5
VPN Verbindung über WAN zu LAN in ein Netz
Grüß euch,
versuche seit einigen Tagen eine VPN-Verbindung (mit ShrewSoft VPN Client) über m0n0wall in ein Netz herzustellen.
Leider erfolglos. Ich versteh nicht, was ich falsch mache...
Das ganze sieht so aus:
Also ich möchte vom PC mit der IP 192.168.188.189 auf das Netz 192.168.178.0 zugreifen. Wenn ich einen Host aus 192.168.178.0 anpingen will bekomme ich immer nur "Zeitüberschreitung der Anforderung".
Was muss ich bei der m0n0wall einstellen? Was hab ich falsch gemacht?
Schon mal vielen Dank im Voraus...
Das sind die ShrewSoft VPN Client Einstellungen:
n:network-ike-port:500
n:network-natt-port:4500
n:network-natt-rate:30
n:network-frag-size:540
n:network-dpd-enable:1
n:client-banner-enable:0
n:network-notify-enable:1
n:client-wins-used:0
n:client-wins-auto:1
n:client-dns-used:0
n:client-dns-auto:0
n:client-splitdns-used:0
n:client-splitdns-auto:0
n:phase1-dhgroup:2
n:phase1-life-secs:54600
n:phase1-life-kbytes:0
n:phase2-life-secs:28800
n:phase2-life-kbytes:0
n:policy-list-auto:0
n:client-addr-auto:1
n:version:2
n:network-mtu-size:1380
n:policy-nailed:0
s:client-saved-username:
n:vendor-chkpt-enable:0
s:network-host:192.168.188.188
s:client-auto-mode:pull
s:client-iface:direct
s:network-natt-mode:enable
s:network-frag-mode:disable
s:auth-method:mutual-psk
s:ident-client-type:ufqdn
s:ident-server-type:address
s:ident-client-data:name@email.de
b:auth-mutual-psk:MTIzNDU2Nzg=
s:phase1-exchange:aggressive
s:phase1-cipher:3des
s:phase1-hash:sha1
s:phase2-transform:esp-3des
s:phase2-hmac:sha1
s:ipcomp-transform:disabled
n:phase2-pfsgroup:-1
s:policy-level:auto
s:policy-list-include:192.168.178.0 / 255.255.255.0
versuche seit einigen Tagen eine VPN-Verbindung (mit ShrewSoft VPN Client) über m0n0wall in ein Netz herzustellen.
Leider erfolglos. Ich versteh nicht, was ich falsch mache...
Das ganze sieht so aus:
Also ich möchte vom PC mit der IP 192.168.188.189 auf das Netz 192.168.178.0 zugreifen. Wenn ich einen Host aus 192.168.178.0 anpingen will bekomme ich immer nur "Zeitüberschreitung der Anforderung".
Was muss ich bei der m0n0wall einstellen? Was hab ich falsch gemacht?
Schon mal vielen Dank im Voraus...
Das sind die ShrewSoft VPN Client Einstellungen:
n:network-ike-port:500
n:network-natt-port:4500
n:network-natt-rate:30
n:network-frag-size:540
n:network-dpd-enable:1
n:client-banner-enable:0
n:network-notify-enable:1
n:client-wins-used:0
n:client-wins-auto:1
n:client-dns-used:0
n:client-dns-auto:0
n:client-splitdns-used:0
n:client-splitdns-auto:0
n:phase1-dhgroup:2
n:phase1-life-secs:54600
n:phase1-life-kbytes:0
n:phase2-life-secs:28800
n:phase2-life-kbytes:0
n:policy-list-auto:0
n:client-addr-auto:1
n:version:2
n:network-mtu-size:1380
n:policy-nailed:0
s:client-saved-username:
n:vendor-chkpt-enable:0
s:network-host:192.168.188.188
s:client-auto-mode:pull
s:client-iface:direct
s:network-natt-mode:enable
s:network-frag-mode:disable
s:auth-method:mutual-psk
s:ident-client-type:ufqdn
s:ident-server-type:address
s:ident-client-data:name@email.de
b:auth-mutual-psk:MTIzNDU2Nzg=
s:phase1-exchange:aggressive
s:phase1-cipher:3des
s:phase1-hash:sha1
s:phase2-transform:esp-3des
s:phase2-hmac:sha1
s:ipcomp-transform:disabled
n:phase2-pfsgroup:-1
s:policy-level:auto
s:policy-list-include:192.168.178.0 / 255.255.255.0
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 165476
Url: https://administrator.de/contentid/165476
Printed on: April 28, 2024 at 18:04 o'clock
5 Comments
Latest comment
Eigentlich ist das ein Kinderspiel und funktioniert auf Anhieb wenn du dich an die entsprechenden Tutorials hälst:
http://www.shrew.net/support/wiki/HowtoMonowall
und auch
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Zu 90% ist immer eine fehlende Firewall Regel auf dem WAN Port die Falle in die getappt wird ! Das Firewall Log zeigt dir das dann auch problemlos an.
Du musst hier zwingend die folgenden Protokolle für IPsec freigeben:
UDP 500
UDP 4500
ESP Protokoll
Siehe:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
am Ende des Kapitels !
http://www.shrew.net/support/wiki/HowtoMonowall
und auch
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Zu 90% ist immer eine fehlende Firewall Regel auf dem WAN Port die Falle in die getappt wird ! Das Firewall Log zeigt dir das dann auch problemlos an.
Du musst hier zwingend die folgenden Protokolle für IPsec freigeben:
UDP 500
UDP 4500
ESP Protokoll
Siehe:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
am Ende des Kapitels !
Danke für die schnelle Antwort!
Das hab ich bereits alles gemacht und trotzdem funktioniert es nicht.
Immer der Fehler: "Zeitüberschreitung der Anforderung"
Habe schon vielen Foren und Anleitungen durchforstet, aber nix will funktionieren.
Das hab ich bereits alles gemacht und trotzdem funktioniert es nicht.
Immer der Fehler: "Zeitüberschreitung der Anforderung"
Habe schon vielen Foren und Anleitungen durchforstet, aber nix will funktionieren.
Klappt hier sofort auf Mausklick !! Irgendwo hast du also einen Fehler eingebaut. Wie probierst du das aus mit einem Testaufbau ??
Vermutlich, denn du hast ja einen RFC 1918 IP Adresse 192.168.188.0 /24 am WAN Port !
Wichtig: Hast du den Default Firewall Filter für RFC 1918 IP Netze entfernt am WAN Port "Interfaces --> WAN " und dort am Ende bei Block private Networks ??
Ggf. mal die WAN Regeln hier posten und den Output des Firewall Logs wenn du die Verbindung initiierst !
Vermutlich, denn du hast ja einen RFC 1918 IP Adresse 192.168.188.0 /24 am WAN Port !
Wichtig: Hast du den Default Firewall Filter für RFC 1918 IP Netze entfernt am WAN Port "Interfaces --> WAN " und dort am Ende bei Block private Networks ??
Ggf. mal die WAN Regeln hier posten und den Output des Firewall Logs wenn du die Verbindung initiierst !
Block private Networks ist deaktiviert.
Um die Verbindung zu testen, lasse ich die Verbindung aufbauen und danach versuche ich einen Host im Netz 192.168.178.0 /24 anzupingen.
Vielleicht hilft das weiter:
WAN ist bei mir mit einer statischen IP belegt
IP 192.168.188.188/24
Gateway 192.168.178.201
Firewall Rules:
Proto Source Port Destination Port Description
ICMP * * * *
TCP * * * * allow all (böse)
UDP * * WAN address 500
UDP * * WAN address 4500
ESP * * WAN address *
Firewall Log:
Time If Source Destination Proto
09:47:16.895476 LAN 192.168.178.1 224.0.0.1 IGMP
Um die Verbindung zu testen, lasse ich die Verbindung aufbauen und danach versuche ich einen Host im Netz 192.168.178.0 /24 anzupingen.
Vielleicht hilft das weiter:
WAN ist bei mir mit einer statischen IP belegt
IP 192.168.188.188/24
Gateway 192.168.178.201
Firewall Rules:
Proto Source Port Destination Port Description
ICMP * * * *
TCP * * * * allow all (böse)
UDP * * WAN address 500
UDP * * WAN address 4500
ESP * * WAN address *
Firewall Log:
Time If Source Destination Proto
09:47:16.895476 LAN 192.168.178.1 224.0.0.1 IGMP
Bedenke das die Firewall Regeln immer eingehend als incoming wirken und du das ebenfalls für das VPN Interface bzw. die entsprechenden IP Netze auch erlauben musst ! (Remote Subnet)
Deine Firewall Regel oben gilt ausschliesslich für den WAN Port um den Tunnel zuzulassen. Kannst du denn im System Log sehen das der Tunnel sauber aufgebaut wird ?? Wenigstens das sollte ja sauber klappen !
Sie immer in das Firewall Log ob dort irgendwas geblockt wird. Das sagt dir immer sofort wo ein Regelproblem ist !
Deine Firewall Regel oben gilt ausschliesslich für den WAN Port um den Tunnel zuzulassen. Kannst du denn im System Log sehen das der Tunnel sauber aufgebaut wird ?? Wenigstens das sollte ja sauber klappen !
Sie immer in das Firewall Log ob dort irgendwas geblockt wird. Das sagt dir immer sofort wo ein Regelproblem ist !
