18
VPN Server eingeloggt aber kein Zugang zum lokal Netz
Hallo Zusammen,
ich hab mich über VPN Shrew hier über WLAN (WPA2-Personal) zum Firmennetz eingebunden, aber seltsamerweise kann ich weder noch die Server im lokalen Netz\Router\Printer gar nicht ansprechen. Über Ping erhalte ich die Fehlermeldung "Keine Antwort Zeitüberschreitung". Ich weiß echt nicht, was die Ursache sein kann, was sollte ich eure Meinung abchecken?
Viele Grüße
dece
ich hab mich über VPN Shrew hier über WLAN (WPA2-Personal) zum Firmennetz eingebunden, aber seltsamerweise kann ich weder noch die Server im lokalen Netz\Router\Printer gar nicht ansprechen. Über Ping erhalte ich die Fehlermeldung "Keine Antwort Zeitüberschreitung". Ich weiß echt nicht, was die Ursache sein kann, was sollte ich eure Meinung abchecken?
Viele Grüße
dece
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 480868
Url: https://administrator.de/forum/vpn-server-eingeloggt-aber-kein-zugang-zum-lokal-netz-480868.html
Ausgedruckt am: 21.12.2024 um 13:12 Uhr
18 Kommentare
Neuester Kommentar
Mahlzeit dece,
deine Fehlerbeschreibung ist mehr als dürftig.
Heute ist Freitag, daher sei dir das verziehen.
Zu was für einer Gegenstelle baust du den Tunnel auf?
Bietet diese Tracefunktionen?
Shrew hat ein VPN-Trace-Utility, das du einschalten und auswerten kannst.
deine Fehlerbeschreibung ist mehr als dürftig.
Heute ist Freitag, daher sei dir das verziehen.
Zu was für einer Gegenstelle baust du den Tunnel auf?
Bietet diese Tracefunktionen?
Shrew hat ein VPN-Trace-Utility, das du einschalten und auswerten kannst.
ja zum Fritzbox 7590, woher hat die VPN Verbindung (IPSEC) gut geklappt.
Die Setting VPN IPSEC sind aus der Doki von Fritzbox 7590 entnommen, also nicht großartiges.
Die Setting VPN IPSEC sind aus der Doki von Fritzbox 7590 entnommen, also nicht großartiges.
Die Logs der Fritte sagen nicht viel aus und eine eigene Trace-Funktion bietet sie nicht.
Daher solltest du dich mit dem Shrew Trace Utility auf deinem Client beschäftigen.
Daher solltest du dich mit dem Shrew Trace Utility auf deinem Client beschäftigen.
@goscho:
Ich werde es mir mal angucken, heute wird es nicht erst morgen danke
Ich werde es mir mal angucken, heute wird es nicht erst morgen danke
deine Fehlerbeschreibung ist mehr als dürftig.
In der Tat ! Ein typischer Freitags Thread...leider.Wenn die FritzBox jetzt scheinbar nicht mehr dein VPN Server ist wer oder was ist es denn jetzt ?? Oder ist das weiterhin die FritzBox ? Wenn ja, was hast du verändert zu vorher ?
Du kannst, wenn du andere VPN Server HW hast, nicht einfach die FritzKonfig übernehmen. Auch ist unklar ob der VPN Server die gleiche IP hat usw. usw.
Etwas mehr zielführende Infos wären schon hilfreich um hier nur im Ansatz weiterzukommen.
- Wie sieht die Netz Infrastruktur aus
- Wo steht der VPN Server (NAT oder kein NAT)
@aqui :
-vpn server war und ist mein fritzbox 7590, VPN Server liegt im NAT.
-Netzstruktur Fritzbox - >Switch - >Clients(Keine Firewall)
-letzte Änderung am fritzbox, ich hab ihn als zeitserver konfiguriert, sodass auch alle Geräte im lokalen Netz ihre Zeit von ihn beziehen
-vorher bin ich vom Hause per LAN über vpn client shrew in die fritzbox verbunden und da klappt es 100% und kann alle lokale Geräte ansprechen.
und diesmal bei bekannten über die WLAN klappt es zwar der login in den vpn server über vpn client shrew ~Tunnel enable
aber die Geräte sind über ihre http interface nicht erreichbar
Über die pshell erhalte ich über die ping Anfrage ~zeitüberschreitung.....
-über die öffentliche IP (dyndns) ist die fritzbox erreichbar und sehe auch, dass ich über vpn eingeloggt bin, also - >Router funktioniert, vpn auch
-naja ich werde mal die fritzbox mal heute abend neustarten und dann mal sehen ob es am Hardware problem liegt.
Naja was kann man noch machen?
-vpn server war und ist mein fritzbox 7590, VPN Server liegt im NAT.
-Netzstruktur Fritzbox - >Switch - >Clients(Keine Firewall)
-letzte Änderung am fritzbox, ich hab ihn als zeitserver konfiguriert, sodass auch alle Geräte im lokalen Netz ihre Zeit von ihn beziehen
-vorher bin ich vom Hause per LAN über vpn client shrew in die fritzbox verbunden und da klappt es 100% und kann alle lokale Geräte ansprechen.
und diesmal bei bekannten über die WLAN klappt es zwar der login in den vpn server über vpn client shrew ~Tunnel enable
aber die Geräte sind über ihre http interface nicht erreichbar
Über die pshell erhalte ich über die ping Anfrage ~zeitüberschreitung.....
-über die öffentliche IP (dyndns) ist die fritzbox erreichbar und sehe auch, dass ich über vpn eingeloggt bin, also - >Router funktioniert, vpn auch
-naja ich werde mal die fritzbox mal heute abend neustarten und dann mal sehen ob es am Hardware problem liegt.
Naja was kann man noch machen?
Die Netzstrukur ist ja nur die halbe Miete
Wo ist da der WAN Port Zugang, sprich WO greifst du mit den Clients zu ?
Die VPN Verbindung auf die FB kannst du nicht über das lokale LAN Interface machen, das geht nicht. Wenn dann nur über das WAN/DSL/Internet Interface.
Wenn de FritzBox so sauber rennt ist es auch nicht die HW sondern eher ein Konfig Fehler !
Hier brauchen wir wie immer das Log des Shrew Clients und das der FritzBox wenn du den VPN Tunnel aufbaust.
Anhand der Log Einträge sieht man dann sofort wo der Fehler liegt !!
Check das, halte dich strikt an die AVM Konfig Vorgaben hier und poste die Logs, dann sehen wir weiter !
Wo ist da der WAN Port Zugang, sprich WO greifst du mit den Clients zu ?
Die VPN Verbindung auf die FB kannst du nicht über das lokale LAN Interface machen, das geht nicht. Wenn dann nur über das WAN/DSL/Internet Interface.
Wenn de FritzBox so sauber rennt ist es auch nicht die HW sondern eher ein Konfig Fehler !
Hier brauchen wir wie immer das Log des Shrew Clients und das der FritzBox wenn du den VPN Tunnel aufbaust.
Anhand der Log Einträge sieht man dann sofort wo der Fehler liegt !!
Check das, halte dich strikt an die AVM Konfig Vorgaben hier und poste die Logs, dann sehen wir weiter !
Zitat von @aqui:
Die Netzstrukur ist ja nur die halbe Miete
Wo ist da der WAN Port Zugang, sprich WO greifst du mit den Clients zu ?
Die Netzstrukur ist ja nur die halbe Miete
Wo ist da der WAN Port Zugang, sprich WO greifst du mit den Clients zu ?
Hab ich bereits gesagt, die Fritzbox 7590
Die VPN Verbindung auf die FB kannst du nicht über das lokale LAN Interface machen, das geht nicht.
Das macht man auch nicht (:, ich weiß echt nicht, wie du oben auf diesen Entschluss gekommen bist.Wenn dann nur über das WAN/DSL/Internet Interface.
Ja, wie oben erwähnt
Wenn de FritzBox so sauber rennt ist es auch nicht die HW sondern eher ein Konfig Fehler !
Ja Sie rennt sauber, funktioniert auch bei mehreren vpn Clients, nur diesmal auf mein neuen Notebook nicht. Kann es am WLAN/Router liegen?Hier bruachen wir wie immer das Log des Shrew Clients und das der FritzBox wenn du den VPN Tunnel aufbaust.
Anhand der Log Einträge sieht man dann sofort wo der Fehler liegt !!
Check das, halte dich strikt an die AVM Konfig Vorgaben
Sonst hätte ich kein vpn, daher ünötighier und poste die Logs, dann sehen
Evtl konnte der Client die Route nicht setzen. Falls die Route in Dein gewünschtes Netzwerk fehlt (Kontrolle über „route print“), starte den VPN Client Mal als Admin oder füge die Route manuell hinzu.
Voraussetzung ist natürlich, dass Dein Bekannter nicht das gleiche Subnetz verwendet, wie Dein VPN Netzwerk. Wenn ihr beide im 192.168.178.x Netz seit, geht das natürlich nicht.
Voraussetzung ist natürlich, dass Dein Bekannter nicht das gleiche Subnetz verwendet, wie Dein VPN Netzwerk. Wenn ihr beide im 192.168.178.x Netz seit, geht das natürlich nicht.
DIe Netze sind unterschiedlich , VPN klappt ja
ich hab hier ein Beitrag gefunden, hier hat einer genau das gleiche Probleme:
Über einem Unitymedia Router zu einem entfernten Fritzbox VPN zu verbinden soll das gleiche Problem bestehen, VPN klappt aber die lokalen Server sind nicht ansprechbar. hier der Thread:
https://www.community.unitymedia.de/categories/hardware/question/vpn-ver ...
ich hab hier ein Beitrag gefunden, hier hat einer genau das gleiche Probleme:
Über einem Unitymedia Router zu einem entfernten Fritzbox VPN zu verbinden soll das gleiche Problem bestehen, VPN klappt aber die lokalen Server sind nicht ansprechbar. hier der Thread:
https://www.community.unitymedia.de/categories/hardware/question/vpn-ver ...
Mach mal ein „route print“ und poste hier das Ergebnis.
soll das gleiche Problem bestehen, VPN
Derjenge hat vermutlich vergessen NAT Traversal in der VPN Konfig zu aktivieren im VPN Server bzw. der AVM Konfig und am Shrew Client.Wäre ein typischer Anfänger Fehler, denn dann kann IPsec nicht über einen NAT Router rüber.
Wie bereits gesagt: Der TO hat ganz sicher etwas falsch gemacht. AVM würde diese Lösung nicht posten wenn sie nicht funktioniert. Millionen VPNs mit einer FritzBox zeigen das ja.
Und nochmals:
Ohen Logs der FritzBox und des Shrew Clients kommen wir hier keinen Schritt weiter und können nur fröhlich weiter spekulieren...
Sorry, bei bekannten hätte ich die nötige Zeit nicht gehabt um die Sache nachzugehen
Bei shrew software habe vpn trace ulity nichts gefunden, wo finde ich das?
@aqui: nat traversal ist enable, ist schon in der Grundeinstellung vorhanden.
Bei shrew software habe vpn trace ulity nichts gefunden, wo finde ich das?
@aqui: nat traversal ist enable, ist schon in der Grundeinstellung vorhanden.
Ich weiß wo das Problem ist, der Router vom Bekannten benutzt ds lite, Kabelanschluss, Router von unitymedia.
Hab im Internet recherchiert, alle haben dieses Problem.
Ist überhaupt Zugang möglich, was müsste ich ändern?
Hab im Internet recherchiert, alle haben dieses Problem.
Ist überhaupt Zugang möglich, was müsste ich ändern?
der Router vom Bekannten benutzt ds lite
Ohh man... das ist doch das Erste was man kontrolliert !! Das ist dann der Todesstoß für VPNs sofern diese Seite der VPN Server ist:https://www.heise.de/ct/ausgabe/2013-6-Internet-Dienste-trotz-DS-Lite-nu ...
Es klappt aber dennoch wenn man in der Konfig sicherstellt das diese (DS-Lite) Seite immer der Initiator der VPN Verbindung ist und NICHT der Responder.
Responder darf nur die FritzBox sein die eine öffentliche IP Adresse hat und NICHT die Seite die der Initiator, also der der die Verbindung initiiert sprich aufbaut. Das kann man in der Konfig festlegen.
NAT Traversal ist dann natürlich ein zwingendes Muß ! Ohne geht es nicht. Siehe auch hier:
Das leidige Thema IPv6 - DS-Lite und VPN
Alternativ bleibt dir sonst nur ein billiger Root Server auf den du die VPN Tunnel terminierst.
DS-Lite ist immer Mist und die Strafe wenn man beim Anschluss auf den letzten Cent schielt.
Und stell auch mal das MTU ein bisschen runter, nur testweise z.B auf 1400
@aqui
und mein Responder war mein Fritz, der VPN-Server, was soll ich da bitte noch konfigurieren? Bin der Dokumentation von der Fritzbox für VPN Shrew gefolgt und hat bis dahin immer gut funktioniert.
Über den ds-lite Router von bekannten habe ich auch die VPN-Verbindung zu der Fritzbox aufgebaut, hat prima geklappt, nur die Server konnte ich nicht ansprechen... da ds lite über ip6 die ip-adresse bezieht müsste ich hier das anpassen? Probe halt mal habe ich hier ip6 unterstützung angeklickt.
Andererseits läuft der vpn shrew über ip4, was eigentlich kein Sinn macht und denke auch mal, dass die Fritzbox der VPN-Server für ip4 konzipiert ist (momentan).
Kannst du expliziter werden, genauer (:, soll ich ein Port in der Fritzbox öffnen um ein lokalen VPN-Server(OpenVPN) ansprechbar zu machen?
ich hab mir jetzt wegen diesem Vorfall gedanken gemacht und habe nicht vor wieder sowas zu erleben, was sind alternativen? Ich brauche ein VPN-Server der sowohl Ip4 und Ip6 drauf hat. alternative Router?Empfehlung?
@NordicMike:
der MTU liegt bei 1380 ...
Vielen Dank
Zitat von @aqui:
https://www.heise.de/ct/ausgabe/2013-6-Internet-Dienste-trotz-DS-Lite-nu ...
erst wenn man damit problem hat beschäftigt man sich (:.der Router vom Bekannten benutzt ds lite
Ohh man... das ist doch das Erste was man kontrolliert !! Das ist dann der Todesstoß für VPNs sofern diese Seite der VPN Server ist:https://www.heise.de/ct/ausgabe/2013-6-Internet-Dienste-trotz-DS-Lite-nu ...
Es klappt aber dennoch wenn man in der Konfig sicherstellt das diese (DS-Lite) Seite immer der Initiator der VPN Verbindung ist und NICHT der Responder.
Responder darf nur die FritzBox sein die eine öffentliche IP Adresse hat und NICHT die Seite die der Initiator, also der der die Verbindung initiiert sprich aufbaut. Das kann man in der Konfig festlegen.
NAT Traversal ist dann natürlich ein zwingendes Muß ! Ohne geht es nicht. Siehe auch hier:
Das leidige Thema IPv6 - DS-Lite und VPN
NAT-T war und ist immer an.Responder darf nur die FritzBox sein die eine öffentliche IP Adresse hat und NICHT die Seite die der Initiator, also der der die Verbindung initiiert sprich aufbaut. Das kann man in der Konfig festlegen.
NAT Traversal ist dann natürlich ein zwingendes Muß ! Ohne geht es nicht. Siehe auch hier:
Das leidige Thema IPv6 - DS-Lite und VPN
Über den ds-lite Router von bekannten habe ich auch die VPN-Verbindung zu der Fritzbox aufgebaut, hat prima geklappt, nur die Server konnte ich nicht ansprechen... da ds lite über ip6 die ip-adresse bezieht müsste ich hier das anpassen? Probe halt mal habe ich hier ip6 unterstützung angeklickt.
Andererseits läuft der vpn shrew über ip4, was eigentlich kein Sinn macht und denke auch mal, dass die Fritzbox der VPN-Server für ip4 konzipiert ist (momentan).
Alternativ bleibt dir sonst nur ein billiger Root Server auf den du die VPN Tunnel terminierst.
Kannst du expliziter werden, genauer (:, soll ich ein Port in der Fritzbox öffnen um ein lokalen VPN-Server(OpenVPN) ansprechbar zu machen?
DS-Lite ist immer Mist und die Strafe wenn man beim Anschluss auf den letzten Cent schielt.
Ja klar, mein Bekannter ist auch kein IT'ler (:. Nur ein Consumerich hab mir jetzt wegen diesem Vorfall gedanken gemacht und habe nicht vor wieder sowas zu erleben, was sind alternativen? Ich brauche ein VPN-Server der sowohl Ip4 und Ip6 drauf hat. alternative Router?Empfehlung?
@NordicMike:
der MTU liegt bei 1380 ...
Vielen Dank
erst wenn man damit problem hat beschäftigt man sich
Falsch ! Über sowas denkt man als Netzwerker immer VORHER nach !! Dzzzz...da ds lite über ip6 die ip-adresse bezieht müsste ich hier das anpassen?
Nein, denn IPv4 kommt über einen v4tov6 Tunnel dort an. Es scheitert dann halt am CGN. DS-Lite und VPN ist nicht wirklich toll. Jedenfalls nicht mit IPsec was aus mehreren Protokoll Komponenten besteht.Besser sind hier immer SSL basierte Protokolle wie OpenVPN oder das neue Wireguard.
