bmitsol
Goto Top

VPN- Routing - Problem - Netzwer 1 kommt auf 2 aber anders herum nicht

Hallo zusammen,

folgendes Problem:

Habe eine VPN zwischen einen Servernetzwerk und einem Clientnetzwerk.

Servernetzwerk: 192.168.1.0 / 255.255.255.0
Clientnetzwerk: 10.7.64.0 / 255.255.255.0

Ich komme mit einem Ping von jedem beliebigem Clientpc (Clientnetzwerk) auf das Servernetzwerk, anders herum aber nur auf dem VPN-Router im Clientnetzwerk und nicht auf die Clients.


Vielen Dank für eure Hilfe
Chistian

Content-ID: 317940

Url: https://administrator.de/forum/vpn-routing-problem-netzwer-1-kommt-auf-2-aber-anders-herum-nicht-317940.html

Ausgedruckt am: 27.12.2024 um 20:12 Uhr

Lochkartenstanzer
Lochkartenstanzer 15.10.2016 um 14:39:08 Uhr
Goto Top
Zitat von @bmitsol:

anders herum aber nur auf dem VPN-Router im Clientnetzwerk und nicht auf die Clients.

  • NAT?
  • Firewall
  • Client-firewall?

Ohne genauere Informationen können wir nur raten. Einfach mal den wireshark anwerfen udn schauen, ob und was beim Client ankommt.

lks
bmitsol
bmitsol 15.10.2016 um 14:53:50 Uhr
Goto Top
Hallo,

ja, der Client-VPN-Router hängt hinter einer Fritzbox. Der Server hängt hinter einer Firewall (pfsense), die ein virtuelles Netzwerk (192.168.1.0/24) erzeugt und als NAT fungiert.

Ich denke es liegt am Routing, foglendes könnte helfen:

(1) Clientnetzwerk (alle Geräte) --> Servernetzwerk (alle Geräte) - OK!

(2) Servernewerk (alle Geräte) --> Client-VPN-Router (hinter NAT) - OK!
(3) Servernewerk (alle Geräte) --> Client-NAT = Fritzbox (Internetzugang; vor VPN-Router) - FAIL!

´Wenn ich jetzt ein Routing in der Fritzbox erstelle, auf die vorher kein Ping möglich war: 192.168.1.0/24 (Server-Netzwerk) zu Gateway 10.7.64.51 (=VPN-Router), dann funktioniert der Ping vom Servernetzwerk zur Fritzbox (3).


Vlt hilf das ja zu Lösung des Problems.

VG
Christian
117471
Lösung 117471 15.10.2016 um 15:34:17 Uhr
Goto Top
Hallo,

Windows-Clients betrachten Netze, in denen es kein Gateway gibt, u.U. als "öffentliches Netzwerk".

In diesen Netzwerken gelten i.d.R. strengere Firewall-Regeln, die z.B. kein Ping erlauben.

Gruß,
Jörg
bmitsol
bmitsol 15.10.2016 um 16:08:07 Uhr
Goto Top
Hallo,

guter Tipp. Es waren wirklich alle auf öffentlich und das Pingen im Netzwerk selbst war auch nicht möglich. Logischerweise kann es dann über die VPN auch nicht gehen.

Habe die geräte jetzt manuell umgestellt und kann im Netzwerk pingen, vom Servernetzwerk aus sind jedoch weiterhin nur der NAT (FritzBox; mit aktiviertem routing (siehe vorheriger Post)) sowie der VPN-Router errechbar.


Viele Grüße
Christian
117471
117471 15.10.2016 um 16:21:35 Uhr
Goto Top
Hallo,

dann vergleiche mal die beiden Traceroutes (also von Netz A in Netz B und von Netz B in Netz A).

Gruß,
Jörg
bmitsol
bmitsol 15.10.2016 um 16:29:18 Uhr
Goto Top
Hi,

schon passiert...

Bilder sind angehängt.

Vom Clientnetzwerk läuft alles super (client.jpg):
10.7.64.51 (VPN-Router) --> 192.168.1.1 (VPN-Server) --> 192.168.1.10 (VPN-Server-Netzwerkziel)


Vom Server ist auch alles super bei NAT und Router (server.jpg):
192.168.1.1 (VPN-Server) --> 10.7.64.51 (VPN-Router) -und auch-> 10.7.64.52 (NAT)

Vom Server ins clientnetzwerk allerdings bricht die Verbindung am VPN-Router ab (server.jpg):
192.168.1.1 (VPN-Server) --> 10.7.64.51 (VPN-Router) --> Zeitüberschreitung der Anforderung


VG
Christian
client
server
aqui
aqui 15.10.2016 aktualisiert um 18:41:08 Uhr
Goto Top
ja, der Client-VPN-Router hängt hinter einer Fritzbox.
Hier wäre es wie immer hilfreich zu wissen WELCHES der zahllosen VPN Protokolle du denn verwendest. Leider bist du da in der Beschreibung recht oberflächlich face-sad
Diese Protokollkomponenten musst du natürlich in der kakadierten FritzBox ber Port Forwarding auf den WAN Port des VPN Routers bringen.
Logischerweise sollte diese Router dann eine feste, statische IP Adresse im FB LAN Netz haben an das er mit dem WAN Port angeschlossen ist !
Mindestens aber eine auf Basis seinen WAN Port Mac Adresse fest zugewiesene IP im FB DHCP Server solltest du DHCP verwenden.
Bei der FB ist noch zu beachten das die selber ein VPN Router ist der VPNs auf Basis von IPsec realisiert !!
Nutzt du also native IPsec oder L2TP als VPN Protokoll musst du die FB vorher erst VPN seitig deaktivieren. Ohne das leitet sie die VPN Protokolle nicht weiter an den kaskadierten Router !

Was der Unsinn soll einen VPN Router den die FritzBox ja nunmal ist mit noch einem VPN Router zu kaskadieren ist schwer nachzuvollziehen. Aber du wirst sicher deine Gründe haben...?!
Sinn macht es nur wenn die FB ein Zwangsrouter vom Provider ist auf den du keinen Zugriff hast.

So oder so ist dein grundlegendes Problem aber mit 98%iger Sicherheit die lokale Firewall im Client OS. Ist das Windows blockt die per se alle eingehenden Packete die nicht aus dem lokalen Netzwerk kommen.
Bei dir bei den VPN Adressen natürlich der Fall. Folglich kommt da nix an auf den Client wenn du die FW nicht entsprechend anpasst.
ICMP (Ping) ist wenigstens bei Windows 7 und höheren Versionen auch geblockt:
https://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
bmitsol
bmitsol 15.10.2016 um 18:54:23 Uhr
Goto Top
Hallo und Schönen Abend,

VPN-Protokoll: IPsec (nativ)
Die Ports hierfür sind in der Fritzbox per Portforwarding freigegeben.
Der VPN-Router hat eine feste IP-Adresse, wobei der DHCP-Server der FB deaktiviert ist weil das die ZyXEL USG übernimmt.
Der VPN-Router der FritzBox ist abgeschalten.

ABER: --> Die VPN ist ja schon aufgebaut und es sind ja Pings möglich:
(1) Clientnetzwerk (alle Geräte) --> Servernetzwerk (alle Geräte) - OK!
(2) Servernewerk (alle Geräte) --> Client-VPN-Router (hinter NAT) - OK!
(3) Servernewerk (alle Geräte) --> Client-NAT = Fritzbox (Internetzugang; vor VPN-Router) - FAIL!
´Wenn ich jetzt ein Routing in der Fritzbox erstelle, auf die vorher kein Ping möglich war: 192.168.1.0/24 (Server-Netzwerk) zu Gateway >10.7.64.51 (=VPN-Router), dann funktioniert der Ping vom Servernetzwerk zur Fritzbox (3).

Das was nicht funktioniert: Ping aus dem Servernetzwerk zu Geräten aus dem Clientnetzwerk (ausser zu FB und ZyXEL (2)/(3))


Den "Unsinn" habe leider nicht ich verantaltet, sondern mein Vorgänger. Die Fritzboxen wurden da noch als Telefonanlage verwendet und die ZyXEL sind einfach ausfallsicherer.
Die Firma bekommt eine neue Netzwerkstrucktur, somit fallen die FBs auch weg und es kommen anständige ZyXEL SB rein.
Leider erst zum Jahreswechsel.
Bis dahin muss wohl die betsehende Konstruktion herhalten, auch wenn die etwas ungünstig ist.

Bezüglich der Firewall Regeln: Hört sich logisch an, ich teste das mal durch und schreibe dann mal was alles funktioniert und was nicht.


AUF JEDEN FALL SCHONMAL VIELEN DANK

Christian