letstryandfindout
Goto Top

VPN Tunnel steht jedoch ist nichts mehr möglich im Netzwerk

Hallo zusammen,

ich habe seit Freitag ein akutes Problem bei einem Kunden, was ich nicht in den Griff bekomme. 2 Standorte sind per VPN verbunden. Es handelt sich hier beide mal um eine Monowall mit der aktuellen Firmware. Der Tunnel lief die letzten Monate wunderbar. Geändert wurde auch nichts. Der Tunnel selber wird auch aufgebaut. Hier ist mal eben die Log der Monowall nach einem Neustart:

Dec 19 08:40:25 dnsmasq[126]: started, version 2.45 cachesize 150
Dec 19 08:40:25 dnsmasq[126]: compile time options: IPv6 GNU-getopt BSD-bridge ISC-leasefile no-DBus no-I18N TFTP
Dec 19 08:40:25 dnsmasq[126]: reading /etc/resolv.conf
Dec 19 08:40:25 dnsmasq[126]: using nameserver 195.186.4.111#53
Dec 19 08:40:25 dnsmasq[126]: using nameserver 195.186.1.111#53
Dec 19 08:40:25 dnsmasq[126]: read /etc/hosts - 2 addresses
Dec 19 08:40:25 /usr/local/bin/ez-ipupdate[129]: ez-ipupdate Version 3.0.11b8, Copyright (C) 1998-2001 Angus Mackay.
Dec 19 08:40:25 /usr/local/bin/ez-ipupdate[129]: /usr/local/bin/ez-ipupdate started for interface vr1 host gnpratteln.selfip.com using server members.dyndns.org and service dyndns
Dec 19 08:40:25 /usr/local/bin/ez-ipupdate[129]: got last update 178.196.91.57 on 2011/12/16 13:35 from cache file
Dec 19 08:40:25 /usr/local/bin/ez-ipupdate[129]: failure to update vr1->0.0.0.0 (gnpratteln.selfip.com)
Dec 19 08:40:25 /usr/local/bin/ez-ipupdate[129]: SIGHUP recieved, re-reading config file
Dec 19 08:40:33 dhclient: DHCPDISCOVER on vr1 to 255.255.255.255 port 67 interval 8
Dec 19 08:40:33 dhclient: DHCPOFFER from 195.186.54.70
Dec 19 08:40:33 dhclient: DHCPREQUEST on vr1 to 255.255.255.255 port 67
Dec 19 08:40:33 dhclient: DHCPACK from 195.186.54.70
Dec 19 08:40:33 dhclient: New Network Number: 178.196.88.0
Dec 19 08:40:33 dhclient: New Broadcast Address: 178.196.91.255
Dec 19 08:40:33 dhclient: New IP Address (vr1): 178.196.91.57
Dec 19 08:40:33 dhclient: New Subnet Mask (vr1): 255.255.252.0
Dec 19 08:40:33 dhclient: New Broadcast Address (vr1): 178.196.91.255
Dec 19 08:40:33 dhclient: New Routers: 178.196.88.1
Dec 19 08:40:37 racoon: INFO: @(#)ipsec-tools 0.7.3 (http://ipsec-tools.sourceforge.net)
Dec 19 08:40:37 racoon: INFO: @(#)This product linked OpenSSL 0.9.7e-p1 25 Oct 2004 (http://www.openssl.org/)
Dec 19 08:40:37 racoon: INFO: Reading configuration from "/var/etc/racoon.conf"
Dec 19 08:40:37 racoon: INFO: fe80::1%lo0[500] used as isakmp port (fd=7)
Dec 19 08:40:37 racoon: INFO: ::1[500] used as isakmp port (fd=8)
Dec 19 08:40:37 racoon: INFO: 127.0.0.1[500] used as isakmp port (fd=9)
Dec 19 08:40:37 racoon: INFO: 127.0.0.1[500] used for NAT-T
Dec 19 08:40:37 racoon: INFO: 178.196.91.57[500] used as isakmp port (fd=10)
Dec 19 08:40:37 racoon: INFO: 178.196.91.57[500] used for NAT-T
Dec 19 08:40:37 racoon: INFO: fe80::20d:b9ff:fe23:c95d%vr1[500] used as isakmp port (fd=11)
Dec 19 08:40:37 racoon: INFO: fe80::20d:b9ff:fe23:c95c%vr0[500] used as isakmp port (fd=12)
Dec 19 08:40:37 racoon: INFO: 192.168.1.1[500] used as isakmp port (fd=13)
Dec 19 08:40:37 racoon: INFO: 192.168.1.1[500] used for NAT-T
Dec 19 08:40:37 dhclient: bound to 178.196.91.57 -- renewal in 2887 seconds.
Dec 19 08:40:37 dnsmasq[126]: reading /etc/resolv.conf
Dec 19 08:40:37 dnsmasq[126]: using nameserver 195.186.1.162#53
Dec 19 08:40:37 dnsmasq[126]: using nameserver 195.186.4.162#53
Dec 19 08:42:30 racoon: INFO: IPsec-SA request for 212.101.30.21 queued due to no phase1 found.
Dec 19 08:42:30 racoon: INFO: initiate new phase 1 negotiation: 178.196.91.57[500]<=>212.101.30.21[500]
Dec 19 08:42:30 racoon: INFO: begin Aggressive mode.
Dec 19 08:42:30 racoon: INFO: received Vendor ID: DPD
Dec 19 08:42:30 racoon: NOTIFY: couldn't find the proper pskey, try to get one by the peer's address.
Dec 19 08:42:30 racoon: INFO: ISAKMP-SA established 178.196.91.57[500]-212.101.30.21[500] spi:5910172a2b41af0a:c7d6dd42fc6f98a6
Dec 19 08:42:31 racoon: INFO: initiate new phase 2 negotiation: 178.196.91.57[500]<=>212.101.30.21[500]
Dec 19 08:42:31 racoon: INFO: IPsec-SA established: ESP/Tunnel 212.101.30.21->178.196.91.57 spi=33308301(0x1fc3e8d)
Dec 19 08:42:31 racoon: INFO: IPsec-SA established: ESP/Tunnel 178.196.91.57[500]->212.101.30.21[500] spi=54338769(0x33d24d1)
Dec 19 08:45:26 /usr/local/bin/ez-ipupdate[129]: members.dyndns.org says that your IP address has not changed since the last update
Dec 19 08:45:26 /usr/local/bin/ez-ipupdate[129]: successful update for vr1->178.196.91.57 (gnpratteln.selfip.com)
Dec 19 08:45:26 kernel: arplookup 169.254.20.62 failed: host is not on local network

Mein Problem nun ist, dass ich über RDP im anderen Standort den Terminalserver nicht mehr erreichen kann. Ich kann im anderen Netzwerk nichts erreichen. Was habe ich schon versucht?

1. Beide Monowalls neugestartet
2. Modem (beide Standorte im Bridge Mode) neugestartet
3. VPN Tunnel auf beiden Geräten gelöscht und neu eingerichtet.

Ich bin mit meinem Latein so ziemlich am Ende. Hat eventuell jemand einen Tip?

Vielen Dank und Gruss
Bene

P.S. Habe mir gerade eben auch die Firewall Settigns angesehen und dort ist IPSEC mit PASS * also allem eingestellt.

Content-ID: 177867

Url: https://administrator.de/forum/vpn-tunnel-steht-jedoch-ist-nichts-mehr-moeglich-im-netzwerk-177867.html

Ausgedruckt am: 28.12.2024 um 16:12 Uhr

Chonta
Chonta 19.12.2011 um 10:20:53 Uhr
Goto Top
Hallo,

überprüfe bitte bei beiden Standorten, ob die Dyndnsnamen auch auf eure momentanen IP-Adressen verweisen.
Kenne von einem Bekannten, das Dyndns probleme bereitet hatte, er musste sich dort erst für einige Newsletter anmelden und dan
funktionierte die Anmeldung der Fritzbox bei Dyndny wieder richtig.

Er hatte das Probelm, das Dyndns die Anmeldung der FB nicht richtig akzeptierte und die Adressen dadurch auch nicht erneuert wurden.


Gruß

Chonta
konfuziuseins
konfuziuseins 19.12.2011 um 10:36:24 Uhr
Goto Top
moin dir

so ganz bin ich nicht bei dir aber schau mal hier
http://forums.freebsd.org/showthread.php?t=12984
vielleicht nützt das was
letstryandfindout
letstryandfindout 19.12.2011 um 10:38:56 Uhr
Goto Top
Hallo Chonta,

ich habe DynDNS kontrolliert. Daran dachte ich auch als erstes. Ich habe noch mal beide Monowalls zurückgesetzt und alles neu gemacht. Hier mal das aktuelle Log:

Dec 19 10:36:19 kernel: ad0: 495MB <CF 512MB 20071116> at ata0-master PIO4
Dec 19 10:36:19 kernel: Trying to mount root from ufs:/dev/md0
Dec 19 10:36:19 dnsmasq[126]: started, version 2.45 cachesize 150
Dec 19 10:36:19 dnsmasq[126]: compile time options: IPv6 GNU-getopt BSD-bridge ISC-leasefile no-DBus no-I18N TFTP
Dec 19 10:36:19 dnsmasq[126]: reading /etc/resolv.conf
Dec 19 10:36:19 dnsmasq[126]: using nameserver 192.186.4.111#53
Dec 19 10:36:19 dnsmasq[126]: using nameserver 192.186.1.111#53
Dec 19 10:36:19 dnsmasq[126]: read /etc/hosts - 2 addresses
Dec 19 10:36:19 /usr/local/bin/ez-ipupdate[129]: ez-ipupdate Version 3.0.11b8, Copyright (C) 1998-2001 Angus Mackay.
Dec 19 10:36:19 /usr/local/bin/ez-ipupdate[129]: /usr/local/bin/ez-ipupdate started for interface vr1 host gnpratteln.selfip.com using server members.dyndns.org and service dyndns
Dec 19 10:36:19 /usr/local/bin/ez-ipupdate[129]: got last update 178.196.91.57 on 2011/12/19 10:33 from cache file
Dec 19 10:36:19 /usr/local/bin/ez-ipupdate[129]: failure to update vr1->0.0.0.0 (gnpratteln.selfip.com)
Dec 19 10:36:19 /usr/local/bin/ez-ipupdate[129]: SIGHUP recieved, re-reading config file
Dec 19 10:36:28 dhclient: DHCPDISCOVER on vr1 to 255.255.255.255 port 67 interval 7
Dec 19 10:36:28 dhclient: DHCPOFFER from 195.186.54.70
Dec 19 10:36:28 dhclient: DHCPREQUEST on vr1 to 255.255.255.255 port 67
Dec 19 10:36:31 dhclient: DHCPREQUEST on vr1 to 255.255.255.255 port 67
Dec 19 10:36:32 dhclient: DHCPACK from 195.186.54.70
Dec 19 10:36:32 dhclient: New Network Number: 178.196.88.0
Dec 19 10:36:32 dhclient: New Broadcast Address: 178.196.91.255
Dec 19 10:36:32 dhclient: New IP Address (vr1): 178.196.91.57
Dec 19 10:36:32 dhclient: New Subnet Mask (vr1): 255.255.252.0
Dec 19 10:36:32 dhclient: New Broadcast Address (vr1): 178.196.91.255
Dec 19 10:36:32 dhclient: New Routers: 178.196.88.1
Dec 19 10:36:34 dnsmasq[126]: reading /etc/resolv.conf
Dec 19 10:36:34 dnsmasq[126]: using nameserver 195.186.1.162#53
Dec 19 10:36:34 dnsmasq[126]: using nameserver 195.186.4.162#53
Dec 19 10:36:35 racoon: INFO: @(#)ipsec-tools 0.7.3 (http://ipsec-tools.sourceforge.net)
Dec 19 10:36:35 racoon: INFO: @(#)This product linked OpenSSL 0.9.7e-p1 25 Oct 2004 (http://www.openssl.org/)
Dec 19 10:36:35 racoon: INFO: Reading configuration from "/var/etc/racoon.conf"
Dec 19 10:36:35 racoon: INFO: fe80::1%lo0[500] used as isakmp port (fd=7)
Dec 19 10:36:35 racoon: INFO: ::1[500] used as isakmp port (fd=8)
Dec 19 10:36:35 racoon: INFO: 127.0.0.1[500] used as isakmp port (fd=9)
Dec 19 10:36:35 racoon: INFO: 127.0.0.1[500] used for NAT-T
Dec 19 10:36:35 racoon: INFO: 178.196.91.57[500] used as isakmp port (fd=10)
Dec 19 10:36:35 racoon: INFO: 178.196.91.57[500] used for NAT-T
Dec 19 10:36:35 racoon: INFO: fe80::20d:b9ff:fe23:c95d%vr1[500] used as isakmp port (fd=11)
Dec 19 10:36:35 racoon: INFO: fe80::20d:b9ff:fe23:c95c%vr0[500] used as isakmp port (fd=12)
Dec 19 10:36:35 racoon: INFO: 192.168.1.1[500] used as isakmp port (fd=13)
Dec 19 10:36:35 racoon: INFO: 192.168.1.1[500] used for NAT-T
Dec 19 10:36:35 dhclient: bound to 178.196.91.57 -- renewal in 2893 seconds.
Dec 19 10:36:38 racoon: INFO: IPsec-SA request for 212.101.30.21 queued due to no phase1 found.
Dec 19 10:36:38 racoon: INFO: initiate new phase 1 negotiation: 178.196.91.57[500]<=>212.101.30.21[500]
Dec 19 10:36:38 racoon: INFO: begin Aggressive mode.
Dec 19 10:36:38 racoon: INFO: received Vendor ID: DPD
Dec 19 10:36:39 racoon: NOTIFY: couldn't find the proper pskey, try to get one by the peer's address.
Dec 19 10:36:39 racoon: INFO: ISAKMP-SA established 178.196.91.57[500]-212.101.30.21[500] spi:266302432979c024:14c37492f8414dc3
Dec 19 10:36:39 racoon: INFO: initiate new phase 2 negotiation: 178.196.91.57[500]<=>212.101.30.21[500]
Dec 19 10:36:39 racoon: INFO: IPsec-SA established: ESP/Tunnel 212.101.30.21->178.196.91.57 spi=93018712(0x58b5a58)
Dec 19 10:36:39 racoon: INFO: IPsec-SA established: ESP/Tunnel 178.196.91.57[500]->212.101.30.21[500] spi=68853887(0x41aa07f)
letstryandfindout
letstryandfindout 19.12.2011 um 10:46:58 Uhr
Goto Top
Leider nicht. Hat nix mit meinem Problem zu tun. Hier noch ein kleines Update. Ich habe gerade mit einem Freund telefoniert, welcher sich nur mit Netzwerken beschäftigt. Er sagt auch der Tunnel steht. Wenn ich ein trace mache bleibt beiben beide an der Firewall hängen. Ich verstehe es einfach nicht. IPSEC ist auf beiden Monowalls erlaubt und so eingestellt das alles an Protokollen etc. was machen darf. Auf beiden Servern ist die normale Windows Firewall deaktiviert. Ich bin mit meinem Latein am Ende.
aqui
aqui 19.12.2011, aktualisiert am 18.10.2012 um 18:49:23 Uhr
Goto Top
Hast du dir das Firewall Log mal angesehen ! Bedenke das du eine FW Regel erstellen musst für den VPN Link indem du die Kommunikation ins remote Netz erlaubst !
Fehlt die bekommst du im Firewall Log eine Block Message. Das ist immer ein sicheres Indiz das die Regeln nicht korrekt sind.
Details dazu findest du auch hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Da der VPN Tunnel korrekt aufgebaut wird kann dein problem eigentlich nur eine falsche oder fehlende Firewall Regel entweder auf beiden oder auf einer Seite sein. Ohne einen geposteten Screenshot der FW Regel Settings am Tunnel Interface kann man aber nur raten...
letstryandfindout
letstryandfindout 19.12.2011 um 11:10:43 Uhr
Goto Top
In der Firewall Log ist nix spezielles drinnen:

Last 50 firewall log entries
Act Time If Source Destination Proto
click to select action 11:03:30.068450 WAN 82.195.224.27, port 143 178.196.91.57, port 41178 TCP
click to select action 11:03:33.600180 WAN 1.1.1.1 224.0.0.1 IGMP
click to select action 11:03:36.068326 WAN 82.195.224.27, port 143 178.196.91.57, port 41178 TCP
click to select action 11:03:43.597970 WAN 1.1.1.1 224.0.0.1 IGMP
click to select action 11:03:53.596472 WAN 1.1.1.1 224.0.0.1 IGMP
click to select action 11:03:54.521850 WAN 82.195.224.27, port 143 178.196.91.57, port 41178 TCP
click to select action 11:04:03.595510 WAN 1.1.1.1 224.0.0.1 IGMP
click to select action 11:04:13.593789 WAN 1.1.1.1 224.0.0.1 IGMP
click to select action 11:04:23.592313 WAN 1.1.1.1 224.0.0.1 IGMP
click to select action 11:04:27.000544 WAN 82.195.224.27, port 143 178.196.91.57, port 41178 TCP
click to select action 11:04:33.591080 WAN 1.1.1.1 224.0.0.1 IGMP
click to select action 11:04:35.997221 WAN 82.195.224.27, port 143 178.196.91.57, port 41178 TCP
click to select action 11:04:43.589607 WAN 1.1.1.1 224.0.0.1 IGMP
click to select action 11:04:47.994698 WAN 82.195.224.27, port 143 178.196.91.57, port 41178 TCP
click to select action 11:04:53.588142 WAN 1.1.1.1 224.0.0.1 IGMP
click to select action 11:05:03.586672 WAN 1.1.1.1 224.0.0.1 IGMP
click to select action 11:05:13.585189 WAN 1.1.1.1 224.0.0.1 IGMP
click to select action 11:05:23.583682 WAN 1.1.1.1 224.0.0.1 IGMP
click to select action 11:05:33.582513 WAN 1.1.1.1 224.0.0.1 IGMP
click to select action 11:05:43.580779 WAN 1.1.1.1 224.0.0.1 IGMP
click to select action 11:05:53.579537 WAN 1.1.1.1 224.0.0.1 IGMP
click to select action 11:06:02.922651 LAN 192.168.1.107, port 49540 209.85.148.99, port 443 TCP
click to select action 11:06:03.218328 LAN 192.168.1.107, port 49540 209.85.148.99, port 443 TCP
click to select action 11:06:03.578053 WAN 1.1.1.1 224.0.0.1 IGMP
click to select action 11:06:03.826265 LAN 192.168.1.107, port 49540 209.85.148.99, port 443 TCP
click to select action 11:06:05.027166 LAN 192.168.1.107, port 49540 209.85.148.99, port 443 TCP
click to select action 11:06:07.426962 LAN 192.168.1.107, port 49540 209.85.148.99, port 443 TCP
click to select action 11:06:12.226528 LAN 192.168.1.107, port 49540 209.85.148.99, port 443 TCP
click to select action 11:06:13.576582 WAN 1.1.1.1 224.0.0.1 IGMP
click to select action 11:06:21.816775 LAN 192.168.1.107, port 49540 209.85.148.99, port 443 TCP
click to select action 11:06:23.575331 WAN 1.1.1.1 224.0.0.1 IGMP
click to select action 11:06:33.573626 WAN 1.1.1.1 224.0.0.1 IGMP
click to select action 11:06:43.572163 WAN 1.1.1.1 224.0.0.1 IGMP
click to select action 11:06:53.571184 WAN 1.1.1.1 224.0.0.1 IGMP
click to select action 11:06:56.145640 LAN 192.168.1.110, port 4068 50.16.212.106, port 80 TCP
click to select action 11:07:03.569458 WAN 1.1.1.1 224.0.0.1 IGMP
click to select action 11:07:13.567992 WAN 1.1.1.1 224.0.0.1 IGMP
click to select action 11:07:23.566525 WAN 1.1.1.1 224.0.0.1 IGMP
click to select action 11:07:33.565073 WAN 1.1.1.1 224.0.0.1 IGMP
click to select action 11:07:43.563810 WAN 1.1.1.1 224.0.0.1 IGMP
click to select action 11:07:53.562329 WAN 1.1.1.1 224.0.0.1 IGMP
click to select action 11:08:03.560877 WAN 1.1.1.1 224.0.0.1 IGMP
click to select action 11:08:13.559403 WAN 1.1.1.1 224.0.0.1 IGMP
click to select action 11:08:23.558911 WAN 1.1.1.1 224.0.0.1 IGMP
click to select action 11:08:33.556426 WAN 1.1.1.1 224.0.0.1 IGMP
click to select action 11:08:43.555218 WAN 1.1.1.1 224.0.0.1 IGMP
click to select action 11:08:53.553488 WAN 1.1.1.1 224.0.0.1 IGMP
click to select action 11:09:03.552007 WAN 1.1.1.1 224.0.0.1 IGMP
click to select action 11:09:13.550502 WAN 1.1.1.1 224.0.0.1 IGMP
click to select action 11:09:23.549114 WAN 1.1.1.1 224.0.0.1 IGMP

Die Regeln bei der Firewall sind:

Proto Source Port Destination Port Description
- - - - - Default IPsec VPN

Auf Pass eingestellt.
letstryandfindout
letstryandfindout 19.12.2011 um 11:22:52 Uhr
Goto Top
aqui
aqui 19.12.2011, aktualisiert am 18.10.2012 um 18:49:23 Uhr
Goto Top
Bitte verschone uns mit externen Bilder Links !! Wenn du auf meine beiträge gehst und mit Bearbeiten deinen Thread editierst findest du dort einen Bilder hochladen Knopf den man normalerweise nicht übersehen kann über den du Screenshots und Bilder hochladen kannst.
Den dann erscheinenden Bilder URL kannst du mit einem Rechtsklick und Copy and Paste hier in jegliche Texte bringen ! Auch Antworten !! face-sad
Was die WAN Port Regel anbetrifft hast du hoffentlich das hier gelesen ??:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Zitat: Um eingehende IPsec ESP Verbindungen möglich zu machen muss man den WAN Port für IPsec entsprechend öffnen.
Auch das geht mit einer Firewall Regel auf dem WAN Port die dann UDP 500 (IKE), UDP 4500 (NAT Traversal) und das ESP Protokoll erlaubt:

Den Rest erklärt der dortige Screenshot !
letstryandfindout
letstryandfindout 19.12.2011 um 12:31:53 Uhr
Goto Top
Danke :D und Entschuldigung wegen den Bildern.
aqui
aqui 21.12.2011 um 12:08:17 Uhr
Goto Top
Hat das nun geholfen ??
letstryandfindout
letstryandfindout 22.12.2011 um 07:36:42 Uhr
Goto Top
Hey, leider nicht. Funktioniert immer noch nicht ...
aqui
aqui 22.12.2011 um 13:23:49 Uhr
Goto Top
Kannst du das lokale LAN Interface anpingen ?? Poste sonst mal eine Screenshot der FW Regeln auf dem WAN Port. Bzw. die sollten identisch sein wie im o,.a. Tutorial besprochen.
Ebenso ist ein Screenshot der FW Regeln auf dem Tunnel Interface wichtig, denn wenn dort nichts eingetragen ist geht auch nix über den Tunnel !