VPN Tunnel steht jedoch ist nichts mehr möglich im Netzwerk
Hallo zusammen,
ich habe seit Freitag ein akutes Problem bei einem Kunden, was ich nicht in den Griff bekomme. 2 Standorte sind per VPN verbunden. Es handelt sich hier beide mal um eine Monowall mit der aktuellen Firmware. Der Tunnel lief die letzten Monate wunderbar. Geändert wurde auch nichts. Der Tunnel selber wird auch aufgebaut. Hier ist mal eben die Log der Monowall nach einem Neustart:
Dec 19 08:40:25 dnsmasq[126]: started, version 2.45 cachesize 150
Dec 19 08:40:25 dnsmasq[126]: compile time options: IPv6 GNU-getopt BSD-bridge ISC-leasefile no-DBus no-I18N TFTP
Dec 19 08:40:25 dnsmasq[126]: reading /etc/resolv.conf
Dec 19 08:40:25 dnsmasq[126]: using nameserver 195.186.4.111#53
Dec 19 08:40:25 dnsmasq[126]: using nameserver 195.186.1.111#53
Dec 19 08:40:25 dnsmasq[126]: read /etc/hosts - 2 addresses
Dec 19 08:40:25 /usr/local/bin/ez-ipupdate[129]: ez-ipupdate Version 3.0.11b8, Copyright (C) 1998-2001 Angus Mackay.
Dec 19 08:40:25 /usr/local/bin/ez-ipupdate[129]: /usr/local/bin/ez-ipupdate started for interface vr1 host gnpratteln.selfip.com using server members.dyndns.org and service dyndns
Dec 19 08:40:25 /usr/local/bin/ez-ipupdate[129]: got last update 178.196.91.57 on 2011/12/16 13:35 from cache file
Dec 19 08:40:25 /usr/local/bin/ez-ipupdate[129]: failure to update vr1->0.0.0.0 (gnpratteln.selfip.com)
Dec 19 08:40:25 /usr/local/bin/ez-ipupdate[129]: SIGHUP recieved, re-reading config file
Dec 19 08:40:33 dhclient: DHCPDISCOVER on vr1 to 255.255.255.255 port 67 interval 8
Dec 19 08:40:33 dhclient: DHCPOFFER from 195.186.54.70
Dec 19 08:40:33 dhclient: DHCPREQUEST on vr1 to 255.255.255.255 port 67
Dec 19 08:40:33 dhclient: DHCPACK from 195.186.54.70
Dec 19 08:40:33 dhclient: New Network Number: 178.196.88.0
Dec 19 08:40:33 dhclient: New Broadcast Address: 178.196.91.255
Dec 19 08:40:33 dhclient: New IP Address (vr1): 178.196.91.57
Dec 19 08:40:33 dhclient: New Subnet Mask (vr1): 255.255.252.0
Dec 19 08:40:33 dhclient: New Broadcast Address (vr1): 178.196.91.255
Dec 19 08:40:33 dhclient: New Routers: 178.196.88.1
Dec 19 08:40:37 racoon: INFO: @(#)ipsec-tools 0.7.3 (http://ipsec-tools.sourceforge.net)
Dec 19 08:40:37 racoon: INFO: @(#)This product linked OpenSSL 0.9.7e-p1 25 Oct 2004 (http://www.openssl.org/)
Dec 19 08:40:37 racoon: INFO: Reading configuration from "/var/etc/racoon.conf"
Dec 19 08:40:37 racoon: INFO: fe80::1%lo0[500] used as isakmp port (fd=7)
Dec 19 08:40:37 racoon: INFO: ::1[500] used as isakmp port (fd=8)
Dec 19 08:40:37 racoon: INFO: 127.0.0.1[500] used as isakmp port (fd=9)
Dec 19 08:40:37 racoon: INFO: 127.0.0.1[500] used for NAT-T
Dec 19 08:40:37 racoon: INFO: 178.196.91.57[500] used as isakmp port (fd=10)
Dec 19 08:40:37 racoon: INFO: 178.196.91.57[500] used for NAT-T
Dec 19 08:40:37 racoon: INFO: fe80::20d:b9ff:fe23:c95d%vr1[500] used as isakmp port (fd=11)
Dec 19 08:40:37 racoon: INFO: fe80::20d:b9ff:fe23:c95c%vr0[500] used as isakmp port (fd=12)
Dec 19 08:40:37 racoon: INFO: 192.168.1.1[500] used as isakmp port (fd=13)
Dec 19 08:40:37 racoon: INFO: 192.168.1.1[500] used for NAT-T
Dec 19 08:40:37 dhclient: bound to 178.196.91.57 -- renewal in 2887 seconds.
Dec 19 08:40:37 dnsmasq[126]: reading /etc/resolv.conf
Dec 19 08:40:37 dnsmasq[126]: using nameserver 195.186.1.162#53
Dec 19 08:40:37 dnsmasq[126]: using nameserver 195.186.4.162#53
Dec 19 08:42:30 racoon: INFO: IPsec-SA request for 212.101.30.21 queued due to no phase1 found.
Dec 19 08:42:30 racoon: INFO: initiate new phase 1 negotiation: 178.196.91.57[500]<=>212.101.30.21[500]
Dec 19 08:42:30 racoon: INFO: begin Aggressive mode.
Dec 19 08:42:30 racoon: INFO: received Vendor ID: DPD
Dec 19 08:42:30 racoon: NOTIFY: couldn't find the proper pskey, try to get one by the peer's address.
Dec 19 08:42:30 racoon: INFO: ISAKMP-SA established 178.196.91.57[500]-212.101.30.21[500] spi:5910172a2b41af0a:c7d6dd42fc6f98a6
Dec 19 08:42:31 racoon: INFO: initiate new phase 2 negotiation: 178.196.91.57[500]<=>212.101.30.21[500]
Dec 19 08:42:31 racoon: INFO: IPsec-SA established: ESP/Tunnel 212.101.30.21->178.196.91.57 spi=33308301(0x1fc3e8d)
Dec 19 08:42:31 racoon: INFO: IPsec-SA established: ESP/Tunnel 178.196.91.57[500]->212.101.30.21[500] spi=54338769(0x33d24d1)
Dec 19 08:45:26 /usr/local/bin/ez-ipupdate[129]: members.dyndns.org says that your IP address has not changed since the last update
Dec 19 08:45:26 /usr/local/bin/ez-ipupdate[129]: successful update for vr1->178.196.91.57 (gnpratteln.selfip.com)
Dec 19 08:45:26 kernel: arplookup 169.254.20.62 failed: host is not on local network
Mein Problem nun ist, dass ich über RDP im anderen Standort den Terminalserver nicht mehr erreichen kann. Ich kann im anderen Netzwerk nichts erreichen. Was habe ich schon versucht?
1. Beide Monowalls neugestartet
2. Modem (beide Standorte im Bridge Mode) neugestartet
3. VPN Tunnel auf beiden Geräten gelöscht und neu eingerichtet.
Ich bin mit meinem Latein so ziemlich am Ende. Hat eventuell jemand einen Tip?
Vielen Dank und Gruss
Bene
P.S. Habe mir gerade eben auch die Firewall Settigns angesehen und dort ist IPSEC mit PASS * also allem eingestellt.
ich habe seit Freitag ein akutes Problem bei einem Kunden, was ich nicht in den Griff bekomme. 2 Standorte sind per VPN verbunden. Es handelt sich hier beide mal um eine Monowall mit der aktuellen Firmware. Der Tunnel lief die letzten Monate wunderbar. Geändert wurde auch nichts. Der Tunnel selber wird auch aufgebaut. Hier ist mal eben die Log der Monowall nach einem Neustart:
Dec 19 08:40:25 dnsmasq[126]: started, version 2.45 cachesize 150
Dec 19 08:40:25 dnsmasq[126]: compile time options: IPv6 GNU-getopt BSD-bridge ISC-leasefile no-DBus no-I18N TFTP
Dec 19 08:40:25 dnsmasq[126]: reading /etc/resolv.conf
Dec 19 08:40:25 dnsmasq[126]: using nameserver 195.186.4.111#53
Dec 19 08:40:25 dnsmasq[126]: using nameserver 195.186.1.111#53
Dec 19 08:40:25 dnsmasq[126]: read /etc/hosts - 2 addresses
Dec 19 08:40:25 /usr/local/bin/ez-ipupdate[129]: ez-ipupdate Version 3.0.11b8, Copyright (C) 1998-2001 Angus Mackay.
Dec 19 08:40:25 /usr/local/bin/ez-ipupdate[129]: /usr/local/bin/ez-ipupdate started for interface vr1 host gnpratteln.selfip.com using server members.dyndns.org and service dyndns
Dec 19 08:40:25 /usr/local/bin/ez-ipupdate[129]: got last update 178.196.91.57 on 2011/12/16 13:35 from cache file
Dec 19 08:40:25 /usr/local/bin/ez-ipupdate[129]: failure to update vr1->0.0.0.0 (gnpratteln.selfip.com)
Dec 19 08:40:25 /usr/local/bin/ez-ipupdate[129]: SIGHUP recieved, re-reading config file
Dec 19 08:40:33 dhclient: DHCPDISCOVER on vr1 to 255.255.255.255 port 67 interval 8
Dec 19 08:40:33 dhclient: DHCPOFFER from 195.186.54.70
Dec 19 08:40:33 dhclient: DHCPREQUEST on vr1 to 255.255.255.255 port 67
Dec 19 08:40:33 dhclient: DHCPACK from 195.186.54.70
Dec 19 08:40:33 dhclient: New Network Number: 178.196.88.0
Dec 19 08:40:33 dhclient: New Broadcast Address: 178.196.91.255
Dec 19 08:40:33 dhclient: New IP Address (vr1): 178.196.91.57
Dec 19 08:40:33 dhclient: New Subnet Mask (vr1): 255.255.252.0
Dec 19 08:40:33 dhclient: New Broadcast Address (vr1): 178.196.91.255
Dec 19 08:40:33 dhclient: New Routers: 178.196.88.1
Dec 19 08:40:37 racoon: INFO: @(#)ipsec-tools 0.7.3 (http://ipsec-tools.sourceforge.net)
Dec 19 08:40:37 racoon: INFO: @(#)This product linked OpenSSL 0.9.7e-p1 25 Oct 2004 (http://www.openssl.org/)
Dec 19 08:40:37 racoon: INFO: Reading configuration from "/var/etc/racoon.conf"
Dec 19 08:40:37 racoon: INFO: fe80::1%lo0[500] used as isakmp port (fd=7)
Dec 19 08:40:37 racoon: INFO: ::1[500] used as isakmp port (fd=8)
Dec 19 08:40:37 racoon: INFO: 127.0.0.1[500] used as isakmp port (fd=9)
Dec 19 08:40:37 racoon: INFO: 127.0.0.1[500] used for NAT-T
Dec 19 08:40:37 racoon: INFO: 178.196.91.57[500] used as isakmp port (fd=10)
Dec 19 08:40:37 racoon: INFO: 178.196.91.57[500] used for NAT-T
Dec 19 08:40:37 racoon: INFO: fe80::20d:b9ff:fe23:c95d%vr1[500] used as isakmp port (fd=11)
Dec 19 08:40:37 racoon: INFO: fe80::20d:b9ff:fe23:c95c%vr0[500] used as isakmp port (fd=12)
Dec 19 08:40:37 racoon: INFO: 192.168.1.1[500] used as isakmp port (fd=13)
Dec 19 08:40:37 racoon: INFO: 192.168.1.1[500] used for NAT-T
Dec 19 08:40:37 dhclient: bound to 178.196.91.57 -- renewal in 2887 seconds.
Dec 19 08:40:37 dnsmasq[126]: reading /etc/resolv.conf
Dec 19 08:40:37 dnsmasq[126]: using nameserver 195.186.1.162#53
Dec 19 08:40:37 dnsmasq[126]: using nameserver 195.186.4.162#53
Dec 19 08:42:30 racoon: INFO: IPsec-SA request for 212.101.30.21 queued due to no phase1 found.
Dec 19 08:42:30 racoon: INFO: initiate new phase 1 negotiation: 178.196.91.57[500]<=>212.101.30.21[500]
Dec 19 08:42:30 racoon: INFO: begin Aggressive mode.
Dec 19 08:42:30 racoon: INFO: received Vendor ID: DPD
Dec 19 08:42:30 racoon: NOTIFY: couldn't find the proper pskey, try to get one by the peer's address.
Dec 19 08:42:30 racoon: INFO: ISAKMP-SA established 178.196.91.57[500]-212.101.30.21[500] spi:5910172a2b41af0a:c7d6dd42fc6f98a6
Dec 19 08:42:31 racoon: INFO: initiate new phase 2 negotiation: 178.196.91.57[500]<=>212.101.30.21[500]
Dec 19 08:42:31 racoon: INFO: IPsec-SA established: ESP/Tunnel 212.101.30.21->178.196.91.57 spi=33308301(0x1fc3e8d)
Dec 19 08:42:31 racoon: INFO: IPsec-SA established: ESP/Tunnel 178.196.91.57[500]->212.101.30.21[500] spi=54338769(0x33d24d1)
Dec 19 08:45:26 /usr/local/bin/ez-ipupdate[129]: members.dyndns.org says that your IP address has not changed since the last update
Dec 19 08:45:26 /usr/local/bin/ez-ipupdate[129]: successful update for vr1->178.196.91.57 (gnpratteln.selfip.com)
Dec 19 08:45:26 kernel: arplookup 169.254.20.62 failed: host is not on local network
Mein Problem nun ist, dass ich über RDP im anderen Standort den Terminalserver nicht mehr erreichen kann. Ich kann im anderen Netzwerk nichts erreichen. Was habe ich schon versucht?
1. Beide Monowalls neugestartet
2. Modem (beide Standorte im Bridge Mode) neugestartet
3. VPN Tunnel auf beiden Geräten gelöscht und neu eingerichtet.
Ich bin mit meinem Latein so ziemlich am Ende. Hat eventuell jemand einen Tip?
Vielen Dank und Gruss
Bene
P.S. Habe mir gerade eben auch die Firewall Settigns angesehen und dort ist IPSEC mit PASS * also allem eingestellt.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 177867
Url: https://administrator.de/forum/vpn-tunnel-steht-jedoch-ist-nichts-mehr-moeglich-im-netzwerk-177867.html
Ausgedruckt am: 28.12.2024 um 16:12 Uhr
12 Kommentare
Neuester Kommentar
Hallo,
überprüfe bitte bei beiden Standorten, ob die Dyndnsnamen auch auf eure momentanen IP-Adressen verweisen.
Kenne von einem Bekannten, das Dyndns probleme bereitet hatte, er musste sich dort erst für einige Newsletter anmelden und dan
funktionierte die Anmeldung der Fritzbox bei Dyndny wieder richtig.
Er hatte das Probelm, das Dyndns die Anmeldung der FB nicht richtig akzeptierte und die Adressen dadurch auch nicht erneuert wurden.
Gruß
Chonta
überprüfe bitte bei beiden Standorten, ob die Dyndnsnamen auch auf eure momentanen IP-Adressen verweisen.
Kenne von einem Bekannten, das Dyndns probleme bereitet hatte, er musste sich dort erst für einige Newsletter anmelden und dan
funktionierte die Anmeldung der Fritzbox bei Dyndny wieder richtig.
Er hatte das Probelm, das Dyndns die Anmeldung der FB nicht richtig akzeptierte und die Adressen dadurch auch nicht erneuert wurden.
Gruß
Chonta
moin dir
so ganz bin ich nicht bei dir aber schau mal hier
http://forums.freebsd.org/showthread.php?t=12984
vielleicht nützt das was
so ganz bin ich nicht bei dir aber schau mal hier
http://forums.freebsd.org/showthread.php?t=12984
vielleicht nützt das was
Hast du dir das Firewall Log mal angesehen ! Bedenke das du eine FW Regel erstellen musst für den VPN Link indem du die Kommunikation ins remote Netz erlaubst !
Fehlt die bekommst du im Firewall Log eine Block Message. Das ist immer ein sicheres Indiz das die Regeln nicht korrekt sind.
Details dazu findest du auch hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Da der VPN Tunnel korrekt aufgebaut wird kann dein problem eigentlich nur eine falsche oder fehlende Firewall Regel entweder auf beiden oder auf einer Seite sein. Ohne einen geposteten Screenshot der FW Regel Settings am Tunnel Interface kann man aber nur raten...
Fehlt die bekommst du im Firewall Log eine Block Message. Das ist immer ein sicheres Indiz das die Regeln nicht korrekt sind.
Details dazu findest du auch hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Da der VPN Tunnel korrekt aufgebaut wird kann dein problem eigentlich nur eine falsche oder fehlende Firewall Regel entweder auf beiden oder auf einer Seite sein. Ohne einen geposteten Screenshot der FW Regel Settings am Tunnel Interface kann man aber nur raten...
Bitte verschone uns mit externen Bilder Links !! Wenn du auf meine beiträge gehst und mit Bearbeiten deinen Thread editierst findest du dort einen Bilder hochladen Knopf den man normalerweise nicht übersehen kann über den du Screenshots und Bilder hochladen kannst.
Den dann erscheinenden Bilder URL kannst du mit einem Rechtsklick und Copy and Paste hier in jegliche Texte bringen ! Auch Antworten !!
Was die WAN Port Regel anbetrifft hast du hoffentlich das hier gelesen ??:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Zitat: Um eingehende IPsec ESP Verbindungen möglich zu machen muss man den WAN Port für IPsec entsprechend öffnen.
Auch das geht mit einer Firewall Regel auf dem WAN Port die dann UDP 500 (IKE), UDP 4500 (NAT Traversal) und das ESP Protokoll erlaubt:
Den Rest erklärt der dortige Screenshot !
Den dann erscheinenden Bilder URL kannst du mit einem Rechtsklick und Copy and Paste hier in jegliche Texte bringen ! Auch Antworten !!
Was die WAN Port Regel anbetrifft hast du hoffentlich das hier gelesen ??:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Zitat: Um eingehende IPsec ESP Verbindungen möglich zu machen muss man den WAN Port für IPsec entsprechend öffnen.
Auch das geht mit einer Firewall Regel auf dem WAN Port die dann UDP 500 (IKE), UDP 4500 (NAT Traversal) und das ESP Protokoll erlaubt:
Den Rest erklärt der dortige Screenshot !
Kannst du das lokale LAN Interface anpingen ?? Poste sonst mal eine Screenshot der FW Regeln auf dem WAN Port. Bzw. die sollten identisch sein wie im o,.a. Tutorial besprochen.
Ebenso ist ein Screenshot der FW Regeln auf dem Tunnel Interface wichtig, denn wenn dort nichts eingetragen ist geht auch nix über den Tunnel !
Ebenso ist ein Screenshot der FW Regeln auf dem Tunnel Interface wichtig, denn wenn dort nichts eingetragen ist geht auch nix über den Tunnel !