fabianwill
Goto Top

VPN über 2 VPN-Router - Zugriffsproblem

Hallo allerseits.

Ich bin neu hier, zumindest schreibenderweise, weil ich nach zwei Tagen Recherche mit Google und diesem Archiv hier, immernoch keine Lösung habe.

Ich möchte zwei Netzwerke über einen VPN Tunnel verbinden.
Subnetz 1 hat den IP-Bereich 192.158.202.x, Subnetz 2 den Bereich 192.168.203.x. 2 Speedport 400p VPN-Router stehen zur Verfügung.
Subnetz 2 hat eine feste DSL-IP, das andere wird über DynDNS gefunden.

Ich habe erfolgreich ein LAN2LAN L2TP/IPSec-Tunnel erstellen können. Subnetz 1 wählt sich in Subnetz 2 ein und erhält eine IP für Subnetz 2.

Von Subnetz 1 aus kann ich problemlos den Router im Subnetz 2 anpingen und auch administrieren.

Das wars aber auch schon. Alle anderen Rechner und Drucker in Subnetz 2 sind von Subnetz 1 aus nicht pingbar. Ein IP-Scanner findet nur der Router und die IP des eingewählten Subnetz 1.

Firewalls sind auf beiden Routern ausgeschaltet. Weitere Router befinden sich in beiden Netzwerken nicht.

Was hab ich übersehen?

Vielen Dank für Ideen und einen schönen Samstagabend wünscht

Fabian Will

Content-ID: 100786

Url: https://administrator.de/forum/vpn-ueber-2-vpn-router-zugriffsproblem-100786.html

Ausgedruckt am: 24.12.2024 um 20:12 Uhr

Tobbel
Tobbel 01.11.2008 um 22:17:21 Uhr
Goto Top
Hi, also ich glaube das sollte schnell gelöst sein.
Du musst bei der Routing und RAS Konsole in den Einstellungen von deinem VPN das "IP-Routing" aktivieren und am besten auch noch die "Broadcast auflösung" Dann solltest du nicht nur den Router sondern auch das Netz sehen.

Gruß Tobi
FabianWill
FabianWill 01.11.2008 um 22:47:50 Uhr
Goto Top
Hallo Tobi,

vielen Dank für die schnelle Antwort.
Ich dachte mir schon, dass es an so etwas ähnlichem liegt.
Leider liegt das Problem zwischen meinen Ohren.
Ich hab nochmal im Netz gesucht und in der Bedienungsanleitung des Speedports geblättert. Aber ich finde nirgendwo eine Einstellung zum IP-Routing und Broadcast-Auflösung.
Das, was mir am ehesten im Konfigurationsmenü so aussieht, sind "Statische Routen". Ist es das?

hier mal ein Link zur BDA des Routers (http://www.t-home.de/dlp/eki/downloads/Speedport/speedport_400p_bedanl_ ...) ), vielleicht hast du ja kurz Zeit mal reinzuschauen, wo der Knopf ist, an dem ich drehen muss.

Vielen Dank für die Hilfe.

Fabian Will
Tobbel
Tobbel 02.11.2008 um 09:50:49 Uhr
Goto Top
Ok, da du das VPN nur mit dem Router direkt machst und nicht mit deinen PC's was im übrigen auch geht, ist es ein bisschen schwerer. Ich hab mir auch mal kurz die Anleitung angeschaut und hab mir noch folgende Fragen gestellt.

- Sind die Router so konfiguriert das sie IP dynamisch vergeben, oder ist NAT aktiviert?

Könnte es vielleicht einfach sein die PC's keine IP's von dem Router bekommen oder sollen sie das garnicht? Falls nicht musst du wirklich mal deine statischen Routen überprüfen. Ich glaube dafür gab es einen extra "Reiter" für. Du musst aber auch die Pakete angeben die durchgehen sollen.

Viel erfolg beim suchen.
aqui
aqui 02.11.2008 um 12:25:06 Uhr
Goto Top
Umgekehrt wird ein Schuh draus: Mit den PCs VPNs zu bauen ist meist schwieriger da du damit immer die Port Forwarding Problematik am Hals hast was bei VPN Routern komplett entfällt !
Von den Energiekosten einmal ganz abgesehen die eine PC basierte VPN Lösung verbrät...

Der Aufbau mit VPN Routern ist also in jedem Falle die technisch bessere Lösung !

Zurück zum eigentlichen Problem:
Was sagt denn ein traceroute oder pathping in beide netze bzw. wo bleibt das hängen ??
Da ist dann meist auch das Problem !

Kannst du alle PCs lokal pingen. Ggf. wird dein ICMP Protokoll geblockt und du musst das noch freigeben.
Du musst ganz sicherstellen, das deine FW wirklich aus ist, denn da du nun von einem Fremdnetz (andere IP) kommst blockt deine FW solche Zugriffe natürlich !
Oder du trägst eben das remote Netz in die Ausnahme ein !
FabianWill
FabianWill 02.11.2008 um 17:36:41 Uhr
Goto Top
Hallo Aqui,

ich dachte ehrlich gesagt auch, mit 2 VPN-Routern wäre die sauberere Lösung.

Noch als Ergänzung, in beiden Subnetzen befinden sich hauptsächlich fest vergebene IPs ein paar Laptops haben aber auch dynamisch zugewiesene. Jeder Router führt auch alle an ihn angeschlossene Hosts in der Liste der vorbundenen Hosts.

Lokal kann ich alle pingen.
Die Firewall ist sicher aus.
Ich hab mal Tracerouting-Programm geschaut. Trace ich den entfernten Router im Subnetz 2 erhalte ich zwei Hops. Der erste ist der lokale VPN-Router, der zweite der am anderen Ende des Tunnels. Soweit so schön. Trace ich einen anderen Host im Subnetz 2 (ein Layer-3 Switch, der ist definitiv online im Subnetz 2 und hängt auch gleich hinter dem VPN-Router, bekomme ich wieder 2 Hops. Der erste ist der lokale VPN-Router und als zweiter Eintrag folgt 127.0.0.39. Dannach ist Ende. Scheinbar irgendeine localhost-IP des Routers.
Allerdings fraglich warum?

Was ist das denn???

Ich habe auch wenig mit statischen Routen herumgespielt, allerdings bekomme ich, wenn ich zum Bespiel eine statische Route im Subnetz 1 einrichte, das alle IPs aus Subnetz 2 an den Router im Subnetz 2 weitergeleitet werden sollen, die Fehlermeldung, dass diese Route bereits existiert (Ich weiß allerdings auch nicht, ob ich das so richtig gemacht habe).

Immerhin bin ich bei der fortwährenden Fehlersuch im Internet darauf gestossen, dass der Speedport 400p unter der Haube ein Billion BIPAC 7402V2 ist. Das hilft mir aber auch nix, die Bedienungsanleitung ist dieselbe... keine neuen Fakten.

Vielen Dank für jeglich erdenklich Hilfe
Fabian Will
emporio-divine
emporio-divine 03.11.2008 um 11:27:46 Uhr
Goto Top
Hallo Fabian,

kontrolliere doch nochmal deine Einstellungen.


Lokales Netzwerk Subnet1: 192.158.202.0 Subnet2: 192.168.203.0
Remote Netzwerk Subnet1: 192.168.203.0 Subnet1: 192.158.202.0
Sind beide 24er Netze?

Dein Problem ist nach wie vor dass du clients hinter router2 (subnet2) nicht erreichen kannst, richtig?

Geht es denn umgekehrt? Kannst du von Subnet2 die Clients in Subnet1 erreichen?
aqui
aqui 03.11.2008 um 12:53:22 Uhr
Goto Top
...ein Layer-3 Switch, der ist definitiv online im Subnetz 2..

Aha...da kommen wir der Sache näher. Das hast du uns ja verschwiegen !!!
Die Frage ist jetzt WO haben diese Clients im Subnetz 2 ihre Gateways eingetragen ??

Etwa auf den Layer 3 (Routing) Switch ???
Dann musst du HIER auf dem Switch natürlich noch eine statische Route definieren mit dem Next Hop Gateway auf den VPN Router, denn der Switch wird vermutlich deine VPN Netze nicht kennen....woher auch ?!
Generell stellt sich die Frage wenn du im Subnetz 2 einen Layer 3 Switch hast: Wer routet hier ?? Vermutlich ist es nämlich der Switch, was ja auch sinnvoll ist. Dem musst du dann nur deine VPN Netze bekannt geben !

Wenn ein tracert oder patchping am 2ten Router stoppt gehts von da nicht mehr weiter bzw. der kennt den Weg nicht mehr...

Wenn diese Clients noch in anderen VLANs am L3 Switch hängen dann musst du an diesem VPN Router natürlich auch diese IP Netze mit einer statischen Route und Next Hop auf den Switch einstellen....

Du hast definitiv ein Routing Problem durch eine falsche Konfug.
Wichtig ist was die Clients in Subnetz 2 als Gateway eingetragen haben... bzw. wer da routet.
FabianWill
FabianWill 03.11.2008 um 20:55:23 Uhr
Goto Top
Hallo allerseits,

also manchmal ist man ja so dämlich, dass man sich selbst schlagen könnte. Ich hab heute morgen dann im Hauptbüro nochmals alles kontrolliert.
Der Switch war tatsächlich das Problem, bzw. ich eigentlich natürlich. Der ist zwar nicht bei den relevanten Clients als Gateway eingetragen, aber dem Switch habe ich einfac ein falsches Gateway gegeben. Dank Tippfehler ein nicht Existentes.
Ich frage mich nur, warum das im Subnetz 2 nicht früher aufgefallen ist. Es funktionierte lokal trotzdem alles.
Ich hab mich ja vielleicht geärgert...
Jetzt ist alles so, wie es sein sollte. Alle relevanten Clients erreichbar, VNC läuft.

Eine abschliessende Frage noch zum Tunneling. Die Router haben drei Tunnel-Varianten PPTP, L2TP und IPSec. PPTP scheidet wegen der fehlenden Verschlüsselung aus.
Momentan hab ich sowohl einen IPSec-Tunnel und einen L2TP-Tunnel mit zusätzlicher IPSec-Verschlüsselung eingerichtet, die beide parallel laufen. Ich dachte mir, wenn einer ausfällt, läuft wenigstens einer. Ist das so sinnvoll, oder stören die sich eher?

Hoffentlich erbarmt sich trotz meines Anfängerfehlers noch jemand zur Antwort face-smile

Vielen, vielen Dank für die Lösungsvorschläge. Aqui hats ja von der Ferne fast schneller gelöst als ich vor Ort. Wobei ich auch entschuldigend hinzufügen muss, dass ich erst heute wieder ins Hauptbüro konnte um die Seite des Netzes zu kontrollieren...

Grüße
Fabian
FabianWill
FabianWill 03.11.2008 um 21:28:10 Uhr
Goto Top
Nachtrag.

Also irgendwo ist noch der Wurm drin. Nicht alle Clients sind pingbar. Einer ist sogar uber tcp80 erreichbar, aber nicht pingbar. Die Pins bleiben wieder bei 127.0.0.39 stecken...
Das ist recht wahllos verteilt. Einige Clients erreiche ich auch hinter dem Switch, andere nicht. Auch ein Drucker der direkt im Router steckt ist nicht pingbar, der der daneben drinsteckt ist pingbar und auch über tcp80 zu erreichen....
rätselhaft... aber wenigstens das Prinzip geht, können ja nur noch Konfigfehler sein.... wobei heut lokal alle vom Client am Router pingbar waren...

Grüße
Fabian