erst explizit erlaubt werden !
Das solltest du immer im Hinterkopf haben.
Criemo
Criemo 11.12.2018 um 23:26:13 Uhr
Goto Top
Hi,
Magst du uns mal eine Liste der IPs schicken die du nicht erreichst?

Viele Grüße criemo
morpheus2010
morpheus2010 12.12.2018 um 09:33:40 Uhr
Goto Top
Zitat von @aqui:

Was denn ganz genau. Vielleicht können wir etwas Licht ins Dunkel für dich bringen....
Ich muss gestehen dass bei mir bei Subnetz und Metrik schon Schluss ist face-sad

Das hast du dazu gelesen ?:
VPNs einrichten mit PPTP
Ja, das habe ich gelesen und soweit auch verstanden face-smile

Genau deshalb sollte man die auch immer pingen zum Funktionstest. Wenns damit klappt aber mit Winblows nicht ist's zu 98% die lokale Winblows Firewall !
Jedenfalls für ICMP (Ping)solltest du sie mal freimachen:
https://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen

icmp-firewall


TOP!!!! Das ist es!!! Habe auf einem Client die komplett Win Firewall auf gemacht und getestet. Ping ging durch. Danach zu gemacht und Ping war wieder nicht möglich.

Mein Managed Switch 192.168.0.1 ist auch nicht aus dem VPN erreichbar.
Dem hast du garantiert vergessen ein Default Gateway oder eine Default Route (wenns ein L3 Switch ist) einzutragen !!! Der Klassiker.
Damit fehlt ihm die Rückroute und nix geht in fremde IP Netze face-wink
Das stellen wir am besten zurück. Den muss ich nicht unbedingt über VPN erreichen.

Jetzt stellt sich nur noch die Frage, wie ich am einfachsten die Win Firewall modifiziere, damit ich Zugriff bekomme ohne die ganze FW abzuschalten?

Bis jetzt schon Mal besten Dank Aqui!!!
aqui
aqui 12.12.2018 um 14:44:22 Uhr
Goto Top
die komplett Win Firewall auf gemacht und getestet.
Grusel... aber hoffentlich NUR zum Testen ?! face-wink
wie ich am einfachsten die Win Firewall modifiziere,
Na komm !!! Hörts da bei dir auch schon wieder auf ??
In der Firewall den Dienst raussuchen der freizugeben ist, dann wie oben "Bereich" anklicken und entweder dediziert das Netzwerk angeben (alle Hostbits auf 0) oder Schrotschßmäßig alles auf "Beliebig" stellen.
Ersteres ist natürlich etwas sicherer...
Das kann ja nun auch der Azubi im ersten Lehrjahr.. face-wink
morpheus2010
morpheus2010 14.12.2018 um 07:39:54 Uhr
Goto Top
Zitat von @aqui:

die komplett Win Firewall auf gemacht und getestet.
Grusel... aber hoffentlich NUR zum Testen ?! face-wink
Ja, nur zum testen face-wink

wie ich am einfachsten die Win Firewall modifiziere,
Na komm !!! Hörts da bei dir auch schon wieder auf ??
In der Firewall den Dienst raussuchen der freizugeben ist, dann wie oben "Bereich" anklicken und entweder dediziert das Netzwerk angeben (alle Hostbits auf 0) oder Schrotschßmäßig alles auf "Beliebig" stellen.
Ersteres ist natürlich etwas sicherer...
Läuft bestens! Und habe wieder einiges dazugelernt. Jetzt ist das VPN wesentlich sicherer, da nur die IPs in der Firewall des Servers freigegeben sind, die den VPN Clienten zugeordnet wurden.

Das kann ja nun auch der Azubi im ersten Lehrjahr.. face-wink
Ich arbeite dran face-smile

Noch ne kleine Frage Offtopic:
Ich habe für die Fritzbox die vor der Zyxel Firewall sitzt eine Statische Route eingerichtet um sie administrieren zu können und die Faxfunktion weiter nutzen zu können. Stellt das ein etwaiges Sicherheitsrisiko dar?


Hättest du vielleicht nen Link zu nem Tutorial wo ein Noob wie ich lernen kann wie die Sache mit der Metrik und den Subnetzen funktioniert? Damit ich dich in ferner Zukunft damit weniger behelligen muss face-wink
aqui
aqui 15.12.2018 aktualisiert um 14:41:14 Uhr
Goto Top
Ich habe für die Fritzbox die vor der Zyxel Firewall sitzt eine Statische Route eingerichtet um sie administrieren zu können
Das ist eigentlich unsinnig !!
Die laufen ja in einer Router Kaskade wie HIER beschrieben:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Das Koppelnetz (im o.a. Beispiel 192.168.178.0 /24) ist ja direkt an der Zyxel angeschlossen. Folglich "kennt" diese also dieses IP Netz so das eine statische Route dann Blödsinn wäre.
Wichtig ist aber eine Firewall Regel am WAN Port, damit die Antwort Pakete der davor liegenden FB den WAN Port bzw. dessen Firewall passieren dürfen.
Bei einer pfSense Firewall z.B. deaktiviert man einfach das Filtern von diesen RFC 1918 IP Netzen am WAN Port die als Koppelnetze fungieren:

rfcnetze

lernen kann wie die Sache mit der Metrik und den Subnetzen funktioniert?
Klar.... Guckst du hier:
https://www.cisco.com/c/en/us/support/docs/ip/enhanced-interior-gateway- ...
https://de.wikipedia.org/wiki/Metrik_(Netzwerk)