bmitsol
Goto Top

ZyXEL VPN - Windows Client - Ping aber kein Seitenaufruf ins WAN möglich

Hallo zusammen,

folgender Aufbau:

Netzwerk intern:
192.168.8.X/24
Gateway: 192.168.8.1 (ZyXEL USG 60)

VPN:
Server: ZyXEL
Client-Netz: 192.168.10.X/24
Technologie: ipSEC/L2TP

Client: Windows 10
Stndardgateway = VPN


Problematik:

Vom Client aus:
- Internes Netz erreichbar (192.168.8.X/24)
sowohl Webserver http(s) als auch ping
- Externes Netz (WAN an ZyXEL / Internet) nicht vollständig erreichbar
ping funktioniert; Seitenaufruf nicht möglich (http(s))

Lustigerweise lädt er bei einem Websitenaufruf z.B. den Title, jedoch den Content nicht.

Bei einem Internen Webserver, der erreichbar ist, scheitert der Aufruf beim laden der jQuery-Datein (welche er über WAN beziehen müsste).


Bei eine Apple-Client funktioniert alles wunderbar --> die Routingeinstellungen der ZyXEL sind i.O.


Wer eine Idee was das sein könnte?


VG
Christian

Content-ID: 351793

Url: https://administrator.de/forum/zyxel-vpn-windows-client-ping-aber-kein-seitenaufruf-ins-wan-moeglich-351793.html

Ausgedruckt am: 27.12.2024 um 20:12 Uhr

LordGurke
LordGurke 14.10.2017 aktualisiert um 14:47:50 Uhr
Goto Top
Das klingt verdächtig nach einem MTU-Problem. Was hast du an dem ZyXEL denn als MTU für das WAN-Interface konfiguriert?
Notfalls mal dort auf 1480 Bytes verringern und ggf. (ich kenne die ZyXEL-Teile nicht) explizit MSS-Clamping aktivieren.
Wenn das nichts nützt und der ZyXEL ICMP vollständig per Firewall rausfiltert, auch das einmal ausschalten - eventuell kommen deshalb benötigte Nachrichten über zu große Pakete nicht an.
bmitsol
bmitsol 14.10.2017 um 15:19:17 Uhr
Goto Top
MTU ist Standardgemäß auf 1500.
ich hatte es schon mit 1490 versucht, selbes spiel.

Vollständiges deaktivieren der Firewall (temporär) bringtkeine Besserung.
em-pie
Lösung em-pie 15.10.2017 aktualisiert um 12:57:51 Uhr
Goto Top
Moin,

naja die MTU-Size prüfst du ja via cmd und
 ping google.de -f -l 1492
https://kb.netgear.com/19863/Ping-Test-to-determine-Optimal-MTU-Size-on- ...
Edit: Richtige MTU Werte für IPsec VPN (VPN Server hinter Router)


ansonsten hat die USG60 einen Content-Filter aktiv, ist aber so eingerichtet, dass das Netz 192.168.10.0/24 nicht "passieren" darf?

Gruß
em-pie
bmitsol
bmitsol 16.10.2017 um 10:12:51 Uhr
Goto Top
[09:42, 16.10.2017] Robin Saberi: Ping wird ausgeführt für google.de [172.217.21.195] mit 1492 Bytes Daten:
Paket müsste fragmentiert werden, DF-Flag ist jedoch gesetzt.
Paket müsste fragmentiert werden, DF-Flag ist jedoch gesetzt.
Paket müsste fragmentiert werden, DF-Flag ist jedoch gesetzt.
Paket müsste fragmentiert werden, DF-Flag ist jedoch gesetzt.

ContentFilter ist nicht aktiv.
chgorges
chgorges 16.10.2017 um 10:25:50 Uhr
Goto Top
Worauf noch gar nicht eingegangen wurde:

Mit welchem Programm baust du das VPN auf? Zyxel IPSec VPN Client/Greenbow?
bmitsol
bmitsol 16.10.2017 um 15:54:00 Uhr
Goto Top
Windows Nativ