VPN Server eingeloggt aber kein Zugang zum lokal Netz

Mitglied: decehakan

decehakan (Level 1) - Jetzt verbinden

02.08.2019 um 12:28 Uhr, 2733 Aufrufe, 18 Kommentare

Hallo Zusammen,

ich hab mich über VPN Shrew hier über WLAN (WPA2-Personal) zum Firmennetz eingebunden, aber seltsamerweise kann ich weder noch die Server im lokalen Netz\Router\Printer gar nicht ansprechen. Über Ping erhalte ich die Fehlermeldung "Keine Antwort Zeitüberschreitung". Ich weiß echt nicht, was die Ursache sein kann, was sollte ich eure Meinung abchecken?

Viele Grüße

dece
Mitglied: goscho
02.08.2019 um 12:36 Uhr
Mahlzeit dece,

deine Fehlerbeschreibung ist mehr als dürftig. :-( face-sad

Heute ist Freitag, daher sei dir das verziehen.

Zu was für einer Gegenstelle baust du den Tunnel auf?
Bietet diese Tracefunktionen?

Shrew hat ein VPN-Trace-Utility, das du einschalten und auswerten kannst.
Bitte warten ..
Mitglied: decehakan
02.08.2019 um 12:43 Uhr
ja zum Fritzbox 7590, woher hat die VPN Verbindung (IPSEC) gut geklappt.
Die Setting VPN IPSEC sind aus der Doki von Fritzbox 7590 entnommen, also nicht großartiges.
Bitte warten ..
Mitglied: goscho
02.08.2019 um 12:45 Uhr
Zitat von decehakan:

ja zum Fritzbox 7590, woher hat die VPN Verbindung (IPSEC) gut geklappt.
Die Logs der Fritte sagen nicht viel aus und eine eigene Trace-Funktion bietet sie nicht.

Daher solltest du dich mit dem Shrew Trace Utility auf deinem Client beschäftigen.
Bitte warten ..
Mitglied: decehakan
02.08.2019 um 13:14 Uhr
@goscho:
Ich werde es mir mal angucken, heute wird es nicht erst morgen danke
Bitte warten ..
Mitglied: aqui
02.08.2019, aktualisiert um 14:59 Uhr
deine Fehlerbeschreibung ist mehr als dürftig.
In der Tat ! Ein typischer Freitags Thread...leider.
Wenn die FritzBox jetzt scheinbar nicht mehr dein VPN Server ist wer oder was ist es denn jetzt ?? Oder ist das weiterhin die FritzBox ? Wenn ja, was hast du verändert zu vorher ?
Du kannst, wenn du andere VPN Server HW hast, nicht einfach die FritzKonfig übernehmen. Auch ist unklar ob der VPN Server die gleiche IP hat usw. usw.
Etwas mehr zielführende Infos wären schon hilfreich um hier nur im Ansatz weiterzukommen.
  • Wie sieht die Netz Infrastruktur aus
  • Wo steht der VPN Server (NAT oder kein NAT)
usw. usw.
Bitte warten ..
Mitglied: decehakan
02.08.2019 um 16:13 Uhr
@aqui :

-vpn server war und ist mein fritzbox 7590, VPN Server liegt im NAT.

-Netzstruktur Fritzbox - >Switch - >Clients(Keine Firewall)

-letzte Änderung am fritzbox, ich hab ihn als zeitserver konfiguriert, sodass auch alle Geräte im lokalen Netz ihre Zeit von ihn beziehen

-vorher bin ich vom Hause per LAN über vpn client shrew in die fritzbox verbunden und da klappt es 100% und kann alle lokale Geräte ansprechen.
und diesmal bei bekannten über die WLAN klappt es zwar der login in den vpn server über vpn client shrew ~Tunnel enable
aber die Geräte sind über ihre http interface nicht erreichbar

Über die pshell erhalte ich über die ping Anfrage ~zeitüberschreitung.....

-über die öffentliche IP (dyndns) ist die fritzbox erreichbar und sehe auch, dass ich über vpn eingeloggt bin, also - >Router funktioniert, vpn auch

-naja ich werde mal die fritzbox mal heute abend neustarten und dann mal sehen ob es am Hardware problem liegt.

Naja was kann man noch machen?
Bitte warten ..
Mitglied: aqui
02.08.2019, aktualisiert 03.08.2019
Die Netzstrukur ist ja nur die halbe Miete :-( face-sad
Wo ist da der WAN Port Zugang, sprich WO greifst du mit den Clients zu ?
Die VPN Verbindung auf die FB kannst du nicht über das lokale LAN Interface machen, das geht nicht. Wenn dann nur über das WAN/DSL/Internet Interface.
Wenn de FritzBox so sauber rennt ist es auch nicht die HW sondern eher ein Konfig Fehler !

Hier brauchen wir wie immer das Log des Shrew Clients und das der FritzBox wenn du den VPN Tunnel aufbaust.
Anhand der Log Einträge sieht man dann sofort wo der Fehler liegt !!
Check das, halte dich strikt an die AVM Konfig Vorgaben hier und poste die Logs, dann sehen wir weiter !
Bitte warten ..
Mitglied: decehakan
02.08.2019 um 20:19 Uhr
Zitat von aqui:

Die Netzstrukur ist ja nur die halbe Miete :-( face-sad
Wo ist da der WAN Port Zugang, sprich WO greifst du mit den Clients zu ?

Hab ich bereits gesagt, die Fritzbox 7590

Die VPN Verbindung auf die FB kannst du nicht über das lokale LAN Interface machen, das geht nicht.
Das macht man auch nicht (:, ich weiß echt nicht, wie du oben auf diesen Entschluss gekommen bist.
Wenn dann nur über das WAN/DSL/Internet Interface.

Ja, wie oben erwähnt
Wenn de FritzBox so sauber rennt ist es auch nicht die HW sondern eher ein Konfig Fehler !
Ja Sie rennt sauber, funktioniert auch bei mehreren vpn Clients, nur diesmal auf mein neuen Notebook nicht. Kann es am WLAN/Router liegen?


Hier bruachen wir wie immer das Log des Shrew Clients und das der FritzBox wenn du den VPN Tunnel aufbaust.
Anhand der Log Einträge sieht man dann sofort wo der Fehler liegt !!
Ja die schicke demnächst
Check das, halte dich strikt an die AVM Konfig Vorgaben
Sonst hätte ich kein vpn, daher ünötig

hier und poste die Logs, dann sehen
Bitte warten ..
Mitglied: NordicMike
02.08.2019 um 22:24 Uhr
Evtl konnte der Client die Route nicht setzen. Falls die Route in Dein gewünschtes Netzwerk fehlt (Kontrolle über „route print“), starte den VPN Client Mal als Admin oder füge die Route manuell hinzu.

Voraussetzung ist natürlich, dass Dein Bekannter nicht das gleiche Subnetz verwendet, wie Dein VPN Netzwerk. Wenn ihr beide im 192.168.178.x Netz seit, geht das natürlich nicht.
Bitte warten ..
Mitglied: decehakan
02.08.2019 um 22:54 Uhr
DIe Netze sind unterschiedlich , VPN klappt ja

ich hab hier ein Beitrag gefunden, hier hat einer genau das gleiche Probleme:

Über einem Unitymedia Router zu einem entfernten Fritzbox VPN zu verbinden soll das gleiche Problem bestehen, VPN klappt aber die lokalen Server sind nicht ansprechbar. hier der Thread:

https://www.community.unitymedia.de/categories/hardware/question/vpn-ver ...
Bitte warten ..
Mitglied: NordicMike
02.08.2019 um 23:25 Uhr
Mach mal ein „route print“ und poste hier das Ergebnis.
Bitte warten ..
Mitglied: aqui
03.08.2019, aktualisiert um 09:29 Uhr
soll das gleiche Problem bestehen, VPN
Derjenge hat vermutlich vergessen NAT Traversal in der VPN Konfig zu aktivieren im VPN Server bzw. der AVM Konfig und am Shrew Client.
Wäre ein typischer Anfänger Fehler, denn dann kann IPsec nicht über einen NAT Router rüber.
Wie bereits gesagt: Der TO hat ganz sicher etwas falsch gemacht. AVM würde diese Lösung nicht posten wenn sie nicht funktioniert. Millionen VPNs mit einer FritzBox zeigen das ja.
Und nochmals:
Ohen Logs der FritzBox und des Shrew Clients kommen wir hier keinen Schritt weiter und können nur fröhlich weiter spekulieren...
Bitte warten ..
Mitglied: decehakan
03.08.2019 um 20:29 Uhr
Sorry, bei bekannten hätte ich die nötige Zeit nicht gehabt um die Sache nachzugehen

Bei shrew software habe vpn trace ulity nichts gefunden, wo finde ich das?

@aqui: nat traversal ist enable, ist schon in der Grundeinstellung vorhanden.
Bitte warten ..
Mitglied: decehakan
03.08.2019, aktualisiert um 21:30 Uhr
Ich weiß wo das Problem ist, der Router vom Bekannten benutzt ds lite, Kabelanschluss, Router von unitymedia.
Hab im Internet recherchiert, alle haben dieses Problem.

Ist überhaupt Zugang möglich, was müsste ich ändern?
Bitte warten ..
Mitglied: aqui
03.08.2019 um 21:51 Uhr
der Router vom Bekannten benutzt ds lite
Ohh man... das ist doch das Erste was man kontrolliert !! Das ist dann der Todesstoß für VPNs sofern diese Seite der VPN Server ist:
https://www.heise.de/ct/ausgabe/2013-6-Internet-Dienste-trotz-DS-Lite-nu ...

Es klappt aber dennoch wenn man in der Konfig sicherstellt das diese (DS-Lite) Seite immer der Initiator der VPN Verbindung ist und NICHT der Responder.
Responder darf nur die FritzBox sein die eine öffentliche IP Adresse hat und NICHT die Seite die der Initiator, also der der die Verbindung initiiert sprich aufbaut. Das kann man in der Konfig festlegen.
NAT Traversal ist dann natürlich ein zwingendes Muß ! Ohne geht es nicht. Siehe auch hier:
https://administrator.de/forum/leidige-thema-ipv6-ds-lite-vpn-379182.htm ...

Alternativ bleibt dir sonst nur ein billiger Root Server auf den du die VPN Tunnel terminierst.
DS-Lite ist immer Mist und die Strafe wenn man beim Anschluss auf den letzten Cent schielt.
Bitte warten ..
Mitglied: NordicMike
03.08.2019 um 23:57 Uhr
Und stell auch mal das MTU ein bisschen runter, nur testweise z.B auf 1400
Bitte warten ..
Mitglied: decehakan
04.08.2019 um 16:13 Uhr
@aqui
Zitat von aqui:

der Router vom Bekannten benutzt ds lite
Ohh man... das ist doch das Erste was man kontrolliert !! Das ist dann der Todesstoß für VPNs sofern diese Seite der VPN Server ist:
https://www.heise.de/ct/ausgabe/2013-6-Internet-Dienste-trotz-DS-Lite-nu ...

erst wenn man damit problem hat beschäftigt man sich (:.
Es klappt aber dennoch wenn man in der Konfig sicherstellt das diese (DS-Lite) Seite immer der Initiator der VPN Verbindung ist und NICHT der Responder.
Responder darf nur die FritzBox sein die eine öffentliche IP Adresse hat und NICHT die Seite die der Initiator, also der der die Verbindung initiiert sprich aufbaut. Das kann man in der Konfig festlegen.
NAT Traversal ist dann natürlich ein zwingendes Muß ! Ohne geht es nicht. Siehe auch hier:
https://administrator.de/forum/leidige-thema-ipv6-ds-lite-vpn-379182.htm ...
NAT-T war und ist immer an.
nat-t - Klicke auf das Bild, um es zu vergrößern
und mein Responder war mein Fritz, der VPN-Server, was soll ich da bitte noch konfigurieren? Bin der Dokumentation von der Fritzbox für VPN Shrew gefolgt und hat bis dahin immer gut funktioniert.
Über den ds-lite Router von bekannten habe ich auch die VPN-Verbindung zu der Fritzbox aufgebaut, hat prima geklappt, nur die Server konnte ich nicht ansprechen... da ds lite über ip6 die ip-adresse bezieht müsste ich hier das anpassen? Probe halt mal habe ich hier ip6 unterstützung angeklickt.
ip5v - Klicke auf das Bild, um es zu vergrößern

Andererseits läuft der vpn shrew über ip4, was eigentlich kein Sinn macht und denke auch mal, dass die Fritzbox der VPN-Server für ip4 konzipiert ist (momentan).


Alternativ bleibt dir sonst nur ein billiger Root Server auf den du die VPN Tunnel terminierst.

Kannst du expliziter werden, genauer (:, soll ich ein Port in der Fritzbox öffnen um ein lokalen VPN-Server(OpenVPN) ansprechbar zu machen?
DS-Lite ist immer Mist und die Strafe wenn man beim Anschluss auf den letzten Cent schielt.
Ja klar, mein Bekannter ist auch kein IT'ler (:. Nur ein Consumer

ich hab mir jetzt wegen diesem Vorfall gedanken gemacht und habe nicht vor wieder sowas zu erleben, was sind alternativen? Ich brauche ein VPN-Server der sowohl Ip4 und Ip6 drauf hat. alternative Router?Empfehlung?


@NordicMike:
der MTU liegt bei 1380 ...
Vielen Dank
Bitte warten ..
Mitglied: aqui
LÖSUNG 04.08.2019 um 21:50 Uhr
erst wenn man damit problem hat beschäftigt man sich
Falsch ! Über sowas denkt man als Netzwerker immer VORHER nach !! Dzzzz...
da ds lite über ip6 die ip-adresse bezieht müsste ich hier das anpassen?
Nein, denn IPv4 kommt über einen v4tov6 Tunnel dort an. Es scheitert dann halt am CGN. DS-Lite und VPN ist nicht wirklich toll. Jedenfalls nicht mit IPsec was aus mehreren Protokoll Komponenten besteht.
Besser sind hier immer SSL basierte Protokolle wie OpenVPN oder das neue Wireguard.
Bitte warten ..
Heiß diskutierte Inhalte
Windows Server
Lizenzrecht Microsoft Hilfe
gelöst tAmtAm44Vor 23 StundenFrageWindows Server26 Kommentare

Guten Abend liebe Community, ich bin vor kurzen bei uns in der Firma für den Vertrieb unsere MS Lizenzen auserwählt worden. Leider habe ich ...

Netzwerke
Windows 10 - Netzwerk Speedlimit?
alwayshungryVor 1 TagFrageNetzwerke17 Kommentare

Hallo, ich bin noch neu hier und hoffe, dass ihr mir helfen könnt. Gibt es eine Limitierung für Windows 10 bei der Netzwerkgeschwindigkeit? Leider ...

Datenschutz
Ist Microsoft Office 365 grds. nicht DSGVO-konform?
imebroVor 1 TagFrageDatenschutz40 Kommentare

Hallo, in einem anderen Thread hatte man mir als Alternative zum Analysetool "Tableau" das Programm "PowerBI" empfohlen, welches ich dann auch gekauft habe. Da ...

DNS
Domain überkleben
IT-EinsteigerVor 1 TagFrageDNS3 Kommentare

Guten Morgen, Ich habe mir einen WebSpace angemietet. Dieser läuft bspw. über die Domain storage.dienstleister.de. Jetzt ist das kein schöner Name und ich hätte ...

Festplatten, SSD, Raid
WD RED PRO Festplatte als "Recertified" und "white" gelabelt
gelöst Torsten2010Vor 1 TagFrageFestplatten, SSD, Raid12 Kommentare

Hallo, ich wollte heute die Firmen QNAP Nas mit neuen Festplatten bestücken. Beim Auspacken fiel mir sofort auf, das die Festplatten weiß gelabelt sind ...

SAN, NAS, DAS
FritzBox NAS - Hochladen von großen Dateien geht nicht
emeriksVor 1 TagFrageSAN, NAS, DAS15 Kommentare

Hi, (Habe die Kategorie "SAN, NAS, DAS" genommen, obwohl nicht 100% zutreffend.) Ich habe am Wochenende versucht bei einem Kumpel in der Ferne eine ...

Outlook & Mail
Outlook kann keine Verbindung mit dem Posteingangsserver (SMTP) herstellen
gerry56Vor 1 TagFrageOutlook & Mail13 Kommentare

Hallo! Seit der Mailserverumstellung habe ich Probleme mit dem versenden von E-Mails Die Situation ist folgende. Ich habe verschiedene E-Mailadressen, die ich für diverse ...

Server-Hardware
RPI4 nicht zugreifbar
winlinVor 7 StundenFrageServer-Hardware26 Kommentare

Hallo Zusammen, hoffe jemand kann mir helfen. Ich habe eine RPI4 gekauft. Habe mir zwei SD Karten genommen und auf einer LibreELEC und auf ...